ISO27001是定義什么及ISO27001包含哪些標準

ISO27001是有關信息管理的國際標準。初源于英國標準BS7799，經過十年的不斷改版，終于在2005年被國際標準化組織（ISO）轉化為 正式的國際標準，于2013年10月發(fā)布為ISO/IEC 27001:2013。該標準可用于組織的信息管理體系的建立和實施，保障組織的信息，采用PDCA過程方法，基于風險評估的風險管理理念， 系統(tǒng)地持續(xù)改進組織的管理。

其正式名稱為：《ISO/IEC 27001:2013 信息技術-技術-信息管理體系-要求》

需要特別注意的是：新的國際標準是雙重的，既可以是ISO/IEC 27001:2013，又可以是 BS 7799-2:2013。這種情況會持續(xù)一段時間（預期2年左右），這就意味著BS 7799-2:2013認證和ISO/IEC 27001:2013認證沒有什么不同。

然而，目前所有通過現(xiàn)行的BS 7799-2:2002認證的組織必須考慮2005版本的變化，及時更新他們信息管理體系。通過BS 7799-2:2002認證的組織會逐步轉換到ISO/IEC 27001認證。轉換期限多久現(xiàn)在還不得而知，要等待國際認可論壇(IAF)，或國家認可機構（如UKAS）發(fā)表正式聲明來公布。

實際上，在以后的監(jiān)督審核中，會把這些不同點考慮在內；如果合適的話，建議客戶取得ISO/IEC 27001:213標準的認證。如果在轉換期內客戶不及時轉換到新標準，一直停留在舊標準，審核員可以把與ISO的不一致作為“注釋/觀察項”記錄在案。一旦轉換期結束，觀察項就上升為不符合項，證書的注冊就存在了風險。

ISO27000系列共包括10個標準，當前已經發(fā)布和在研究的有6個，分別為：

1、ISO/IEC 27000《信息管理體系 基礎和詞匯》；

2、ISO/IEC 27001：2013《信息管理體系要求》；

3、ISO/IEC 17799：2005《信息管理實用規(guī)則》（編號已經改為27002）；

4、ISO/IEC 27003《信息管理體系實施指南》；

5、ISO/IEC 27004《信息管理測量》；

6、ISO/IEC 27005《信息風險管理》。