iso27001

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。

第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

一个组织可以仅遵从ISO17799来建立和发展ISMS（信息安全管理体系），因为实践指南中的内容是普遍适用的。然而，由于ISO17799并非基于认证框架，它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲，这就表明一个正在独立运用ISO17799的机构组织，完全符合实践指南的要求，但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是，一个正在同时运用ISO27001和ISO17799标准的机构组织，可以建立一个完全符合认证具体要求的ISMS，同时这个ISMS体系也符合实践指南的要求，于是，这一组织就可以获得外界的认同，即获得认证。