国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
联系电话
全国:010-56542716
天津:022-27810977
国家认证认可监督委员会批准认证咨询机构
批准号:CNCA-Z-01Q-2006-038
全国:010-56542716
天津:022-27810977
信息安全管理体系(ISMS)是现代管理学在信息安全管理领域中的一个应用分枝。它的发展历史可以追溯到上个世纪初由于人类社会大规模工业生产所带来的对产品质量的自然诉求。
① 从产品质量管理到全面质量管理。从二十世纪初开始,进入工业化阶段的人类社会大规模工业生产导致了对产品质量进行科学控制的迫切需求,并先后经历了1911年以F.W.Taylor为代表的“产品质量检验”到1924年以W.A.Shewhart为代表的“统计质量控制”等不同的阶段。 Shewhart提出了一个管理模型,上个世纪五十年代经EdwardsDeming进一步凝练,形成了今天常用的戴明环。第二次世界大战中工业化强国如美国、苏联等对大规模军品生产过程中的质量控制提出了更加严格的要求,使得以产品质量为核心的管理进化到1961年以费根堡姆为代表的“全面质量管理”阶段。
②质量管理的国际化。随着国际贸易的迅速扩大,产品和资本的流动日趋国际化,伴随而生的是国际产品质 量保证和产品责任问题。由于许多国家和地方性组织相继发布了一系列质量管理和质量保证标准,制订质量管理 国际标准已成为一项迫切的需要。为此,国际标准化组织(ISO)于1979年单独建立质量管理和质量保证技术委员会(TC176),负责制订质量管理的国际标准。1987年3月正式发布ISO9000~9004质量管理和质量保证系列标准。该标准总结了各先进国家的管理经验,将之归纳、规范。发布后引起世界各国的关注,并予以贯彻,适应了国际贸易发展需要,满足了质量方面对国际标准化的需求。
③ 信息安全管理。上个世纪九十年代中叶,互联网在全球范围内开始急剧扩张,随之而来的安全问题日趋突出。1995年,英国标准协会 (BritishStandardsInstitute,BSI)受英国贸工部 (TheDepartmentofTradeandIndustry,DTI)委托,开始着手制定信息安全管理标准,后称为BS7799。负责 标准开发和管理工作的BSI-DISCCommitteeBDD/2工作组是由来自贸易和工业部门的众多代表共同组成的,其成员在各自的领域都具有较大的影响力,包括世界金融保险业的鼻祖英国保险协会 (AssociationofBritishInsurers)、渣打管理会计协会(CIMA)、汇丰银行 (HSBC)等,通信行业有大英电讯公 司,还有像壳牌(shell)、联合利华(Unilever)、毕马威(KPMG)等这样的跨国机构。该标准在短短几个月内 就迅速制定完毕。同年BS7799-1:1995《信息安全管理实施细则》首次出版,它提供了一套综合性的、由信息安全最佳实践 (bestpractices)构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。
在随后一段时间里,由于电子商务的发展,由此引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题,从而所谓的“第三方认证” (authorizedthirdparty)应运而生。信息安全管理遵循一套最佳实践,但怎样做的?执行程度如何?是否完备?这就需要有一个共同的尺度来进行衡量。
④信息安全管理体系。1998年,BS7799-2:1998《信息安全管理体系规范》 (SpecificationforInformationSecurityManagementSystems)公布,这是对 BS7799-1的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。至此,BS7799标准体系框架初步成型。
由于BS7799日益得到国际认同,使用的国家也越来越多,2000年12月,国际标准化组织 ISO/IECJTC1/SC27工作组通过了对BS7799-1:1999的认可审核,正式将其转化为国际标准,即所颁布的 ISO/IEC17799:2000《信息技术—信息安全管理实施细则》,从而使其成为了国际质量标准体系的一部分。作 为一个全球通用的标准,ISO/IEC17799并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些经典的 实践经验构成的,是市场驱动的结果。
2002 年,BSI对BS7799:2-1999进行了重新修订,正式引入了现代管理学中一个有着50年历史并且久经考验的模型-PDCA过程模型(Plan、 Do、Check和Act,即所谓的“戴明环”)。2004年9月5日, BS7799-2:2002正式发布,随即提交ISO并迈入国际标准化组织(ISO)的“快速通道”(FastTrack流程)。 2005年BS7799-2:2002终于被ISO组织所采纳,并于同年10月推出了国际标准ISO/IEC27001:2005。
2013年10月ISO/IEC正式改版为ISO/IEC 27001:2013,采用ISO导则83,规范了今后ISO管理体系认证标准的基本框架。 2013版的结构及内容的变化见《ISO/IEC27001:2013 新版介绍》。
关注卓越空间
关注卓越微博
关注卓越微信