国际标准ISO/IEC 27001:2005介绍

信息安全管理正在逐步受到企业的重视，加强信息安全管理被普遍认为是解决信息安全问题的重要途径。据一份针对英国900家不同类型组织做的问卷调查，超过一半的政府机构及三份之二的民营组织，正面临信息科技的不法入侵、滥用甚至破坏。在美国的另一份报告更明白指出信息安全事件造成的财务损失已高达二亿四千万美元。据美国FBI统计，美国每年因网络安全问题所造成的经济损失高达100多亿美元，还有日益增加的趋势。那么，信息安全问题主要是由哪方面的原因引起呢？据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成。简单归类，属于管理方面的原因比重高达70%以上，也就是说，真正的信息安全是需要系统的管理来保证的。一个轻微的信息安全疏失，就可能伤害组织的可信度，导致客户信心的动摇，最后造成组织利润流失。而对大部分组织而言，信息安全的问题通常还没有一个明确的解决答案。但由于管理的复杂性与多样性，信息安全管理制度的制定和实施往往与决策者的个人思路有很大关系，随意性较强。信息安全管理也同样需要一定的标准来指导。这就是英国标准协会（BSI）制订并于1999年修订的《信息安全管理标准》（BS7799）受到空前重视的原因。世界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002，经修订后，于2005年10月15日作为国际标准ISO/IEC 27001:2005发布。

 新标准的正式标题是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准，标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现，但总体上标准执行的重点仍应放在业务信息的风险上 。