ISMS信息安全管理體系的發(fā)展歷程
發(fā)布時(shí)間:2025-06-25 點(diǎn)擊:14
信息安全管理體系(ISMS)是現(xiàn)代管理學(xué)在信息安全管理領(lǐng)域中的一個(gè)應(yīng)用分枝。它的發(fā)展歷史可以追溯到上個(gè)世紀(jì)初由于人類社會(huì)大規(guī)模工業(yè)生產(chǎn)所帶來的對(duì)產(chǎn)品質(zhì)量的自然訴求。
① 從產(chǎn)品質(zhì)量管理到全面質(zhì)量管理。從二十世紀(jì)初開始,進(jìn)入工業(yè)化階段的人類社會(huì)大規(guī)模工業(yè)生產(chǎn)導(dǎo)致了對(duì)產(chǎn)品質(zhì)量進(jìn)行科學(xué)控制的迫切需求,并先后經(jīng)歷了1911年以F.W.Taylor為代表的“產(chǎn)品質(zhì)量檢驗(yàn)”到1924年以W.A.Shewhart為代表的“統(tǒng)計(jì)質(zhì)量控制”等不同的階段。 Shewhart提出了一個(gè)管理模型,上個(gè)世紀(jì)五十年代經(jīng)EdwardsDeming進(jìn)一步凝練,形成了今天常用的戴明環(huán)。第二次世界大戰(zhàn)中工業(yè)化強(qiáng)國(guó)如美國(guó)、蘇聯(lián)等對(duì)大規(guī)模軍品生產(chǎn)過程中的質(zhì)量控制提出了更加嚴(yán)格的要求,使得以產(chǎn)品質(zhì)量為核心的管理進(jìn)化到1961 年以費(fèi)根堡姆為代表的“全面質(zhì)量管理”階段。
②質(zhì)量管理的國(guó)際化。隨著國(guó)際貿(mào)易的迅速 擴(kuò)大,產(chǎn)品和資本的流動(dòng)日趨國(guó)際化,伴隨而生的是國(guó)際產(chǎn)品質(zhì)量保證和產(chǎn)品責(zé)任問題。由于許多國(guó)家和地方性組織相繼發(fā)布了一系列質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn),制 訂質(zhì)量管理國(guó)際標(biāo)準(zhǔn)已成為一項(xiàng)迫切的需要。為此,國(guó)際標(biāo)準(zhǔn)化組織(ISO)于1979年單獨(dú)建立質(zhì)量管理和質(zhì)量保證技術(shù)委員會(huì)(TC176),負(fù)責(zé)制訂質(zhì) 量管理的國(guó)際標(biāo)準(zhǔn)。1987年3月正式發(fā)布ISO9000~9004質(zhì)量管理和質(zhì)量保證系列標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)總結(jié)了各先進(jìn)國(guó)家的管理經(jīng)驗(yàn),將之歸納、規(guī)范。發(fā) 布后引起世界各國(guó)的關(guān)注,并予以貫徹,適應(yīng)了國(guó)際貿(mào)易發(fā)展需要,滿足了質(zhì)量方面對(duì)國(guó)際標(biāo)準(zhǔn)化的需求。
③ 信息安全管理。上個(gè)世紀(jì)九十年代中葉,互聯(lián)網(wǎng)在全球范圍內(nèi)開始急劇擴(kuò)張,隨之而來的安全問題日趨突出。1995年,英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) (BritishStandardsInstitute,BSI)受英國(guó)貿(mào)工部 (TheDepartmentofTradeandIndustry,DTI)委托,開始著手制定信息安全管理標(biāo)準(zhǔn),后稱為BS7799。負(fù)責(zé)標(biāo)準(zhǔn)開發(fā)和 管理工作的BSI-DISCCommitteeBDD/2工作組是由來自貿(mào)易和工業(yè)部門的眾多代表共同組成的,其成員在各自的領(lǐng)域都具有較大的影響力,包 括世界金融保險(xiǎn)業(yè)的鼻祖英國(guó)保險(xiǎn)協(xié)會(huì)(AssociationofBritishInsurers)、渣打管理會(huì)計(jì)協(xié)會(huì)(CIMA)、匯豐銀行 (HSBC)等,通信行業(yè)有大英電訊公司,還有像殼牌(shell)、聯(lián)合利華(Unilever)、畢馬威(KPMG)等這樣的跨國(guó)機(jī)構(gòu)。該標(biāo)準(zhǔn)在短短 幾個(gè)月內(nèi)就迅速制定完畢。同年BS7799-1:1995《信息安全管理實(shí)施細(xì)則》首次出版,它提供了一套綜合性的、由信息安全最佳實(shí)踐 (bestpractices)構(gòu)成的實(shí)施細(xì)則,目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考基準(zhǔn)。
在 隨后一段時(shí)間里,由于電子商務(wù)的發(fā)展,由此引發(fā)客戶、供應(yīng)商、貿(mào)易伙伴間對(duì)各自信息保護(hù)能力的信任問題,從而所謂的“第三方認(rèn)證” (authorizedthirdparty)應(yīng)運(yùn)而生。信息安全管理遵循一套最佳實(shí)踐,但怎樣做的?執(zhí)行程度如何?是否完備?這就需要有一個(gè)共同的尺度 來進(jìn)行衡量。
④信息安全管理體系。1998年,BS7799-2:1998《信息安全 管理體系規(guī)范》(SpecificationforInformationSecurityManagementSystems)公布,這是對(duì) BS7799-1的有效補(bǔ)充,它規(guī)定了信息安全管理體系的要求和對(duì)信息安全控制的要求,是一個(gè)組織信息安全管理體系評(píng)估的基礎(chǔ),可以作為認(rèn)證的依據(jù)。至 此,BS7799標(biāo)準(zhǔn)體系框架初步成型。
由于BS7799日益得到國(guó)際認(rèn)同,使用的國(guó) 家也越來越多,2000年12月,國(guó)際標(biāo)準(zhǔn)化組織ISO/IECJTC1/SC27工作組通過了對(duì)BS7799-1:1999的認(rèn)可審核,正式將其轉(zhuǎn)化為 國(guó)際標(biāo)準(zhǔn),即所頒布的ISO/IEC17799:2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》,從而使其成為了國(guó)際質(zhì)量標(biāo)準(zhǔn)體系的一部分。作為一個(gè)全球通 用的標(biāo)準(zhǔn),ISO/IEC17799并不局限于IT,也不依賴于專門的技術(shù),它是由長(zhǎng)期積累的一些經(jīng)典的實(shí)踐經(jīng)驗(yàn)構(gòu)成的,是市場(chǎng)驅(qū)動(dòng)的結(jié)果。
2002 年,BSI對(duì)BS7799:2-1999進(jìn)行了重新修訂,正式引入了現(xiàn)代管理學(xué)中一個(gè)有著50年歷史并且久經(jīng)考驗(yàn)的模型-PDCA過程模型(Plan、 Do、Check和Act,即所謂的“戴明環(huán)”,見圖2.1)。2004年9月5日,BS7799-2:2002正式發(fā)布,隨即提交ISO并邁入國(guó)際標(biāo)準(zhǔn) 化組織(ISO)的“快速通道”(FastTrack流程)。2005年BS7799-2:2002終于被ISO組織所采納,并于同年10月推出了國(guó)際標(biāo) 準(zhǔn)ISO/IEC27001:2005。這一個(gè)國(guó)際標(biāo)準(zhǔn)體系則是本文研究所依據(jù)的重點(diǎn)。
iso14001 2015標(biāo)準(zhǔn),ISO14001系列標(biāo)準(zhǔn)較關(guān)鍵的原則
ISO8317認(rèn)證有效期管理
IATF16949認(rèn)證審核資料清單
GAP中藥材認(rèn)證證書的有效期是多少年
CE認(rèn)證的流程是什么?
淘寶轉(zhuǎn)讓平臺(tái)交易安全有擔(dān)保嗎?
散布圖在質(zhì)量里其實(shí)超級(jí)有用的,你Get到多少?
所以,申報(bào)高新技術(shù)企業(yè)認(rèn)定需要多少個(gè)專利?
① 從產(chǎn)品質(zhì)量管理到全面質(zhì)量管理。從二十世紀(jì)初開始,進(jìn)入工業(yè)化階段的人類社會(huì)大規(guī)模工業(yè)生產(chǎn)導(dǎo)致了對(duì)產(chǎn)品質(zhì)量進(jìn)行科學(xué)控制的迫切需求,并先后經(jīng)歷了1911年以F.W.Taylor為代表的“產(chǎn)品質(zhì)量檢驗(yàn)”到1924年以W.A.Shewhart為代表的“統(tǒng)計(jì)質(zhì)量控制”等不同的階段。 Shewhart提出了一個(gè)管理模型,上個(gè)世紀(jì)五十年代經(jīng)EdwardsDeming進(jìn)一步凝練,形成了今天常用的戴明環(huán)。第二次世界大戰(zhàn)中工業(yè)化強(qiáng)國(guó)如美國(guó)、蘇聯(lián)等對(duì)大規(guī)模軍品生產(chǎn)過程中的質(zhì)量控制提出了更加嚴(yán)格的要求,使得以產(chǎn)品質(zhì)量為核心的管理進(jìn)化到1961 年以費(fèi)根堡姆為代表的“全面質(zhì)量管理”階段。
②質(zhì)量管理的國(guó)際化。隨著國(guó)際貿(mào)易的迅速 擴(kuò)大,產(chǎn)品和資本的流動(dòng)日趨國(guó)際化,伴隨而生的是國(guó)際產(chǎn)品質(zhì)量保證和產(chǎn)品責(zé)任問題。由于許多國(guó)家和地方性組織相繼發(fā)布了一系列質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn),制 訂質(zhì)量管理國(guó)際標(biāo)準(zhǔn)已成為一項(xiàng)迫切的需要。為此,國(guó)際標(biāo)準(zhǔn)化組織(ISO)于1979年單獨(dú)建立質(zhì)量管理和質(zhì)量保證技術(shù)委員會(huì)(TC176),負(fù)責(zé)制訂質(zhì) 量管理的國(guó)際標(biāo)準(zhǔn)。1987年3月正式發(fā)布ISO9000~9004質(zhì)量管理和質(zhì)量保證系列標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)總結(jié)了各先進(jìn)國(guó)家的管理經(jīng)驗(yàn),將之歸納、規(guī)范。發(fā) 布后引起世界各國(guó)的關(guān)注,并予以貫徹,適應(yīng)了國(guó)際貿(mào)易發(fā)展需要,滿足了質(zhì)量方面對(duì)國(guó)際標(biāo)準(zhǔn)化的需求。
③ 信息安全管理。上個(gè)世紀(jì)九十年代中葉,互聯(lián)網(wǎng)在全球范圍內(nèi)開始急劇擴(kuò)張,隨之而來的安全問題日趨突出。1995年,英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) (BritishStandardsInstitute,BSI)受英國(guó)貿(mào)工部 (TheDepartmentofTradeandIndustry,DTI)委托,開始著手制定信息安全管理標(biāo)準(zhǔn),后稱為BS7799。負(fù)責(zé)標(biāo)準(zhǔn)開發(fā)和 管理工作的BSI-DISCCommitteeBDD/2工作組是由來自貿(mào)易和工業(yè)部門的眾多代表共同組成的,其成員在各自的領(lǐng)域都具有較大的影響力,包 括世界金融保險(xiǎn)業(yè)的鼻祖英國(guó)保險(xiǎn)協(xié)會(huì)(AssociationofBritishInsurers)、渣打管理會(huì)計(jì)協(xié)會(huì)(CIMA)、匯豐銀行 (HSBC)等,通信行業(yè)有大英電訊公司,還有像殼牌(shell)、聯(lián)合利華(Unilever)、畢馬威(KPMG)等這樣的跨國(guó)機(jī)構(gòu)。該標(biāo)準(zhǔn)在短短 幾個(gè)月內(nèi)就迅速制定完畢。同年BS7799-1:1995《信息安全管理實(shí)施細(xì)則》首次出版,它提供了一套綜合性的、由信息安全最佳實(shí)踐 (bestpractices)構(gòu)成的實(shí)施細(xì)則,目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考基準(zhǔn)。
在 隨后一段時(shí)間里,由于電子商務(wù)的發(fā)展,由此引發(fā)客戶、供應(yīng)商、貿(mào)易伙伴間對(duì)各自信息保護(hù)能力的信任問題,從而所謂的“第三方認(rèn)證” (authorizedthirdparty)應(yīng)運(yùn)而生。信息安全管理遵循一套最佳實(shí)踐,但怎樣做的?執(zhí)行程度如何?是否完備?這就需要有一個(gè)共同的尺度 來進(jìn)行衡量。
④信息安全管理體系。1998年,BS7799-2:1998《信息安全 管理體系規(guī)范》(SpecificationforInformationSecurityManagementSystems)公布,這是對(duì) BS7799-1的有效補(bǔ)充,它規(guī)定了信息安全管理體系的要求和對(duì)信息安全控制的要求,是一個(gè)組織信息安全管理體系評(píng)估的基礎(chǔ),可以作為認(rèn)證的依據(jù)。至 此,BS7799標(biāo)準(zhǔn)體系框架初步成型。
由于BS7799日益得到國(guó)際認(rèn)同,使用的國(guó) 家也越來越多,2000年12月,國(guó)際標(biāo)準(zhǔn)化組織ISO/IECJTC1/SC27工作組通過了對(duì)BS7799-1:1999的認(rèn)可審核,正式將其轉(zhuǎn)化為 國(guó)際標(biāo)準(zhǔn),即所頒布的ISO/IEC17799:2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》,從而使其成為了國(guó)際質(zhì)量標(biāo)準(zhǔn)體系的一部分。作為一個(gè)全球通 用的標(biāo)準(zhǔn),ISO/IEC17799并不局限于IT,也不依賴于專門的技術(shù),它是由長(zhǎng)期積累的一些經(jīng)典的實(shí)踐經(jīng)驗(yàn)構(gòu)成的,是市場(chǎng)驅(qū)動(dòng)的結(jié)果。
2002 年,BSI對(duì)BS7799:2-1999進(jìn)行了重新修訂,正式引入了現(xiàn)代管理學(xué)中一個(gè)有著50年歷史并且久經(jīng)考驗(yàn)的模型-PDCA過程模型(Plan、 Do、Check和Act,即所謂的“戴明環(huán)”,見圖2.1)。2004年9月5日,BS7799-2:2002正式發(fā)布,隨即提交ISO并邁入國(guó)際標(biāo)準(zhǔn) 化組織(ISO)的“快速通道”(FastTrack流程)。2005年BS7799-2:2002終于被ISO組織所采納,并于同年10月推出了國(guó)際標(biāo) 準(zhǔn)ISO/IEC27001:2005。這一個(gè)國(guó)際標(biāo)準(zhǔn)體系則是本文研究所依據(jù)的重點(diǎn)。
iso14001 2015標(biāo)準(zhǔn),ISO14001系列標(biāo)準(zhǔn)較關(guān)鍵的原則
ISO8317認(rèn)證有效期管理
IATF16949認(rèn)證審核資料清單
GAP中藥材認(rèn)證證書的有效期是多少年
CE認(rèn)證的流程是什么?
淘寶轉(zhuǎn)讓平臺(tái)交易安全有擔(dān)保嗎?
散布圖在質(zhì)量里其實(shí)超級(jí)有用的,你Get到多少?
所以,申報(bào)高新技術(shù)企業(yè)認(rèn)定需要多少個(gè)專利?