ISO 27001源于英國標準BS7799的第二部分,即BS7799-2 《信息安(an)全管理體系規范》。
英國標準BS7799是在BSI/DISC的BDD/2信息安全(quan)管理委員會指(zhi)導下制(zhi)定(ding)完(wan)成。BS7799標準于(yu)1993年由英(ying)國貿易(yi)工業部立項,于1995年英國(guo)首次出版BS7799-1:1995《信(xin)(xin)息(xi)安全(quan)管理實施(shi)細(xi)則》,它提供了一套綜合(he)的、由信(xin)(xin)息(xi)���安全(quan)較佳慣例組成的實施(shi)規則,其目的是作為確(que)定各類信(xin)(xin)息(xi)系統通(tong)用(yong)控制范(fan)圍的參考基準(zhun),并(bing)且(qie)適用(yong)于大、中、小組織。
1998年(nian)英國公布標(biao)準的第(di)二部(bu)分《信(xin)息(xi)(xi)安(an)全管理體(ti)系(xi)規范(fan)》,它規定信(xin)息(xi)(xi)安(an)全管理體(ti)系(xi)要求與信(xin)息(�����xi)(xi)安(an)全控制(zhi)要求,它是一(yi)個(ge)組織的quan面(mian)或部(bu)������分信(xin)息(xi)(xi)安(an)全管理體(ti)系(xi)評估的基礎,它可以作為一(yi)個(ge)正式認證方(fang)案的根據。BS7799-1與(yu)BS7799-2經(jing)過修訂于1999年重新予(yu)以發布,1999版考慮了(le)信(����xin)息(xi)處理技術(shu),尤其是在網絡和通信(xin)領域應用(yong)的(de)近期發展,同(tong)時還非常強調了(le)商(shang)務涉及的(de)信(xin)息(xi)安(an)全(quan)及信(xin)息(xi)安(an)全(quan)的(de)責任。
2000年12月,BS7799-1:1999《信息安全(quan)管理實施細(xi)則》通過了國際標準化(hua)組織(zhi)ISO的認(ren)可,正式成為(wei)國際標(biao)準-----ISO/IEC17799:2000《信息技術—信(xin)息安全管(guan)理實施細則》。2005年6月,ISO 對ISO/IEC 17799進行了改版(ban),新版(ban)標(biao)準為 ISO/IEC 17799:2005《信息技(ji)術—安(an)全(quan)技術—信息安全管(guan)理實施(shi)細則(ze)》。
2002年(nian),BSI對BS7799-2:2000《信息(xi)安(an)全管理體系規(gui)范������(fan)》進行(xing)了改版(ban),發布了BS7799-2:2002《信息安全管理體系規(gui)范》。
2005年10月,BS7799-2:2002通過了國際標(biao)準化組織ISO的(de)認可,正式成為國際標準?— ISO/IEC 27001:2005《信息技術—安(an)全技(ji)術—信息(xi)安全管(guan)理(li)體系(xi)要求》。
ISO 27001發展歷程簡要歸納如下:
1993年,BS 7799標準由英國貿易工(gong)業部立(li)項。
1995年(nian),BS 7799-1《信(�������xin)息安(an)全管理實(shi)(shi)施細則》首(shou)次(ci)出版,標準提供了一套綜合的(de)(de)、由信(xin)息安(an)全較佳(jia)慣(guan)例(li)組(zu)成的(de)(de)實(shi)(shi)施細則,其目的(de)(de)是作為(wei)確定(ding)各類信(xin)息系統通(tong)用(yong)控制范圍(w�������ei)的(de)(de)參考基準,并且適用(yong)于大、中、小型組(zu)織。
1998年(nian),英國公布BS 7799-2《信息安全管理體系規(gui)范》,������本(ben)標準(zhun)規(gui)定信息安全管理體系要求(qiu)與信息安全控制要求(qi������u),它(ta)是(shi)一個組織信息安全管理體系評估的(de)基礎,可以作為認證的(de)依據。
1999年,在(zai)BSI/DISC(British Standards Institute/Delivering������ Information Solutions to Customers) BDD/2的指導(dao)下(xia)對(dui)BS 7799這兩部分進行了修訂(ding)和擴展(zhan),取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵蓋了(le)(le)以前版本的所有(you)(you)內容,并在原有(you)(you)的基礎上擴展了(le)(le)新的控(kong)制,新版本考慮了(le)(le)信息處理技(ji)術,尤其是在網(wang)絡和通信領域應用的新發展,�����例如電(dian)子商務、移動計算、遠����(yuan)程工作等領域的控(kong)制。
2000年12月,BS 7799-1:1999《信息安全管理實施(shi)細則(ze)》通過了國際標準(zhun)化(hua)組織ISO的認可,正式(shi)成為國際標準——ISO/IEC 17799:2000《信息技(ji)術—信(xin)息安全管理實施細則》。
2002年,為了與其他管理標準協調一致,例(li)如ISO 9001:2000和ISO 14001:1996,以及引入并應(ying)用(yong)PDCA過�������(guo)程(cheng)模式,以建(jian)立、實施組織的信息安全管(guan)理體(ti)系,并持續改進有效性,BSI對(dui)BS 7799-2:1999進(jin)行(xing)了(le)修訂(ding),于2002年9月5日發布BS 7799-2:2002。
2005年6月,ISO對ISO/IEC 17799:2000進(jin)行了修訂,發布(bu)為 ISO/IEC 17799:2005《信(xin)息(xi)技術—安全技術—信(xin)息安全管理實施細則》。
2005年10月,BS 7799-2:2002通過了國(guo)際(ji)標準化組織ISO的認(ren)可,正式成為國際標準—ISO/IEC 27001:2005《信息技術—安全技術—信息安全管(guan)理體(ti)系要(yao)求》。
