ISO27000認證 (信息安全管理體系標準)概述
ISO/IEC 27000標準是國際標準化組織專門為信息安全管理體系建立的一系列相關標準的總稱,已經預留了ISO/IEC 27000到ISO/IEC 27059共60個標準號,到目前為止,正式發(fā)布的信息安全管理體系(ISMS)標準有8個,其中兩個已經轉化成國家標準。全部標準從ISO/IEC 27000到ISO/IEC 27037.以及ISO 27799和其他,基本可以分為以下四部分。
第一部分是要求和支持性指南,包括ISO/IEC 27000到ISO/IEC 27005.是信息安全管理體系的基礎和基本要求;第二部分是有關認證認可和審核的指南,包括ISO/IEC 27006到ISO/IEC 27008.面向認證機構和審核人員;第三部分是面向專門行業(yè)的信息安全管理要求,如金融業(yè)、電信業(yè),或者專門應用于某個具體的安全域,如數(shù)字證據(jù)、業(yè)務連續(xù)性方面;第四部分是由ISO 技術委員會TC215單獨制定的(而非和IEC共同制定)應用于健康行業(yè)的標準ISO 27799.以及一些處于研究階段并以新項目提案方式體現(xiàn)的成果,比如供應鏈安全、存儲安全等。部分標準見附表。本文向大家介紹一下ISO/IEC27000族主要標準。
ISO/IEC 27000是信息安全管理的概述和術語,是最基礎的標準之一。它提供了ISMS標準族中所涉及的通用術語和基本原則,由于ISMS每個標準都有自己的術語和定義,以及使用環(huán)境和行業(yè)的差別,不同標準的術語間往往會有一些細微的差異,致使在使用過程中相對缺乏協(xié)調,而ISO/IEC 27000就是用于實現(xiàn)這種一致性。ISO/IEC 27000標準有三個章節(jié),第一章是標準的范圍說明;第二章對ISO 27000系列的各個標準進行介紹,說明了各個標準之間的關系;第三章給出了共63個與ISO 27000系列標準相關的術語和定義。
ISO/IEC 27001:2005是《信息技術 安全技術 信息安全管理體系 要求》,等同轉化為中國國家標準GB/T 22080-2008/ISO/IEC 27001:2005.于2008年6月19發(fā)布,同年11月1日正式實施。同ISO 9001標準的性質一樣,它是ISMS的規(guī)范性標準,也是ISO/IEC 27000系列最核心的兩個標準之一,適用于所有類型的組織。它著眼于組織的整體業(yè)務風險,通過對業(yè)務進行風險評估來建立、實施、運行、監(jiān)視、評審、保持和改進其信息安全管理體系,確保其信息資產的保密性、可用性和完整性。它還規(guī)定了為適應不同組織或部門的需求而制定的安全控制措施的實施要求,也是獨立第三方認證及實施審核的依據(jù)。
ISO/IEC 27002:2005是《信息技術 安全技術 信息安全管理實用規(guī)則》,等同轉化為中國國家標準GB/T 22081-2008/ISO/IEC 27002:2005.也是ISO/IEC 27000系列最核心的兩個標準之一。它從11個方面提出39個控制目標和133個控制措施,這些控制目標和措施是信息安全管理的最佳實踐。從應用角度看,該標準具有專用和通用的二重性。作為ISO 27000標準族系列的成員之一,它是配合ISO/IEC 27001標準來使用的,體現(xiàn)其專用性;同時,它提出的信息安全控制目標和控制措施又是從信息安全工作實踐中總結出來的,不管組織是否建立和實施ISMS,均可從中選擇適合自己的思路、方法和手段來實現(xiàn)目標,這又體現(xiàn)其通用性。
ISO/IEC 27003是《信息安全管理體系實施指南》,該標準適用于所有類型、所有規(guī)模和所有業(yè)務形式的組織,為建立、實施、運行、監(jiān)視、評審、保持和改進符合ISO/IEC 27001的信息安全管理體系提供實施指南。它給出了ISMS實施的關鍵成功因素,按照PDCA的模型,明確了計劃、實施、檢查、糾正每個階段的活動內容和詳細指南。
ISO/IEC 27004是《信息安全管理測量》,該標準闡述信息安全管理的測量和指標,用于測量信息安全管理的實施效果,為組織測量信息安全控制措施和ISMS過程的有效性提供指南。它分為信息安全測量概述、管理責任、測量和測量改進、測量操作、數(shù)據(jù)分析和測量結果報告、信息安全管理項目的評估和改進共6個關鍵部分,該標準還詳細描述了測量過程機制,分析了如何收集基準測量單位,以及如何利用分析技術和決策準則來生成信息安全的臨界指標等。
ISO/IEC 27005是《信息安全風險管理》,該標準描述了信息安全風險管理的要求,可以用于風險評估,識別安全需求,支撐信息安全管理體系的建立和維持。作為信息安全風險管理的指南,該標準還介紹了一般性的風險管理過程,重點闡述風險評估的重要環(huán)節(jié)。在附錄中它給出了資產、影響、脆弱性以及風險評估的方法,即列出了常見的威脅和脆弱性,最后給出了根據(jù)不同通訊系統(tǒng)、不同安全威脅選擇控制措施的方法。
ISO/IEC 27006是《信息安全管理對認證機構的認可要求》,該標準主要是對從事ISMS認證的機構提出了要求和規(guī)范,即一個機構具備了怎樣的條件才能從事ISMS認證業(yè)務,所有提供ISMS認證服務的機構需要按照該標準的要求證明其能力和可靠性。
ISO/IEC 27007是《信息安全管理的審核指南》,該標準對提供ISMS認證的第三方認證機構的審核員的工作提供支持,內部審核員也可以參考本標準完成內部審核活動,還可為任何依據(jù)ISO/IEC 27002標準來管理信息安全風險、審查組織措施有效性的人員提供指導和支持。
ISO/IEC 27008是《信息安全管理的控制措施審核員指南》,該標準是對所有審核員在考察組織基于業(yè)務風險而采取信息安全控制措施方面提供工作指導,它通過比較信息安全風險管理過程中內部、外部、第三方的所有管理體系要求與控制措施之間的關系來判定其有效性,也判別其控制措施的有效程度,滿足信息安全治理的要求。
ISO/IEC 27010是《部門間通信的信息安全管理》,該標準提供了如何針對信息安全風險、控制措施約束以及如何在不同物理場地跨組織通信的情況下進行數(shù)據(jù)共享的方法,尤其是對跨重要設施進行通信時所產生的問題和影響提供了有效支持。通過對同一物理場地通信、不同物理場地通信、危機時與政府機構間的通信、常規(guī)商務環(huán)境下為滿足正常合同要求而進行雙向業(yè)務通信的一系列分析,該標準明確了不同組織之間安全信息交換的方法、模型、過程、協(xié)議、控制措施和工作機制。
中企檢測認證網(wǎng)提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質量認證中心
免責聲明:本文部分內容根據(jù)網(wǎng)絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
