ISO/IEC 27001: 2005是信息安全管理体系标准

ISO/IEC 27001: 2005是信息安全管理体系标准，其提供了企业建立信息安全管理体系的框架、方法和基本要求。ISO/IEC 27001: 2005明确提出了采用过程方法来建立、实施、运行、监视、评审、保持和改进组织的信息安全管理体系，并采用“规划一实施一检查一处置”( PDCA)模型，把相关方的信息安全要求和期望作为输入，通过必要的行动和过程，产生满足这些要求和期望的信息安全结果，如图8 -1所示。依据ISO/IEC27001标准进行信息安全管理体系建设，是推动企业信息安全保护方面最普遍的思路和决策。

ISO/IEC 27002是信息安全管理体系实用规则，是对ISO/IEC 27001标准的细化和补充，其中对信息安全的定义、意义、信息安全管理方法等进行了阐述，并明确了信息安全管理的11个控制域管理目标、控制措施、实施指南等信息。11个控制域是安全方针、信息安全组织、资产管理、人员安全、物理和环境安全、通信和运维管理、访问控制、信息系统信息获取和开发以及维护、信息安全事故管理、业务持续性管理、符合性等。

企业可以根据实际情况对1 1个控制域中1 13个控制点加以选择和使用，并通过相关措施的建立、健全和有效实施，保证信息安全管理目标的实现。11个控制域对应的控制点见表8 -1。