首 页
关于我们
QES三体系认证
可持续发展
内审员培训
经营业绩
年度培训计划
联系方式
 
  ※ 021-64196861 上海ISO9001认证,ISO9001体系认证,ISO9001质量认证,ISO9001体系咨询,ISO9001管理认证,ISO认证,质量管理体系认证,质量体系认证,质量认证
  服务项目
   ISO9001认证
   ISO14001认证
   IATF16949认证
   ISO27001认证
   ISO45001认证
   ISO三体系认证
   ISO13485认证
   GRS认证
   Ecovadis认证
   品牌服务体系认证
   商品售后服务体系认证
   诚信管理体系认证
   FSC森林认证
   ISO28000供应链管理认证
   TL9000认证
   ISO22000认证
   ISO50001认证
   ISO20000认证
   AS9100认证
   GJB9001A认证
   SA8000认证
   EICC验厂认证
   BSCI认证
   QC080000认证
   双软认证
   培训课程
ISO9001:2015内审员培训
IATF16949内审员培训
ISO9001+ISO14001二体系内审员培训
ISO14001:2015内审员培训
ISO45001内审员培训
CCAA注册审核员培训
VDA6.3:2016过程审核培训
IATF16949五大工具课程培训
APQP产品质量先期策划和控制计划培训
PPAP生产件批准程序培训
FMEA潜在失效模式分析培训
SPC统计过程控制培训
MSA测量系统分析培训
ISO13485:2016内审员培训
SQE供应商质量管理工具培训
6S现场管理与目视管理培训
新旧QC七大手法培训
EHS工厂安全环境管理培训
生产计划与物料控制(PMC)
从技术人才走向管理培训
  ISO27001认证

骏志资产管理有限公司取得ISO27001信息安全认证和ISO9001质量管理认证

上海海鲲网络科技有限公司通过ISO27001信息安全管理体系国际认证

为何需要iso27001体系认证和ISO27001认证流程

疫情下的学校教育的信息安全如何保障?小麦ISO27001信息安全认证帮你忙!

建立ISO27001信息安全管理体系认证有哪些过程

ISO27001体系认证-信息安全就是企业的生命

上海宝信数字技术有限公司顺利取得ISO27001认证证书

上海磊璨信息科技有限公司顺利取得ISO27001信息安全认证证书

宇天网络科技顺利通过ISO27001信息安全体系认证审核

华为:任正非2019第一份文件重视信息安全和隐私保护

阿里巴巴旗下飞猪通过ISO27001信息安全管理体系认证

上海基视信息科技有限公司开展ISO27001认证体系贯标工作

ISO27001认证适合哪些企业

企业加大信息安全投入,iso27001认证需求加速

我们的身边的信息安全关键词:网络安全

我们的计算机网络信息技术安全的防范手段

上海翼依顺利通过iso27001信息安全管理体系认证

什么是ISO27001?

ISO/IEC27000的由来

ISO27001的产生背景和发展历程

ISO27001发展历程

ISO27000和ISO27001的区别是什么?

BS7799, ISO17799与ISO27001的关系

ISO27000 系列共包括哪些标准?

ISO27001认证的费用如何?

 
什么是ISO27001?

  ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为 正式的国际标准,于2013年10月发布为ISO/IEC 27001:2013。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面 系统地持续改进组织的安全管理。
  其正式名称为:《ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系-要求》
需要特别注意的是:新的国际标准是双重的,既可以是ISO/IEC 27001:2013,又可以是 BS 7799-2:2013。这种情况会持续一段时间(预期2年左右),这就意味着BS 7799-2:2013认证和ISO/IEC 27001:2013认证没有什么不同。
  然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。
  实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC 27001:213标准的认证。如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。

 

ISO/IEC27000的由来

  组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
  当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
  上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基础上,英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版,2000年12月被采纳成为国际标准,即ISO/IEC17799:2000。2005年6月15日,该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC 27000。
  同时伴随着ISO/IEC27000发展的还有另一个标准,即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年修订后发布1999版。2000年12月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。2005年10月,这个标准被采纳成为国际标准ISO/IEC27001:2005。
  目前,在信息安全管理体系方面,ISO/IEC 27001:2013――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
  2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。
  经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。
  2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。

 

ISO27001的产生背景和发展历程

  ISO27001源于英国标准BS7799的第二部分,即BS7799-2 《信息安全管理体系规范》。
英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织。
  1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
  2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。2005年6月,ISO 对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。
  2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了 BS7799-2:2002《信息安全管理体系规范》。
  2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准— ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。
  2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。

 

ISO27001发展历程
ISO27001发展历程简要归纳如下:
  1993年,BS7799标准由英国贸易工业部立项。
  1995年,BS7799-1《信息安全管理实施细则》首次出版,标准提供了一套综合的、由信息安全最佳惯例组成的实施细则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小型组织。
  1998年,英国公布BS 7799-2《信息安全管理体系规范》,本标准规定信息安全管理体系要求与信息安全控制要求,它是一个组织信息安全管理体系评估的基础,可以作为认证的依据。
  1999年,在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展,取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵盖了以前版本的所有内容,并在原有的基础上扩展了新的控制,新版本考虑了信息处理技术,尤其是在网络和通信领域应用的最新发展,例如电子商务、移动计算、远程工作等领域的控制。
  2000年12月,BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准——ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。
  2002年,为了与其他管理标准协调一致,例如ISO 9001:2000和ISO 14001:1996,以及引入并应用PDCA过程模式,以建立、实施组织的信息安全管理体系,并持续改进有效性,BSI对BS 7799-2:1999进行了修订,于2002年9月5日发布BS 7799-2:2002。
  2005年6月,ISO对ISO/IEC 17799:2000进行了修订,发布为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。
  2005年10月,BS 7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准—ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。
  2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。

 

ISO27000和ISO27001的区别是什么?
  ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准:上述标准中,ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是ISO/IEC 27001:2013。

 

BS7799, ISO17799与ISO27001的关系

  信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准——ISO27001(即之前所称的BS7799标准),则成为可以指导我们现实工作的最好的参照。
  BS7799是英国标准协会(British Standards InstituteBSI于1995年2月制定的信息安全管理标准,分两个部分,其第一部分于2000年被ISO组织采纳,正式成为ISO/IEC 17799标准。该标准2005年经过最新改版,发展成为ISO/IEC 17799:2013标准BS7799标准的第二部分经过长时间讨论修订,也于2013年成为正式的ISO标准,即ISO/IEC 27001:2013。
  ISO17799:2005标准(即BS7799第一部分),是信息安全管理实施细则(Code of Practice for Information Security Management),其中包含11个主题,定义了133个安全控制。ISO17799:2013中的11个主题分别是:
  ◆ 安全策略(Security policy);
  ◆ 信息安全组织(Organization of information security);
  ◆ 资产管理(Asset management);
  ◆ 人力资源安全 (Human resource security);
  ◆ 物理和环境安全(Physical and environmental security);
  ◆ 通信和操作管理(Communication and operation management);
  ◆ 访问控制(Access control);
  ◆ 信息系统获取、开发和维护(Information systems acquisition, development and maintenance);
  ◆ 信息安全事件管理(Information security incident management);
  ◆ 业务连续性管理(Business continuity management);
  ◆ 符合性(Compliance)。
  ISO27001:2013标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业需要的信息安全管理体系。

 

ISO27000系列共包括哪些标准?
ISO27000系列共包括10个标准,当前已经发布和在研究的有6个,分别为:
  1、ISO/IEC 27000《信息安全管理体系 基础和词汇》;
  2、ISO/IEC 27001:2013《信息安全管理体系要求》;
  3、ISO/IEC 17799:2005《信息安全管理实用规则》(编号已经改为27002);
  4、ISO/IEC 27003《信息安全管理体系实施指南》;
  5、ISO/IEC 27004《信息安全管理测量》;
  6、ISO/IEC 27005《信息安全风险管理》。

 

ISO27001的费用如何?
  欢迎来电咨询:021-60528029 60528019



 
联系方式 上海总部地址:上海市沪闵路6088号凯德龙之梦商务楼29楼
江苏分部地址:江苏苏州市相城区高铁新城南天成路111号4幢708室
湖南分部地址:湖南省长沙市雨花区劳动东路1299号86栋28楼
湖北分部地址:湖北省武汉市武汉经济技术开发区海伦小镇C03-18楼
Tel:021-64196861 64191739
   13370039986 13817262650
Email:peixun@saixuegroup.com

邮编:201109

与一般的咨询公司相比SQS赛学提供的咨询服务强调提高企业的管理质量
通过完善企业基础管理从而快速有效的取得认证,进而提高公司的盈利和竞争力。

版权所有 SQS
CopyRight @ 2004
网站地图