信息安全管理体系国际标准起源于英国的BS 7799标准系列,后形成国际标准ISO/IEC 17799和ISO/IEC 27001。

该标准主要由两大部分组成:ISO17799即“信息安全管理实施指南” (Code of practice for Information Security Management Systems),提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;ISO 27001是“信息安全管理体系要求” (Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO/IEC 17799,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。

从标准的两个部分来理解,ISO 27001是一个总的指导思想,依据是“PDCA”(PLAN、DO、CHECK、ACTION)的“戴明环”管理思想,是一个整体的信息安全管理框架,强调的是建立一个持续循环的长效管理机制;而ISO 17799就是具体的信息安全管理流程,是在ISO 27001整体框架指导下具体的信息安全细节。

组织通过若干管理和技术措施,形成一个以体系文档为保证的控制流程,从而保证组织业务的连续性,并可以通过国际认证机构的严格审核,获得国际信息安全认证证书。

ISO27001认证全称信息管理体系认证,是由认证机构依据特定的审核规则,按照规定的程序和方法对审核方也就是我们的企业实施审核,是一种通过权威的第三方审核之后,提供的证明。

在审核过程中,认证机构会依据ISO27001的条款和要求,对企业内部的相关特定事项,比如说账号的口令安全、电脑的日常使用、文件交接和员工的安全意识等等,进行符合性检查,总结来说,就是对企业的信息安全管理体系是否符合ISO27001要求的认证。

如果受审的企业实施了信息安全管理体系,并且符合ISO27001标准的要求,那么通过认证的企业将会被注册登记,企业注册登记也可以在国家认证并且认可的信息公共服务平台进行统一的查询。