信息安全發展至今，人們越來越認識到安全管理在整個信息安全建設過程中的重要性，而作為信息安全

管理方面最著名的國際標準——ISO27001（即之前所稱的BS7799標準），則成為可以指導我們現實工作的最

好的參照。

BS7799是英國標準協會（British

Standards Institute，BSI）于1995年2月制定的信息安全管理標

準，分兩個部分，其第一部分于2000年被ISO組織采納，正式成為ISO/IEC 17799標準。該標準2005年經

過最新改版，發展成為ISO/IEC 17799:2005標準。BS7799標準的第二部分經過長時間討論修訂，也于2005

年成為正式的ISO標準，即ISO/IEC27001:2005，之后在2013年又做了一次修訂，最新版為ISO27001：2013。

ISO27001:2013標準，是建立信息安全管理體系（ISMS）的一套規范（Specification for Information

SecurityManagement Systems），其中詳細說明了建立、實施和維護信息安全管理體系的要求，指出實施機

構應該遵循的風險評估標準，當然，如果要得到最終的認證（對依據ISO27001建立的ISMS進行認證），還

有一系列相應的注冊認證過程。作為一套管理標準，ISO27001指導相關人員怎樣去應用，其最終目的，還在

于建立適合企業需要的信息安全管理體系。

2、ISMS的特點

信息安全管理體系是一個系統化、程序化和文件化的管理體系。該體系具有如下特點：

n  體系的建立基于系統、全面、科學的安全評估，體現以預防控制為主的思想，強調遵守國家有關信息安全的法律法規及其他合同方要求；

n  強調全過程和動態控制，本著控制費用與風險平衡的原則合理選擇安全控制方式；

n  強調保護組織所擁有的關鍵信息資產，而不是全部信息資產，確保信息的機密性、完整性和可用性，

保持組織的競爭優勢和商務運作的持續性。

3、實施ISMS的作用

組織建立、實施與保持信息安全管理體系將會產生如下作用：

n  強化員工的信息安全意識，規范組織信息安全行為；

n  對組織的關鍵信息資產進行全面系統的保護，維持競爭優勢；

n  在信息系統受到侵襲時，確保業務持續開展并將損失降到最低程度；

n  使組織的生意伙伴和客戶對組織充滿信心；

n  如果通過認證表明體系符合標準，證明組織有能力保障重要信息，提高組織的知名度和信任度；

n  促使管理層貫徹信息安全保障體系；

n  組織可以參照信息安全管理模型，按照先進的信息安全管理標準建立組織的信息安全管理體系并實施保持，達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式，用最低的

成本，達到可接受的信息安全水平，從根本上保證業務的連續性。

課程大納：

            一、學習標準（大約16課時）

            二、建立體系文件，識別風險控制點

            三、組織內審、管理評審

              四、申請認證