英國标準協會:國際标準服務提供商-中文百科頻道

标準部

BSI共有五大業務部門，其中的英國标準部可謂是BSI的标準核心業務機構。它對内代表英國國家标準機構，通過與股東協作，制定标準和應用創新的标準化解決方案，滿足公司和社會需求。對外，在正式國際組織中代表英國，确保英國對研發歐洲和國際正式标準的最大影響。作為世界上第一個國家标準組織，BSI管理着24萬個現行的英國标準、2500個專業标準委員會，參加标準委員會的成員達23萬多名，BSI正在進行着7000多個标準項目的研發。

BSI承擔的英國國家标準組織的職責包括：服務于公共政策利益，是英國經濟基礎結構的組成部分；兼顧工業、政府和消費者等各方的不同利益；促進英國國家标準、歐洲标準和國際标準的研發；提供延伸的非正式産品和服務；作為國際标準化、歐洲标準化的重要橋梁。

BSI制定标準的業務領域并非包羅萬象，主要專注于優勢領域。其傳統優勢領域為：健康、電工、工程、材料、化學、消費品與服務、信息技術，同時在交通、建築、風險業、環境可持續發展、電子商務、信息安全、質量管理等領域不斷開拓。

立項标準

BSI在長期的标準研發實踐中，制定有一整套适應市場規律、科學的判别标準和工作程序。一個完整的标準項目的研發過程包括提議－接受－起草與編輯－公共質詢－評價－批準－公布和出版等階段。在接受一項新項目或提議前，首先必須回答如下問題：

效益：對企業界和其他利益相關方有何利益？

成本：需要多少人時和成本？

技能：需要何種技能？該技能能否得到？

資金來源：該項目是通過銷售回收成本，還是獲得基金的支持？

交付時間：何時需要交付？

創新性：該項目是否同新技術、新市場和新商業模式有關？

變化性：該項目的引進是否對現有商業模式帶來重大的轉變或者幫助商家适應變化的市場？

國際競争性：該項目是否有助于商家開拓海外市場？

國際影響力：該項目是否能在海外促進社會進步和價值提升？

技能和知識庫：該項目是否有助于理解技術（包括技術和知識轉移）、商業實踐、标準的應用或自身的标準化？

教育：該項目是否支持一項或多項正規的教育大綱？

産品和服務采購：該項目是否促進産品或服務的采購？

公共采購：該項目是否促進政府采購活動？

消費者利益：該項目是否促進為消費者提供更好的産品或服務？

可持續性：該項目是否促進産品或服務的可持續性生産和使用？

商業效率：該項目是否促進了商業經濟、效率和管理？

兼容性：該項目是否保證在商業、工藝、産品和服務中的兼容？

法規條理：該項目是否支持新的或現有的英國和歐洲法律法規？是否促進健康、安全、環境或其他法律法規的執行？

公共政策：該項目是否支持新的或現有的英國、歐洲或國際公共政策，或促進公共政策的貫徹執行？

同小企業相關的問題：該項目是否包含有小企業生産、使用或銷售的産品或服務？該項目對小企業的執行成本影響有多大？

協會任務

英國标準協會的主要任務是：

①編制和銷售專用的、全國性和國際性标準和支持信息，用以推廣和分享最佳實踐。制定和貫徹統一的英國标準(BS)。根據1982年的政府“白皮書”和政府與BSI的諒解備忘錄，今後各部門将不再制定标準，在立法和貿易中要更多地采用BS标準；

②開展産品質量合格認證和安全認證，風筝标志測試和認證，以及英國、歐洲和國際标準的CE标志認證。BSI是15項歐盟新方法指令（New Approach Directives）的申請受理機構

③管理規範所有關鍵領域的第二方和第三方管理系統評估和認證，接受外國認證委托、按國外标準進行認證并頒發外國的認證證書和标志

④積極參與國際标準化活動，争取BSI更多更大的影響國際标準

⑤對中小企業提供技術咨詢

⑥高風險、高複雜度的醫療設備認證

⑦績效管理軟件解決方案

⑧能夠識别并緩解供應鍊風險的供應鍊安全解決方案

⑨支持标準實施和業務最佳實踐方面的培訓服務

BSI有工作人員1200餘人，設标準部、測試部、質量保證部、市場部、公共事務部等業務部門。标準部是标準化工作的管理和協調機構。

BSI是國際标準化組織(ISO)、國際電工委員會(IEC)、歐洲标準化委員會(CEN)、歐洲電工标準化委員會（CENELEC）、歐洲電信标準學會(ETSI)創始成員之一,并在其中發揮着重要作用。按承擔TC/SC技術秘書處數量和資助額計算。BSI在ISO中的貢獻率為17%,僅次于德國DIN(19%)居第二位;在CEN/CENELEC中的貢獻率為21%,居第三位(德國DIN為28%,法國AFNOR為22%)。根據1978年11月15日簽訂的《中華人民共和國和大不列颠及北愛爾蘭聯合王國政府科學技術合作協定》第二條規定,英國标準學會同中國标準化協會于1980年4月19日在北京簽訂了《中國标準化協會和英國标準學會合作協議》。雙方開始了有益的合作。

工作重點

在世貿組織規定的總體框架内，世界各國為了各自的利益，圍繞标準的制定和國際市場的占領正展開激烈的競争。發達國家都把國際标準競争、控制國際标準的主導權作為經濟競争追求的最高目标，BSI就是典型代表之一。事實上，BSI标準部的主要工作基本都用在歐洲标準和國際标準上。長期以來，BSI憑借着世界對其曆史的認同、廣泛的基礎、雄厚的實力和信譽，成為國際标準組織秘書處五大所在地之一（其他四個為：美國的ANSI、日本的JISC、德國的DIN和法國的AFNOR），共有245個國際和歐洲标準組織秘書處設在BSI，是名副其實的英國通往國際标準和歐洲标準的主要通道。BSI在國際和歐洲标準組織的地位确保了英國的最大影響。

5BSI與政府的關系

英國貿工部标準與技術法規司是制定标準、測試和認證政策的政府主管部門，但其僅負責政策層面的管理。具體的标準、測試和認證管理職能分别賦予兩個機構：标準管理職能由BSI實施，測試和認證資格管理職能由英國認證服務局負責。如前所述，BSI共有标準研發、标準技術信息提供、産品測試、體系認證和商檢服務五大業務。BSI僅僅在标準研發這一業務上擁有英國國家标準機構的職能，而其他業務，如産品測試、體系認證等，同社會上其他認證公司一樣，必須通過英國認證服務局的資格認證，才有資格從事這些業務。

英國政府認為，标準的自願性質決定了标準類文件應由非政府機構直接管理。政府應管理涉及國家安全、人類健康等應由政府強制執行的法規類文件，涉及技術問題的自願性标準應由協會來管理。為此，英國政府以皇家憲章和簽訂備忘錄的形式确定了政府與BSI的法律關系。

①BSI的皇家憲章

BSI的皇家憲章主要規定了BSI的獨立法人地位、業務範圍、董事會和會員的組成等。皇家憲章還特别規定，BSI的運營收入若有盈餘，其盈餘必須用于業務再投入，不得用于分紅。規定的業務範圍包括：研發、銷售和推廣标準，登記、批準和使用标準商标，從事系統評價服務、産品材料檢驗、測試和認證，以及培訓等業務。

②BSI與政府簽署的國家标準機構備忘錄

在BSI行使國家标準機構的職能上，英國政府采取簽署備忘錄的形式承認BSI的英國國家标準機構地位。雙方本着平等、獨立和服務于公共利益的原則，在備忘錄中規定了BSI作為英國國家标準機構的責任和權利的同時，也規定了政府應盡的責任。實踐證明，英國政府的這種管理模式取得了很好的成效。

6标準部的經營情況

事實上，BSI在經營标準的過程中，也可帶來一定的經濟效益。2002和2003年BSI标準部的财務收入占了BSI整個集團收入的17%以上。

四大業務

①商務信息服務

專注于提供标準信息和動态服務，包括知識産權管理、個性化标準服務。商務信息咨詢、研讨會與培訓、電子化産品的開發、國際技術援助項目等。

②管理體系認證服務

主要包括ISO9000質量管理系列标準、ISO14000環境管理标準和BS7799國際技術安全标準的認證、評價和培訓。在100個國家擁有44萬個注冊用戶，是世界上最大的管理系統登記機構。

③産品服務業務

主要提供産品測試服務，擁有17個在通訊、安全、消費品、建築和照明領域的産品測試實驗室。通過測試，授予風筝商标或CE商标。據統計，BSI的産品認證标記在英國有80%的人認同。

④驗證檢驗服務

為全球商品市場和行業提供獨立、綜合的驗證服務，包括檢驗、抽樣、測試和認證等服務。

國家标準化戰略框架

1為什麼要制定國家标準化戰略框架

雖然英國在标準和标準化方面一直走在世界前列，但正如英國政府最近發布的《英國10年科學與創新投入框架文件》指出的那樣：英國要在高度激烈競争的全球化經濟中立于不敗之地，隻有保持強大的高技術和知識能力，吸引最優秀的人才和企業，将國家潛力通過創新轉變成商業機會。這是新世紀繁榮的源泉，也是曆史變遷的一次新機遇。圍繞英國總體科技戰略（要使英國成為全球經濟的關鍵知識樞紐，同時成為将知識轉換成新産品和服務的世界領先者）的要求，作為國家創新體系重要組成部分的标準，在實現這個總體戰略過程中必将起到重要作用。

2國家标準化戰略框架的主要内容

國家标準化戰略框架由貿工部、标準協會和工業聯合會共同制定，經過2002年廣泛的公衆參與和讨論不斷完善，于2003年正式推出。整個框架包括戰略方向和實施框架兩大部分，是英國未來标準化行動的指南，是一個動态的戰略框架。框架規定了英國國家标準化總體戰略目标和戰略任務，并進一步分解，從政府、企業界、基礎支撐體系、國際化、創新和宣傳六大方面，細化了各方的戰略方向、戰略任務和主要工作，并提出了成功與否的衡量标準。整個框架的實施分成三個階段。

①國家标準化總體戰略目标和戰略任務

總體戰略目标：确保對标準和标準化的理解和使用方面具有實質性的進步，以造福于英國企業界、政府和社會。

戰略任務：使英國企業界通過戰略性使用标準，增強競争優勢，推廣最佳經驗，打進新興市場、促進企業創新；使英國政府通過有效使用标準，滿足公共政策、法律法規和社會目标的需要；建立一個和諧、有效和滿足所有标準使用者不同需求的基礎支撐體系。

②各方的戰略目标和任務

企業界

提高英國企業界對标準的認識和使用率。将标準作為主要杠杆，在技術和戰略層面提高競争力和生産力；

甄别和确定标準化工作能為英國企業界創造機遇的優先技術、市場和工業領域；

使用标準打開國際市場，提高生産力，加快進入市場速度，提升競争優勢，鼓勵創新，減少法規制定成本；

考慮到産業和市場結構的不同、生産服務類型的差異、技術發展速度的高低、産品生命周期的長短及其所處階段的不同需求，應有足夠的空間讓企業界選擇适當的正式标準或非正式标準，滿足企業界的不同需求。

政府

為提高英國商業競争力和支撐社會公共利益提供支撐框架，在政策、法規和政府采購等方面促進公共機構更加有效地使用标準；

提升政府标準化工作的協調性，降低标準制定成本，保衛公共健康和安全，滿足消費者需求，保障标準的有效實施；

将标準化工作同諸如創新、可持續發展等關鍵政策的制定緊密結合；

在政府采購工作中最大限度地使用标準，提高采購效率，增加中小企業在政府采購的市場機會。

基礎支撐體系

建立一個和諧、有效、具有持續資金來源的标準基礎支撐體系。這個體系所制定的标準應能滿足所有标準使用者的不同需求；

協調和管理各種因素，消除重複，最佳使用有限的資源；

提升英國基礎支撐體系的總體能力，探索标準化工作的新模式，為用戶提供及時和相關解決方案；

提高社會公衆對标準化工作的參與度，保障标準對各利益方的有效平衡；

為英國國家标準機構和其他标準支撐組織提供穩定、持續的基金。

國際化

以标準為手段，謀求更加開放的國際市場，減少技術壁壘；

跟蹤主要貿易國标準工作新動向，評估對英國的影響，使英國能有效應對競争威脅和貿易壁壘；

提高歐洲和國際标準化工作的效率；

宣傳英國和歐洲标準政策與準則；

充分利用英國政府的駐外機構，通過标準提升英國的國際影響力；

為優先國家提供目标明确的技術支持，包括對發展中國家的适當支持。通過知識和技術轉讓，加強英國同這些國家的友好關系；

積極影響歐洲和國際标準，改進市場準入條款，減少對英國産品和服務的貿易技術壁壘。

創新

促進技術創新，提高标準對新技術、新工藝、新方法的駕馭和擴散能力，通過創新生命周期，有效管理知識産權和獲得市場的認可；

正确地應用标準于新興領域，鼓勵創新人員參與标準化工作；

通過協調使用專利、許可、标準及其其他知識産權管理工具，最大限度地獲取創新所帶來的商業利益；

利用标準促進新技術、新工藝和新方法的商業化。

宣傳

建立标準宣傳體系，使全社會了解标準和标準的作用。開發有效使用标準的實用技術，将标準化工作植根于科技基礎；

加強标準和标準化的宣傳工作，使企業界和政府進一步将标準作為戰略工具，使決策者充分了解标準的作用和效益，以及如何使用标準；

提高目前和未來标準使用者參加标準化工作的參與度。建立标準需求第一聯系人制度，減少重疊工作；

将标準知識納入商業基礎技能政策體系。将标準化的概念納入正規教育大綱，保障下一代标準開發和使用者對标準的認識達到适當的水平。

③國家标準化戰略框架成功與否的衡量标準

戰略框架的成功與否主要通過上述六大方面主要目标的進展情況來衡量。定量衡量标準可通過企業界參與标準化的程度、所制定标準的市場關聯度、新興領域标準化工作水平、标準化創造的新的商業機會的價值、标準資源的可獲得性和可理解性、政府在政策法規和采購工作中使用标準的程度等指标進行衡量。當然，各項具體衡量指标因各領域的不同而有所不同，在戰略框架中不可能一一列出。

④國家标準戰略框架實施的三個階段

整個國家标準戰略框架的實施分成三個階段，每一階段都有不同的側重目标，但沒有列出時間表。

第一階段（打基礎階段）

開發兩個宏觀和微觀（商用）标準經濟模型；

建立并維護企業界聯絡網，确保英國和國際标準化工作的優先領域和專業領域有英國企業界的戰略意見和呼聲；

建立和管理專門針對中小企業的标準化工作，為中小企業特别關心的問題，如：煩瑣拖拉的公務程序、實施成本、代表權等，提出解決方案；

及時研發标準，并保障用戶能夠獲得；

對如何結合專利、标準和其他知識産權管理工具，最大限度地實現創新所帶來的商業價值提出政策指南；為貫穿産品整個生命周期的創新工作提供幫助；

通過英國駐外使領館，建立國際聯絡網，提高英國影響力，保障英國的商貿利益。

第二階段（提升階段）

面對企業界、政府宣傳标準化工作的好處，印發标準指南材料，為企業界各個層面、政府各級官員應用标準提供支持；

建立一個英國标準評價、優先領域的确定、各種資源的應用以及監測與管理的高效協作機制；

建立英國标準化基礎體系長期可持續發展基金，促進标準化工作對國民經濟的影響和标準化創造價值的認識；

提高國家标準體系的能力和透明度，使标準工作真正涵蓋包括非正式标準在内的所有标準解決方案；

通過國際标準體系，以優先市場和國家為重點，最大限度的施加英國标準和貿易的影響；

解剖标準化工作的典型案例，處理好企業與政府的關系，加強同廣大消費者的聯系；

激發企業界、政府和社會各界使用标準和參與标準研發的動力；

研發教學工具和指導材料，尋求将标準納入正規教學大綱的途徑。提高社會各界對标準及其應用的認知；

提供使用标準和标準化工作的培訓機會。

第三階段（出成效階段）

各企業把标準納入其戰略規劃，将标準作為提高競争力和生産力的工具；

政府了解标準可應用的公共領域，怎樣應用，鑒别更加有效應用标準的途徑和最佳方式；

通過更為有效的英國國家标準組織和政府機構的互動，建立并協調系列标準選擇方案，為政策和法規的實施中使用标準提供支持；

促進政府采購工作。通過标準的使用，提高采購效率，增加供應商和政府機構的透明度，并為中小企業提供更多的機會；

以英國國家标準組織确定的優先領域為基準，為發展中國家提供幫助；

從标準化工作角度，不斷跟蹤有益于新産業、新技術、新工藝和新商業方式的切入點，并鑒别具體機會。

銀監會BCM指引解讀及落地123

作者：BSI毛宇

衆所周知，銀行業務對業務連續性方面的要求近乎苛刻，需要采用業内最高标準進行系統的規劃，設計和構建。但近期發生的多次銀行業務中斷事件表明，盡管銀行業的災難恢複和數據保全方面已經非常完善，仍然不能避免業務中斷事件的發生，而業務連續性管理所解決的就是“一旦災難發生，企業能夠在多長時間内恢複多少業務”的問題。

銀監會對業務連續性方面的關注也從其陸續發布的系列指引可見一斑。早在2010年4月銀監會發布的《商業銀行數據中心監管指引》中，就已經提及了災難恢複管理，并指出重要信息系統災難恢複能力應達到《信息安全技術信息系統災難恢複規範》中定義的災難恢複等級第5級(含)以上的要求；2011年12月28日銀監會更是專門針對業務連續性管理下發了《商業銀行業務連續性監管指引》（以下簡稱：指引），足見銀行業對業務連續性的重視。

從該指引的結構上來看，其主要要求複蓋了BS 25999标準中的全部主要内容，并針對銀行業的具體情況對相關方面進行了量化的規定。

指引主要分為八個章節，其中第一章到第五章基本上與BS25999的3到6能夠完全對應。第六章描述了所建立的業務連續性管理體系如何在中斷事件中應用，第七章則提出了銀監會在業務連續性方面的監管要求。

指引要求的落地，可以考慮參考被業界廣泛認可的來自業務連續性協會BCI的《業務連續管理良好實踐指南》,并基于BSI的業務連續管理生命周期模型來實現，共分為六部分工作。

一、方針和方案管理：

推動組織實施業務連續性管理需要組織在實施初期啟動一個業務連續性Program，這一階段的初始目的是成功的完成一個BCM的生命周期，但是BCM方案管理的長期目标是提高組織的BCM能力，并因此通過實現連續的BCM生命周期循環，加強組織的運營彈性。一旦實施，如果BCM方案有效，則應制定持續改善的周期對其進行管理，在指引中明确規定了持續改善的周期是3年。

二、将BCM融入組織文化：

指引第九條指出，商業銀行應當将業務連續性管理融入到企業文化中，使其成為銀行機構日常運營管理的有機組成部分。

實現文化融入的方法和途徑在BS 25999的3.3有明确的叙述。

三、理解組織：

理解組織主要由業務影響分析BIA，風險評估RA和連續性資源分析CRA三部分組成。

由于指引針對的是銀行這個特定行業，因此在指引中也具體規定了“重要業務恢複時間目标不得大于4小時，重要業務恢複點目标不得大于半小時。”的具體要求。

四、确定BCM策略：

在商業銀行具體實施指引過程中要求根據業務影響分析結果，依據業務恢複指标，制定差别化的業務恢複策略，主要包括關鍵資源恢複、業務替代手段、數據追補和恢複優先級别等。

五、制定和實施BCM響應：

指引中要求商業銀行應該制定複蓋所有重要業務的業務連續性計劃，并建立制定總體應急預案和重要業務專項應急預案。同時還強調了應當要求重要業務及信息系統的外部供應商建立業務連續性計劃，證明其業務連續性計劃的有效性，其業務恢複目标應當滿足商業銀行要求。另外根據銀行業同業間的特點，特别強調了商業銀行應當注重與金融同業單位、外部金融市場、金融服務平台和公共事業部門等業務連續性計劃的有效銜接問題。

六、演練、保持和評審:

指引強調商業銀行應當開展業務連續性計劃演練，以檢驗應急預案的完整性、可操作性和有效性，驗證業務連續性資源的可用性，提高運營中斷事件的綜合處置能力。商業銀行應當将外部供應商納入演練範圍并定期開展演練；同時，應當積極參加金融同業單位、外部金融市場、金融服務平台和公共事業部門等組織的業務連續性計劃演練，确保應急和協調措施的有效性。指引要求商業銀行應當至少每三年對全部重要業務開展一次業務連續性計劃演練。

指引的最後部分強調指出了銀監會對業務連續性管理的監管要求。指引中要求商業銀行應當于每年一季度向銀監會或其派出機構提交業務連續性管理報告，包括上一年度業務連續性管理的評估報告與審計報告。此類報告的完成可以自行完成，但考慮到專業性和公信力的問題，銀行也可以考慮請BSI這樣對标準有深入理解，對行業有豐富經驗的專業第三方公司或組織來進行。

今年5月15日第一個業務連續性管理國際标準ISO 22301正式發布，該标準是BSI對行業的再一個重大的貢獻。作為行業的領先者BSI目前已經在100多個國家進行了ISO 22301的前身BS 25999相關服務的推廣，并在43個國家開展了BS 25999的認證業務。借助BSI在業務連續性管理方面豐富的經驗，必将為提升銀行業業務連續性能力做出貢獻

ISO27001新版修訂簡介

作者：BSI王永霞

自2005年國際标準化組織(簡稱:ISO)将BS 7799轉化為ISO 27001：2005發布以來，此标準在國際上獲得了空前的認可，相當數量的組織采納并進行了信息安全管理體系的認證,至2011年底，國際上頒發的ISO 27001認證證書總數約為15625張（其中，BSI的市場占有率達約為45.65%）。在我國，自從2008年将ISO 27001:2005轉化為國家标準GB/T22080:2008以來，

信息安全管理體系認證在國内進一步獲得了全面推廣，至2011年底，國内頒發認證證書數量是1107張。越來越多的行業和組織認識到信息安全的重要性，并把它作為基礎管理工作之一開展起來。

然而過去的幾年中，

IT領域和通信行業發生了非常大的變革，出現了全面的業務和技術的融合。移動互聯網蓬勃興起、智能手機的廣泛采用、雲計算技術的風起雲湧，帶來了全新的網絡威脅、數據洩漏和欺詐的風險。面對這樣的變化和趨勢，使得信息安全管理體系标準的更新也變得日益重要。

ISO對标準的更新，一般是以三年為一個周期,但因為ISO 27001：:2005标準發布後的巨大成功，以及ICT行業的飛躍發展，使得這個标準的更新變得非常謹慎，至今已有7年。從ISO組織發布的最新信息可以看到，ISO 27001标準的更新籌備實際上已經在2008年開始，任命了工作組（JTC 1/SC 27 WG 1）；2009年正式啟動更新。目前，處于該标準草案（Committee Draft）正在編寫委員會讨論層面（30.20：2012-06-20），預計新版發布時間會在2013-10-19，那時我們就可以一睹它的全新面貌了。

從ISO 27001标準新版更新的一些說明材料中，可以看出這次ISO 27001标準改版将會具有以下幾個特征：

采用ISO導則83ISO導則83，規範了今後ISO管理體系認證标準的基本框架；采用導則83頒布的第一個标準是今年5月發布的業務連續管理體系标準——ISO 22301:2012。

導則83對今後的标準提出了新的框架要求，如下圖示，标注了ISO27001新版與2005版結構的對比和差異：

在這個框架下，明顯的改變有如下幾點：

标準第4-7章，說明管理體系的一般要求，包括：組織的情境、領導力、策劃和支持；标準第8章，描述ISMS實施要求，包括信息安全風險評估和處置；标準第9章，描述監視，測量和評審活動的要求；标準第10章，描述改善活動的要求；其中，取消了預防措施。信息安全風險管理與ISO 31000風險管理保持一緻新版的ISO 27001标準中信息安全風險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines)保持一緻，并遵從其中的定義。

在新版标準中明确了以下要求：

信息安全風險評估：組織應确定如何确定其信息安全風險評估和處置過程的可靠性。信息安全風險處理：适用時，組織應調整信息安全風險評估和處置過程，以及采用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目标新版ISO 27001依然會保留SOA和附錄A控制目标、控制措施的架構；因此，毫無疑問，ISO 27001的新版修訂一定會與ISO 27002的修訂同步進行。

事實上，關于控制措施和控制目标的修訂，也是應對新的變化的信息安全威脅和風險必須的選擇；這部分的更新，在修訂項目中，接受了大量的修改建議，争論也相當大，目前還沒有最後的結論。

持續發展27系列支持性标準ISO 27001從誕生第一天開始就不是孤立的，為了支持信息安全管理體系标準，ISO27系列發布了一系列普遍适用和行業适用的參考标準。如下圖：

截止目前，一些支持性标準目前的狀态如下表：

标準

名稱

狀态

ISO 27000

Overview and vocabulary

DIS

ISO 27001

Requirements

ISO 27002

Code of practice for information security management

ISO 27003

Information security management system implementation guidance

Published

ISO 27004

Measurement

Published

ISO 27005

Information security risk management

Published

ISO 27006

Requirements for bodies providing audit and certification of information security management systems

Published

ISO 27007

Guidelines for information security management systems auditing

Published

ISO 27008

Guidelines for auditors on information security controls

Published

ISO 27010

Information security management for inter-sector and inter-organizational communications

Published

ISO 27011

Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

Published

ISO 27013

Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

FDIS

ISO 27014

Governance of information security

FDIS

ISO 27015

Information security management guidelines for financial services

ISO 27016

Organizational economics

古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名于世，他曾經寫道“一切皆流，無物常住”，過去幾年中，國際上幾乎所有行業和組織面臨的信息安全風險的局勢無不體現了赫氏的這一學說。變化和發展是永恒的，信息安全風險總是處在持續演進中，攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和标準都在不斷發展，我們唯一要做的就是保持警惕，随時準備抵禦風險。

攝像頭

BSI其實就是CMOS技術的一種，就是背照式CMOS，拍照的時候在夜拍和高感的時候成像效果更好一些。

在傳統CMOS感光元件中，感光二極管位于電路晶體管後方，進光量會因遮擋受到影響。所謂背照式CMOS就是将它掉轉方向，讓光線首先進入感光二極管，從而增大感光量，顯着提高低光照條件下的拍攝效果。索尼的背照式CMOS傳感器商品名稱為Exmor R，首先在DV攝像機中得到應用。

Exmor R CMOS背面照明技術感光元件，改善了傳統CMOS感光元件的感光度。Exmor R CMOS采用了和普通方法相反、向沒有布線層的一面照射光線的背面照射技術，由于不受金屬線路和晶體管的阻礙，開口率（光電轉換部分在一個像素中所占的面積比例）可提高至近100%。與其以往1.75μm間隔的表面照射産品相比，背面照射産品在靈敏度（S/N）上具有很大優勢。

諸如iphone4s、魅族mx都采用了背照式的攝像頭。