ISO27001信息安全管理体系
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。
信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
ISO27001是什么?
ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。
该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》
ISO27001适用于哪些类型的组织?
ISO27001适用于所有类型的组织(例如,企业、政府机构、非赢利组织)。
ISO27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。
当由于组织及其业务特性,标准中的任何要求不适用时,可以考虑进行删减。
如果有删减,除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力,否则不能声称符合ISO27001标准。
ISO27001有何用途?
ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。
ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。
ISO27000策划的具体工作有哪些?
在完成现状调查与风险评估工作之后,组织 要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持 续性计划。
组织信息安全结构与职责
组织信息安全结构确定是实施信息安全管理体系的基础与组织 安全的保证,在职责划分和编写体系文件之前,必须先进行职能分析和确定组织结构。在确定组织结构时,要坚持精简高效的原则, 尽量避免部门职能的交叉,调整组织的原有管理体系的组织结构使其适应信息安全管理体系标准中的管理需求;结合组织的类型、规 模及特点,设置管理体系运行的管理部门,使其负责管理体系的建立、实施、协调及监督管理,不断地发现管理体系运行中的问题, 以便及时调整、改进。
选择控制目标与控制方式
组织应根据风险评估的结果,并考虑控制 费用与风险平衡的原则,选择适合组织的控制目标与控制方式。
编写控制概要
控制概要中应对根据风险评估结果选择的控制目标与控制方式进行详细的说明。
制定业务持续性计划
为降低信息安全事件或自然灾害对组织业务持续性的影响,组织应在 风险评估的基础上编制业务持续性计划并保持计划的有效性
ISO27000策划与准备阶段涉及的工作ISO27000策划与准备阶段涉及的工作
教育培训
为了强化组织的 信息安全意识,明确信息安全管理体系的基本要求,进行 信息安全管理体系标准和相关知识的培训是十分必要的,这也是组织搞好信息安全管理的关键因素之一。
拟定计划
信息安全管理体系的建立和维持是一项复杂的系统工程,包括培训、风险评估、文件编写、运行、审核、 纠正和预防措施等大量的工作。为确保体系顺利的建立,组织应进行统筹安排,即制定一个切实可行的工作计划,明确不同时间段的 工作任务目标及责任分工,控制工作进度,突出工作重点,例如采用工程进度计划表。总体计划被批准后,就可以针对具体工作项目 制定详细计划,例如文件编写计划。在制定计划时,组织应考虑资源需求,例如人员的需求、培训经费、办公设施、聘请咨询公司的 费用等,如果寻求体系的第三方认证,还要考虑认证费用,组织最高管理层应确保提供建立体系所必须的人力与财务资源。
确定信息安全方针与信息安全管理体系范围
信息安全方针是关于在一个组织内,指导如何对资产, 包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针,组织首先应制定信息安 全方针,描述信息安全在组织内的重要性,表明管理层的承诺,提出组织管理信息安全的方法,以便为组织的信息安全提供管理方向 与支持。
现状调查与风险评估
组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系 的基础与关键,在体系建立的整个过程中,风险评估的工作量占了很大比例,风险评估的工作质量直接影响安全控制的合理选择,因 此,组织应责成专门的部门负责此项基础性工作,风险评估人员应理解标准的基本要求,掌握风险评估的方法,熟悉组织商务运作流 程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与,必要时应获得信息安全专家的支持。风险评估的结果应被 确认。
信息安全管理体系策划
在完成现状调查与风险评估工作之后,组织要根据已确立的 信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果,明确组织信息安全结构与职责、选择控制目标与控制方式、编 写控制概要、制定业务持续性计划。
ISO27000运行过程中,组织应注意哪些方面?
信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审 核与批准,并发布实施,至此,信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期,在此期间体系运行的 目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期,组织应加强运作力度,通过实施其手册、程序和各种作业 指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系策划本身存在的问题,找出问题根源,采取纠正措施, 纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
有针对性 地宣贯信息安全管理体系文件。
体系文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运行的结 果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安 全管理体系是对过去信息安全管理体系的变革,是为了向国际先进的信息安全管理标准接轨,要适应这种变革和新管理体系的运行, 就必须认真学习、贯彻信息安全管理体系文件。
实践是检验真理的唯一标准。
体系文件通过试运行 必然会出现一些问题,全体员工应将实践中出现的问题和改进意见如实反馈给有关部门,以便采取纠正措施。
将体系 试运行中暴露出的问题,如体系设计不周、项目不全等进行协调、改进。
信息安全管理体系的运行涉及组织体系范围 的各个部门,在运行过程中,各项活动往往不可避免的发生偏离标准的现象,因此,组织应按照严密、协调、高效、精简、统一的原 则,建立信息反馈与信息安全协调机制对异常信息反馈和处理,对出现的问题加以改进,并保证体系的持续正常运行。
加强有关体系运行信息的管理,不仅是信息安全管理体系试运行本身的需要,也是保证试运行成功的关键。
所有与 信息安全管理体系活动有关的人员都应按体系文件要求,做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。
信息安全体系文件属于组织的信息资产,包含有关组织的全部安全管理等敏感信息,组织应按照信息分类的原则对其 进行分类、进行密级标注并实行严格的安全控制,未经授权不得随意复制或借阅。
ISO27000中的PDCA四个阶段
策划阶段,组织应:
定义ISMS的范围和方针;
定义风险评估的系统性方法;
识别风险;
应用组织确定的系统性方法评估风险;
识别并评估可选的风险处理方式;
选择控制目标与控制方式;
当决定接受剩余风险时应获得管理者同意,并获得管理者授权开始运行信息安全管理体系。
实施阶段,组织应该实施选择的控制,包括:
实施特定的管理程序;
实施所选择的控制;
运作管理;
实施能够促进安全事件检测和响应的程序和其他控制。
检查阶段,组织应:
执行程序,检测错误和违背方针的行为 ;
定期评审ISMS的有效性;
评审剩余风险和可接受风险的等级;
执行管理程序以确定规定的安全程序是否适当,是否符合标准,以及是否按照预期的目的进行工作;
定期对ISMS进行正式评审,以确保范围保持充分性,以及ISMS过程的持续改进得到识别并实施;
记录并报告所有活动和事件。
改进措施阶段,组织应:
测量ISMS绩效;
识别ISMS的改进措施,并有效实施;
采取适当的纠正和预防措施;
与涉及到的所有相关方磋商、沟通结果及其措施;
必要时修改ISMS,确保修改达到既定的目标。
ISMS:ISMS(Information Security Management System)是信息安全管理体系。ISO/IEC17799:2000它是继ISO9000、ISO14000和OHSAS18000之后,又产生的一个管理体系标准—信息安全管理体系标准。
信息安全就是组织应明确需要保护的信息资源,确保信息的机密性、完整性和 可用性,并保持良好的协调状态。信息安全对企业经营非常重要,为了防止信息安全事故或事件的发生,尽管在技术方面采取了防火 墙和入侵监测系统,但是人为因素造成的信息机密流失仍然占有很高的比率(据说约70%)。因此,建立信息安全管理体系十分必要。
为了建立、实施和保持信息安全管理体系,首先应策划信息安全管理体系的方针和目标,识别、分类和清理信息资源,根据其危险程度、薄弱环节和发生频次,实施风险控制,包括回避、转移、控制和消除风险。按PDCA循环模式,建立信息安全管理体系。建立信息安全管理体系共有8个阶段。包括确定ISMS适用范围、策划ISMS方针目标、策划风险控制的过程、识别和评估风险、对风险控制现状分析、选择和制订管理方案、识别存在的遗留风险和正式实施ISMS。
用于 ISMS认证的标准有ISO/IEC17799:2000和BS7799-2:1999。据说,到2003年8月15日止,按BS7799认证的企业全世界共有282家,其中中国有5家。英国最多,有99家。ISO/IEC JTC1/SC27正在对ISO/IEC17799:2000进行修订。预计2004或2005年正式发布修订版本。采用ISO/IEC17799建立ISMS,并取得认证的好处在于能够建立完善的信息安全管理体系,从管理角度防止信息系统出现安全事故或事件;对外树立信息系统可靠性形象,满足顾客要求,提高企业竞争能力。认证的范围适合于所有类型和规模的组织,特别是涉及个人信息保护的组织,例如金融、通讯、医疗、社区管理、电子商务和电子政务等。
如何保障信息安全?
信息安全技术是信息安全控制的重要手段,一些安全性要 求高的信息系统的安全性必须借助于技术手段来实现,但单独依靠技术手段实现安全的能力是有限的,而且安全技术应由适当的管理 和程序来支持,否则,安全技术发挥不了其应有的安全作用,或者当应用环境发生变化时,不做适当的技术调整,其安全作用会大打 折扣,甚至丧失。信息安全来自“三分技术,七分管理”,必须注重信息安全管理,而且信息安全管理需要组织所有员工 的参与,还需要供应商、客户的参与,以及组织以外的专家建议。
信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动, 关于信息安全风险的指导和控制活动通常包括制定信息安全方针、进行风险评估、确定控制目标、选择控制方式、实施风险控制、获得安全保证等。信息安全管理实际上是风险管理的过程,管理的基础是风险识别与评估。
系统的信息安全管理体现以 下原则:
• 制定信息安全方针为信息安全管理提供导向和支持;
• 以风险评估为基础选择控制目标与控制方式;
• 考虑控制费用与风险平衡的原则,将风险降低到组织可接受的水平;
• 预防控制为主 的思想;
• 业务持续性原则,即从故障与灾难中恢复业务运作,减少故障与灾难对关 键业务过程的影响;
• 动态管理原则,即对风险实施动态管理;
• 全员参与的原则;
遵循管理的一般循环模式 ——Plan (策划) -Do(执行)-Check(检查)-Act(措施)的持续改进模式。
ISO27001标准简介
世界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002,经修订后,于2005年10月15日作为国际标准ISO/IEC27001:2005发布。
本文旨在向组织指出标准的变化及在实际应用中的意义,协助组织做好向新标准过渡的准备。
新标准的正式标题是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准,标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现,但总体上标准执行的重点仍应放在业务信息的风险上。
标准的主要改变在于它现在是国际公认的,这意味着除了英国标准的国际认可,组织可以构建一个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息,如财政信息,知识产权,职员资料等等,或者是客户或第三方与组织间沟通的信息,标准都是适用的。实际上,它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。
新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的组织来说,新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。(详见ISO/IEC 27001:2005的4.2.2 d)
下面是该标准重大改变的解释概要。附录A是一个显示BS 7799-2:2002和 ISO/IEC 27001:2005之间的变化的表格。《ISO/IEC 27001:2005》。
范围和界线
在执行信息安全管理体系的时候,组织所要做的第一件事就是定义ISMS的范围。现在国际标准要求组织定义ISMS的范围和界线[4.2.1 a],包括被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会寻找这些东西,但是现在把这个要求加到标准中了,如果组织打算超越根据2002版标准取得的认证而达到新标准的要求,就必须把这个要求考虑在内。
评估风险
该国际标准的基础是:信息的保护是基于业务信息的风险,该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下,因此太多的安全措施可能使公司花费过多的成本。
标准的一个重大改变是组织现在需要详细说明(并文件化)风险评估的步骤[4.2.1 c],这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过BS 7799-2:2002认证的组织不会把这点看成一个比较大的变化,因为在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。
风险评估按照计划的时间间隔[4.2.3 d]进行复查,对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1],至少一年完成一次。
在对BS 7799-2:2002版标准进行审核的过程中,审核员应该根据ISMS的方针和目标[4.3.1],寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点,但现在已经在国际标准中阐明了。想获得BS 7799-2:2002认证的组织可以把它看作国际标准的新要求。
合同责任
除了法律法规的要求,该国际标准还特别强调在所有ISMS所有过程中的合同责任,包括风险评估、风险处理、控制选择、记录控制、资源、ISMS的监视和复查、以及文件要求。
通过BS 7799-2认证的组织现在需要做什么?
需要特别注意的是:新的国际标准是双重的,既可以是ISO/IEC 27001:2005,又可以是 BS 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。
通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC 27001:2005标准的认证。
如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。
新标准发布后,就可以依据ISO/IEC 27001:2005进行认证了。
附录A变化摘要
BS7799部分2:2002(条款号)
|
ISO/IEC 27001:2005(条款号)
|
变化和差异的注解
|
1.2应用
|
1.2应用
|
确定对ISO/IEC 27001条款4-8的删减都是不可接受的,解释在何种情况下对控制进行了删减是可能的。
|
3术语和定义
|
3术语和定义
|
从ISO/IEC 13335-1:2004,ISO/IEC TR 18044:2004和ISO/IEC指南 73:2002中添加定义。
改变部分现有定义以配合ISO/IEC 13335-1:2004标准。重新明确定义了“风险处理”和“适用性声明”。
|
4.2.1 建立ISMS项目a)定义ISMS的范围
|
4.2.1 建立ISMS
项目a)定义ISMS的范围和界线
|
现在,定义了ISMS的“范围和界线”的要求。要求包括:1、说明在范围内的部分2、解释被排除在范围外的理由。
|
项目c)定义风险评估的系统方法
|
在项目c) 中的第二句“定义组织的风险评估方法”被删除后新增了一条。
|
新增一条对现有的要求进行阐明和补充。
同时声明风险评估方法应产生可比较、可重复的结果。
|
项目g)为风险处理选择控制目标及控制。
|
项目g)“为风险处理选择控制目标及控制”已经被延伸了。
|
现有的要求加上了这样的阐释:选择应该考虑到在法律、法规及合同的要求范围内接受风险的标准。
|
项目h)准备适用性声明。
|
项目j)添加了新项目j)2)“准备适用性声明”。
|
阐明了现有关于适用性声明的要求。
现在强调它要包括当前实施的控制目标及控制。
|
4.22实施和运作ISMS
|
4.22实施和运作ISMS
新增项目d) 定义如何测量有效性。
|
这可能是实施和运作ISMS过程中最大的改变,要求定义如何测量控制及控制组合的有效性,要求详细列出测量方法使控制效果评估产生可比较、可重复的结果。
|
4.2.3监控和评审ISMS
项目a)执行监控程序及其它的控制。
|
4.2.3监控和评审ISMS
项目a) 4)添加了“执行监控程序及其它的控制以探测安全事件”。
项目c)添加了“测量控制的效力”。
|
阐明了有助于预防安全事故的安全事件探测。
包括使用指标。
|
项目c)评审剩余风险和可接受风险。
|
新增项目d) 5)按计划的时间间隔评审风险评估,评审剩余风险和可接受风险,评审时要考虑现行控制的有效性的变化。
新增项目g)更新安全计划
|
与4.2.2.d结合以监控ISMS的效力。
现有要求的阐述,帮助监测现行控制的效果。
阐述和补充了以下要求:根据监控评审活动的发现来监控评审ISMS以更新安全计划的要求。
|
4.31概要
|
4.31概要第一段
|
阐明:文件要包括管理决策的记录,活动要根据管理决策和方针进行,记录/结果是可重复的。
|
|
第二段
|
新增一句说明所选择的控制与风险评估和风险处理过程的关系,以及与ISMS方针和目标的关系。
|
|
新增项目d)风险评估方法的描述
|
风险评估方法的描述要包含在文件中。
|
项目e)文件化的程序
|
项目g)“文件化的程序”已经被更新了
|
阐明并补充了描述如何测量控制的有效性的要求。
|
4.3.2文件控制
|
4.3.2文件控制
新增项目f) 确保文件是可用的
|
阐述了确保使用者可以获得所需文件的要求,及文件的转移存储和最终处置要按照合适的等级来处理。
|
5.1管理承诺
|
5.1管理承诺
新增项目g)保证ISMS内部审核得到管理。
|
在管理承诺中声明确保ISMS内部审核得到管理。
|
条款6.1 到6.3
|
条款7.1 到7.3
|
移动的章节
|
条款7.1 到7.3
|
条款8.1 到8.3
|
移动的章节
|
6.2评审输入
|
7.2评审输入
新增项目f) 有效性测量的结果
|
移动的章节
新增了有效性测量的结果。
|
6.3评审输出
|
7.3评审输出
新增项目b)更新风险评估和风险处理计划。
|
移动的章节
阐明确保更新风险评估和风险处理计划。
|
项目c) 必要时,修改影响信息安全的程序,以响应对ISMS造成影响的内外事件。
|
项目c) 必要时,修改影响信息安全的程序和控制,以响应对ISMS造成影响的内外事件。包括合同责任的改变。
|
阐明包括合同责任的改变。
|
|
新增项目e)改进控制有效性的测量方法。
|
加进了“改进控制效力的测量方法。”的声明。
|
6.4 ISMS内部审核
|
6.4ISMS内部审核
|
现在是第六章的唯一要求。
|
7.3预防措施
|
8.3预防措施
项目8.3b)“评估采取措施预防不符合发生的必要性”
|
移动的章节
阐明预防措施。评估采取措施预防不符合发生的必要性
|
附录A
|
附录A
|
根据ISO/IEC 17799:2005的修订版本更新附录A
|
附录B和表B1
|
附录B
|
除了说明OECD原则和本国际标准之间的关系的表格外,其他被删除。删除的部分可能被ISO/IEC作为发展成新指南的基础。
|
附录C
|
附录C
|
更新后的版本
|
附录D
|
|
从ISO/IEC 27001:2005版本中删除。
|
ISO27000系列标准介绍(1)
ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准:
ISO27000
ISO27001
ISO27002
ISO27003
ISO27004
ISO27005
ISO27006
ISO27007
上述标准中,ISO 27001是ISO 27000系列的主标准,类似于ISO 9000系列中的ISO9001,各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是ISO/IEC 27001:2005。
注:上述标准以ISO发布的为准。
ISO27000系列标准介绍(2)
Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
信息技术—安全技术—信息安全管理体系—概况与术语
该标准目前已完成委员会草案,计划2007年11月完成最终标准草案,2008年5月发布。
标准介绍:
该标准对应用于信息安全管理体系的ISO/IEC27000系列标准的概况、状态和关系提供说明,并规定了与ISO/IEC 27000 ISMS系列标准相关的术语。
ISO/IEC 27000标准有三个章节,第一章是标准的范围说明,第二章对ISO27000系列的各个标准进行了介绍,说明了各个标准之间的关系,包括:ISO27000,ISO27001,ISO27002,ISO27003,ISO27004,ISO27005,ISO27006。第三章给出了与ISO27000系列标准相关的术语和定义,共63个。
ISO/IEC 27001
Information technology -- Security techniques -- Information security management systems --Requirements
信息技术—安全技术—信息安全管理体系—要求
该标准源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式发布。
标准介绍:
ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。
ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。
ISO/IEC 27002
Information technology -- Security techniques -- Code of practice for information security management
信息技术—安全技术—信息安全管理实践规则
该标准将取代 ISO /IEC 17799:2005 ,直接由ISO/IEC 17799:2005更改标准编号为ISO/IEC 27002,计划2007年4月实施。
标准介绍:
本标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。
本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。
本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。
ISO/IEC 27003
Information technology -- Security techniques -- Information security management systems implementation guidance
信息技术—安全技术—信息安全管理体系实施指南
标准介绍:
该标准为按照ISO/IEC 27001建立、实施、运作、监控、评审、维持和改进信息安全管理体系提供应用实施指南。
该标准适用于所有类型、所有规模和所有业务形式的机构。各类组织可以利用本标准,实施符合ISO/IEC 27001的信息安全管理体系。
ISO/IEC 27004
Information technology -- Security techniques -- Information security management —Measurements
信息技术—安全技术—信息安全管理—测量
该标准阐述信息安全管理的测量和指标,用于测量信息安全管理的实施效果,预计2008年5月发布。 该标准目前处于委员会草案状态。
标准介绍:
本标准提供指南和建议,用于评估按照ISO/IEC 27001建立的ISMS、控制目标以及控制措施的有效性。
管理者可以使用本标准作为有效的测量方法,判断信息安全管理体系的有效性。测量结果可以作为评审现有控制有效性的输入,以决定是否需要更改或改进。
ISO/IEC 27005
Information technology -- Security techniques --Information security risk management
信息技术—安全技术—信息安全风险管理
该标准以BS7799-3和ISO13335为基础,预计2007年11月发布。该标准目前处于最终委员会状态。
标准介绍:
本标准描述了信息安全风险管理的要求,可以用于风险评估,识别安全要求,支撑信息安全管理体系的建立和维持。
ISO/IEC 27006
Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems
信息技术—安全技术—信息安全管理体系审核认证机构要求
标准介绍:
该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。
ISO/IEC 27007
Information technology -- Security techniques – ISMS auditor guidelines
信息技术—安全技术—信息安全管理体系审核员指南
ISO27001信息安全管理系统标准
在日趋网络化的世界里,「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑,当信息被意外或刻意的传给恶意的接收者时,同样的信息也可能导致一所机构倒闭。在当今的信息时代,科技无疑为我们解决了不少问题。
国际标准组织(ISO)应此类需求,制定了ISO27001:2005标准,为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。
什么机构可采用 ISO/IEC 27001:2005 标准?
任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用 ISO/IEC 27001:2005标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。
ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则,为如何推行控制措施提供指引。