» 第三章  信息安全管理体系的构建与认证



                   由于BS7799日益得到国际认同，使用的国家也越来越多，2000年12月，国际标
               准化组织ISO/IECJTC1/SC27工作组通过了对BS7799-1：1999的认可审核，正式将其
               转化为国际标准，即所颁布的ISO/IEC17799：2000《信息技术—信息安全管理实施
               细则》，从而使其成为国际质量标准体系的一部分。作为一个全球通用的标准，ISO/

               IEC17799并不局限于IT，也不依赖于专门的技术，它是由长期积累的一些经典的实践
               经验构成的，是市场驱动的结果。
                   2002年，BSI对BS7799：2-1999进行了重新修订，正式引入了现代管理学中一个

               有着50年历史并且久经考验的模型－PDCA过程模型（Plan、Do、Check和Act，即所
               谓的“戴明环”，见图3-1）。



















                                            图 3-1 PDCA 过程模型

                   2004年9月5日，BS7799-2：2002正式发布，随即提交ISO并迈入国际标准化组织
               （ISO）的“快速通道”（Fast Track流程）。2005年BS7799-2：2002终于被ISO组织

               所采纳，并于同年10月推出了国际标准ISO/IEC27001：2005。

                   二、信息安全管理体系认证的标准


                   信息安全管理体系的概念最初来源于英国标准学会制定的BS7799标准，并伴随
               着其作为国际标准的发布和普及而被广泛地接受。ISO/IECJTC1SC27/WG1（国际标
               准化组织/国际电工委员会信息技术委员会安全技术分委员会/工作组）是制定和修订
               ISMS标准的国际组织。

                   ISO/IEC27001：2005（《信息安全管理体系要求》）是ISMS认证所采用的
               标准。目前中国已经将其等同转化为中国国家标准GB/T22080-2008/ISO/IEC270
               01：2005。

                   （一）ISO/IEC27000 族的成员标准
                   ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总


                                                                                          • 65 •