1. 信息安全管理体系 ISO/IEC 27001 1.1. 管理体系及其产业链 管理体系是组织用来保证其完成任务， 事件目标的过程集的框架。 在ISO 9000 :2000中， 将其定义为建立方针和目标并实现这些目标的体系。 注:一个组织的管理体系可包括若干个不同的管理体系，如质量管理体系、财务管理体 系或环境管理体系。 一个典型的管理体系 框架如下图所示 : 图1-1 目前存在很多的管理体系，例如质量管理体、系环境管理体系、职业健康 管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的 管理体系，其他管理体系或多或少都借鉴了质量管理体系的经验。 管理体系形成的完整的产业链，如 图11所示. 信息安全管理体系正如其名称所表述的含义，就是关于信息安全的管理体 系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法，来 建立、实施、运行、监视、评审、保持和改进信息安全的。 ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解，它强 调的是基于业务风险方法来组织信息安全活动，其本身只是整个管理体系的一 部分。这就要求我们站在全局的观点看待信息安全问题。 图123123 1.2. ISO/IEC 27000 标准族 1.2.1. ISO/IEC 27001 发展历程 ISO27000 从诞生到现在只不过 20年间的事情，但基本上可以看出一个标准 “源于生 活，高于生活”的发展特点，也就是说，一个真正普遍适用并能被普遍接受的标准，必然是 能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。 BS7799最初是由英国贸工部 (DTI)立项的，是业界、政府和商业机构共同倡导的，旨在开 发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 负责标 准开发和管理工作的 BSI—DISC Committee BDD/2 是由来自贸易和工业部门的众多代表共同 组成的，其成员在各自的领域都具有足够的影响力，包括金融业的英国保险协会、渣打会计 协会、汇丰银行等 ，通信行业有大英电讯公司，还有像壳牌、联合利华、 毕马威 (KPMG )等这 样的跨国机构。 1995年， BS7799—1:199 5《信息安全管理实施细则》首次出版 (其前身是 1993年发布的 PD0005 )，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各 类信息系统通用控制提供唯一的参考基准。 在随后一段时间里，由于电子商务的发展，由此引发客户、供应商、贸易伙伴间对各自 信息保护能力的信任问题， 促使第三方认证成为一个急需。 信息安全管理遵循一套最佳惯例， 但怎样做的？执行程度如何？是否完备？这就需要有一个共同的尺度来进行衡量。 1998年， BS7799—2:1998《信息安全管理体系规范》公布，这是对 BS7799—1的有效补 充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理 体系评估的基础，可以作为认证的依据。至此， BS7799标准初步成型。 1999年4月，BS7799的两个部分被重新修订和扩展， 形成了一个完整版的 BS7799:1999 。 新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前 版本所有内容之外， 新版本还补充了很多新的控制， 包括电子商务、 移动计算、 远程工作等。 由于 BS7799日益得到国际认同，使用的国家也越来越多， 2000年12月，国际标准 化 组织 ISO/IEC JTC 1/SC27 工作组认可 BS7799—1:1999，正式将其转化为国际标准，即所 颁布 的ISO/IEC 17799 :2000《信息技术 ——信息安全管理实施细则》 。作为一个全球通用的标准， ISO/IEC 17799 并不局限于 IT，也不依赖于专门的技术，它是由长期积累的一些最佳实践构成 的，是市场驱动的结果。 2002年， BSI对BS7799:2 —1999进行了重新修订，正式引入 PDCA过程模型，以此作为 建立、实施、持续改进信息安全管理体系的依据，同时，新版本的调整更显 示了与 ISO9001:2000 、ISO14001:1996 等其他管理标准以及经济合作与开发组织 (OECD )基本原则的一 致性，体现了管理体系融合的趋势。 2004年9月5日， BS7799—2:2002正式发布，随即提 交ISO并迈入“快速通道” 。 2005年6月， ISO/IEC 17799:2000 经过改版，形成了新的 ISO/IEC 17799:2005 ，新版本较 老版本无论是组织编排还是内容完整性上都有了很大增强和提升。紧接着，被期待已久的 BS7799—2:2002也终于被 ISO组织所采纳，于同年 10月推出了 ISO/IEC 27001:2005 。 2007年10月， ISO/IEC 17799:2005 被正式纳入 ISO27000 体系，成为 ISO27002:2007 。 2013年9月， ISO/IEC 27001:2005 经过改版，形成了新的 ISO/IEC 27001:2013 ，新版本 从原先 8个章节扩展到 10个章节，重建了 ISO标准 PDCA章节架构，并将旧版 11个控制域 扩展到 14个，使结构更合理，表现更清晰。 作为认证标准， ISO27000 系列中最关键的还是 ISO27001 ， 所以， 人们更习惯以 ISO27001 来直接代表 此系列信息安全管理标准。 图5所示为 ISO27000 系列标准的发展历程。 1.2.2. ISO/IEC 27000 标准族一览 ISO/IEC 27000 族标准是国际化组织专门为 ISMS预留下来的一系列相关标准的总称具 体如下 : 序号 标准编号 标准名称 出版年份 1 ISO/IEC27000 信息技术 -安全技术 -信息安全管理体系 -概 述与术语 2009 序号 标准编号 标准名称 出版年份 2 ISO/IEC27001 信息技术 -安全技术 -信息安全管理体系 -要 求 2013 3 ISO/IEC27002 信息技术 -安全技术 -信息安全管理 -实用规 则 2013 4 ISO/IEC27003 信息技术 -安全技术 -信息安全管理体系 -实 施指南 2010 5 ISO/IEC27004 信息技术 -安全技术 -信息安全管理 -度量 2009 6 ISO/IEC27005 信息技术 -安全技术 -信息安全风险管理 2011 7 ISO/IEC27006 信息技术 -安全技术 -信息安全管理体系 -认 证机构要求 2007 8 ISO/IEC27007 信息技术 -安全技术 -信息安全管理体系审核 指南 2011 9 ISO/IEC27008 信息技术 -安全技术 -ISMS控制措施的审核员 指南 2011 10 ISO/IEC27010 信息技术 -安全技术 -部门间和组织间通信的 信息安全管理 2012 11 ISO/IEC27011 信 息 技 术 -安 全 技 术 -通 讯 行 业 基 于 ISO/IEC27002 的信息安全管理指南 2008 12 ISO/IEC27013 信息技术 -安全技术 -ISO/IEC 27001 与 ISO/IEC 20000 -1整合实施指南 2012 13 ISO/IEC27014 信息技术 -安全技术 -信息安全治理架构 2013 14 ISO/IEC27015 信息技术 -安全技术 -金融服务行业信息安全 管理指南 2012 15 ISO/IEC27017 信息技术 -安全技术 -信息安全管理 -基于 ISO/IEC 27002 使用云计算服务信息安全控 制措施指南 未发布 16 ISO/IEC27018 信息技术 -安全技术 -公共云计算服务数据保 护控制措施实用规则 未发布 17 ISO/IEC27031 信息技术 -安全技术 -业务连续性信息通信技 术准备指南 2011 18 ISO/IEC27032 信息技术 -安全技术 -网络安全技术指南 2012 19 ISO/IEC27033 -1 信息技术 -安全技术 -网络安全 -概述与概念 2009 20 ISO/IEC27033 -2 信息技术 -安全技术 -网络安全 -网络安全设 计与实施指南 2012 21 ISO/IEC27033 -3 信息技术 -安全技术 -网络安全 -参考网络场 景-威胁、设计技术与控制问题 2010 22 ISO/IEC27034 -1 信息技术 -安全技术 -应用安全 -应用安全概 述与概念 2011 23 ISO/IEC27034 -2 信息技术 -安全技术 -应用安全 -组织规范框 架 未发布 序号 标准编号 标准名称 出版年份 24 ISO/IEC27034 -3 信息技术 -安全技术 -应用安全 -应用安全管 理流程 未发布 25 ISO/IEC27034 -4 信息技术 -安全技术 -应用安全 -应用安全验 证 未发布 26 ISO/IEC27034 -5 信息技术 -安全技术 -应用安全 -协议和应用 安全控制数据结构 未发布 27 ISO/IEC27034 -6 信