ISO27001新标准解读：BS7799的改版与国际化

"ISO27001新版是关于信息安全管理体系(ISMS)的国际标准，源自英国标准协会BS7799，现分为ISO17799和ISO27001两个部分。该标准在2005年进行了改版和国际化，成为全球信息安全领域的重要参考。本文档由张耀疆编写，他是一位CISSP、BS7799LA和CISA，详细解析了BS7799的新版内容，包括标准的背景、价值、框架结构、认证要求以及如何依据标准建立和审核ISMS。文章采用问答形式，结合作者的实践经验，为读者提供了理解和实践信息安全管理的指导。尽管存在一定的主观性和局限性，本文仍是了解BS7799及其应用的重要参考资料。" 【知识点详细说明】 1. **ISO27001标准**：ISO27001是国际标准化组织发布的用于建立、实施、维护和改进信息安全管理体系的国际标准，旨在帮助企业保护信息资产的安全，确保业务连续性和信任度。 2. **BS7799的历史**：BS7799是英国标准协会BSI首次发布的信息安全标准，分为两个部分，部分1是信息安全管理实践，部分2是信息安全管理系统的实施。随着发展，部分1演变为ISO17799，部分2演变为ISO27001。 3. **ISO17799和ISO27001的关系**：ISO17799主要关注信息安全的最佳实践，提供了一套信息安全控制措施。而ISO27001则规定了建立、实施、监视、评审、保持和改进ISMS的要求，它是基于ISO17799的控制措施。 4. **信息安全管理体系(ISMS)**：ISMS是一套系统的方法，用于管理组织的信息安全风险，包括制定、实施、运行、监控、评审、维护和改进信息安全策略、程序和实践。 5. **认证要求**：ISO27001认证要求组织建立一套完整的ISMS，包括风险评估、风险处理、政策制定、员工培训、持续改进等环节，并通过独立第三方的审核验证其符合标准要求。 6. **问答形式的解析**：文档以问答形式介绍了BS7799新版本的各个方面，使读者能够快速理解标准的关键点和实际应用。 7. **实践经验的融合**：作者结合自己的专业背景和实践经验，提供了实用的建议和案例，帮助读者将理论知识转化为实际操作。 8. **适用范围**：本文档适用于那些希望了解和实施ISO27001标准的组织，无论是初次接触还是正在改进现有ISMS的组织，都能从中受益。 9. **局限性**：由于作者的经验和个人观点，文档可能存在一定的局限性，读者需要根据自身情况判断和选择适用的内容。 10. **持续更新**：尽管BS7799已经更名，但本文仍沿用旧名称，具体讨论时会引用ISO17799和ISO27001的最新版本，强调了标准的动态更新和适应性。 ISO27001新版及其前身BS7799，是企业信息安全管理的重要参考，通过建立有效的ISMS，企业可以更好地保护信息资产，降低风险，提升业务效率和客户信任。