一、信息安全標準與規範

信息安全標準的意義：標準是規範性文件之一。其定義是為了在一定的範圍內獲得最佳秩序，經協商一致制定並由公認機構批准，共同使用的和重複使用的一種規範性文件。

信息安全標準組織

在國際上，與信息安全標準化有關的組織主要有以下2個：

1、International Organization for Standardization（ISO）國際標準化組織，International Electrotechnical Commission（IEC）國際電工委員會

2、國內的安全標準組織主要有：

信息技術安全標準化技術委員會（CITS），中國通信標準化協會（CCSA）下轄的網絡與信息安全技術工作委員會

3、其它一些制定標準的組織：

International Telecommunication Union（ITU）國際電信聯盟，The Internet Engineering Task Force（IETF）Internet工程任務組

二、ISO27001信息安全管理體系

信息安全管理體系（Information Security Management System，簡稱ISMS）的概念最初來源於英國標準學會制定的BS7799標準，並伴隨著其作為國際標準的發佈和普及而被廣泛地接受。

Plan：信息安全管理體系的策劃與準備。根據組織的整體方針和目標，建立安全策略、目標以及與管理風險和改進信息安全相關的過程和程序，以獲得結果。

Do：信息安全管理體系文件的編制。實施和運行安全策略、控制、過程和程序。

Check：信息安全管理體系運行。適用時，根據安全策略、目標和慣有經驗評估和測量過程業績，向管理層報告結果，進行評審。

Action：信息安全管理體系審核、評審和持續改進。根據內部ISMS審核和管理評審或其他信息，採取糾正和預防措施，以實現ISMS的持續改進。

1）ISO信息安全管理體系家族

2) ISO27001演變歷程

目前正在適用的ISO/IEC27001及ISO/IEC27002均為2013發佈的版本。以下是九腦匯學院所整理IMSI與ISO/IEC 27000的區別，如下：

ISMS是信息安全管理體系，任何公司都可以實施這個體系，但是怎麼實施呢？要達到哪些要求呢？ISO27000就給出了詳細的要求或標準。組織可以依據ISO27001的詳細標準或要求去建立ISMS體系。

ISO27001的理念是基於風險評估的信息安全風險管理，採用PDCA過程方法，全面、系統、持續地改進組織的信息安全管理。可用於組織的信息安全管理體系建立和實施，保障組織的信息安全。

ISO27001是一個總的指導思想，依據是“PDCA"（PLAN、DO、CHECK、ACTION）的“戴明環”管理思想，是一個整體的信息安全管理框架，強調的是建立一個持續循環的長效管理機制；而ISO27002就是具體的信息安全管理流程，是在ISO27001整體框架指導下具體的信息安全細節。只有ISOIEC27001是可以被認證的，其餘的標準都是為這個認證所服務的具體條款和操作指導。

3) 構建信息安全管理體系的具體內容

ISO27002中的14個控制行為：