优势和劣势

ISO 27001:2005为合乎目的的一个信息安全管理体系的综合体提供了详细的指导，是否合乎目的要根据组织的风险情况来测量。体系通过多次重复PDCA循环来建立，每一次循环都会提高体系的有效性。为ISMS提出的行为守则中包含着很有深度的指导，所实施的体系广度也很好。

考虑到当代计算机系统的复杂性，该标准将私密性、完整性和可用性作为核心似乎很有局限性。实际上，私密性、完整性和可用性恰恰是开始资产的信息安全需求分析的适度水平，在范围方面，它考虑到了这样一种需要，即，让该资产在ISMS的范围内得到充分利用，同时在ISMS范围之外保持稀缺。诸如身份认证这样的议题实际上是保护资产信息安全要求的弱点控制内容。

实施ISMS的一个主要问题是组织拥有的资产数量太多。数以千计的资产数量并不希奇，标准说明所有这些资产的信息安全要求都要依照每个可能的威胁来进行评估。资产/威胁组合的巨大数量为PDCA循环的头一次执行提出了巨大挑战。

现代的组织需要超出他们的物理边界同伙伴组织共享信息。考虑到两个或者更多的组织可能要受同一ISMS的影响，ISMS范围和背景的定义会变得困难。按照标准对所有伙伴组织进行外部评价可以缓解这一问题，在相对较少的细节——如信息安全级别——上达成协议会有很大帮助。

5.7 相互参照/联系

ISO 27001(在文件结构和意图方面)同ISO 9001:2000(ISO 9001:2000，质量管理体系-要求)以及ISO 14001:2004(环境管理体系-要求和使用指导)都有密切的联系。其目的是支持同这些管理标准的一致而又集成的实施和运营，使得同一个组织管理体系能同时满足所有这三个标准。

5.8 链接及参考文献

5.8.1 有关ISO 27000的图书和文章

Calder， A. (2006). Information Security based on ISO 27001/ISO 17799 - A Management Guide. Zaltbommel: Van Haren Publishing.

ISO 17799:2005， Information technology – Security techniques – Code of practice for information security management. (2005). Geneva: International Organization for Standardization.

ISO 27001:2005， Information technology – Security techniques – Information Security management Systems – Requirements. (2005). Geneva: International Organization for Standardization.

5.8.2 有关ISO 27000的网站

www.bsi-global.com 有关ISO/IEC 27000系列标准的更多信息可以通过很多国家标准组织得到，例如，英国的www.bsi-global.com。

www.iso.org 有关ISO标准的更多普通信息。