信息安全发展至今，人们越来越认识到安全管理在整个信息安全建设过程中的重要性，而作为信息安全

管理方面最著名的国际标准——ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的最

好的参照。

BS7799是英国标准协会（British

Standards Institute，BSI）于1995年2月制定的信息安全管理标

准，分两个部分，其第一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该标准2005年经

过最新改版，发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间讨论修订，也于2005

年成为正式的ISO标准，即ISO/IEC27001:2005，之后在2013年又做了一次修订，最新版为ISO27001：2013。

ISO27001:2013标准，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information

SecurityManagement Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机

构应该遵循的风险评估标准，当然，如果要得到最终的认证（对依据ISO27001建立的ISMS进行认证），还

有一系列相应的注册认证过程。作为一套管理标准，ISO27001指导相关人员怎样去应用，其最终目的，还在

于建立适合企业需要的信息安全管理体系。

2、ISMS的特点

信息安全管理体系是一个系统化、程序化和文件化的管理体系。该体系具有如下特点：

n  体系的建立基于系统、全面、科学的安全评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律法规及其他合同方要求；

n  强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；

n  强调保护组织所拥有的关键信息资产，而不是全部信息资产，确保信息的机密性、完整性和可用性，

保持组织的竞争优势和商务运作的持续性。

3、实施ISMS的作用

组织建立、实施与保持信息安全管理体系将会产生如下作用：

n  强化员工的信息安全意识，规范组织信息安全行为；

n  对组织的关键信息资产进行全面系统的保护，维持竞争优势；

n  在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；

n  使组织的生意伙伴和客户对组织充满信心；

n  如果通过认证表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度和信任度；

n  促使管理层贯彻信息安全保障体系；

n  组织可以参照信息安全管理模型，按照先进的信息安全管理标准建立组织的信息安全管理体系并实施保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的

成本，达到可接受的信息安全水平，从根本上保证业务的连续性。

课程大纳：

            一、学习标准（大约16课时）

            二、建立体系文件，识别风险控制点

            三、组织内审、管理评审

              四、申请认证