信息安全管理体系要求－ISO/IEC27001:2005介绍1发展：一个重要的里程碑ISO/IEC27001:2005的名称是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements”，可翻译为“信息技术-安全技术-信息安全管理体系要求”。在ISO/IEC27001:2005标准出现之前，组织只能按照英国标准研究院（BritishStandardInstitute，简称BSI）的BS7799-2:2002标准，进行认证。现在，组织可以获得全球认可的ISO/IEC27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步：从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。2目的：认证ISO/IEC27001:2005标准设计用于认证目的，它可帮助组织建立和维护ISMS。标准的4-8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4-8章的所有要求，那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核（初审）后，其结果是符合ISO/IEC27001:2005的要求，那么它就会颁发ISMS证书，声明该组织的ISMS符合ISO/IEC27001:2005标准的要求。然而，ISO/IEC27001:2005标准与ISO/IEC9001:2002标准（质量管理体系标准）不同。ISO/IEC27001:2005标准的要求十分“严格”。该标准4-8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足，就不能声称该组织的ISMS符合ISO/IEC27001:2005标准的要求。相比之下，ISO/IEC9001:2002标准的第7章的某些要求（或条款），只要合理，可允许其质量管理体系（QMS）作适当删减。因此，不管是第一方审核、第二方审核，还是第三方审核，评估组织的ISMS对ISO/IEC27001:2005标准的符合性是十分严格的。i.特点：信息资产风险评估ISO/IEC27001:2005标准适用于所有类型的组织，而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说，该标准要求组织通过业务风险评估的方法，来建立、实施、运行、监视、评审、保持和改进其ISMS，确保其信息资产的保密性、可用性和完整性。(1)信息资产ISO/IEC27001:2005所指“信息”可包括所有形式的数据、文件、通信件（如email和传真等）、交谈（如电话等）、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的，以任何方式存储的信息。通常，系统（如信息系统和数据库等）也可作为一类信息资产。(2)安全风险组织的信息资产可面临许多威胁，包括人员（内部人员和外人员）误操作（不管有意的，还是无意的）、盗窃、恶意代码和自然灾害等。另一方面，组织本身存在某些可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。(3)风险评估与处理ISO/IEC27001:2005标准要求组织利用风险评估的方法，确定每一个关键信息资产的风险，并根据各类信息资产的重要度和价值，选择适当的控制措施，减缓风险。风险评估和风险处理是ISO/IEC27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系，要进行信息资产风险评估和风险处理。其主要过程是：1)制定组织的ISMS方针和风险接受准则；2)定义组织的风险评估方法；3)识别要保护的信息资产，并进行登记；4)识别安全风险，包括识别资产所面临的威胁、组织的脆弱点和造成的影响等；5)对照组织的风险接受准则，评价和确定已估算的风险的严重性、可否接受；6)形成风险评估报告；7)制定风险处理计划，选择风险控制措施；标准明确规定，有4种风险处理方法：采用适当的控制措施、接受风险、避免风险和转移风险；8)执行风险处理计划，将风险降低到可接受的级别。从理论上，风险只能降低（或减少），而不能完全消除。选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护，将其所受的风险降低到可接受的水准，又能使所需要的费用在该组织的预算范围之内，使该组织能够保持良好的竞争力和成功运作的状态。另外，风险是动态的。风险评估活动应...