很遗憾,因您的浏览器版本过低导致无法获得最佳浏览体验,推荐下载安装谷歌浏览器!
ISO27000信息安全管理体系(ISMS)是现代管理学在信息安全管理领域中的一个应用分枝。它的发展历史可以追溯到上个世纪初由于人类社会大规模工业生产所带来的对产品质量的自然诉求。
①从产品质量管理到质量管理。从二十世纪初开始,进入工业化阶段的人类社会大规模工业生产导致了对产品质量进行科学控制的迫切需求,并先后经历了1911年以F.W.Taylor为代表的“产品质量检验”到1924年以W.A.Shewhart为代表的“统计质量控制”等不同的阶段。 Shewhart提出了一个管理模型,上个世纪五十年代经Edwards Deming进一步凝练,形成了今天常用的戴明环。第二次世界大战中工业化强国如美国、苏联等对大规模军品生产过程中的质量控制提出了更加严格的要求,使得以产品质量为核心的管理进化到1961 年以费根堡姆为代表的“质量管理”阶段。
②质量管理的国1 际化。随着贸易的迅速 扩大,产品和资本的流动日趋化,伴随而生的是产品质量保证和产品责任问题。由于许多国家和地方性组织相继发布了一系列质量管理和质量保证标准,制 订质量管理标准已成为一项迫切的需要。为此标准化组织(ISO)于1979年单独建立质量管理和质量保证技术委员会(TC176),负责制订质 量管理的标准。1987年3月正式发布ISO9000~9004质量管理和质量保证系列标准。该标准总结了各国家的管理经验,将之归纳、规范。发 布后引起世界各国的关注,并予以贯彻,适应了贸易发展需要,满足了质量方面对标准化的需求。
③ 信息安全管理。上个世纪九十年代中叶,互联网在范围内开始急剧扩张,随之而来的安全问题日趋突出。1995年,英国标准协会 (British Standards Institute,BSI)受英国贸工部 (The Department of Tradeand Industry,DTI)委托,开始着手制定信息安全管理标准,后称为BS7799。负责标准开发和 管理工作的BSI-DISC Committee BDD/2工作组是由来自贸易和工业部门的众多代表共同组成的,其成员在各自的领域都具有较大的影响力,包 括世界金融保险业的鼻祖英国保险协会(Association of British Insurers)、渣打管理会计协会(CIMA)、汇丰银行 (HSBC)等,通信行业有大英电讯公司,还有像壳牌(shell)、联合利华(Unilever)、毕马威(KPMG)等这样的跨国机构。该标准在短短 几个月内就迅速制定完毕。同年BS7799-1:1995《信息安全管理实施细则》出版,它提供了一套综合性的、由信息安全实践 (bestpractices)构成的实施细则,目的是为确定各类信息系统通用控制提供的参考基准。
在随后一段时间里,由于电子商务的发展,由此引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题,从而所谓的“第三方认证” (authorized third party)应运而生。信息安全管理遵循一套实践,但怎样做的?执行程度如何?是否完备?这就需要有一个共同的尺度 来进行衡量。
④ISO27000信息安全管理体系。1998年,BS7799-2:1998《信息安全 管理体系规范》(Specification for Information Security Management Systems)公布,这是对 BS7799-1的有效补充,它规定了ISO27000信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。至 此,BS7799标准体系框架初步成型。
由于BS7799日益得到认同,使用的国 家也越来越多,2000年12月,标准化组织ISO/IECJTC1/SC27工作组通过了对BS7799-1:1999的认可审核,正式将其转化为 标准,即所颁布的ISO/IEC17799:2000《信息技术—信息安全管理实施细则》,从而使其成为了质量标准体系的一部分。作为一个通 用的标准,ISO/IEC17799并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些经典的实践经验构成的,是市场驱动的结果。
2002 年,BSI对BS7799:2-1999进行了重新修订,正式引入了现代管理学中一个有着50年历史并且久经考验的模型-PDCA过程模型(Plan、 Do、Check和Act,即所谓的“戴明环”,2004年9月5日,BS7799-2:2002正式发布,随即提交ISO并迈入标准 化组织(ISO)的“快速通道”(Fast Track流程)。2005年BS7799-2:2002终于被ISO组织所采纳,并于同年10月推出了标 准ISO/IEC27001:2005。这一个标准体系则是本文研究所依据的重1 点
