16:ISO/IEC27001包含哪些主要内容?
发布时间:2011年06月15日点击数: 作者:孙强、孟秀转 来源:ITGov中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
ISO为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准,今后7799系列标准的编号将要统一到ISO 27000系列编号,除了现有的管理体系要求和管理指南之外,还将陆续出版其他指南,

16:ISO/IEC27001包含哪些主要内容?

ISO为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准,今后7799系列标准的编号将要统一到ISO 27000系列编号,除了现有的管理体系要求和管理指南之外,还将陆续出版其他指南,如表8-1所示:

ISO/IEC 描 述

27000 Vocabulary and definitions 术语和定义

27001 ISMS Requirement (BS7799-2) 信息安全管理体系要求

27002 Code of Practice for ISM (ISO17799:2005) 信息安全管理指南

27003 ISMS Implementation Guidance 信息安全管理体系实施指南

27004 ISM Metrics and Measurement 信息安全管理的测量

27005 Risk Management (BS 7799-3) 风险管理

27006 accreditation of organizations 信息安全管理体系审核认证机构要求

27007 ISMS auditor guidelines 信息安全管理体系审核员指南

 27000:该标准对应于信息安全管理体系的ISO/IEC 27000系列标准的概况、状态和关系提供说明,并规定了与ISO/IEC 27000 ISMS系列标准相关的术语。ISO/IEC 27000标准有三个章节,第一章是标准的范围说明,第二章对ISO27000系列的各个标准进行了介绍,说明了各个标准之间的关系,包括:ISO27000,ISO27001,ISO27002,ISO27003,ISO27004,ISO27005,ISO27006。第三章给出了与ISO27000系列标准相关的术语和定义,共63个。

 27001:是建立信息安全管理体系(Information Security Management System,简称ISMS)的一套规范,其中详细说明了实施和维护ISMS的要求,指出实施机构应该遵循的风险评估标准。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证依据。

PDCA循环作为ISO 27001的基础,构建了信息安全管理体系设计、开发、运营和维护的循环模式。该PDCA循环构成的四个阶段,重复运营,持续改进,如图8-3所示。通过该图可以看出,信息安全的要求和各利益方的期望,作为PDCA循环系统输入参数,每完成一次PDCA循环就会消除这些要求、期望,以及信息安全管理具体操作中的差距,以达到可管理的信息安全。

 资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn    

 27002:为建立、实施、维持和改进信息安全管理体系提供了指导和通用准则。标准所列举的控制目标为信息安全管理提供了一般可接受的目标。ISO/IEC27002:2005包含了信息安全管理的最佳实践,共11大类、39个控制目标、133项控制措施(如图8-4所示),其中每一项都是针对某一组织所关注的某一特定的信息安全领域设计的。对于每个领域来说,实施规则描述了高级信息安全目标和在此目标范围内实施风险控制的措施。
 

 资料来源:中国IT治理研究中心(ITGov),网址:www.itgov.org.cn

 27003:该标准为按照ISO/IEC 27001建立、实施、运作、监控、评审、维持和改进信息安全管理体系提供应用实施指南。

 27004:本标准提供指南和建议,用于评估按照ISO/IEC 27001建立的ISMS、控制目标以及控制措施的有效性。管理者可以使用本标准作为有效的测量方法,判断信息安全管理体系的有效性。测量结果可以作为评审现有控制有效性的输入,以决定是否需要更改或改进。

27005:该标准以BS7799-3和ISO13335为基础,描述了信息安全风险管理的要求,可以用于风险评估,识别安全要求,支撑信息安全管理体系的建立和维持。

 27006:该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。

 27007:该标准对提供ISMS认证的第三方认证机构的审核员的工作提供支持,内部审核员也可以参考本标准完成内部审核活动。

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved