ISMS的历史与发展

ISMS的历史与发展

ISMS的历史

组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。

在上个世纪90年代，互联网的出现和迅速地被普及应用，使得网络和信息安全问题触及到社会的每一个细胞包括国家、组织和个人，是网络和信息安全问题突显的时期。在那个时期，解决信息安全问题的通常手段就是网络和信息安全技术，其表现形式就是网络和信息安全产品的应用，具有代表性的信息安全技术和产品如：

1) 防病毒（AV）

2) 防火墙（Firewall）

3) 系统和网络技术脆弱性扫描（Scanner）

4) 入侵检测系统（IDS）

5) 标识与鉴别（I&A）

6) 密码术（Cryptography）

7) 其他

这些技术和产品同其他信息技术产品一样，多源于西方国家如美国。在遇到信息安全问题时，人们往往寄希望于这些产品和技术，所以这个时期解决信息安全问题的思路是“产品导向型”的。

信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的权衡、信息安全目标、业务连续性、信息安全相关法规符合性等问题，这些方面与信息安全的要求都密切相关，但产品和技术是不容易解决的。

到了上个世纪90年末，人们开始意识到管理在解决信息安全问题中的作用。1993年9月，由英国贸工部（DTI）组织、许多企业参与编写了一个信息安全管理的文本－“信息安全管理实用规则（Code of practice for information security management）”。从此，ISMS开始萌芽并迅速发展起来，目前，在解决信息安全问题方面，ISMS已经成为全球企业的选择。

1993年到2006年间，ISMS从无到有，其发展历程大致如下：

1993年9月，由英国贸工部（DTI）组织、许多企业参与编写了一个信息安全管理的文本－“信息安全管理实用规则（Code of practice for information security management）”。

1995年2月，BSI将该文本转化为为英国国家标准，即BS7799-1:1995信息安全管理实用规则。

1998年2月，BSI又推出用于ISMS认证的国家标准，即BS7799-2:1998，当时称为信息安全管理体系规范（Specification for Information Security Management System）。

1999年BSI将上述两部分标准修订，正式推出1999版本。

2000年12月，BS7799-1:1999被采纳成为国际标准，即ISO/IEC17799:2000。而BS7799-2没有能购成为国际标准。

2002年，BSI又将BS7799-2修订，使其与ISO9001:2000保持高度一致，发布了BS7799-2:2002。

2005年6月15日，ISO/IEC发布ISO/IEC17799:2000的修订版本，即ISO/IEC17799:2005。

2005年10月15日，ISO/IEC发布ISMS要求标准，即ISO/IEC27001:2005，其蓝本就是BS7799-2:2002。

ISMS的发展

信息安全管理体系（Information Security Management System，简称ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念。伴随着近年来国际ISMS标准的制修订，ISMS迅速被全球接受和认可，成为世界各国各种类型、各种规模的组织解决信息安全问题的一个有效的方法。

伴随着ISMS标准的不断发展，在英国的推动下，ISMS认证认可也呈蓬勃发展趋。自2002年以来，全球ISMS认证证书每年都在成倍增长。截至2006年6月4日，全球通过ISMS认证组织已达2658个，其中包括中国的27个。

ISO/IEC JTC1/SC27/WG1（国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会/第一工作组）是制定和修订ISMS标准的国际组织，我国是该组织的P成员国。到2006年5月，该组织已经正式发布的ISMS标准主要包括2个：

ISO/IEC27001:2005 信息安全管理体系要求

ISO/IEC17799:2005 信息安全管理实用规则

根据该组织的最新ISMS路线图计划，2007年4月将目前的ISO/IEC17799:2005的标准号修改为ISO/IEC27002，同时ISMS 的系列标准也在规划和制定中，目前正在制定过程中的ISMS标准包括：?

ISO/IEC27000 信息安全管理体系基础和术语

ISO/IEC27003 信息安全管理体系实施指南

ISO/IEC27004 信息安全管理体系测量

ISO/IEC27005 信息安全风险评估与管理

另外还有预留了ISO/IEC27006、ISO/IEC27007、ISO/IEC27008、ISO/IEC27009等4个标准号，具体内容还在讨论中。

截至2006年6月4日，全球通过ISMS认证的组织的数量已达2658家，详细情况如下表所示：

ISMS在中国

我国在信息安全上遇到的问题与西方国家类似。在解决信息安全的历程上也大致走过了上述两个不同阶段。进入21世纪以来，我国各组织开始认识到信息安全管理在解决信息安全问题中的作用。国家在相关政策文件中也明确提出了信息安全保障工作的主要原则：“立足国情，以我为主，坚持管理与技术并重”。国内许多企业对当时的BS7799表示了浓厚的兴趣和明显的需求，2000年，先后有2家国内企业通过了英国国家标准BS7799:1999的认证。

考虑国内对ISMS标准的需求，结合国际ISMS标准发展的情况， 2002年6月开始，全国信息安全标准化技术委员会第七工作组（WG7）开始了我国信息安全管理体系标准的制定工作，2005年6月15日发布了我国第一个ISMS标准“GB/T19716-2005信息安全管理实用规则”，该标准修改采用ISO/IEC17799:2000。

ISMS标准体系－ISO/IEC27000族简介

ISMS（Information Security Management System，信息安全管理体系）是近两年来在管理体系和信息安全领域兴起的一个热门话题。按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。

ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划，该系列标准的序号已经预留到27019，其中将27000～27009留给ISMS基本标准，27010～27019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。

1 ISMS国际标准化组织

ISO/IEC JTC1/SC27/WG1（国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会/第一工作组）是制定和修订ISMS标准的国际组织，我国是该组织的P成员国。ISO/IEC JTC1/SC27成立后设有三个工作组：

WG1：需求、安全服务及指南工作组

WG2：安全技术与机制工作组

WG3：信息系统、部件和产品相关的安全评估准则工作组

在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上，通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案，将原来的三个工作组调整为现在五个工作组：

WG1：ISMS标准工作组

WG2：安全技术与机制工作组

WG3：信息系统、部件和产品相关的安全评估准则工作组

WG4：安全控制与服务工作组

WG5：身份管理与隐私保护技术工作组

SC27组织机构的这次调整，专门将WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南，充分体现了ISMS的发展在全球范围内受到高度重视。

2 已经发布的ISMS标准－ISO/IEC27001和ISO/IEC17799

目前国际标准化组织已经正式发布的ISMS国际标准有两个：ISO/IEC27001和ISO/IEC17799，它们是ISMS的核心标准。

ISO/IEC27001:2005：信息安全管理体系要求

Information technology-Security techniques-Information security management systems-Requirements

ISO/IEC17799:2005：信息安全管理实用规则

Information technology-Security techniques-Code of practice for Information security management ISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样，是ISMS的要求标准，内容共分8章和3个附录，其中附录A中的内容主要来自ISO/IEC17799。

ISO/IEC27001适用于所有类型的组织（如企事业单位、政府机关等）。它从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求，并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001是组织建立和实施ISMS的依据，也是ISMS认证机构实施审核的依据。

ISO/IEC17799于2000年12月1日正式发布，2005年6月15日发布修订版即ISO/IEC17799:2005，原来版本同时废止。ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。

ISO/IEC17799:2005从11个方面，提出了39个控制目标和133个控制措施，这些控制目标和控制措施是信息安全管理的最佳实践。从ISO/IEC17799的应用上看，它既专用，又通用。说它专用，是因为它做为ISMS标准族的一个成员，是配合ISO/IEC27001使用的；说它通用，是因为ISO/IEC17799中提出的信息安全控制目标和控制措施是从信息安全工作实践中总结出来的，不管组织是否建立和实施ISMS，均可从中选择适合自己使用的控制措施来实现组织的信息安全目标。

根据今年召开的第18届SC27全体会议决议，将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。

无论将来ISMS标准族怎么发展，这两个标准，尤其ISO/IEC27001，都将是ISMS最基本、最核心的标准。目前在全球范围内开展的ISMS认证就是基于这两个标准。

3 ISMS标准的类型

根据ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards 管理体系标准合理性和制定导则）和ISO/IEC的相关导则，ISO/IEC JTC1/SC27/WG1将ISMS 标准分为4类：

Type A – V ocabulary Standard A类－词汇标准

Type B – Requirements Standard B类－要求标准

Type C – Guidelines Standard C类－指南标准

Type D – Related Standard D类－相关标准

A类－词汇标准：主要提供标准族中所有标准所涉及的基础信息，包括通用术语、基本原则等内容。ISO/IEC27000同ISO 9000（质量管理体系基础和术语）类似，属于此类标准。

B类－要求标准：主要提供管理体系的相关规范，它能够使一个组织证明其满足内部和外部要求的能力。ISO/IEC27001同ISO 9001（质量管理体系要求）、ISO 14001（环境管理体系规范及使用指南）、OHSAS 18001（职业健康安全管理体系规范）等标准一样，属于此类标准。

C类－指南标准：此类标准目的是为一个组织实施要求标准提供相关的指南，ISO/IEC17799、ISO/IEC27003等同ISO 9004（质量管理体系业绩改进指南）、ISO 14004（环境管理体系原则、体系和支持技术通用指南）、OHSMS 18002（职业健康安全管理体系指南）等标准一样，属于此类标准。

D类－相关标准：此类标准严格说不是管理体系标准族中的标准，他们主要提供关于特定方面或相关支持技术的进一步的指导，此类标准一般独立开发，与要求类标准和指南类标准无明显的关联。ISO/IEC27006同ISO19011（质量和环境管理体系审核指南）等标准一样属于此类。

4 制订中的ISO/IEC27000系列标准介绍

截至2006年5月18日，ISO/IEC JTC1/SC27/WG1正在制定中的标准包括5个，分别是：

ISO/IEC27000 信息安全管理体系基础和术语

ISO/IEC27003 信息安全管理体系实施指南

ISO/IEC27004 信息安全管理测量

ISO/IEC27005 信息安全风险管理

ISO/IEC27006 信息安全体系认证机构的认可要求

4.1 ISO/IEC 27000

ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语），属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。

ISO/IEC 27000目前处于WD（工作组草案）阶段，正在SC27内研究并征求意见，征求意见的截至日期是2006年10月6日。

4.2 ISO/IEC 27003

ISO/IEC27003( Information security management system implementation guidance 信息安全管理体系实施指南)，属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施ISMS的人员。

ISO/IEC 27003目前也处在WD阶段，正在SC27内研究并征求意见，征求意见的截至日期是2006年10月6日。

4.3 ISO/IEC 27004

ISO/IEC27004（Information security management measurements 信息安全管理测

量），属于C类标准。主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。目前该标准已经处于CD（委员会草案）阶段，预计将于2008年完成。

4.4 ISO/IEC 27005

ISO/IEC27005（Information security risk management 信息安全风险管理），属于C类标准。它给出了信息安全风险管理的指南，包括风险管理的原则，风险评估方法，风险处理和风险接受，风险的监视和评审等，以及给出了如何满足ISMS 要求的更进一步的信息。目前该标准处于Final CD（最终委员会草案）阶段，预计将于2006年完成。

4.5 ISO/IEC 27006

ISO/IEC27005（Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理体系认证机构的认可要求），属于D类标准。该标准主要对从事ISMS认证的机构提出要求和规范，或者说具备怎样的条件就可以从事ISMS认证业务。目前该标准处于Final CD （最终委员会草案）阶段，SC27将于2006年9月25日至26日在加拿大蒙特利尔举行针对该标准的特别会议。