信息安全管理体系认证的发展历程
1998英国出版了标准的第二部分《信息安全管理体系规范》,规定了信息安全管理体系要求和信息安全控制要求。它是组织全面或部分信息安全管理体系评估的基础,也可以作为正式认证方案的基础。BS 7799-1和BS 7799-2进行了修订,并在1999中重新发布。1999版本考虑到了信息处理技术的近期发展,特别是在网络和通信领域,同时也强调了业务中涉及的信息安全和信息安全的责任。
65438+2000年2月,BS 7799-1: 1999《信息安全管理实施规则》获得ISO批准,正式成为国际标准——ISO/IEC 17799:2000《信息技术实施规则——信息安全管理》。2002年9月5日,经过广泛讨论,BS 7799-2:2002草案最终作为正式标准发布,BS 7799-2:1999被废止。2004年9月5日,BS 7799-2:2002正式发布。
2005年,BS 7799-2:2002最终被ISO采用,同年6月推出ISO/IEC 27001:2005。
2005年6月,对ISO/IEC 17799:2000进行了修订,形成了新的ISO/IEC 17799:2005。与旧版本相比,新版本在组织和内容完整性方面有了很大的增强和改进。ISO/IEC 17799:2005已经更新,并于2007年7月1日正式发布为ISO/IEC 27002:2005。本次更新只是标准号,内容没有变化。
现在,ISO27000:2005标准已经得到了许多国家的认可,是具有代表性的国际信息安全管理体系标准。目前,除英国外,荷兰、丹麦、澳大利亚和巴西等国家都同意使用这一标准。日本、瑞士、卢森堡等国家也表达了对ISO27000:2005的兴趣,我国台湾省和香港也在推进该标准。许多国家的政府机构、银行、证券公司、保险公司、电信运营商、网络公司和许多跨国公司都采用这一标准来系统地管理其信息安全。截至2002年9月,全球已有142家组织通过了ISO27000:2005信息安全管理体系认证。ISO27001认证的好处
信息安全管理体系标准(ISO27001)能够有效保护信息资源,保障信息化进程健康、有序、可持续发展。当你的组织通过了ISO27001认证,就相当于通过了ISO9000质量认证,意味着你的组织的信息安全管理建立了科学有效的管理体系作为保障。根据ISO27001对您的信息安全管理系统进行认证可以带来以下好处:
信息安全管理系统的引入可以协调信息管理的各个方面,从而使管理更加有效。保证信息安全不仅仅是防火墙,或者找一家24小时提供信息安全服务的公司。需要综合治理。
通过ISO27001信息安全管理体系认证,可以增强组织间电子商务的可信度,建立网站与交易伙伴之间的相互信任。随着组织之间电子通信的增加,通过信息安全管理的记录可以看到信息安全管理的明显好处,并可以为用户和服务提供商提供基本的设备管理。同时尽量减少组织的干扰因素,创造更大的效益。
认证可以保证和证明组织所有部门对信息安全的承诺。
认证可以提高整体表现,消除不信任。
获得国际认可机构的认证证书,可以获得国际认可,拓展你的业务。
信息安全管理体系的建立可以降低这种风险,第三方认证可以增强投资者和其他利益相关者的投资信心。
一个按照ISO27001标准建立信息安全管理体系的机构,会有一定的投入,但如果能通过认证机构的审核,获得认证,就会获得有价值的回报。通过认证,企业将能够向其客户、竞争对手、供应商、员工和投资者展示其在同行中的领先地位;定期监督和审计将确保组织的信息系统不断得到监督和改进,并以此为基础增强信息安全、信任、信用和信心,使客户和利益相关者感受到组织对信息安全的承诺。
认证可以向政府和行业主管部门证明组织遵守相关法律法规。