信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：
　　直接损失：丢失订单，减少直接收入，损失生产率；
　　间接损失： 恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；
　　法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。

　　目前，在信息安全管理体系方面，ISO/IEC27001：2005――信息安全管理体系（ISMS）标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。

　　BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799——1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799——1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准——ISO/IEC17799：2000《信息技术-信息安全管理实施细则》，后来该标准已升版为ISO/IEC17799：2005。2002年9月5日，BS7799——2：2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA（Plan——Do——Check——Act）的过程管理模式，建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。在2005年，BS7799——2：2002正式转换为国际标准ISO/IEC27001：2005。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　[返回]