信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。現(xiàn)在，ISO27000:2005標(biāo)準(zhǔn)已得到了很多國家的認(rèn)可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。 2000年，國際標(biāo)準(zhǔn)化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對(duì)ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

SO/IEC27001:2013標(biāo)準(zhǔn)包括11大控制方面、39個(gè)控制目標(biāo)和133項(xiàng)控制措施，為企業(yè)提供全方位的信息安全保障。

ISO27001信息安全管理體系方法

隨著互聯(lián)時(shí)代的飛速發(fā)展，越來越多的企業(yè)開始思考如何能保證信息的安全，那么信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使解決信息的保密性、可用性、完整性；保證信息的安全不是僅有一個(gè)防火墻就可以解決的，它需要全面的防御體系管理--ISO27001:2013信息安全管理體系，它既不僅是一個(gè)工具，也是一種管理方法。

通過推行ISO27001信息安全管理體系認(rèn)證，可以增進(jìn)公司業(yè)務(wù)往來的信用度，能夠建立起供應(yīng)商與客戶之間的互相信任，通過信息安全管理的可以看到信息安全管理明顯的利益，如：資產(chǎn)識(shí)別，重要資產(chǎn)的管控方法，信息安全防御策略等，為IT業(yè)、制造業(yè)、服務(wù)業(yè)、金融業(yè)等行業(yè)提供一個(gè)有效的保證，通過業(yè)務(wù)連續(xù)的管理，把組織的干擾因素降到最小，為客戶交期與服務(wù)提供強(qiáng)有力的保障，雙方創(chuàng)造更大收益，那么如何建立-ISO27001:2013信息安全管理體系，從以下幾個(gè)方面著手進(jìn)行：

1.安全方針：制定信息安全方針，為信息安全提供管理指導(dǎo)和支持，并定期評(píng)審；

信息安全組織：建立信息安全基礎(chǔ)設(shè)施，管理組織范圍內(nèi)的信息安全；維護(hù)被第三方所訪問的組織的信息處理設(shè)施和信息資產(chǎn)的安全，以及當(dāng)信息處理外包給其他組織時(shí)，確保信息的安全。

2.資產(chǎn)管理：核查所有信息資產(chǎn)，做好信息分類，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。

3.人力資源安全：確保所有員工、合同方和第三方了解信息安全威脅和相關(guān)事宜，他們的責(zé)任、義務(wù)，以減少人為差錯(cuò)、盜竊、欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。

4.物理與環(huán)境安全：定義安全區(qū)域，防止對(duì)辦公場所和信息的未授權(quán)訪問、破壞和干擾；保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失、損壞或被盜，以及對(duì)業(yè)務(wù)活動(dòng)的干擾；同時(shí)，還要做好一般控制，防止信息和信息處理設(shè)施的損壞或被盜。