� ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式发布为 ISO/IEC 27002:2005，这次更新只在于标准上的号码, 内容并 没有改变。
ISO/IEC 27001
� 2002 年，BSI 对BS7799:2-1999 进行了重新修订，正式引入 PDCA 过程模型，2004 年9 月5 日，BS7799-2:2002 正式 发布。
� 被认为是信息安全的常用惯例的控制措施包括：
� a) 信息安全方针文件（见5.1.1）； � b) 信息安全职责的分配（见6.1.3）； � c) 信息安全意识、教育和培训（见8.2.2）； � d) 应用中的正确处理（见12.2）； � e) 技术脆弱性管理（见12.6）； � f) 业务连续性管理（见14）； � g) 信息安全事故和改进管理（见13.2）。
� 这些控制措施适用于大多数组织和环境。
� （引用自ISO/IEC 17799:2005中 “0.6 信息安全起点” ）
目录
� 背景介绍 � ISO/IEC 17799 � ISO/IEC 27001
� 重点内容 � 重点章节 � 认证流程
� 17799&27001 � 我司业务与ISO/IEC 27001
� 重点内容 � 重点章节 � 认证流程
� 17799&27001 � 我司业务与ISO/IEC 27001
17799标准内容
� ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制 措施
� 1) 安全方针 � 2) 信息安全组织
护 � 3) 资产管理 � 4) 人力资源安全 � 5) 物理和环境安全 � 6) 通信和操作管理
� （引用自ISO/IEC 17799:2005中 “0.8 开发你自己的指南” ）
信息安全起点
� 实施细则中有些内容可能并不使用于所有组织和企业，但是有些措施可以使用于大 多数的组织，他们被成为“信息安全起点”。 � 从法律的观点看，根据适用的法律，对某个组织重要的控制措施包括：
� a) 数据保护和个人信息的隐私（见15.1.4）； � b) 保护组织的记录（见15.1.3）； � c) 知识产权（见15.1.2）。
� 1995 年，BS7799-1:1995《信息安全管理实施细则》首次出版，它提供了一套 综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用 控制提供唯一的参考基准。
� 1998 年，BS7799-2:1998《信息安全管理体系规范》公布，这是对BS7799-1 的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个 组织信息安全管理体系评估的基础，可以作为认证的依据。
� 2008年6月19日， GB/T 19716-2005作废，改为GB/T 220812008 。
� 台湾省
� 在台湾，BS7799-1:1999 被引用为CNS 17799，而BS77992:2002 则被引用为CNS 17800。
目录
� 背景介绍 � ISO/IEC 17799 � ISO/IEC 27001
� 2000 年12 月，国际标准化组织ISO/IEC JTC 1/SC27 工作组 认可BS7799-1:1999，正式将其转化为国际标准，即所颁布的 ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。
� 2005 年6 月，ISO/IEC 17799:2000 经过改版，形成了新的 ISO/IEC 17799:2005，新版本较老版本无论是组织编排还是内 容完整性上都有了很大增强和提升。
� 1999 年4 月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络 和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包 括电子商务、移动计算、远程工作等。
ISO/IEC 27002(17799)
� 2005年，BS7799-2:2002 终于被ISO 组织所采纳，于同年10 月推出了ISO/IEC 27001:2005。
对应国内标准
� 大陆
� 2005年6月15日，我国发布了国家标准《信息安全管理实用规则》 (GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标 准。
ISMS(信息安全管理系统)
� ISO/IEC 27001:2005版通篇就在讲一件事，ISMS(信息安全管理系统)。
� 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系 （InformationSecurity Management System，简称ISMS）提供模型。采用 ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需 要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及 其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例 如，简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。
2012-2-13
ISO/IEC 27001简介
目录
� 背景介绍 � ISO/IEC 17799 � ISO/IEC 27001
� 重点内容 � 重点章节 � 认证流程
� 17799&27001 � 我司业务与ISO/IEC 27001
BS7799
� BS7799 是英国标准协会（British Standards Institute，BSI）针对信息安全管 理而制定的一个标准。
17799的适用性
� 本实用规则可认为是组织开发其详细指南的起点。对一个组织来 说，本实用规则中的控制措施和指南并非全部适用，此外，很可能 还需要本标准中未包括的另外的控制措施和指南。为便于审核员和 业务伙伴进行符合性检查，当开发包含另外的指南或控制措施的文 件时，对本标准中条款的相互参考可能是有用的。
7) 访问控制 8) 信息系统获取、开发和维
9) 信息安全事故管理 10) 业务连续性管理
11) 符合性
� 注：详细内容见附录二
17799:2000 Vs 1779:2005� ISO/IEC 17799:2005版的内容与2000版相比，新增加了17 项 控制，在客户往来安全、资产属主定义、人员离职管理、第三方服 务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。 去掉了原标准中的9 项控制，这些控制或者是不再适应信息通信 技术的发展，或者是已经并入到新标准的其他控制内容中了。