ISO/IEC 27000标准是guojibiaozhun化组织专门为信息安全管理体系建立的一系列相关标准的总称。
全部标准从ISO/IEC 27000到ISO/IEC 27060,以及ISO27799和其他,基本可以分为以下四部分:第一部分是要求和支持性指南,包括ISO/IEC 27000到ISO/IEC27005,是信息安全管理体系的基础和基本要求;第二部分是有关认证认可和审核的指南,包括ISO/IEC27006到ISO/IEC27008,面向认证机构和审核人员;第三部分是面向专门行业的信息安全管理要求,如金融业、电信业,以及专门应用于某个具体的安全域,如数字证据、业务连续性方面;第四部分是由ISO技术委员会TC215单独制定的(而非和IEC共同制定),如应用于健康行业的标准ISO27799,以及一些处于研究阶段并以新项目提案方式体现的成果,比如供应链安全、存储安全等。
部分标准可见文末附表。(后续我们也将逐步补充到云盘中,关注公众号 “ 铭学在线 ” ,回复 “ bz27000 ”获取下载地址)
向大家简要介绍几个ISO/IEC27000族主要标准:
1、ISO/IEC 27000ISO/IEC27000是信息安全管理的概述和术语,是Zui基础的标准之一。它提供了ISMS标准族中所涉及的通用术语和基本原则,由于ISMS每个标准都有自己的术语和定义,以及使用环境和行业的差别,不同标准的术语间往往会有一些细微的差异,致使在使用过程中相对缺乏协调,而ISO/IEC27000就是用于实现这种一致性。ISO/IEC 27000标准有三个章节,第一章是标准的范围说明;第二章对IS027000系列的各个标准进行介绍,说明了各个标准之间的关系;第三章给出了共63个与IS0 27000系列标准相关的术语和定义。
2、ISO/IEC 27001ISO/IEC27001是《信息技术安全技术信息安全管理体系要求》,是ISMS的规范性标准,也是ISO/IEC27000系列Zui核心的两个标准之一,适用于所有类型的组织。它着眼于组织的整体业务风险,通过对业务进行风险评估来建立、实施、运行、监视、评审、保持和改进其信息安全管理体系,确保其信息资产的保密性、可用性和完整性。它还规定了为适应不同组织或部门的需求而制定的安全控制措施的实施要求,也是独立第三方认证及实施审核的依据。
3、ISO/IEC 27002ISO/IEC 27002是《信息技术安全技术信息安全管理实用规则》,也是ISO/IEC27000系列Zui核心的两个标准之一。它从14个方面提出35个控制目标和113个控制措施,这些控制目标和措施是信息安全管理的zuijia实践。从应用角度看,该标准具有专用和通用的二重性。作为ISO27000标准族系列的成员之一,它是配合ISO/IEC27001标准来使用的,体现其专用性;它提出的信息安全控制目标和控制措施又是从信息安全工作实践中出来的,不管组织是否建立和实施ISMS,均可从中选择适合自己的思路、方法和手段来实现目标,这又体现其通用性。
4、ISO/IEC 27003ISO/IEC27003是《信息安全管理体系实施指南》,该标准适用于所有类型、所有规模和所有业务形式的组织,为建立、实施、运行、监视、评审、保持和改进符合ISO/IEC27001的信息安全管理体系提供实施指南。它给出了ISMS实施的关键成功因素,按照PDCA的模型,明确了计划、实施、检查、纠正每个阶段的活动内容和详细指南。
5、ISO/IEC 27004ISO/IEC27004是《信息安全管理测量》,该标准阐述信息安全管理的测量和指标,用于测量信息安全管理的实施效果,为组织测量信息安全控制措施和ISMS过程的有效性提供指南。它分为信息安全测量概述、管理责任、测量和测量改进、测量操作、数据分析和测量结果报告、信息安全管理项目的评估和改进共6个关键部分,该标准还详细描述了测量过程机制,分析了如何收集基准测量单位,以及如何利用分析技术和决策准则来生成信息安全的临界指标等。
6、ISO/IEC 27005ISO/IEC27005是《信息安全风险管理》,该标准描述了信息安全风险管理的要求,可以用于风险评估,识别安全需求,支撑信息安全管理体系的建立和维持。作为信息安全风险管理的指南,该标准还介绍了一般性的风险管理过程,重点阐述风险评估的重要环节。在附录中它给出了资产,影响、脆弱性以及风险评估的方法,即列出了常见的威胁和脆弱性,Zui后给出了根据不同通讯系统、不同安全威胁选择控制措施的方法。
7、ISO/IEC 27006ISO/IEC27006是《信息安全管理对认证机构的认可要求》,该标准主要是对从事ISMS认证的机构提出了要求和规范,即一个机构具备了怎样的条件才能从事ISMS认证业务,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。
8、ISO/IEC 27007ISO/IEC27007是《信息安全管理的审核指南》,该标准对提供ISMS认证的第三方认证机构的审核员的工作提供支持,内部审核员也可以参考本标准完成内部审核活动,还可为任何依据ISO/IEC27002标准来管理信息安全风险、审查组织措施有效性的人员提供指导和支持。
9、ISO/IEC 27008ISO/IEC27008是《信息安全管理的控制措施审核员指南》,该标准是对所有审核员在考察组织基于业务风险而采取信息安全控制措施方面提供工作指导,它通过比较信息安全风险管理过程中内部、外部、第三方的所有管理体系要求与控制措施之间的关系来判定其有效性,也判别其控制措施的有效程度,满足信息安全治理的要求。
10、ISO/IEC 27010ISO/IEC27010是《部门间通信的信息安全管理》,该标准提供了如何针对信息安全风险、控制措施约束以及如何在不同物理场地跨组织通信的情况下进行数据共享的方法,尤其是对跨重要设施进行通信时所产生的问题和影响提供了有效支持。通过对同一物理场地通信、不同物理场地通信、危机时与政府机构间的通信、常规商务环境下为满足正常合同要求而进行双向业务通信的一系列分析,该标准明确了不同组织之间安全信息交换的方法、模型、过程、协议、控制措施和工作机制。
11、ISO/IEC 27017ISO/IEC 27017 是《用于云服务的基于lSO/IEC27002的信息安全控制实用守则》提供支援推行信息安全控制措施并适用于云用户及供应商的指南。用户及供应商可按照适用于云服务的风险评估及其它要求,选择适当的控制措施和采用相关的推行指南。这标准与lSO/IEC27018 一起使用,涵盖范围更为广泛。