英國標準協會

在正式的國際標準組織中，BSI代表英國，是國際標準組織、國際電工委員會、歐洲標準化委員會(CEN)和CLC所有高級管理委員會的常任成員，是國際標準組織秘書處五大所在地之一。BSI屬於非營利機構，成本之外的盈餘必須投資於業務的發展，不得用於分紅。形成了公共事業和商務活動相互促進，以標準和與標準相關的業務（如：測試、認證等）養標準的自我循環、幾乎不需政府投資的良性發展模式。如BSI 2003年的營業額高達237億英鎊。可以說，BSI是通過測試、認證、標準技術信息服務等具有商業性質的活動收入再投資於標準研發的模式實現了自我滾動發展，實現了標準體系的科學化、市場化和國際化。

BSI共有五大業務部門，其中的英國標準部可謂是BSI的標準核心業務機構。它對內代表英國國家標準機構，通過與股東協作，制定標準和套用創新的標準化解決方案，滿足公司和社會需求。對外，在正式國際組織中代表英國，確保英國對研發歐洲和國際正式標準的最大影響。作為世界上第一個國家標準組織，BSI管理著24萬個現行的英國標準、2500個專業標準委員會，參加標準委員會的成員達23萬多名，BSI正在進行著7000多個標準項目的研發。

BSI承擔的英國國家標準組織的職責包括：服務於公共政策利益，是英國經濟基礎結構的組成部分；兼顧工業、政府和消費者等各方的不同利益；促進英國國家標準、歐洲標準和國際標準的研發；提供延伸的非正式產品和服務；作為國際標準化、歐洲標準化的重要橋樑。

BSI制定標準的業務領域並非包羅萬象，主要專注於優勢領域。其傳統優勢領域為：健康、電工、工程、材料、化學、消費品與服務、信息技術，同時在交通、建築、風險業、環境可持續發展、電子商務、信息安全、質量管理等領域不斷開拓。

BSI在長期的標準研發實踐中，制定有一整套適應市場規律、科學的判別標準和工作程式。一個完整的標準項目的研發過程包括提議－接受－起草與編輯－公共質詢－評價－批准－公布和出版等階段。在接受一項新項目或提議前，首先必須回答如下問題：

效益：對企業界和其他利益相關方有何利益？

成本：需要多少人時和成本？

技能：需要何種技能？該技能能否得到？

資金來源：該項目是通過銷售回收成本，還是獲得基金的支持？

交付時間：何時需要交付？

創新性：該項目是否同新技術、新市場和新商業模式有關？

變化性：該項目的引進是否對現有商業模式帶來重大的轉變或者幫助商家適應變化的市場？

國際競爭性：該項目是否有助於商家開拓海外市場？

國際影響力：該項目是否能在海外促進社會進步和價值提升？

技能和知識庫：該項目是否有助於理解技術（包括技術和知識轉移）、商業實踐、標準的套用或自身的標準化？

教育：該項目是否支持一項或多項正規的教育大綱？

產品和服務採購：該項目是否促進產品或服務的採購？

公共採購：該項目是否促進政府採購活動？

消費者利益：該項目是否促進為消費者提供更好的產品或服務？

可持續性：該項目是否促進產品或服務的可持續性生產和使用？

商業效率：該項目是否促進了商業經濟、效率和管理？

兼容性：該項目是否保證在商業、工藝、產品和服務中的兼容？

法規條理：該項目是否支持新的或現有的英國和歐洲法律法規？是否促進健康、安全、環境或其他法律法規的執行？

公共政策：該項目是否支持新的或現有的英國、歐洲或國際公共政策，或促進公共政策的貫徹執行？

同小企業相關的問題：該項目是否包含有小企業生產、使用或銷售的產品或服務？該項目對小企業的執行成本影響有多大？

英國標準協會的主要任務是：

①編制和銷售專用的、全國性和國際性標準和支持信息，用以推廣和分享最佳實踐。制定和貫徹統一的英國標準(BS)。根據1982年的政府“白皮書”和政府與BSI的諒解備忘錄，今後各部門將不再制定標準，在立法和貿易中要更多地採用BS標準；

②開展產品質量合格認證和安全認證，風箏標誌測試和認證，以及英國、歐洲和國際標準的CE標誌認證。BSI是15項歐盟新方法指令（New Approach Directives）的申請受理機構

③管理規範所有關鍵領域的第二方和第三方管理系統評估和認證，接受外國認證委託、按國外標準進行認證並頒發外國的認證證書和標誌

④積極參與國際標準化活動，爭取BSI更多更大的影響國際標準

⑤對中小企業提供技術諮詢

⑥高風險、高複雜度的醫療設備認證

⑦績效管理軟體解決方案

⑧能夠識別並緩解供應鏈風險的供應鏈安全解決方案

⑨支持標準實施和業務最佳實踐方面的培訓服務

BSI有工作人員 1200餘人，設標準部、測試部、質量保證部、市場部、公共事務部等業務部門。標準部是標準化工作的管理和協調機構。

BSI是國際標準化組織(ISO)、國際電工委員會(IEC)、歐洲標準化委員會(CEN)、歐洲電工標準化委員會（CENELEC）、歐洲電信標準學會(ETSI)創始成員之一, 並在其中發揮著重要作用。按承擔TC/SC技術秘書處數量和資助額計算。BSI在ISO中的貢獻率為17%,僅次於德國DIN(19%)居第二位;在 CEN/CENELEC中的貢獻率為21%,居第三位(德國DIN為28%,法國AFNOR為22%)。根據1978年11月15日簽訂的《中華人民共和國和大不列顛及北愛爾蘭聯合王國政府科學技術合作協定》第二條規定,英國標準學會同中國標準化協會於1980年4月19日在北京簽訂了《中國標準化協會和英國標準學會合作協定》。雙方開始了有益的合作。

在世貿組織規定的總體框架內，世界各國為了各自的利益，圍繞標準的制定和國際市場的占領正展開激烈的競爭。已開發國家都把國際標準競爭、控制國際標準的主導權作為經濟競爭追求的最高目標，BSI就是典型代表之一。事實上，BSI標準部的主要工作基本都用在歐洲標準和國際標準上。長期以來，BSI憑藉著世界對其歷史的認同、廣泛的基礎、雄厚的實力和信譽，成為國際標準組織秘書處五大所在地之一（其他四個為：美國的ANSI、日本的JISC、德國的DIN和法國的AFNOR），共有245個國際和歐洲標準組織秘書處設在BSI，是名副其實的英國通往國際標準和歐洲標準的主要通道。BSI在國際和歐洲標準組織的地位確保了英國的最大影響。

5BSI與政府的關係

英國貿工部標準與技術法規司是制定標準、測試和認證政策的政府主管部門，但其僅負責政策層面的管理。具體的標準、測試和認證管理職能分別賦予兩個機構：標準管理職能由BSI實施，測試和認證資格管理職能由英國認證服務局負責。如前所述，BSI共有標準研發、標準技術信息提供、產品測試、體系認證和商檢服務五大業務。BSI僅僅在標準研發這一業務上擁有英國國家標準機構的職能，而其他業務，如產品測試、體系認證等，同社會上其他認證公司一樣，必須通過英國認證服務局的資格認證，才有資格從事這些業務。

英國政府認為，標準的自願性質決定了標準類檔案應由非政府機構直接管理。政府應管理涉及國家安全、人類健康等應由政府強制執行的法規類檔案，涉及技術問題的自願性標準應由協會來管理。為此，英國政府以皇家憲章和簽訂備忘錄的形式確定了政府與BSI的法律關係。

①BSI的皇家憲章

BSI的皇家憲章主要規定了BSI的獨立法人地位、業務範圍、董事會和會員的組成等。皇家憲章還特別規定，BSI的運營收入若有盈餘，其盈餘必須用於業務再投入，不得用於分紅。規定的業務範圍包括：研發、銷售和推廣標準，登記、批准和使用標準商標，從事系統評價服務、產品材料檢驗、測試和認證，以及培訓等業務。

②BSI與政府簽署的國家標準機構備忘錄

在BSI行使國家標準機構的職能上，英國政府採取簽署備忘錄的形式承認BSI的英國國家標準機構地位。雙方本著平等、獨立和服務於公共利益的原則，在備忘錄中規定了BSI作為英國國家標準機構的責任和權利的同時，也規定了政府應盡的責任。實踐證明，英國政府的這種管理模式取得了很好的成效。

6標準部的經營情況

事實上，BSI在經營標準的過程中，也可帶來一定的經濟效益。2002和2003年BSI標準部的財務收入占了BSI整個集團收入的17%以上。

①商務信息服務

專注於提供標準信息和動態服務，包括智慧財產權管理、個性化標準服務。商務信息諮詢、研討會與培訓、電子化產品的開發、國際技術援助項目等。

②管理體系認證服務

主要包括ISO9000質量管理系列標準、ISO14000環境管理標準和BS7799國際技術安全標準的認證、評價和培訓。在100個國家擁有44萬個註冊用戶，是世界上最大的管理系統登記機構。

③產品服務業務

主要提供產品測試服務，擁有17個在通訊、安全、消費品、建築和照明領域的產品測試實驗室。通過測試，授予風箏商標或CE商標。據統計，BSI的產品認證標記在英國有80%的人認同。

④驗證檢驗服務

為全球商品市場和行業提供獨立、綜合的驗證服務，包括檢驗、抽樣、測試和認證等服務。

國家標準化戰略框架

1為什麼要制定國家標準化戰略框架

雖然英國在標準和標準化方面一直走在世界前列，但正如英國政府最近發布的《英國10年科學與創新投入框架檔案》指出的那樣：英國要在高度激烈競爭的全球化經濟中立於不敗之地，只有保持強大的高技術和知識能力，吸引最優秀的人才和企業，將國家潛力通過創新轉變成商業機會。這是新世紀繁榮的源泉，也是歷史變遷的一次新機遇。圍繞英國總體科技戰略（要使英國成為全球經濟的關鍵知識樞紐，同時成為將知識轉換成新產品和服務的世界領先者）的要求，作為國家創新體系重要組成部分的標準，在實現這個總體戰略過程中必將起到重要作用。

2國家標準化戰略框架的主要內容

國家標準化戰略框架由貿工部、標準協會和工業聯合會共同制定，經過2002年廣泛的公眾參與和討論不斷完善，於2003年正式推出。整個框架包括戰略方向和實施框架兩大部分，是英國未來標準化行動的指南，是一個動態的戰略框架。框架規定了英國國家標準化總體戰略目標和戰略任務，並進一步分解，從政府、企業界、基礎支撐體系、國際化、創新和宣傳六大方面，細化了各方的戰略方向、戰略任務和主要工作，並提出了成功與否的衡量標準。整個框架的實施分成三個階段。

①國家標準化總體戰略目標和戰略任務

·總體戰略目標：確保對標準和標準化的理解和使用方面具有實質性的進步，以造福於英國企業界、政府和社會。

·戰略任務

使英國企業界通過戰略性使用標準，增強競爭優勢，推廣最佳經驗，打進新興市場、促進企業創新；

使英國政府通過有效使用標準，滿足公共政策、法律法規和社會目標的需要；

建立一個和諧、有效和滿足所有標準使用者不同需求的基礎支撐體系。

②各方的戰略目標和任務

·企業界

提高英國企業界對標準的認識和使用率。將標準作為主要槓桿，在技術和戰略層面提高競爭力和生產力；

甄別和確定標準化工作能為英國企業界創造機遇的優先技術、市場和工業領域；

使用標準打開國際市場，提高生產力，加快進入市場速度，提升競爭優勢，鼓勵創新，減少法規制定成本；

考慮到產業和市場結構的不同、生產服務類型的差異、技術發展速度的高低、產品生命周期的長短及其所處階段的不同需求，應有足夠的空間讓企業界選擇適當的正式標準或非正式標準，滿足企業界的不同需求。

·政府

為提高英國商業競爭力和支撐社會公共利益提供支撐框架，在政策、法規和政府採購等方面促進公共機構更加有效地使用標準；

提升政府標準化工作的協調性，降低標準制定成本，保衛公共健康和安全，滿足消費者需求，保障標準的有效實施；

將標準化工作同諸如創新、可持續發展等關鍵政策的制定緊密結合；

在政府採購工作中最大限度地使用標準，提高採購效率，增加中小企業在政府採購的市場機會。

·基礎支撐體系

建立一個和諧、有效、具有持續資金來源的標準基礎支撐體系。這個體系所制定的標準應能滿足所有標準使用者的不同需求；

協調和管理各種因素，消除重複，最佳使用有限的資源；

提升英國基礎支撐體系的總體能力，探索標準化工作的新模式，為用戶提供及時和相關解決方案；

提高社會公眾對標準化工作的參與度，保障標準對各利益方的有效平衡；

為英國國家標準機構和其他標準支撐組織提供穩定、持續的基金。

·國際化

以標準為手段，謀求更加開放的國際市場，減少技術壁壘；

跟蹤主要貿易國標準工作新動向，評估對英國的影響，使英國能有效應對競爭威脅和貿易壁壘；

提高歐洲和國際標準化工作的效率；

宣傳英國和歐洲標準政策與準則；

充分利用英國政府的駐外機構，通過標準提升英國的國際影響力；

為優先國家提供目標明確的技術支持，包括對開發中國家的適當支持。通過知識和技術轉讓，加強英國同這些國家的友好關係；

積極影響歐洲和國際標準，改進市場準入條款，減少對英國產品和服務的貿易技術壁壘。

·創新

促進技術創新，提高標準對新技術、新工藝、新方法的駕馭和擴散能力，通過創新生命周期，有效管理智慧財產權和獲得市場的認可；

正確地套用標準於新興領域，鼓勵創新人員參與標準化工作；

通過協調使用專利、許可、標準及其其他智慧財產權管理工具，最大限度地獲取創新所帶來的商業利益；

利用標準促進新技術、新工藝和新方法的商業化。

·宣傳

建立標準宣傳體系，使全社會了解標準和標準的作用。開發有效使用標準的實用技術，將標準化工作植根於科技基礎；

加強標準和標準化的宣傳工作，使企業界和政府進一步將標準作為戰略工具，使決策者充分了解標準的作用和效益，以及如何使用標準；

提高目前和未來標準使用者參加標準化工作的參與度。建立標準需求第一聯繫人制度，減少重疊工作；

將標準知識納入商業基礎技能政策體系。將標準化的概念納入正規教育大綱，保障下一代標準開發和使用者對標準的認識達到適當的水平。

③國家標準化戰略框架成功與否的衡量標準

戰略框架的成功與否主要通過上述六大方面主要目標的進展情況來衡量。定量衡量標準可通過企業界參與標準化的程度、所制定標準的市場關聯度、新興領域標準化工作水平、標準化創造的新的商業機會的價值、標準資源的可獲得性和可理解性、政府在政策法規和採購工作中使用標準的程度等指標進行衡量。當然，各項具體衡量指標因各領域的不同而有所不同，在戰略框架中不可能一一列出。

④國家標準戰略框架實施的三個階段

整個國家標準戰略框架的實施分成三個階段，每一階段都有不同的側重目標，但沒有列出時間表。

·第一階段（打基礎階段）

開發兩個巨觀和微觀（商用）標準經濟模型；

建立並維護企業界聯絡網，確保英國和國際標準化工作的優先領域和專業領域有英國企業界的戰略意見和呼聲；

建立和管理專門針對中小企業的標準化工作，為中小企業特別關心的問題，如：煩瑣拖拉的公務程式、實施成本、代表權等，提出解決方案；

及時研發標準，並保障用戶能夠獲得；

對如何結合專利、標準和其他智慧財產權管理工具，最大限度地實現創新所帶來的商業價值提出政策指南；為貫穿產品整個生命周期的創新工作提供幫助；

通過英國駐外使領館，建立國際聯絡網，提高英國影響力，保障英國的商貿利益。

·第二階段（提升階段）

面對企業界、政府宣傳標準化工作的好處，印發標準指南材料，為企業界各個層面、政府各級官員套用標準提供支持；

建立一個英國標準評價、優先領域的確定、各種資源的套用以及監測與管理的高效協作機制；

建立英國標準化基礎體系長期可持續發展基金，促進標準化工作對國民經濟的影響和標準化創造價值的認識；

提高國家標準體系的能力和透明度，使標準工作真正涵蓋包括非正式標準在內的所有標準解決方案；

通過國際標準體系，以優先市場和國家為重點，最大限度的施加英國標準和貿易的影響；

解剖標準化工作的典型案例，處理好企業與政府的關係，加強同廣大消費者的聯繫；

激發企業界、政府和社會各界使用標準和參與標準研發的動力；

研發教學工具和指導材料，尋求將標準納入正規教學大綱的途徑。提高社會各界對標準及其套用的認知；

提供使用標準和標準化工作的培訓機會。

·第三階段（出成效階段）

各企業把標準納入其戰略規劃，將標準作為提高競爭力和生產力的工具；

政府了解標準可套用的公共領域，怎樣套用，鑑別更加有效套用標準的途徑和最佳方式；

通過更為有效的英國國家標準組織和政府機構的互動，建立並協調系列標準選擇方案，為政策和法規的實施中使用標準提供支持；

促進政府採購工作。通過標準的使用，提高採購效率，增加供應商和政府機構的透明度，並為中小企業提供更多的機會；

以英國國家標準組織確定的優先領域為基準，為開發中國家提供幫助；

從標準化工作角度，不斷跟蹤有益於新產業、新技術、新工藝和新商業方式的切入點，並鑑別具體機會。

作者：BSI毛宇

眾所周知，銀行業務對業務連續性方面的要求近乎苛刻，需要採用業內最高標準進行系統的規劃，設計和構建。但近期發生的多次銀行業務中斷事件表明，儘管銀行業的災難恢復和數據保全方面已經非常完善，仍然不能避免業務中斷事件的發生，而業務連續性管理所解決的就是“一旦災難發生，企業能夠在多長時間內恢復多少業務”的問題。

銀監會對業務連續性方面的關注也從其陸續發布的系列指引可見一斑。早在2010年4月銀監會發布的《商業銀行數據中心監管指引》中，就已經提及了災難恢復管理，並指出重要信息系統災難恢復能力應達到《信息安全技術信息系統災難恢復規範》 中定義的災難恢復等級第5級(含)以上的要求；2011年12月28日銀監會更是專門針對業務連續性管理下發了《商業銀行業務連續性監管指引》（以下簡稱：指引），足見銀行業對業務連續性的重視。

從該指引的結構上來看，其主要要求覆蓋了BS 25999標準中的全部主要內容，並針對銀行業的具體情況對相關方面進行了量化的規定。

指引主要分為八個章節，其中第一章到第五章基本上與BS25999的3到6能夠完全對應。第六章描述了所建立的業務連續性管理體系如何在中斷事件中套用，第七章則提出了銀監會在業務連續性方面的監管要求。

指引要求的落地，可以考慮參考被業界廣泛認可的來自業務連續性協會BCI的《業務連續管理良好實踐指南》,並基於BSI的業務連續管理生命周期模型來實現，共分為六部分工作。

一、方針和方案管理：

推動組織實施業務連續性管理需要組織在實施初期啟動一個業務連續性Program，這一階段的初始目的是成功的完成一個BCM的生命周期，但是BCM方案管理的長期目標是提高組織的BCM能力，並因此通過實現連續的BCM生命周期循環，加強組織的運營彈性。一旦實施，如果BCM方案有效，則應制定持續改善的周期對其進行管理，在指引中明確規定了持續改善的周期是3年。

二、將BCM融入企業文化：

指引第九條指出，商業銀行應當將業務連續性管理融入到企業文化中，使其成為銀行機構日常運營管理的有機組成部分。

實現文化融入的方法和途徑在BS 25999的3.3有明確的敘述。

三、理解組織：

理解組織主要由業務影響分析BIA，風險評估RA和連續性資源分析CRA三部分組成。

由於指引針對的是銀行這個特定行業，因此在指引中也具體規定了“重要業務恢復時間目標不得大於4小時，重要業務恢復點目標不得大於半小時。”的具體要求。

四、確定BCM策略：

在商業銀行具體實施指引過程中要求根據業務影響分析結果，依據業務恢復指標，制定差別化的業務恢復策略，主要包括關鍵資源恢復、業務替代手段、數據追補和恢復優先權別等。

五、制定和實施BCM回響：

指引中要求商業銀行應該制定覆蓋所有重要業務的業務連續性計畫，並建立制定總體應急預案和重要業務專項應急預案。同時還強調了應當要求重要業務及信息系統的外部供應商建立業務連續性計畫，證明其業務連續性計畫的有效性，其業務恢複目標應當滿足商業銀行要求。另外根據銀行業同業間的特點，特彆強調了商業銀行應當注重與金融同業單位、外部金融市場、金融服務平台和公共事業部門等業務連續性計畫的有效銜接問題。

六、演練、保持和評審:

指引強調商業銀行應當開展業務連續性計畫演練，以檢驗應急預案的完整性、可操作性和有效性，驗證業務連續性資源的可用性，提高運營中斷事件的綜合處置能力。商業銀行應當將外部供應商納入演練範圍並定期開展演練；同時，應當積極參加金融同業單位、外部金融市場、金融服務平台和公共事業部門等組織的業務連續性計畫演練，確保應急和協調措施的有效性。指引要求商業銀行應當至少每三年對全部重要業務開展一次業務連續性計畫演練。

指引的最後部分強調指出了銀監會對業務連續性管理的監管要求。指引中要求商業銀行應當於每年一季度向銀監會或其派出機構提交業務連續性管理報告，包括上一年度業務連續性管理的評估報告與審計報告。此類報告的完成可以自行完成，但考慮到專業性和公信力的問題，銀行也可以考慮請BSI這樣對標準有深入理解，對行業有豐富經驗的專業第三方公司或組織來進行。

今年5月15日第一個業務連續性管理國際標準ISO 22301正式發布，該標準是BSI對行業的再一個重大的貢獻。作為行業的領先者BSI目前已經在100多個國家進行了ISO 22301的前身BS 25999相關服務的推廣，並在43個國家開展了BS 25999的認證業務。藉助BSI在業務連續性管理方面豐富的經驗，必將為提升銀行業業務連續性能力做出貢獻

作者：BSI王永霞

自2005年國際標準化組織(簡稱:ISO)將BS 7799轉化為ISO 27001：2005發布以來，此標準在國際上獲得了空前的認可，相當數量的組織採納並進行了信息安全管理體系的認證, 至2011年底，國際上頒發的ISO 27001認證證書總數約為15625張（其中，BSI的市場占有率達約為45.65%）。在我國，自從2008年將ISO 27001:2005轉化為國家標準GB/T 22080:2008以來，信息安全管理體系認證在國內進一步獲得了全面推廣，至2011年底，國內頒發認證證書數量是1107張。越來越多的行業和組織認識到信息安全的重要性，並把它作為基礎管理工作之一開展起來。

然而過去的幾年中，IT領域和通信行業發生了非常大的變革，出現了全面的業務和技術的融合。移動網際網路蓬勃興起、智慧型手機的廣泛採用、雲計算技術的風起雲湧，帶來了全新的網路威脅、數據泄漏和欺詐的風險。面對這樣的變化和趨勢，使得信息安全管理體系標準的更新也變得日益重要。

ISO對標準的更新，一般是以三年為一個周期,但因為ISO 27001：:2005標準發布後的巨大成功，以及ICT行業的飛躍發展，使得這個標準的更新變得非常謹慎，至今已有7年。從ISO組織發布的最新信息可以看到，ISO 27001標準的更新籌備實際上已經在2008年開始，任命了工作組（JTC 1/SC 27 WG 1）；2009年正式啟動更新。目前，處於該標準草案（Committee Draft）正在編寫委員會討論層面（30.20：2012-06-20），預計新版發布時間會在 2013-10-19，那時我們就可以一睹它的全新面貌了。

從ISO 27001標準新版更新的一些說明材料中，可以看出這次ISO 27001標準改版將會具有以下幾個特徵：

採用ISO導則83ISO導則83，規範了今後ISO管理體系認證標準的基本框架；採用導則83頒布的第一個標準是今年5月發布的業務連續管理體系標準——ISO 22301:2012。

導則83對今後的標準提出了新的框架要求，如下圖示，標註了ISO27001新版與2005版結構的對比和差異：

在這個框架下，明顯的改變有如下幾點：

標準第4-7章，說明管理體系的一般要求，包括： 組織的情境、領導力、策劃和支持；標準第8章，描述ISMS實施要求，包括信息安全風險評估和處置；標準第9章，描述監視，測量和評審活動的要求；標準第10章，描述改善活動的要求；其中，取消了預防措施。信息安全風險管理與ISO 31000風險管理保持一致新版的ISO 27001標準中信息安全風險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致，並遵從其中的定義。

在新版標準中明確了以下要求：

信息安全風險評估：組織應確定如何確定其信息安全風險評估和處置過程的可靠性。 信息安全風險處理：適用時，組織應調整信息安全風險評估和處置過程，以及採用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO 27001依然會保留SOA和附錄A控制目標、控制措施的架構；因此，毫無疑問，ISO 27001的新版修訂一定會與ISO 27002的修訂同步進行。

事實上，關於控制措施和控制目標的修訂，也是應對新的變化的信息安全威脅和風險必須的選擇；這部分的更新，在修訂項目中，接受了大量的修改建議，爭論也相當大，目前還沒有最後的結論。

持續發展27系列支持性標準ISO 27001從誕生第一天開始就不是孤立的，為了支持信息安全管理體系標準，ISO27系列發布了一系列普遍適用和行業適用的參考標準。如下圖：

截止目前，一些支持性標準目前的狀態如下表：

古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名於世，他曾經寫道“一切皆流，無物常住”，過去幾年中，國際上幾乎所有行業和組織面臨的信息安全風險的局勢無不體現了赫氏的這一學說。變化和發展是永恆的，信息安全風險總是處在持續演進中，攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標準都在不斷發展，我們唯一要做的就是保持警惕，隨時準備抵禦風險。

BSI其實就是CMOS技術的一種，就是背照式CMOS，拍照的時候在夜拍和高感的時候成像效果更好一些。

在傳統CMOS感光元件中，感光二極體位於電路電晶體後方，進光量會因遮擋受到影響。所謂背照式CMOS就是將它掉轉方向，讓光線首先進入感光二極體，從而增大感光量，顯著提高低光照條件下的拍攝效果。索尼的背照式CMOS感測器商品名稱為Exmor R，首先在DV攝像機中得到套用。

Exmor R CMOS背面照明技術感光元件，改善了傳統CMOS感光元件的感光度。Exmor R CMOS採用了和普通方法相反、向沒有布線層的一面照射光線的背面照射技術，由於不受金屬線路和電晶體的阻礙，開口率（光電轉換部分在一個像素中所占的面積比例）可提高至近100%。與其以往1.75μm間隔的表面照射產品相比，背面照射產品在靈敏度（S/N）上具有很大優勢。

諸如iphone4s、魅族mx都採用了背照式的攝像頭。

業務服務創新（Business Service Innovation，簡稱BSI）幫助您的企業從簡單的IT管理和維護，向提供全新的創新型服務和解決方案轉變。

業務發展對IT提出了更高的要求。隨著移動終端、社交媒體、雲計算、分析工具等需求的提升，企業希望以更少的資源獲得更快捷、更廉價、更安全的商業服務，同時還要繼續為當前服務提供支持。IT必須通過自身變革來滿足上述需求。