标准发展

     目前，在信息安全管理体系方面，ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。

      2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。

      经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。

      2013年10月，为适应信息安全管理的发展趋势，ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准，新版标准相对旧版标准作了较大修订，为组织加强信息安全管理提供的指导。

ISO27001标准内容简介

      ISO27001：2013标准包括14控制领域、35个控制目标和113项控制措施，为组织提供全方位的信息安全保障。

标准特点

ISO27001:2013版新标准特点：

      1)采用新结构

        在ISO27001:2013新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准改版中会普遍采用，将未企业管理体系融合提供了统一的体系架构，管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。

     2）控制更精简

        ISO27001:2013中将旧版133个控制项缩减到113个，合并了类型的控制措施（如变更管理），新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等，以反映目前信息安全的发展趋势。ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域，比旧版标准更清晰的反应了实际的需求，与企业的信息系统的管理实践结合更紧密。ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理，表述更准确。

     3）提供更多参考

        此次ISO也新增许多指引供企业参考，组织可以通过不同的方面以及风险进行深度的强化，通过ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号（001-044），例如金融服务、数字鉴识、供应链管理、软件开发测试等，企业组织可参考这些指引做升级的要求。