ISO27001是ISO27000系列的主標準����,類似于ISO9000系列中的ISO9001���,各類組織可以按照ISO27001的要求建立自己的信息安全管理體系(ISMS),并通過認證��。
規(guī)劃的ISO27000系列包含下列標準
ISO 27000 原理與術(shù)語Principles and vocabulary
ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎(chǔ))
ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理體系—實施指南ISMS Implementation guidelines
ISO 27004 信息安全管理體系—指標與測量ISMS Metrics and measurement
ISO 27005 信息安全管理體系—風(fēng)險管理ISMS Risk management
ISO 27006 信息安全管理體系—認證機構(gòu)的認可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技術(shù)-安全技術(shù)-信息安全管理體系審核員指南
Information technology_Security techniques_ISMS auditor guidelines
其中ISO27001:2005 的最終標準草案(FDIS)已經(jīng)在2005年7月發(fā)布���,預(yù)計在2005年底或2006年初作為正式國際標準發(fā)布�����。
引言 -該標準描述了系統(tǒng)管理信息風(fēng)險的過程�����。
1�����、范圍 -它指定適用于任何類型�,規(guī)?�;蛐再|(zhì)的組織的通用ISMS要求���。
2�����、規(guī)范性引用文件 -僅 ISO / IEC 27000被視為對'27001'的用戶絕對必要:其余的ISO27k標準是可選的����。
3、術(shù)語和定義 -參見 ISO / IEC 27000���。
4�����、組織的上下文-了解組織的上下文�,“利益相關(guān)方”的需求和期望并定義ISMS的范圍����。第4.4節(jié)非常明確地指出“組織應(yīng)建立�,實施,維護和持續(xù)改進” ISMS�。
5、領(lǐng)導(dǎo)力 -最高管理者必須表現(xiàn)出對ISMS���,授權(quán)政策的領(lǐng)導(dǎo)力和承諾���,并分配信息安全角色����,職責(zé)和權(quán)限�。
6、計劃 -概述識別����,分析和計劃處理信息風(fēng)險的過程,并闡明信息安全的目標����。
7、支持 -必須分配足夠的主管資源����,提高意識,準備并控制文檔��。
8����、操作 -有關(guān)評估和處理信息風(fēng)險�����,管理變更以及記錄事物的更多詳細信息(部分以便可以由認證審核員進行審核)���。
9、績效評估 -監(jiān)視�����,衡量�,分析和評估/審核/審查信息安全控制,流程和管理系統(tǒng)�,并在必要時進行系統(tǒng)改進。
10�、改進 -解決審核和評審的結(jié)果(例如,不合格和糾正措施)�,對ISMS進行持續(xù)改進。
附件A參考控制目標和控件 -實際上只不過是 ISO / IEC 27002中控制部分標題的列表而已����。該附件是“規(guī)范性的”�,這意味著希望認證的組織使用該附件,但主體表示���,它們可以偏離或補充該附件��,以解決其特定的信息風(fēng)險����。僅附件A很難解釋。請參閱ISO / IEC 27002�,以獲得有關(guān)控件的更有用的詳細信息,包括實施指南�。
介紹五個相關(guān)標準,以及ISO / IEC指令的第1部分�,以獲取更多信息。此外�,在標準主體中將 ISO 27000標識為規(guī)范性(即必不可少的)標準,并且在風(fēng)險管理方面有多個對ISO 31000的引用����。
認證的強制性要求
ISO27001是ISMS的正式規(guī)范,具有兩個不同的目的:
它列出了ISMS的設(shè)計����,在相當(dāng)高的層次上描述了重要部分。
可以(可選)將其用作經(jīng)認證的審核員進行正式合規(guī)性評估的基礎(chǔ)��,以認證組織合規(guī)性����。
認證明確需要以下強制性文件:
ISMS范圍
信息安全政策
信息風(fēng)險評估程序
信息風(fēng)險處理流程
信息安全目標
從事信息安全工作的人員的能力證明
組織認為必要的其他與ISMS相關(guān)的文件
運作計劃和控制文件
的結(jié)果的[信息]風(fēng)險評估
關(guān)于[信息]風(fēng)險處理的決定
監(jiān)視和衡量信息安全的證據(jù)
ISMS內(nèi)部審核計劃和審核結(jié)果
ISMS最高管理層審查的證據(jù)
識別出不合格的證據(jù)�,并采取糾正措施
其他各種: 附件A提及但未充分說明進一步的文檔�����,包括可接受的資產(chǎn)使用規(guī)則��,訪問控制策略���,操作程序�,機密性或保密協(xié)議�����,安全系統(tǒng)工程原理��,供應(yīng)商關(guān)系的信息安全策略�,信息安全事件響應(yīng)程序,相關(guān)法律��,法規(guī)和合同義務(wù)以及相關(guān)的合規(guī)性程序和信息安全連續(xù)性程序�。但是,盡管附件A是規(guī)范性的,但組織并沒有正式要求采用和遵守附件A:它們可以使用其他結(jié)構(gòu)和方法來處理其信息風(fēng)險���。
認證審核員幾乎可以肯定會檢查以下十五種文件是否存在:(a)是否存在,以及(b)是否適合目的��。
客服咨詢
158-0008-7775 
