ISO/IEC 27001

ISO/IEC 27001，其名称是《资讯科技—安全技术—资讯安全管理系统—要求》（Information technology — Security techniques — Information security management systems — Requirements）是资讯安全管理的国际标准。此标准一开始是由国际标准化组织（ISO）及国际电工委员会（IEC）在2005年联合发布^[1]，曾在2013年改版^[2]，最近一次改版是在2022年^[3]。其中有列出有关资讯安全管理系统（information security management system、ISMS）架构、实施、维护以及持续改善上的要求，目的是帮助组织可以使其保管的资讯资产更加安全^[4]。2017年时，欧洲有更新此标准，并且出版^[5]。组织若要符合此标准的要求，在成功完成一次内部审计后，可申请由合格的认证单位进行认证。

ISO/IEC 27001设计包括的示例不只是IT部门而已， ISO/IEC 27001会要求进行以下的管理：

• 系统性地检验组织的资讯安全风险，考虑其威胁、弱点以及影响。
• 设计、实现连贯而且全面的资讯安全控管包，并且／或者其他的风险管理方案（例如风险避免或风险转移）来处理无法接受的风险。
• 用总体管理的流程，在现有的基础上，确认资讯安全管理控管可以持续的符合组织的资讯安全需求。

管理层为了认证的考量，会决定资讯安全管理系统（ISMS）的范围，例如限制在单一的事业单位或是单一地区。ISO/IEC 27001可以针对个别部门的认证，也可以针对全公司的认证^[6][7]。

ISO/IEC 27000系列中的标准中可以提供设计、实现资讯安全管理系统以及其运作相关的指引，例如在有关资讯安全风险管理的ISO/IEC 27005（英语：ISO/IEC 27005）。

标准历史

ISO/IEC 27001中有许多内容是源自英国标准BS 7799（英语：BS 7799）。

BS 7799是由BSI集团提出的标准^[8]。由英国贸易和工业部（英语：Department of Trade and Industry (United Kingdom)）在1995年时改写，分为几个部分。

BS7799的第一部分包括资讯安全管理的最佳实务，在1998年修订。各国的标准机构针对其内容进行长期的讨论，最后由ISO在2000年修订为ISO/IEC 17799《资讯科技—资讯安全管理实务准则》（Information Technology - Code of practice for information security management）。在2005年6月再次修订，最后在2007年7月集成在ISO 27000的系列标准中（ISO/IEC 27002）。

BS7799的第二部分最早是由BSI在1999年发布，称为BS 7799第二部《资讯安全管理系统—规范及使用指引》（Information Security Management Systems - Specification with guidance for use）。BS 7799-2注重如何实现资讯安全管理系统（ISMS），在BS 7799-2中称为资讯管理结构及控制。这部分后来成为ISO/IEC 27001:2005。BS 7799第二部分后来在2005年11月被ISO修改为ISO/IEC 27001。

BS 7799第三部分是在2005年后发布，包括了风险分析及管理，后来变成ISO/IEC 27001:2005。

BS标准中，很少内容有引用ISO/IEC 27001。

认证

许多认可注册商（英语：Accredited Registrar）可以认证资讯安全管理系统是否符合ISO/IEC 27001^[9]。若是针对ISO/IEC 27001各国版本（例如日本的JIS Q 27001）的认证，在功能上等效于针对ISO/IEC 27001的认证。

有些国家会将认证管理系统的组织称为“认证机构”（certification bodies），有些则称为“登记机构”（registration bodies）、“评估及登记机构”（assessment and registration bodies）、“认证／登记机构”（certification/ registration bodies）等。

相关条目

• ISO JTC 1/SC 27（英语：ISO JTC 1/SC 27）：资讯技术安全技术
• ISO/IEC 27000系列
• ISO 9000
• BS 7799（英语：BS 7799）
• 网络安全标准
• 国际标准化组织
• ISO标准列表（英语：List of ISO standards）
• 数据安全
• 可信资讯安全评估交换

参考资料

1. ISO/IEC 27001 International Information Security Standard published. bsigroup.com. BSI. [21 August 2020]. （原始内容存档于2022-01-29）. 
2. Bird, Katie. NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS. iso.org. ISO. [21 August 2020]. （原始内容存档于2019-09-20）. 
3. ISO/IEC. ISO/IEC 27001:2022. ISO.org. [2022-11-29] （英语）. 
4. ISO/IEC 27001:2013. ISO. ISO. [9 July 2020]. （原始内容存档于2020-11-15）. 
5. BS EN ISO/IEC 27001:2017 – what has changed?. www.bsigroup.com. BSI Group. [29 March 2018]. （原始内容存档于2019-12-22）. 
6. 臺灣第四個全公司通過ISO 27001認證案例出爐. [2020-12-07]. （原始内容存档于2022-01-24）. 
7. 台灣興起全民資安運動. [2020-12-07]. （原始内容存档于2022-01-24）. 
8. Facts and figures. bsigroup.com. [2020-12-06]. （原始内容存档于2012-10-20）. 
9. Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah. ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais. 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE). October 2013: 1–4 [2020-12-06]. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. （原始内容存档于2020-03-27）. 

外部链接

• ISO website（页面存档备份，存于互联网档案馆）