什么是ISO27001信息安全管理體系

ISO/IEC27001:2005標準的英文全稱是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements”，翻譯成中文為“信息技術(shù)—安全技術(shù)—信息安全管理體系要求”。ISO27001是信息安全管理體系（ISMS）的規(guī)范標準，是為組織機構(gòu)提供信息安全認證執(zhí)行的認證標準，其中詳細說明了建立、實施和維護信息安全管理體系的要求。它是BS7799-2:2002由國際標準化組織及國際電工委員會轉(zhuǎn)換而來，并于2005年10月15日頒布。
國際標準ISO/IEC27001是由聯(lián)合技術(shù)委員會ISO/IECJTC1（信息技術(shù)）的SC27分會（安全技術(shù)）起草的。
ISO27001信息安全管理體系標準為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（ISMS）提供了模型。ISMS的采用是組織的戰(zhàn)略性決策。組織ISMS的設(shè)計和實施受組織需求、目標、安全需求、應(yīng)用的過程以及組織規(guī)模和結(jié)構(gòu)的影響。經(jīng)過一段時間，組織及其支持系統(tǒng)會發(fā)生改變。因此ISMS的實施應(yīng)與組織的需要相一致，如，簡單的環(huán)境只需要一個簡單的ISMS解決方案。
ISO27001信息安全管理體系標準可被內(nèi)外部的相關(guān)方用于評估符合性。
信息安全管理體系（InformationSecurityManagementSystem，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念，是管理體系（ManagementSystem，MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。
ISO27001信息安全管理體系的目標：是透過一整體規(guī)劃的信息安全解決方案，來確保企業(yè)所有信息系統(tǒng)和業(yè)務(wù)的安全，并保持正常運作。
信息安全管理體系利用風險分析管理工具，結(jié)合企業(yè)資產(chǎn)列表和威脅來源的調(diào)查分析及系統(tǒng)安全弱點評估等結(jié)果，并綜合評估影響企業(yè)整體的因素，來制定適當?shù)男畔踩吲c信息安全作業(yè)準則，從而降低潛在的風險危機。
在ISMS的要求標準ISO/IEC27001:2005（信息安全管理體系要求）的第3章術(shù)語和定義中，對ISMS的定義如下：
ISMS（信息安全管理體系）：是整個管理體系的一部分。它是基于業(yè)務(wù)風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。
這個定義看上去同其他管理體系的定義描述不盡相同，但我們也可以用ISOGUIDE72:2001（Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理體系標準合理性和制定導則）中管理體系的定義，將ISMS描述為：組織在信息安全方面建立方針和目標，并實現(xiàn)這些目標的一組相互關(guān)聯(lián)、相互作用的要素。
ISO27001信息安全管理體系ISMS同其他體系MS（如ISO9001質(zhì)量管理體系QMS、ISO14001環(huán)境管理體系EMS、OHSAS18001職業(yè)健康安全管理體系OHSMS）一樣，有許多共同的要素，其原理、方法、過程和體系的結(jié)構(gòu)也基本一致。
單純從定義理解，可能無法立即掌握ISMS的實質(zhì)，我們可以把ISMS理解為一臺"機器"，這臺機器的功能就是制造"信息安全"，它由許多"部件"（要素）構(gòu)成，這些"部件"包括ISMS管理機構(gòu)、ISMS文件以及資源等，ISMS通過這些"部件"之間的相互作用來實現(xiàn)其"保障信息安全"的功能。