ISO/IEC 27001 信息安全管理體系
信息是組織的血液，存在的方式各異。可以是打印，手寫，也可以是電子，演示和口述的。當今商業競爭日趨激烈，來源于不
同渠道的信息，威脅到信息的一致性。它們來自內部，外部，意外的，還可能是惡意的。隨著信息儲存，發送新技術的廣泛使
用，我們面臨的各種風險也在增高。信息安全越來越重要！
信息安全不是有一個終端防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。信息安全
管理體系的引入，可以協調各個方面信息管理，使管理更為有效。信息安全管理體系是系統的對組織敏感信息及信息資產進行
管理，涉及到人，程序和信息科技(IT)系統。需要建立廣泛的信息安全方針。保證安全性，公正性。適用組織內部和客戶。信息
安全管理體系ISMS正成為世界上管理體系標準銷售增長量最大的產品。
信息安全管理體系（Information security management systems，簡稱ISMS）（即ISO/IEC 27000系列）是目前國際信息安全
管理標準研究的重點。
27000系列共包括10個標準，當前已經發布和在研究的有6個，分別為：
1、ISO/IEC 27000《信息安全管理體系基礎和詞匯》；
2、ISO/IEC 27001：2005《信息安全管理體系要求》；
3、ISO/IEC 27002：2007《信息安全管理實用規則》；
4、ISO/IEC 27003《信息安全管理體系實施指南》；
5、ISO/IEC 27004《信息安全管理測量》；
6、ISO/IEC 27005《信息安全風險管理》。
一、什么是信息安全？
像其他重要業務資產一樣，信息也是對組織業務至關重要的一種資產，因此需要加以適當地保護。在業務環境互連日益增加的
情況下這一點顯得尤為重要。這種互連性的增加導致信息暴露于日益增多的、范圍越來越廣的威脅和脆弱性當中（也可參考關
于信息系統和網絡的安全的OECD指南）。信息可以以多種形式存在。它可以打印或寫在紙上、以電子方式存儲、用郵寄或電
子手段傳送、呈現在膠片上或用語言表達。無論信息以什么形式存在，用哪種方法存儲或共享，都應對它進行適當地保護。信
息安全是保護信息免受各種威脅的損害，以確保業務連續性，業務風險最小化，投資回報和商業機遇最大化。信息安全是通過
實施一組合適的控制措施而達到的，包括策略、過程、規程、組織結構以及軟件和硬件功能。在需要時需建立、實施、監視、
評審和改進這些控制措施，以確保滿足該組織的特定安全和業務目標。這個過程應與其他業務管理過程聯合進行。
二、如何建立安全要求?
組織識別出其安全要求是非常重要的，安全要求有三個主要來源：
1、一個來源是在考慮組織整體業務戰略和目標的情況下，評估該組織的風險所獲得的。通過風險評估，識別資產受到的威脅，
評價易受威脅利用的脆弱性和威脅發生的可能性，估計潛在的影響。
2、另一個來源是組織、貿易伙伴、合同方和服務提供者必須滿足的法律、法規、規章和合同要求，以及他們的社會文化環境。
3、第三個來源是組織開發的支持其運行的信息處理的原則、目標和業務要求的特定集合。
三、評估安全風險
安全要求是通過對安全風險的系統評估予以識別的。用于控制措施的支出需要針對可能由安全故障導致的業務損害加以平衡。
風險評估的結果將幫助指導和決定適當的管理行動、管理信息安全風險的優先級以及實現所選擇的用以防范這些風險的控制措
施。風險評估應定期進行，以應對可能影響風險評估結果的任何變化。
四、選擇控制措施
一旦安全要求和風險已被識別并已做出風險處理決定，則應選擇并實現合適的控制措施，以確保風險降低到可接受的級別。控
制措施可以從《信息安全管理實用規則》或其他控制措施集合中選擇，或者當合適時設計新的控制措施以滿足特定需求。安全
控制措施的選擇依賴于組織所做出的決定，該決定是基于組織所應用的風險接受準則、風險處理選項和通用的風險管理方法，
同時還要遵守所有相關的國家和國際法律法規。《信息安全管理實用規則》中的某些控制措施可被當作信息安全管理的指導原
則，并且可用于大多數組織。
五、信息安全起點
許多控制措施被認為是實現信息安全的良好起點。它們或者是基于重要的法律要求，或者被認為是信息安全的常用慣例。從法
律的觀點看，根據適用的法律，對某個組織重要的控制措施包括：
a)數據保護和個人信息的隱私；
b)保護組織的記錄；
c)知識產權。
被認為是信息安全的常用慣例的控制措施包括：
a)信息安全方針文件；
b)信息安全職責的分配；
c)信息安全意識、教育和培訓；
d)應用中的正確處理；
e)技術脆弱性管理；
f)業務連續性管理；
g)信息安全事故和改進管理。
這些控制措施適用于大多數組織和環境。應注意，雖然《信息安全管理實用規則》中的所有控制措施都是重要的并且是應被考
慮的，但是應根據某個組織所面臨的特定風險來確定任何一種控制措施是否是合適的。因此，雖然上述方法被認為是一種良好
的起點，但它并不能取代基于風險評估而選擇的控制措施。
六、關鍵的成功因素
經驗表明，下列因素通常對一個組織成功地實現信息安全來說，十分關鍵：
a)反映業務目標的信息安全方針、目標以及活動；
b)和組織文化保持一致的實現、保持、監視和改進信息安全的方法和框架；<