信息安全管理体系是组织管理体系的一部分,
用于管理相关信息安全方面的管理体系,以使组织履行合规义务,应对风险和机遇。在互联网的世界里,所有类型和规模的组织都要采用不同方式收集、处理、存储和传输信息。相关过程、系统、网络及其操作、处理和保护的信息安全具有固有的脆弱性,容易受到故意或意外的威胁,这些潜在的信息安全风险一直存在,并时常会发生。有效的信息安全管理可以降低各方的威胁和脆弱性,从而为社会持续地创造价值。
一、信息安全管理体系的起源
随着在世界范围内信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,各机构、组织、个人都在探寻如何保障信息安全的问题。
1995年,英国首ci发布BS 7799-1:1995《信息安全管理实施细则》标准,该标准提供了有关信息安全的实施规则,旨在确定工商业信息安全控制范围的参考基准。美国、挪威、瑞典、芬兰、澳大利亚等国也制定了有关信息安全的本国标准。
1998年,英国发布了BS 7799的第二部分,BS 7799-2:1998《信息安全管理体系规范》,该标准规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。
1999年,BS 7799-1和BS 7799-2经过修订又重新予以发布。新版的BS 7799考虑了信息处理技术,尤其是在网络和通信领域的应用和发展,强调商务信息安全及信息安全的责任。
2000年,BS 7799-1:1999《信息安全管理实施细则》通过了ISO的认可,ISO发布了ISO 17799:2000《信息技术 信息安全管理实施细则》标准。
2002年,英国对BS 7799-2再次修订,发布BS 7799-2:2002《信息安全管理体系规范》标准。
2005年,BS 7799-2:2002被ISO所采纳,同年10月,ISO推出ISO 27001:2005《信息技术 安全技术 信息安全管理体系 要求》标准。
2013年,ISO对ISO/IEC 27001:2015标准进行了修订,相继发布了ISO/IEC 27001:2013《信息技术 安全技术 信息安全管理体系 要求》标准和ISO/IEC 27002:2013《信息技术 安全技术 信息安全控制实施规程》标准。
2016年,ISO发布ISO/IEC 27000:2016《信息技术 安全技术 信息安全管理体系 概述与词汇》标准。