一(yī)、知(zhī)識普及ISO27000信息安全管理認證标準族有多少
iso27000标準族
與質量管理體(tǐ)系的iso9000系列和環境管理體(tǐ)系的iso14000系列标準類似,信息安全管理體(tǐ)系(information security management system,isms)是iso發展的-個信息安全管理标準族,預留了iso/iec 27000系列編号。
iso 27001在其中(zhōng)具有核心作用,iso 270000信息安全标準族其中(zhōng)最主要的幾個标準圖示如下(xià):
更多标準羅列如下(xià),從行業、技術、應用等角度涵蓋了信息安全的方方面面:
iso27000
信息技術—安全技術—信息安全管理體(tǐ)系—概況與術語
該标準對構成isms标準族的信息安全管理标準進行了概述,并規定了與isms系列标準相關的術語。
iso27001
信息技術—安全技術—信息安全管理體(tǐ)系—要求
該标準源于bs7799-2,主要提出isms的基本要求,已于2005年10月正式發布。
iso27001用于爲建立、實施、運行、監視、評審、保持和改進信息安全管理體(tǐ)系(information security management system,簡稱isms)提供模型。采用isms應當是一(yī)個組織的一(yī)項戰略性決策。一(yī)個組織的isms的設計和實施受業務需求和目标、安全需求、所采用的過程以及組織的規模和結構的影響。上述因素及其支持過程會不斷發生(shēng)變化。期望信息安全管理體(tǐ)系可以根據組織的需求而測量,例如簡單的情形可采用簡單的isms解決方案。iso27001标準可以作爲評估組織滿足顧客、組織本身及法律法規的信息安全要求的能力的依據,無論是組織自我(wǒ)評估還是評估供方能力,都可以采用,也可以用作獨立第三方認證的依據。上海信息化培訓中(zhōng)心提供irca認可iso 27001la信息安全管理體(tǐ)系主任審核師培訓。
iso27002
信息技術—安全技術—信息安全管理實用規則該标準取代了iso /iec 17799:2005,直接由iso/iec 17799:2005更改标準編号爲iso/iec 27002,已于2007年4月實施。
本标準爲在組織内啓動、實施、保持和改進信息安全管理提供指南(nán)和通用的原則。本标準概述的目标提供了有關信息安全管理通常公認的目标的通用指南(nán)。
本标準的控制目标和控制措施預期被實施以滿足由風險評估所識别的要求。本标準可以作爲一(yī)個實踐指南(nán)服務于開(kāi)發組織的安全标準和有效的安全管理實踐,幫助構建組織間活動的信心。本标準包含的實施規則可以認爲是開(kāi)發組織具體(tǐ)指南(nán)的起點。本實施規則中(zhōng)的控制和指導并不全都是适用的。而且,可能需要本标準中(zhōng)未包括的附加控制和指南(nán)。當開(kāi)發包括附加控制和指南(nán)的文件時,包括對本标準适用的條款進行交叉引用可能是有用的,該交叉引用便于審核員(yuán)和商(shāng)業夥伴進行符合性核查。
iso27003
信息技術—安全技術—信息安全管理體(tǐ)系實施指南(nán)
該标準已于2010年2月正式發布。 該标準爲按照iso/iec 27001建立信息安全管理體(tǐ)系(isms)實施計劃提供應用指南(nán)。通常将isms作爲一(yī)個項目實施。
iso27004
信息技術—安全技術—信息安全管理—測量
該标準已于2009年12月正式發布。該标準旨在幫助組織測量、報告和系統性的改進其信息安全管理體(tǐ)系的有效性。該标準爲制訂測量項和實施測量提供指南(nán),以評估信息安全管理體(tǐ)系和iso/iec 27001規定的控制措施的實施效果。
iso27005
信息技術—安全技術—信息安全風險管理
該标準以bs7799-3和iso13335爲基礎,已于2008年6月正式發布。本标準描述了信息安全風險管理的要求,可以用于風險評估,識别安全要求,支撐信息安全管理體(tǐ)系的建立和維持。
iso27006
信息技術—安全技術—信息安全管理體(tǐ)系審核認證機構要求
該标準已于2007年2月正式發布。 該标準對提供isms認證的機構提出要求,所有提供isms認證服務的機構需要按照該标準的要求證明其能力和可靠性。
iso27007
信息技術—安全技術—信息安全管理體(tǐ)系審核指南(nán)
該标準爲按照iso/iec 27001對信息安全管理體(tǐ)系進行審核的認證機構、内部審核員(yuán)、外(wài)部/第三方審核員(yuán)以及其它審核活動提供指南(nán)。
iso27008
信息技術—安全技術—isms控制措施的審核員(yuán)指南(nán)
該标準爲所有的信息安全管理體(tǐ)系審核員(yuán)提供關于“基于風險方法選擇isms控制措施”指南(nán)。該标準通過闡明isms與所選擇的控制之間的關系,爲信息安全風險管理過程,以及内外(wài)部的isms審核提供支持。并爲如何驗證“isms控制措施”的實施程度提供指南(nán)。
iso/iec 27009:信息安全治理框架
iso27010
信息技術—安全技術—組織間的信息安全管理
該标準将包含多個部分(fēn),爲跨行業、跨領域、跨國家間分(fēn)享有關信息安全風險、控制措施、争議以及安全事件的信息提供指南(nán)。
iso27011
信息技術—安全技術—電(diàn)信機構基于iso/iec 27002的信息安全管理指南(nán)
該标準已于2008年12月正式發布。 該标準用于電(diàn)信行業,由itu-t 和 iso/iec jtc1/sc27共同制訂,并聯合發布itu-t x.1051 和iso/iec 27011。
對電(diàn)信機構而言,信息及其支撐流程、通信設施、網絡和線路是重要的經營資(zī)産,信息安全對于電(diàn)信機構恰當的管理其經營資(zī)産,正确并成功地保持其經營活動的連續性至關重要。本标準爲電(diàn)信機構的信息安全管理提供了要求,規定了電(diàn)信企業在整體(tǐ)經營風險框架下(xià)建立、實施、運行、監視、評審、維持和改進其文件化的信息安全管理體(tǐ)系(isms)的要求。
iso/iec 27012:電(diàn)子政府服務
iso27013
it技術—安全技術—iso/iec 20000-1 和 iso/iec 27001整合實施指南(nán)
該标準爲整合實施iso/iec 27001(信息安全管理體(tǐ)系)和iso/iec 20000-1(it服務管理規範)提供指南(nán)。
iso27014
信息技術—安全技術—信息安全治理架構
該标準旨在幫助組織治理信息安全。信息安全治理将考慮:組織的經營戰略、方針和目标;符合适用的、與治理相關的法律法規;符合組織對第三方的合同義務或其它法律義務,反之亦然;爲向第三方提供保證所需的審核,以及證書(shū)需求。
iso27015
信息技術—安全技術—金融保險行業信息安全管理體(tǐ)系指南(nán)
該标準旨在幫助金融服務行業的組織(如:銀行、保險公司、信用卡公司等)使用iso27000系列标準實施isms。雖然該行業已經有了一(yī)些風險和安全管理标準,如:iso tr 13569—銀行業信息安全指南(nán),但由sc27開(kāi)發的isms實施指南(nán)将會更直接的體(tǐ)現iso/iec 27001和iso/iec 27002。
iso27031
信息技術—安全技術—業務連續性的ict準備能力指南(nán)
iso/iec 27031将說明ict(信息和通信技術)在确保業務連續性方面所起作用的概念和原則。該标準将:爲所有類型的組織(私人、政府、非政府)提供框架(方法和流程);爲改進作爲組織isms一(yī)部分(fēn)的ict準備能力、保證業務連續性,識别和規定全部有關的内容,包括:績效準則、實施細節等;使一(yī)個組織能夠測量其持續性、安全性,從而具備以一(yī)種一(yī)緻的、驗證過的方法從災難中(zhōng)恢複的準備能力。
iso27032
信息技術—安全技術—網絡空間安全指南(nán)
iso/iec 27032将闡述“網絡空間”所面臨的獨特的安全問題。“網絡空間”在标準中(zhōng)定義爲:不以任何物(wù)理方式存在的,通過技術設施和網絡互相聯接的因特網中(zhōng)人員(yuán)、軟件、服務相互作用所導緻的複雜(zá)環境。網絡空間存在着目前信息安全、互聯網安全、網絡安全和ict安全所不能涵蓋的安全問題,原因是這些安全領域之間存在差距。網絡空間安全将解決在網絡空間中(zhōng),由于不同的安全領域差距導緻的安全問題。同時,網絡空間安全爲網絡空間中(zhōng)不同的安全利益相關者提供合作框架基礎。
iso27033
信息技術—安全技術—網絡安全
(其中(zhōng)的第一(yī)部分(fēn) iso/iec 27033-1已于2009年12月正式發布)。
iso/iec 27033将是一(yī)個包含多個部分(fēn)的标準,來自于已經存在的網絡安全标準iso/iec 18028的五個部分(fēn)。現有的标準将不僅是改換名稱,而是被大(dà)幅修改。
iso/iec 27033爲實施iso/iec 27002所介紹的網絡安全控制提供詳細指南(nán),包含以下(xià)部分(fēn):
iso/iec 27033-1:2009 information technology -- security techniques -- network security -- part 1: overview and concepts
iso/iec 27033-2: guidelines for the design and implementation of network security
iso/iec 27033-3: reference networking scenarios -- threats, design techniques and control issues
iso/iec 27033-4: securing communications between networks using security gateways -- threats, design techniques and control issues
iso/iec 27033-5: securing virtual private networks -- threats, design techniques and control issues
iso/iec 27033-6: ip convergence
iso/iec 27033-7: guidelines for securing wireless networking -- risks, design techniques and control issues
iso/iec 27033-8: guidelines for securing [insert other network security aspects] -- risks, design techniques and control issues
iso27034
信息技術—安全技術—應用安全
iso/iec 27034将是一(yī)個包含多個部分(fēn)的标準。該标準通過一(yī)組與組織的系統開(kāi)發生(shēng)命周期相整合的過程,爲規化、設計、選擇和實施信息安全控制措施提供指南(nán)。該标準包含如下(xià)部分(fēn):
iso/iec 27034-1 - information technology — security techniques — application security overview and concepts
iso/iec 27034-2 - organization normative framework
iso/iec 27034-3 - application security management process
iso/iec 27034-4 - application security validation
iso/iec 27034-5 - protocols and application security control data structure
iso/iec 27034-6 - security guidance for specific applications
iso27035
信息技術—安全技術—安全事件管理
iso/iec 27035将由iso tr 18044升級而成。
iso27036
it安全—安全技術—外(wài)包安全管理指南(nán)
iso/iec 27036将指導組織評價和消除包含在采購、使用外(wài)包服務中(zhōng)的安全風險,支持對外(wài)包實施iso/iec 27002的安全控制措施。
iso27037
it安全—安全技術—數字證據的識别、收集、獲取和保存指南(nán)
該标準将爲電(diàn)子證據的識别、收集、獲取、标識、儲存、搬運和保護提供詳細的指南(nán)。
目前,該标準的名稱和範圍仍未确定。
iso27799
醫療信息學—使用iso/iec 27002的醫療信息安全管理
該标準是由iso負責醫療信息學的技術委員(yuán)會tc215發布的,而不是由負責iso27k的iso iec聯合技術委員(yuán)會jtc1/sc27發布。因此,iso 27799是否是iso/iec 27000系列标準中(zhōng)的一(yī)個還存在争議。iso 27799:2008爲在醫療信息領域理解和實施iso/iec 27002提供支持,是iso/iec 27002的伴随标準。
二、iso2700是什麽認證
iso27001
】起源
信息安全管理實用規則iso/iec27001的前身爲英國的bs7799标準,該标準由英國标準協會(bsi)于1995年2月提出,并于1995年5月修訂而成的。1999年bsi重新修改了該标準。bs7799分(fēn)爲兩個部分(fēn): bs7799-1,信息安全管理實施規則 bs7799-2,信息安全管理體(tǐ)系規範。 第一(yī)部分(fēn)對信息安全管理給出建議,供負責在其組織啓動、實施或維護安全的人員(yuán)使用;第二部分(fēn)說明了建立、實施和文件化信息安全管理體(tǐ)系(isms)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
發展
2000年,國際标準化組織(iso)在bs7799-1的基礎上制定通過了iso 17799标準。bs7799-2在2002年也由bsi進行了重新的修訂。iso組織在2005年對iso 17799再次修訂,bs7799-2也于2005年被采用爲iso27001:2005。
[編輯本段]iso27001認證公司
認監委批準的認證公司
現在國内的認監委對iso27001認證管控非常嚴格,至今隻允許4家國内認證機構進行認證,分(fēn)别是, 中(zhōng)國信息安全認證中(zhōng)心 華夏認證中(zhōng)心 中(zhōng)國電(diàn)子技術标準化研究所 上海質量體(tǐ)系審核中(zhōng)心 到目前爲止就這四家
标準的主要内容
iso/iec17799-2000(bs7799-1)對信息安全管理給出建議,供負責在其組織啓動、實施或維護安全的人員(yuán)使用。該标準爲開(kāi)發組織的安全标準和有效的安全管理做法提供公共基礎,并爲組織之間的交往提供信任。 标準指出“象其他重要業務資(zī)産一(yī)樣,信息也是一(yī)種資(zī)産”。它對一(yī)個組織具有價值,因此需要加以合适地保護。信息安全防止信息受到的各種威脅,以确保業務連續性,使業務受到損害的風險減至最小(xiǎo),使投資(zī)回報和業務機會最大(dà)。 信息安全是通過實現一(yī)組合适控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制,以确保滿足該組織的特定安全目标。
内容章節
iso/iec17799-2000包含了127個安全控制措施來幫助組織識别在運做過程中(zhōng)對信息安全有影響的元素,組織可以根據适用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際标準化組織(iso)在2005年對iso 17799進行了修訂,修訂後的标準作爲iso 27000标準族的第一(yī)部分(fēn)——iso/iec 27001,新标準去(qù)掉9點控制措施,新增17點控制措施,并重組部分(fēn)控制措施而新增一(yī)章,重組部分(fēn)控制措施,關聯性邏輯性更好,更适合應用;并修改了部分(fēn)控制措施措辭。修改後的标準包括11個章節: 1)安全策略 2)信息安全的組織 3)資(zī)産管理 4)人力資(zī)源安全 5)物(wù)理和環境安全 6)通信和操作管理 7)訪問控制 8)系統系統采集、開(kāi)發和維護 9)信息安全事故管理 10)業務連續性管理 11)符合性
iso27001的效益
1、通過定義、評估和控制風險,确保經營的持續性和能力 2、減少由于合同違規行爲以及直接觸犯法律法規要求所造成的責任 3、通過遵守國際标準提高企業競争能力,提升企業形象 4、明确定義所有組織的内部和外(wài)部的信息接口目标:謹防數據的誤用和丢失 5、建立安全工(gōng)具使用方針 6、謹防技術訣竅的丢失 7、在組織内部增強安全意識 8、可作爲公共會計審計的證據
認識iso27001國際标準
iso27001(bs7799/iso17799)國際标準究竟是什麽?它如何幫助一(yī)個組織更加有效地管理信息安全?bs7799/iso27001和iso9001之間有什麽聯系?初次涉獵信息安全管理領域應該掌握哪些内容,以便組織發起信息安全管理項目?如何獲得bs7799國際标準認證?
it治理和信息安全
近年來企業高層對内部治理需求越來越實際而具體(tǐ)。随着信息技術普遍滲透到企業組織中(zhōng)的各個方面,企業越來越依賴it系統來處理和儲存各種信息,以保證業務正常運營,由此it系統在企業治理中(zhōng)的作z用越來越明晰,it治理也逐漸被大(dà)多數企業認可,成爲董事會和企業内部共同關注的領域。it治理的基礎部分(fēn)是信息安全保護——包括确保信息的可用性、機密性和完整性——這是其他it治理環節實施的前提。 與此同時,和信息安全相關的國際标準已經出台,成爲标準it治理框架中(zhōng)的一(yī)大(dà)基石。
信息安全和法律法規
業内人士對iso27001認證趨之若鹜,這其中(zhōng)有兩個關鍵性的驅動因素:一(yī)是日益嚴峻的信息安全威脅,二是不斷增長的信息保護相關法規的需求。 本質上說,信息安全威脅是全球化的。一(yī)般來說,它将毫無差别地輻射到每一(yī)個擁有、使用電(diàn)子信息的機構和個人。這種威脅在因特網的環境中(zhōng)自動生(shēng)成并釋放(fàng)。更嚴重的問題是,其他各種形式的危險也在整日威脅數據安全,包括從外(wài)部攻擊行爲到内部破壞、偷盜等一(yī)系列危險。 過去(qù)的十年内,圍繞信息和數據安全問題建立起來的法律法規體(tǐ)系從無到有、不斷壯大(dà),其中(zhōng)包括專門針對個人數據保護問題的,也有針對企業财政、運營和風險管理體(tǐ)系建立的法規保障問題的。一(yī)套正式規範的信息安全管理體(tǐ)系應當可以提供最佳實踐部署指導。目前,建立這樣的管理體(tǐ)系逐漸成爲諸多合規項目的必要條件,與此同時,針對該管理體(tǐ)系的認證逐漸成爲各種組織(包括政府部門)的熱門需求,這份認證可以爲他們帶來重要的潛在商(shāng)業合同。
信息安全和技術
絕大(dà)多數人認爲信息安全是一(yī)個純粹的有關技術的話(huà)題,隻有那些技術人員(yuán),尤其是計算機安全技術人員(yuán),才能夠處理任何保障數據和計算機安全的相關事宜。這固然有一(yī)定道理。不過,實際上,恰恰是計算機用戶本身需要考慮這樣的問題:避免哪些威脅?在信息安全和信息通暢中(zhōng)如何平衡取舍?的确如此,一(yī)旦用戶給出答案,計算機安全專家就可以設計并執行一(yī)個技術方案以達成用戶需求。 在組織内部,管理層應當負責決策,而不是it部門。一(yī)個規範的信息安全管理體(tǐ)系必須明确指出,組織機構董事會和管理層應當負責相關信息安全管理體(tǐ)系的決策,同時,這個體(tǐ)系也應當能夠反映這種決策,并且在運行過程中(zhōng)能夠提供證據證明其有效性。 所以機構組織内部的信息安全管理體(tǐ)系的建立項目不必由一(yī)個技術專家來領導。事實上,技術專家在很多情況下(xià)起到相反的作用,可能會阻礙項目進程。因此,這個項目應該由質量管理經理、總經理或者其他負責機構内部重大(dà)職能的執行主管負責主持。
信息安全标準
1995年,英國标準機構(bsi)發布bs7799标準,即isms(信息安全管理體(tǐ)系),旨在規範、引導信息安全管理體(tǐ)系的發展過程和實施情況。bs7799标準被外(wài)界認爲是一(yī)個不偏向任何技術、任何企業和産品供應商(shāng)的價值中(zhōng)立的管理體(tǐ)系。隻要實施得當,bs7799标準将幫助企業檢查并确認其信息安全管理手段和實施方案的有效性。 從企業外(wài)部來看,bs7799關注信息的可用性、機密性和完整性,至今這仍然是這項标準緻力達到的目标。bs7799集中(zhōng)關注企業組織層面上的風險規避(一(yī)定程度上主要是商(shāng)業和金融風險),而不包括避免每一(yī)個潛在風險的保護措施——盡管它們至關重要。 bs7799最初僅有一(yī)份文檔,且具有明顯的實踐指南(nán)性質。也就是說,它爲組織提供信息安全指引,但沒有形成規範,不能爲外(wài)部第三方審計和認證等提供依據。随着越來越多的企業開(kāi)始認識到來自信息安全的威脅波及範圍越來越廣,影響程度越來越大(dà),并且關于數據和隐私權保護的法律法規不斷出台,信息安全标準認證的需求開(kāi)始不斷增加。 這種需求的增加最終促成了該項标準第二部分(fēn)的出台,即标準規範。實踐指南(nán)和标準規範之間的關系是這樣的:标準規範是認證方案的基礎,同時标準規範要求實踐者遵從實踐指南(nán)的指引。 這個實踐指南(nán)最近被修訂爲iso/iec 17799:2005,标準規範也被修訂爲iso/iec 27001:2005,逐步得到國際認同。 許多國家也已發布了自己的相關标準,比如as/nzs7799。這些标準的國際化版本可以在世界任何國家得到認可,這促使了本土化标準的消退(除了基于兩個标準号碼基礎上的本土化标準以外(wài))。
認證與遵從
一(yī)個組織可以僅遵從iso17799來建立和發展isms(信息安全管理體(tǐ)系),因爲實踐指南(nán)中(zhōng)的内容是普遍适用的。然而,由于iso17799并非基于認證框架,它不具備關于通過認證所必需的信息安全管理體(tǐ)系的要求。而iso/ec27001則包含這些具體(tǐ)詳盡的管理體(tǐ)系認證要求。在技術層面來講,這就表明一(yī)個正在獨立運用iso17799的機構組織,完全符合實踐指南(nán)的要求,但是這并不足以讓外(wài)界認可其已經達到認證框架所制定的認證要求。不同的是,一(yī)個正在同時運用iso27001和iso17799标準的機構組織,可以建立一(yī)個完全符合認證具體(tǐ)要求的isms,同時這個isms體(tǐ)系也符合實踐指南(nán)的要求,于是,這一(yī)組織就可以獲得外(wài)界的認同,即獲得認證。
iso27001認證要求與其他管理标準
iso27001标準是爲了與其他管理标準,比如iso9000和iso14001等相互兼容而設計的,這一(yī)标準中(zhōng)的編号系統和文件管理需求的設計初衷,就是爲了提供良好的兼容性,使得組織可以建立起這樣一(yī)套管理體(tǐ)系:能夠在最大(dà)程度上融入這個組織正在使用的其他任何管理體(tǐ)系。一(yī)般來說,組織通常會使用爲其iso9000認證或者其他管理體(tǐ)系認證提供認證服務的機構,來提供iso27001認證服務。正是因爲這個緣故,在isms體(tǐ)系建立的過程中(zhōng),質量管理的經驗舉足輕重。 但是有一(yī)點需要注意,一(yī)個組織如果沒有事先擁有并使用任何形式的管理體(tǐ)系,并不意味着該組織不能進行iso27001認證。這種情況下(xià),該組織就應當從經濟利益考慮,選擇一(yī)個合适的管理體(tǐ)系的認證機構來提供認證服務。認證機構必須得到一(yī)個國家鑒定機構的委托授權,才能爲認證組織提供認證服務,并發放(fàng)認證證書(shū)。大(dà)多數國家都有自己的國家鑒定機構(比如:英國ukas),任何獲得該機構授權進行isms認證的機構均記錄在案。
風險評估和風險應對計劃
任何一(yī)個isms體(tǐ)系的建立和開(kāi)發都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業務模式、運營目标、形象特點和内部文化,他們對待風險的态度傾向也大(dà)相徑庭。換句話(huà)說,同一(yī)個東西,一(yī)個機構組織認爲是必須提防的威脅,在另一(yī)個組織看來可能是一(yī)個必須抓住的機遇。同樣地,各個機構組織對于既有風險防護的投入也參差不齊。基于以上或者其他原因,每個運行isms的組織,其内部成員(yuán)必須對風險評估有一(yī)個共識,這個風險評估的方法論、結果發現和推薦解決方式都必須得到董事會的首肯。
着手準備isms項目和pdca流程
isms項目很複雜(zá),可能持續若幹個月甚至若幹年,涉及整個機構組織以及從管理層到收發部門的每個成員(yuán)。iso27001認證誕生(shēng)時間短,成功的案例比較少。從務實的角度考慮,這表明在項目計劃過程中(zhōng),必須盡早對這些僅有的指導性的書(shū)籍和案例進行分(fēn)析和研究。 iso27001标準指導一(yī)個企業如何着手開(kāi)展isms項目,并且關注整個項目進程中(zhōng)的若幹重要元素。 1950年w. edwards deming提出pdca流程,即計劃(plan)-執行(do)-檢查(check)-提升(act)過程,意在說明業務流程應當是不斷改進的,該方法使得職能部門經理可以識别出那些需要修正的環節并進行修正。這個流程以及流程的改進,都必須遵循這樣一(yī)個過程:先計劃,再執行,而後對其運行結果進行評估,緊接着按照計劃的具體(tǐ)要求對該評估進行複查,而後尋找到任何與計劃不符的結果偏差(即潛在改進的可能性),最後向管理層提出如何運行的最終報告。
