一. 背景介紹　　

    目前，在信息安全管理體系方面，ISO27001（原BS7799標準）已經成為世界上應用最廣泛與典型的信息安全管理標準。該標準于1993年由英國貿易工業部立項，于1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的參考基準，并且適用于大、中、小組織。1998年英國公布標準的第二部分BS 7799-2《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎，可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于 1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了ISO的認可，正式成為國際標準―― ISO/IEC17799-1：2000《信息技術-信息安全管理實施細則》。2002年9月5日，BS7799-2:2002草案經過廣泛的討論之后，終于發布成為正式標準――ISO27001，同時BS7799-2:1999被廢止。2006年5月，BS7799-3：2006《信息安全風險管理指南》出版。

    針對ISO27001標準的受認可的認證，是對組織信息安全管理體系（ISMS）符合BS7799-2 要求的一種認證。這是一種通過權威的第三方審核之后提供的保證：受認證的組織實施了信息安全管理體系，并且符合BS7799-2 標準的要求。通過認證的組織，將會被注冊登記，并且與認證委員會、DTI 以及ISMS IUG 的國際網絡相聯系。

    二．發展現狀和適用范圍

    目前，已有20多個國家引用BS 7799-2作為國標，BS 7799(ISO/IEC17799)也是賣出拷貝最多的管理標準，其在歐洲的證書發放量已經超過ISO9001。并有41 個國家和地區開展了此項業務， 我國的臺灣和香港地區也已經采用并推廣了BS7799 標準。在臺灣，BS7799-1:1999 被引用為CNS 17799，而BS7799-2:2002 則被引用為CNS 17800。在中國大陸， BS7799 標準全面解析（ISMG-005）的國標化一直是個熱點議題，而相關的ISMS 認證工作正在試點運行。

    BS7799標準從正式發布到現在的十年時間里，全球接受并且按照BS7799 最佳實踐來實施ISMS 的組織達到了近10 萬家，其中很多都是國際上知名的企業，例如富士通、KPMG、Insight、三星電子、東芝、索尼、Symantec 等。根據ISO/IEC 17799（BS 7799）國際使用者協會的最新統計，到2005年4月，全球通過信息安全管理體系BS 7799-2認證的組織已經超過1200家。證書主要集中在日本、英國、印度、臺灣。證書的行業分布主要在政府、金融、通信、電子、物流等行業。

    信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等的企業。