起源/历史

ISO 27001系列标准的起源是BS799，一个从UK DTI CCSC(英国工贸部商业计算机安全中心)的“用户行为守则”(首次发布于1989年)发展起来的英国标准。BS7799，在1995年被发布为BS7799:1995，在经过重要修订后，又被重新发布为BS7799：1999。在经过了小的修订后，该文件被接受为信息安全管理的国际标准ISO/IEC 17799:2000，又经过了一些修订，被重新发布为ISO/IEC 17799:2005(可能会变成ISO/IEC 27002)。

标准的第二部分BS7799-2发布于1998年，增添这部分的目的是为信息安全管理体系的创建及其要求提供指导。为了与其他的管理体系标准(ISO/IEC 9001:2000和ISO/IEC 14001:1996)相一致，修订的BS7799-2包括了计划-执行-检查-采取行动(PDCA)循环，从而把它的范围扩展到了一个组织的信息安全管理体系的建立、实施、运营、监测、检查、维护和改进。这次发布的版本叫BS7799-2:2002，又经过了一些修订，被接受为一个完整的国际标准ISO/IEC 27001:2005。

这个标准的两个部分之间有着一种奇怪的相互作用：虽然标准的第二部分是作为原始行为守则的支持性文件推出的，但这部分很快变成了两个文件中更为重要的一个，由它为创建和维护一个组织的ISMS提供指导。因此，原来的第二部分现在成了ISO/IEC 27001，而原来的第一部分则将成为ISO/IEC 27002。

5.2 ISO 27001的应用范围

一个组织的信息安全管理体系(ISMS)是使一个组织所有信息资产的价值得到持续保护的工具。

当今的组织环境为组织拥有的信息资产赋予了很高价值。有一些商业训诫说共享这些信息资产可以使它们创造出最大的价值。由于规制、法律以及保护竞争优势等方面的原因，也存在着要求保护信息资产的反向力量。

5.3 描述及核心示意图

ISO 27001系列标准认识到信息安全管理的多面性应该通过ISMS的实施和运营得到反映。技术的、人的、系统的、组织的和社会的因素交织在一起，每一个因素都增加了问题的复杂程度，要构建一个合乎目的的体系必须采取一种精致的整体方案。

ISO 27001有两个部分：

ISO 27001:2005，信息技术-安全技巧-信息安全管理体系-要求

ISO 17799:2005，信息技术-安全技巧-信息安全管理行为守则

ISO 27001:2005为一个合乎目的的信息安全管理体系的综合体提供了一个管理方案，是否合乎目的要根据信息安全要求以及相关方面的期望来测量。

ISO 17799:2005是一个行为守则，分为11个领域和39个安全控制目标，其中每个都针对组织面临的某个特定领域的信息安全顾虑而设计。对每个领域，行为守则都描述了高级别的信息安全目标以及对处理这些目标范围内的风险所做的控制。该部分还包含实施指导。

ISO 27001:2005在它的附录A中包含了一个ISO 17799:2005的摘要。