ISO27001 信息安全管理体系

ISO27001 Information Security Management Systems
ISO27001是一套基于最佳实践的成功的信息安全管理体系方法，最早由英国商务部推动，由BSI将其发展成为标准。旧标准BS7799共分两部分，第一部分已经在2000年被采纳为ISO17799，是信息安全管理实践指南，第二部分BS7799-2是信息安全管理体系规范，换言之，第二部分告诉我们应该做什么，第一部分则提供了一些如何做或者好做法的指导.
ISO27001汇集了优秀企业最佳实践，规范了10个安全控制区域，36个安全控制目标和127个安全控制措施。她以风险评估为基础，自顶向下的管理方法，从组织、人员、流程、技术、法律法规、永续经营等全方位实施的管理体系。
BS7799-2可以提供认证服务，该标准是当前唯一可以提供对组织的信息安全管理体系的认证标准。在实施了一套信息安全管理体系之后，可以籍由第三方独立认证，向社会、向公众、向客户证实所实施体系的有效性和效果，提供信心保障。
当前全球已经颁发了超过几千张证书，并且这个数字正在不断增长中，证书主要集中在日本、英国、印度、台湾。证书的分布主要在政府、金融、通信、电子、物流等行业。我国已经颁发证书几十张，当前正处于一个蓄势待发的阶段。
BS7799标准已经被很多国家和地区采纳为国家标准或地区标准，如日本、台湾等地。我国在这方面的工作也在进展中。BS7799：2002于2007年7月23日转换为国际标准ISO/IEC 27001：2005，目前最新版标准为ISO/IEC 27001：2013