信息安全管理體系是組織管理體系的一部分��,用于管理相關(guān)信息安全方面的管理體系����,以使組織履行合規(guī)義務(wù)�����,應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)遇����。在互聯(lián)網(wǎng)的世界里,所有類(lèi)型和規(guī)模的組織都要采用不同方式收集��、處理�、存儲(chǔ)和傳輸信息。相關(guān)過(guò)程�����、系統(tǒng)���、網(wǎng)絡(luò)及其操作���、處理和保護(hù)的信息安全具有固有的脆弱性,容易受到故意或意外的威脅���,這些潛在的信息安全風(fēng)險(xiǎn)一直存在��,并時(shí)常會(huì)發(fā)生����。有效的信息安全管理可以降低各方的威脅和脆弱性,從而為社會(huì)持續(xù)地創(chuàng)造價(jià)值�����。
信息安全管理體系ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)���。2000年����,國(guó)際標(biāo)準(zhǔn)化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過(guò)了ISO17799標(biāo)準(zhǔn)����,在2005年對(duì)ISO17799再次修訂,于2005年被采用為ISO27001:2005�����。自2005年ISO27001:2005發(fā)布以來(lái)����,此標(biāo)準(zhǔn)在國(guó)際上獲得了空前的認(rèn)可,相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證���。在我國(guó)�,自從2008年將ISO27001:2005轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T 22080:2008以來(lái)�����,信息安全管理體系認(rèn)證在國(guó)內(nèi)進(jìn)一步獲得了全面推廣����。
ISO27001的相關(guān)標(biāo)準(zhǔn)
信息安全管理體系(Information security management systems,簡(jiǎn)稱ISMS)(即ISO/IEC 27000系列)是目前國(guó)際信息安全管理標(biāo)準(zhǔn)研究的重點(diǎn)���。
27000 系列共包括10個(gè)標(biāo)準(zhǔn)��,當(dāng)前已經(jīng)發(fā)布和在研究的有6個(gè)����,分別為:
1�����、ISO/IEC 27000《信息安全管理體系 基礎(chǔ)和詞匯》���;
2����、ISO/IEC 27001:2005《信息安全管理體系 要求》;
3�、ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》(2007年4月后,編號(hào)將改為27002)�;
4、ISO/IEC 27003《信息安全管理體系實(shí)施指南》�����;
5����、ISO/IEC 27004《信息安全管理測(cè)量》;
6��、ISO/IEC 27005《信息安全風(fēng)險(xiǎn)管理》�����。
ISO/IEC 27001
Information technology -- Security techniques -- Information security management systems --Requirements
信息技術(shù)—安全技術(shù)—信息安全管理體系—要求
該標(biāo)準(zhǔn)源于BS7799-2�����,主要提出ISMS的基本要求��,已于2005年10月正式發(fā)布。
標(biāo)準(zhǔn)介紹:
ISO27001用于為建立�����、實(shí)施�、運(yùn)行����、監(jiān)視、評(píng)審���、保持和改進(jìn)信息安全管理體系(Information Security Management System��,簡(jiǎn)稱ISMS)提供模型�。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策�����。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)�、安全需求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響���。上述因素及其支持過(guò)程會(huì)不斷發(fā)生變化�����。期望信息安全管理體系可以根據(jù)組織的需求而測(cè)量����,例如簡(jiǎn)單的情形可采用簡(jiǎn)單的ISMS解決方案。
ISO27001標(biāo)準(zhǔn)可以作為評(píng)估組織滿足顧客���、組織本身及法律法規(guī)的信息安全要求的能力的依據(jù)�����,無(wú)論是組織自我評(píng)估還是評(píng)估供方能力�,都可以采用��,也可以用作獨(dú)立第三方認(rèn)證的依據(jù)��。
ISO/IEC 27002
Information technology -- Security techniques -- Code of practice for information security management
信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則
該標(biāo)準(zhǔn)將取代 ISO /IEC 17799:2005 ���,直接由ISO/IEC 17799:2005更改標(biāo)準(zhǔn)編號(hào)為ISO/IEC 27002�,計(jì)劃2007年4月實(shí)施�。
標(biāo)準(zhǔn)介紹:
本標(biāo)準(zhǔn)為在組織內(nèi)啟動(dòng)、實(shí)施����、保持和改進(jìn)信息安全管理提供指南和通用的原則�����。本標(biāo)準(zhǔn)概述的目標(biāo)提供了有關(guān)信息安全管理通常公認(rèn)的目標(biāo)的通用指南�����。
本標(biāo)準(zhǔn)的控制目標(biāo)和控制措施預(yù)期被實(shí)施以滿足由風(fēng)險(xiǎn)評(píng)估所識(shí)別的要求。本標(biāo)準(zhǔn)可以作為一個(gè)實(shí)踐指南服務(wù)于開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)踐����,幫助構(gòu)建組織間活動(dòng)的信心。
本標(biāo)準(zhǔn)包含的實(shí)施規(guī)則可以認(rèn)為是開(kāi)發(fā)組織具體指南的起點(diǎn)��。本實(shí)施規(guī)則中的控制和指導(dǎo)并不全都是適用的��。而且����,可能需要本標(biāo)準(zhǔn)中未包括的附加控制和指南。當(dāng)開(kāi)發(fā)包括附加控制和指南的文件時(shí)�����,包括對(duì)本標(biāo)準(zhǔn)適用的條款進(jìn)行交叉引用可能是有用的,該交叉引用便于審核員和商業(yè)伙伴進(jìn)行符合性核查�����。
ISO/IEC 27003
Information technology -- Security techniques -- Information security management systems implementation guidance
信息技術(shù)—安全技術(shù)—信息安全管理體系實(shí)施指南
標(biāo)準(zhǔn)介紹:
該標(biāo)準(zhǔn)為按照ISO/IEC 27001建立���、實(shí)施�、運(yùn)作��、監(jiān)控�����、評(píng)審�、維持和改進(jìn)信息安全管理體系提供應(yīng)用實(shí)施指南。
該標(biāo)準(zhǔn)適用于所有類(lèi)型、所有規(guī)模和所有業(yè)務(wù)形式的機(jī)構(gòu)。各類(lèi)組織可以利用本標(biāo)準(zhǔn)�,實(shí)施符合ISO/IEC 27001的信息安全管理體系���。
ISO/IEC 27004
Information technology -- Security techniques -- Information security management —Measurements
信息技術(shù)—安全技術(shù)—信息安全管理—測(cè)量
該標(biāo)準(zhǔn)闡述信息安全管理的測(cè)量和指標(biāo),用于測(cè)量信息安全管理的實(shí)施效果�,預(yù)計(jì)2008年5月發(fā)布。該標(biāo)準(zhǔn)目前處于委員會(huì)草案狀態(tài)��。
標(biāo)準(zhǔn)介紹:
本標(biāo)準(zhǔn)提供指南和建議,用于評(píng)估按照ISO/IEC 27001建立的ISMS���、控制目標(biāo)以及控制措施的有效性�。
管理者可以使用本標(biāo)準(zhǔn)作為有效的測(cè)量方法���,判斷信息安全管理體系的有效性����。測(cè)量結(jié)果可以作為評(píng)審現(xiàn)有控制有效性的輸入��,以決定是否需要更改或改進(jìn)��。
ISO/IEC 27005
Information technology -- Security techniques --Information security risk management
ISO27001的相關(guān)標(biāo)準(zhǔn)
信息安全管理體系(Information security management systems��,簡(jiǎn)稱ISMS)(即ISO/IEC 27000系列)是目前國(guó)際信息安全管理標(biāo)準(zhǔn)研究的重點(diǎn)����。
27000 系列共包括10個(gè)標(biāo)準(zhǔn)����,當(dāng)前已經(jīng)發(fā)布和在研究的有6個(gè),分別為:
1����、ISO/IEC 27000《信息安全管理體系 基礎(chǔ)和詞匯》��;
2�、ISO/IEC 27001:2005《信息安全管理體系 要求》���;
3����、ISO/IEC 17799:2005《信息安全管理實(shí)用規(guī)則》(2007年4月后����,編號(hào)將改為27002);
4��、ISO/IEC 27003《信息安全管理體系實(shí)施指南》���;
5��、ISO/IEC 27004《信息安全管理測(cè)量》�;
6�、ISO/IEC 27005《信息安全風(fēng)險(xiǎn)管理》。
ISO/IEC 27001
Information technology -- Security techniques -- Information security management systems --Requirements
信息技術(shù)—安全技術(shù)—信息安全管理體系—要求
該標(biāo)準(zhǔn)源于BS7799-2��,主要提出ISMS的基本要求,已于2005年10月正式發(fā)布����。
標(biāo)準(zhǔn)介紹:
ISO27001用于為建立、實(shí)施�����、運(yùn)行����、監(jiān)視、評(píng)審���、保持和改進(jìn)信息安全管理體系(Information Security Management System,簡(jiǎn)稱ISMS)提供模型�����。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策�。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)、安全需求��、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響�。上述因素及其支持過(guò)程會(huì)不斷發(fā)生變化�。期望信息安全管理體系可以根據(jù)組織的需求而測(cè)量�����,例如簡(jiǎn)單的情形可采用簡(jiǎn)單的ISMS解決方案��。
ISO27001標(biāo)準(zhǔn)可以作為評(píng)估組織滿足顧客�、組織本身及法律法規(guī)的信息安全要求的能力的依據(jù),無(wú)論是組織自我評(píng)估還是評(píng)估供方能力�����,都可以采用�,也可以用作獨(dú)立第三方認(rèn)證的依據(jù)。
ISO/IEC 27002
Information technology -- Security techniques -- Code of practice for information security management
信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)則
該標(biāo)準(zhǔn)將取代 ISO /IEC 17799:2005 ����,直接由ISO/IEC 17799:2005更改標(biāo)準(zhǔn)編號(hào)為ISO/IEC 27002,計(jì)劃2007年4月實(shí)施��。
標(biāo)準(zhǔn)介紹:
本標(biāo)準(zhǔn)為在組織內(nèi)啟動(dòng)��、實(shí)施�、保持和改進(jìn)信息安全管理提供指南和通用的原則。本標(biāo)準(zhǔn)概述的目標(biāo)提供了有關(guān)信息安全管理通常公認(rèn)的目標(biāo)的通用指南�。
本標(biāo)準(zhǔn)的控制目標(biāo)和控制措施預(yù)期被實(shí)施以滿足由風(fēng)險(xiǎn)評(píng)估所識(shí)別的要求���。本標(biāo)準(zhǔn)可以作為一個(gè)實(shí)踐指南服務(wù)于開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)踐,幫助構(gòu)建組織間活動(dòng)的信心����。
本標(biāo)準(zhǔn)包含的實(shí)施規(guī)則可以認(rèn)為是開(kāi)發(fā)組織具體指南的起點(diǎn)。本實(shí)施規(guī)則中的控制和指導(dǎo)并不全都是適用的����。而且,可能需要本標(biāo)準(zhǔn)中未包括的附加控制和指南�。當(dāng)開(kāi)發(fā)包括附加控制和指南的文件時(shí),包括對(duì)本標(biāo)準(zhǔn)適用的條款進(jìn)行交叉引用可能是有用的�,該交叉引用便于審核員和商業(yè)伙伴進(jìn)行符合性核查。
ISO/IEC 27003
Information technology -- Security techniques -- Information security management systems implementation guidance
信息技術(shù)—安全技術(shù)—信息安全管理體系實(shí)施指南
標(biāo)準(zhǔn)介紹:
該標(biāo)準(zhǔn)為按照ISO/IEC 27001建立����、實(shí)施、運(yùn)作���、監(jiān)控、評(píng)審��、維持和改進(jìn)信息安全管理體系提供應(yīng)用實(shí)施指南���。
該標(biāo)準(zhǔn)適用于所有類(lèi)型���、所有規(guī)模和所有業(yè)務(wù)形式的機(jī)構(gòu)���。各類(lèi)組織可以利用本標(biāo)準(zhǔn),實(shí)施符合ISO/IEC 27001的信息安全管理體系�����。
ISO/IEC 27004
Information technology -- Security techniques -- Information security management —Measurements
信息技術(shù)—安全技術(shù)—信息安全管理—測(cè)量
該標(biāo)準(zhǔn)闡述信息安全管理的測(cè)量和指標(biāo)�����,用于測(cè)量信息安全管理的實(shí)施效果���,預(yù)計(jì)2008年5月發(fā)布�。該標(biāo)準(zhǔn)目前處于委員會(huì)草案狀態(tài)�����。
標(biāo)準(zhǔn)介紹:
本標(biāo)準(zhǔn)提供指南和建議�,用于評(píng)估按照ISO/IEC 27001建立的ISMS、控制目標(biāo)以及控制措施的有效性。
管理者可以使用本標(biāo)準(zhǔn)作為有效的測(cè)量方法�,判斷信息安全管理體系的有效性。測(cè)量結(jié)果可以作為評(píng)審現(xiàn)有控制有效性的輸入��,以決定是否需要更改或改進(jìn)�����。
ISO/IEC 27005
Information technology -- Security techniques --Information security risk management
客服咨詢
158-0008-7775 
