ISO 27001 信息安全管理(lǐ)體(tǐ)系

（一） 背景介紹
　　信息作(zuò)為(wèi)組織的(de)重要資産，需要得到妥善保護。但(dàn)随着信息技(jì)術的(de)高(gāo)速發展，特别是Internet的(de)問(wèn)世及網上(shàng)交易的(de)啓用，許多信息安全的(de)問(wèn)題也紛紛出現(xiàn)：系統癱瘓、黑(hēi)客入侵、病毒感染、網頁改寫、客戶資料的(de)流失及公司內(nèi)部資料的(de)洩露等等。這(zhè)些已給組織的(de)經營管理(lǐ)、生(shēng)存甚至國(guó)家(jiā)安全都(dōu)帶來(lái)嚴重的(de)影響。 安全問(wèn)題所帶來(lái)的(de)損失遠(yuǎn)大于交易的(de)帳面損失，它可分為(wèi)三類，包括直接損失、間(jiān)接損失和(hé)法律損失：
　　•直接損失：丢失訂單，減少直接收入，損失生(shēng)産率；
　　•間(jiān)接損失：恢複成本，競争力受損，品牌、聲譽受損，負面的(de)公衆影響，失去(qù)未來(lái)的(de)業(yè)務機(jī)會，影響股票(piào)市(shì)值或政治聲譽； 
　　•法律損失：法律、法規的(de)制裁，帶來(lái)相(xiàng)關聯的(de)訴訟或追索等。
　　所以，在享用現(xiàn)代信息系統帶來(lái)的(de)快捷、方便的(de)同時(shí)，如何充分防範信息的(de)損壞和(hé)洩露，已成為(wèi)當前企業(yè)迫切需要解決的(de)問(wèn)題。 
　　俗話(huà)說(shuō)“三分技(jì)術七分管理(lǐ)”。目前組織普遍采用現(xiàn)代通(tōng)信、計(jì)算(suàn)機(jī)、網絡技(jì)術來(lái)構建組織的(de)信息系統。但(dàn)大多數組織的(de)最高(gāo)管理(lǐ)層對(duì)信息資産所面臨的(de)威脅的(de)嚴重性認識不足，缺乏明(míng)确的(de)信息安全方針、完整的(de)信息安全管理(lǐ)制度、相(xiàng)應的(de)管理(lǐ)措施不到位，如系統的(de)運行、維護、開(kāi)發等崗位不清，職責不分，存在一人(rén)身(shēn)兼數職的(de)現(xiàn)象。這(zhè)些都(dōu)是造成信息安全事(shì)件(jiàn)的(de)重要原因。缺乏系統的(de)管理(lǐ)思想也是一個(gè)重要的(de)問(wèn)題。所以，我們需要一個(gè)系統的(de)、整體(tǐ)規劃的(de)信息安全管理(lǐ)體(tǐ)系，從(cóng)預防控制的(de)角度出發，保障組織的(de)信息系統與業(yè)務之安全與正常運作(zuò)。
　　（二）标準發展
　　目前，在信息安全管理(lǐ)體(tǐ)系方面，ISO27001:2005――信息安全管理(lǐ)體(tǐ)系标準已經成為(wèi)世界上(shàng)應用最廣泛與典型的(de)信息安全管理(lǐ)标準。标準适用于各種性質、各種規模的(de)組織，如政府、銀行、電(diàn)訊、研究機(jī)構、外(wài)包服務企業(yè)、軟件(jiàn)服務企業(yè)等。
　　2008年(nián)6月(yuè)，ISO27001同等轉換成國(guó)內(nèi)标準GB/T22080-2008，并在2008年(nián)11月(yuè)1日(rì)正式實施。
　　經過多年(nián)的(de)發展，信息安全管理(lǐ)體(tǐ)系國(guó)際标準已經出版了一系列的(de)标準，其中ISO/IEC27001是可用于認證的(de)标準，其他(tā)标準可為(wèi)實施信息安全管理(lǐ)的(de)組織提供實施的(de)指南。
   （三）咨詢費(fèi)