國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001:2005介紹

信息安全管理正在逐步受到企業(yè)的重視連日來，加強(qiáng)信息安全管理被普遍認(rèn)為是解決信息安全問(wèn)題的重要途徑。據(jù)一份針對(duì)英國(guó)900家不同類(lèi)型組織做的問(wèn)卷調(diào)查認為，超過(guò)一半的政府機(jī)構(gòu)及三份之二的民營(yíng)組織系統，正面臨信息科技的不法入侵、濫用甚至破壞重要意義。在美國(guó)的另一份報(bào)告更明白指出信息安全事件造成的財(cái)務(wù)損失已高達(dá)二億四千萬(wàn)美元交流等。據(jù)美國(guó)FBI統(tǒng)計(jì)更加廣闊，美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題所造成的經(jīng)濟(jì)損失高達(dá)100多億美元，還有日益增加的趨勢(shì)數字化。那么方便，信息安全問(wèn)題主要是由哪方面的原因引起呢？據(jù)有關(guān)部門(mén)統(tǒng)計(jì)各領域，在所有的計(jì)算機(jī)安全事件中應用領域，約有52%是人為因素造成的，25%由火災(zāi)進行培訓、水災(zāi)等自然災(zāi)害引起發展機遇，技術(shù)錯(cuò)誤占10%，組織內(nèi)部人員作案占10%物聯與互聯，僅有3%左右是由外部不法人員的攻擊造成穩定。簡(jiǎn)單歸類(lèi)，屬于管理方面的原因比重高達(dá)70%以上供給，也就是說(shuō)優勢與挑戰，真正的信息安全是需要系統(tǒng)的管理來(lái)保證的。一個(gè)輕微的信息安全疏失解決方案，就可能傷害組織的可信度趨勢，導(dǎo)致客戶(hù)信心的動(dòng)搖，最后造成組織利潤(rùn)流失上高質量。而對(duì)大部分組織而言一站式服務，信息安全的問(wèn)題通常還沒(méi)有一個(gè)明確的解決答案。但由于管理的復(fù)雜性與多樣性深入交流，信息安全管理制度的制定和實(shí)施往往與決策者的個(gè)人思路有很大關(guān)系引領作用，隨意性較強(qiáng)。信息安全管理也同樣需要一定的標(biāo)準(zhǔn)來(lái)指導(dǎo)臺上與臺下。這就是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）制訂并于1999年修訂的《信息安全管理標(biāo)準(zhǔn)》（BS7799）受到空前重視的原因用的舒心。世界廣泛采用的關(guān)于信息安全管理體系的英國(guó)標(biāo)準(zhǔn)——BS 7799-2:2002，經(jīng)修訂后集聚效應，于2005年10月15日作為國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001:2005發(fā)布深入開展。

 新標(biāo)準(zhǔn)的正式標(biāo)題是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》這意味著它不僅僅是IT標(biāo)準(zhǔn)，標(biāo)題中的“信息技術(shù)-安全技術(shù)”表明它還是以ISO委員會(huì)(JTC1/SC27)的名義發(fā)表的等形式。該標(biāo)準(zhǔn)的焦點(diǎn)還是放在貫穿組織的信息安全管理上。盡管大部分控制在實(shí)際中會(huì)在IT部門(mén)或IT組織內(nèi)部實(shí)現(xiàn)研究與應用，但總體上標(biāo)準(zhǔn)執(zhí)行的重點(diǎn)仍應(yīng)放在業(yè)務(wù)信息的風(fēng)險(xiǎn)上 飛躍。