GDS万国数据BS7799认证成功转版为ISO27001

2007年6月，GDS万国数据BS7799认证成功转版为ISO27001。GDS一直在跟踪信息安全领域的最新进展，转版的成功标志着GDS万国数据在信息安全管理方面有了更高的提升，并且保持着和标准的同步发展，可以为客户提供更加安全的、基于高可用性数据中心的外包服务。

在信息安全管理体系方面， BS7799是信息安全管理标准的里程碑。BS7799标准于1993年由英国贸易工业部立项，先后于1995年和1998年分别公布了BS 7799-1：1995《信息安全管理实施细则》和BS7799-2《信息安全管理体系规范》。BS7799-2《信息安全管理体系规范》规定了信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础。2000年12月，BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准----- ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日，BS7799-2:2002草案经过广泛的讨论之后，成为正式标准，同时BS7799-2:1999被废止。

2005年10月，BS7799-2被国际标准组织首次采纳为国际标准，经过修订后发布为ISO/IEC 27001:2005。 修订后的ISO27001在原标准中增加了一个新的安全控制章节，即"信息安全事件管理"；同时，新标准中的安全类别也相应调整为39个，安全控制总数增至133个。此外，ISO 27001的转版中还增加了"企业必须制定风险评估方法"。

BS7799和ISO27001标准得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。在某些行业如IC和IT外包，信息安全管理体系认证已成为一些客户的要求条件之一。

GDS（Global Data Solutions Limited）万国数据服务有限公司是中国灾难恢复行业的领军企业，致力于推动中国IT外包服务的发展。GDS万国数据拥有全国性的网络化高可用性数据中心，为客户提供业务连续管理体系的全面服务，包括高可用性IT基础环境服务、灾难恢复（BC/DR）规划、实施、运行外包服务、测试中心服务、数据中心平台服务、ECC运行监控服务等。因此，转版的成功使得GDS万国数据可以更好的为客户的发展保驾护航。

李丽琴

相关链接：

　　信息安全管理系统标准 - ISO/IEC 27001:2005
　　在日趋网络化的世界里，「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑，当信息被意外或刻意的传给恶意的接收者时，同样的信息也可能导致一所机构倒闭。在当今的信息时代，科技无疑为我们解决了不少问题。
    国际标准组织(ISO)应此类需求，制定了 ISO 27001:2005标准，为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息，同时也为制定统一的机构保安标准搭建了一个平台，更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。

★  什么机构可采用 ISO/IEC 27001:2005 标准？
    任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构，均可采用 ISO/IEC 27001:2005标准。简单的说，也就是那些需要处理信息、并认识到信息保护重要性的机构。

★  ISO/IEC 27001 的控制目标及措施
    ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性，为达成上述宗旨，该标准共提出了39个控制目标及134项控制措施，推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施，同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则，为如何推行控制措施提供指引。



★  ISO/ IEC 27001:2005 的架构
    ISO/ IEC 27001:2005 标准在 2005 年 10 月公布，同时取缔了多国采纳的英国标准 BS 7799-2:2002 ，但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图，以实现持续改善的目标。

I. 计划
    计划最重要的部分是设定涵盖的范畴及区域，它可以是：

计划的主要工作包括信息安全管理系统、风险评估、风险管理、风险处理措施和适用性报告。
    信息安全管理系统是运营风险整体管理系统的其中一部分，目的是建立、实施、推行、检讨、维持及改善信息安全。
    机构在信息的机密性、完整性和可用性三方面的目标各是什么呢？什么程度的风险是可接受的？是否存在任何限制，如法律、法规或机构内部程序？信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。

　　风险评估 根据需要保护的信息和可接受的风险程度来识别真正的风险，并就这些风险出现的可能性与其影响的严重性作出评估，从而辨别出机构需要管理的风险，即下图红色部分内的风险。

　　风险管理 / 风险处理
　　完成风险评估后，便要决定如何处理这些风险。

　　适用性报告 (Statement of Applicability)
　　识别出所有的保安措施，指出哪些对机构而言是适用或不适用的，并说明原因。必须针对风险评估的结果来选择控制措施。

II. 实施
    选定了控制措施后，便需落实推行，同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应，并确保所有员工都了解信息安全的重要性，且确保其接受了适当的培训，及有能力执行他们负责的保安任务。此外，还要妥善管理所需的资源。

III. 核查
    核查的目的是确保控制措施都已推行，并能达到既定的目标。尽管有多种可行的核查方法，但只有内部审核与管理检讨是强制性的要求。

IV. 采取行动
    最后便需对核查结果采取适当的行动，相关的行动可以是：

总结
    ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具，协助其避免信息保安的失误，从而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关认证的机构将受益匪浅，以下列举其中数项：