ISO27001标准的起源和发展/杰尔雅

ISO27001标准的起源和发展/杰尔雅企管
　　信息*管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英标准准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：
　　BS7799-1，信息*管理实施规则
　　BS7799-2，信息*管理体系规范。
　　**部分对信息*管理给出建议，供负责在其组织启动、实施或维护*的人员使用；*二部分说明了建立、实施和文件化信息*管理体系（ISMS）的要求，规定了根据独立组织的需要应实施*控制的要求。
　　2000年，**标准化组织（ISO）在BS7799-1的基础上**通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。
　　标准的主要内容
　　ISO/IEC17799-2000（BS7799-1）对信息*管理给出建议，供负责在其组织启动、实施或维护*的人员使用。该标准为开发组织的*标准和有效的*管理做法提供公共基础，并为组织之间的交往提供信任。
　　标准指出“象其他重要业务资产一样，信息也是一种资产”。它对一个组织具有**，因此需要加以合适地保护。信息*防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至较小，使**和业务机会较大。
　　信息*是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制，以确保满足该组织的特定*目标。
　　ISO/IEC17799-2000包含了127个*控制措施来帮助组织识别在运做过程中对信息*有影响的元素，组织可以根据适用的法律法规和章程加以选择和使用，或者增加其他附加控制。**标准化组织（ISO）在2005年对ISO 17799进行了修订，修订后的标准作为ISO 27000标准族的**部分——ISO/IEC 27001，新标准去掉9点控制措施，新增17点控制措施，并重组部分控制措施而新增一章，重组部分控制措施，关联性逻辑性较好，较适合应用；并修改了部分控制措施措辞。修改后的标准包括11个章节：
　　1）*策略
　　2）信息*的组织
　　3）资产管理
　　4）人力资源*
　　5）物理和环境*
　　6）通信和操作管理
　　7）访问控制
　　8）系统系统采集、开发和维护
　　9）信息*事故管理
　　10）业务连续性管理
　　11）符合性 
　　ISO27001的效益 
　　1、通过定义、评估和控制风险，确保经营的持续性和能力 
　　2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任 
　　3、通过遵守**标准提高企业竞争能力，提升企业形象 
　　4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失 
　　5、建立*工具使用方针 
　　6、谨防技术诀窍的丢失 
　　7、在组织内部增强*意识 
　　8、可作为公共会计审计的证据
　　认识ISO27001**标准
　　
　　关键字: 信息* *认证 法律法规 ISO27001 
　　作者：亚远景科技有限公司 转载请注明出处 
　　ISO27001（BS7799/ISO17799）**标准究竟是什么？它如何帮助一个组织较加有效地管理信息*？BS7799/ISO27001和ISO9001之间有什么联系？初次涉猎信息*管理领域应该掌握哪些内容，以便组织发起信息*管理项目？如何获得BS7799**标准认证？
　　IT治理和信息* 
　　近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面，企业越来越依赖IT系统来处理和储存各种信息，以**业务正常运营，由此IT系统在企业治理中的作z用越来越明晰，IT治理也逐渐被大多数企业认可，成为董事会和企业内部共同关注的领域。IT治理的基础部分是信息*保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。
　　与此同时，和信息*相关的**标准已经出台，成为标准IT治理框架中的一大基石。
　　信息*和法律法规 
　　业内人士对ISO27001认证**，这其中有两个关键性的驱动因素：一是日益严峻的信息*威胁，二是不断增长的信息保护相关法规的需求。
　　本质上说，信息*威胁是**化的。一般来说，它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。较严重的问题是，其他各种形式的危险也在整日威胁数据*，包括从外部攻击行为到内部破坏、偷盗等一系列危险。
　　过去的十年内，围绕信息和数据*问题建立起来的法律法规体系从无到有、不断壮大，其中包括专门针对个人数据保护问题的，也有针对企业财政、运营和风险管理体系建立的法规**问题的。一套正式规范的信息*管理体系应当可以提供较佳实践部署指导。目前，建立这样的管理体系逐渐成为诸多合规项目的必要条件，与此同时，针对该管理体系的认证逐渐成为各种组织（包括**部门）的热门需求，这份认证可以为他们带来重要的潜在商业合同。
　　信息*和技术
　　绝大多数人认为信息*是一个纯粹的有关技术的话题，只有那些技术人员，尤其是计算机*技术人员，才能够处理任何**数据和计算机*的相关事宜。这固然有一定道理。不过，实际上，恰恰是计算机用户本身需要考虑这样的问题：避免哪些威胁？在信息*和信息通畅中如何平衡取舍？的确如此，一旦用户给出答案，计算机**就可以设计并执行一个技术方案以达成用户需求。
　　在组织内部，管理层应当负责决策，而不是IT部门。一个规范的信息*管理体系**明确指出，组织机构董事会和管理层应当负责相关信息*管理体系的决策，同时，这个体系也应当能够反映这种决策，并且在运行过程中能够提供证据证明其有效性。
　　所以机构组织内部的信息*管理体系的建立项目不必由一个技术*来**。事实上，技术*在很多情况下起到相反的作用，可能会阻碍项目进程。因此，这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。
　　信息*标准
　　1995年，英标准准机构（BSI）发布BS7799标准，即ISMS（信息*管理体系），旨在规范、引导信息*管理体系的发展过程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的**中立的管理体系。只要实施得当，BS7799标准将帮助企业检查并确认其信息*管理手段和实施方案的有效性。
　　从企业外部来看，BS7799关注信息的可用性、机密性和完整性，至今这仍然是这项标准致力达到的目标。BS7799集中关注企业组织层面上的风险规避（一定程度上主要是商业和金融风险），而不包括避免每一个潜在风险的保护措施——尽管它们至关重要。
　　BS7799较初仅有一份文档，且具有明显的实践指南性质。也就是说，它为组织提供信息*指引，但没有形成规范，不能为外部第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息*的威胁波及范围越来越广，影响程度越来越大，并且关于数据和隐私权保护的法律法规不断出台，信息*标准认证的需求开始不断增加。
　　这种需求的增加较终促成了该项标准*二部分的出台，即标准规范。实践指南和标准规范之间的关系是这样的：标准规范是认证方案的基础，同时标准规范要求实践者遵从实践指南的指引。
　　这个实践指南较近被修订为ISO/IEC 17799：2005，标准规范也被修订为ISO/IEC 27001:2005，逐步得到**认同。
　　许多地区也已发布了自己的相关标准，比如AS/NZS7799。这些标准的**化版本可以在世界任何地区得到认可，这促使了本土化标准的消退（除了基于两个标准号码基础上的本土化标准以外）
上海杰尔雅企业管理咨询有限公司简称“上海杰尔雅”或“JRY”，JRY是由沪上一支**的咨询人员组建而成；拥有自己的认证、咨询、培训团队。公司于2006年加入地区人事部培训师、企业教练开发、培训之列，同时于2007年被地区劳动的社会**部1+N复合型人才项目办公室授予CAC教学基地。
管理培训：各体系内审员（ISO9001、ISO14001、OHSAS18001、TS16949、ISO22000、ISO27001）、ISO14001与OHSAS18001法律法规**、危险源辩识、环境因素识别、质量管理专员、HR经理人（初、中级）、管理者代表、质量管理工具、五大**工具、班组长、供应商评价、检验员、计量管理员、采购管理师、仓管员等。
体系认证：ISO9001：2008质量管理体系、ISO14001：2004环境管理体系、OHSAS18001：2007职业健康*管理体系、ISO/TS16949：2002汽车质量管理体系、ISO22000：2005（HACCP）食品*管理体系、ISO27001：2005信息*管理体系、QC080000有害物质过程管理体系、ISO13485：2003医疗器械质量管理体系
详情咨询：021-29981672  
联系人：余老师  
传真：021-61453819
公司地址：上海市徐汇区沪闵路8075号虹梅商务大厦409A