摘自:![SITCnews]()
SITCnews
ISO27000標準族
與質量管理體系的ISO9000系列和環境管理體系的ISO14000系列標準類似,信息安全管理體系(Information Security Management System,ISMS)是ISO發展的-個信息安全管理標準族,預留了ISO/IEC 27000系列編號。
ISO 27001在其中具有核心作用,ISO 270000信息安全標準族其中最主要的幾個標準圖示如下:
更多標準羅列如下,從行業、技術、應用等角度涵蓋了信息安全的方方面面:
ISO27000
信息技術—安全技術—信息安全管理體系—概況與術語
該標準對構成ISMS標準族的信息安全管理標準進行了概述,並規定了與ISMS系列標準相關的術語。
ISO27001
信息技術—安全技術—信息安全管理體系—要求
該標準源於BS7799-2,主要提出ISMS的基本要求,已於2005年10月正式發佈。
ISO27001用於爲建立、實施、運行、監視、評審、保持和改進信息安全管理體系(Information Security Management System,簡稱ISMS)提供模型。採用ISMS應當是一個組織的一項戰略性決策。一個組織的ISMS的設計和實施受業務需求和目標、安全需求、所採用的過程以及組織的規模和結構的影響。上述因素及其支持過程會不斷髮生變化。期望信息安全管理體系可以根據組織的需求而測量,例如簡單的情形可採用簡單的ISMS解決方案。ISO27001標準可以作爲評估組織滿足顧客、組織本身及法律法規的信息安全要求的能力的依據,無論是組織自我評估還是評估供方能力,都可以採用,也可以用作獨立第三方認證的依據。
ISO27002
信息技術—安全技術—信息安全管理實用規則該標準取代了ISO /IEC 17799:2005,直接由ISO/IEC 17799:2005更改標準編號爲ISO/IEC 27002,已於2007年4月實施。
本標準爲在組織內啓動、實施、保持和改進信息安全管理提供指南和通用的原則。本標準概述的目標提供了有關信息安全管理通常公認的目標的通用指南。
本標準的控制目標和控制措施預期被實施以滿足由風險評估所識別的要求。本標準可以作爲一個實踐指南服務於開發組織的安全標準和有效的安全管理實踐,幫助構建組織間活動的信心。本標準包含的實施規則可以認爲是開發組織具體指南的起點。本實施規則中的控制和指導並不全都是適用的。而且,可能需要本標準中未包括的附加控制和指南。當開發包括附加控制和指南的文件時,包括對本標準適用的條款進行交叉引用可能是有用的,該交叉引用便於審覈員和商業夥伴進行符合性覈查。
ISO27003
信息技術—安全技術—信息安全管理體系實施指南
該標準已於2010年2月正式發佈。 該標準爲按照ISO/IEC 27001建立信息安全管理體系(ISMS)實施計劃提供應用指南。通常將ISMS作爲一個項目實施。
ISO27004
信息技術—安全技術—信息安全管理—測量
該標準已於2009年12月正式發佈。該標準旨在幫助組織測量、報告和系統性的改進其信息安全管理體系的有效性。該標準爲制訂測量項和實施測量提供指南,以評估信息安全管理體系和ISO/IEC 27001規定的控制措施的實施效果。
ISO27005
信息技術—安全技術—信息安全風險管理
該標準以BS7799-3和ISO13335爲基礎,已於2008年6月正式發佈。本標準描述了信息安全風險管理的要求,可以用於風險評估,識別安全要求,支撐信息安全管理體系的建立和維持。
ISO27006
信息技術—安全技術—信息安全管理體系審覈認證機構要求
該標準已於2007年2月正式發佈。 該標準對提供ISMS認證的機構提出要求,所有提供ISMS認證服務的機構需要按照該標準的要求證明其能力和可靠性。
ISO27007
信息技術—安全技術—信息安全管理體系審覈指南
該標準爲按照ISO/IEC 27001對信息安全管理體系進行審覈的認證機構、內部審覈員、外部/第三方審覈員以及其它審覈活動提供指南。
ISO27008
信息技術—安全技術—ISMS控制措施的審覈員指南
該標準爲所有的信息安全管理體系審覈員提供關於“基於風險方法選擇ISMS控制措施”指南。該標準通過闡明ISMS與所選擇的控制之間的關係,爲信息安全風險管理過程,以及內外部的ISMS審覈提供支持。併爲如何驗證“ISMS控制措施”的實施程度提供指南。
ISO/IEC 27009:信息安全治理框架
ISO27010
信息技術—安全技術—組織間的信息安全管理
該標準將包含多個部分,爲跨行業、跨領域、跨國家間分享有關信息安全風險、控制措施、爭議以及安全事件的信息提供指南。
ISO27011
信息技術—安全技術—電信機構基於ISO/IEC 27002的信息安全管理指南
該標準已於2008年12月正式發佈。 該標準用於電信行業,由ITU-T 和 ISO/IEC JTC1/SC27共同制訂,並聯合發布ITU-T X.1051 和ISO/IEC 27011。
對電信機構而言,信息及其支撐流程、通信設施、網絡和線路是重要的經營資產,信息安全對於電信機構恰當的管理其經營資產,正確併成功地保持其經營活動的連續性至關重要。本標準爲電信機構的信息安全管理提供了要求,規定了電信企業在整體經營風險框架下建立、實施、運行、監視、評審、維持和改進其文件化的信息安全管理體系(ISMS)的要求。
ISO/IEC 27012:電子政府服務
ISO27013
IT技術—安全技術—ISO/IEC 20000-1 和 ISO/IEC 27001整合實施指南
該標準爲整合實施ISO/IEC 27001(信息安全管理體系)和ISO/IEC 20000-1(IT服務管理規範)提供指南。
ISO27014
信息技術—安全技術—信息安全治理架構
該標準旨在幫助組織治理信息安全。信息安全治理將考慮:組織的經營戰略、方針和目標;符合適用的、與治理相關的法律法規;符合組織對第三方的合同義務或其它法律義務,反之亦然;爲向第三方提供保證所需的審覈,以及證書需求。
ISO27015
信息技術—安全技術—金融保險行業信息安全管理體系指南
該標準旨在幫助金融服務行業的組織(如:銀行、保險公司、信用卡公司等)使用ISO27000系列標準實施ISMS。雖然該行業已經有了一些風險和安全管理標準,如:ISO TR 13569—銀行業信息安全指南,但由SC27開發的ISMS實施指南將會更直接的體現ISO/IEC 27001和ISO/IEC 27002。
ISO27031
信息技術—安全技術—業務連續性的ICT準備能力指南
ISO/IEC 27031將說明ICT(信息和通信技術)在確保業務連續性方面所起作用的概念和原則。該標準將:爲所有類型的組織(私人、政府、非政府)提供框架(方法和流程);爲改進作爲組織ISMS一部分的ICT準備能力、保證業務連續性,識別和規定全部有關的內容,包括:績效準則、實施細節等;使一個組織能夠測量其持續性、安全性,從而具備以一種一致的、驗證過的方法從災難中恢復的準備能力。
ISO27032
信息技術—安全技術—網絡空間安全指南
ISO/IEC 27032將闡述“網絡空間”所面臨的獨特的安全問題。“網絡空間”在標準中定義爲:不以任何物理方式存在的,通過技術設施和網絡互相聯接的因特網中人員、軟件、服務相互作用所導致的複雜環境。網絡空間存在着目前信息安全、互聯網安全、網絡安全和ICT安全所不能涵蓋的安全問題,原因是這些安全領域之間存在差距。網絡空間安全將解決在網絡空間中,由於不同的安全領域差距導致的安全問題。同時,網絡空間安全爲網絡空間中不同的安全利益相關者提供合作框架基礎。
ISO27033
信息技術—安全技術—網絡安全
(其中的第一部分 ISO/IEC 27033-1已於2009年12月正式發佈)。
ISO/IEC 27033將是一個包含多個部分的標準,來自於已經存在的網絡安全標準ISO/IEC 18028的五個部分。現有的標準將不僅是改換名稱,而是被大幅修改。
ISO/IEC 27033爲實施ISO/IEC 27002所介紹的網絡安全控制提供詳細指南,包含以下部分:
ISO/IEC 27033-1:2009 Information technology -- Security techniques -- Network security -- Part 1: Overview and concepts
ISO/IEC 27033-2: Guidelines for the design and implementation of network security
ISO/IEC 27033-3: Reference networking scenarios -- threats, design techniques and control issues
ISO/IEC 27033-4: Securing communications between networks using security gateways -- threats, design techniques and control issues
ISO/IEC 27033-5: Securing Virtual Private Networks -- threats, design techniques and control issues
ISO/IEC 27033-6: IP convergence
ISO/IEC 27033-7: Guidelines for securing wireless networking -- Risks, design techniques and control issues
ISO/IEC 27033-8: Guidelines for securing [insert other network security aspects] -- Risks, design techniques and control issues
ISO27034
信息技術—安全技術—應用安全
ISO/IEC 27034將是一個包含多個部分的標準。該標準通過一組與組織的系統開發生命週期相整合的過程,爲規化、設計、選擇和實施信息安全控制措施提供指南。該標準包含如下部分:
ISO/IEC 27034-1 - Information technology — Security techniques — Application security overview and concepts
ISO/IEC 27034-2 - Organization Normative Framework
ISO/IEC 27034-3 - Application Security Management Process
ISO/IEC 27034-4 - Application security validation
ISO/IEC 27034-5 - Protocols and application security control data structure
ISO/IEC 27034-6 - Security guidance for specific applications
ISO27035
信息技術—安全技術—安全事件管理
ISO/IEC 27035將由ISO TR 18044升級而成。
ISO27036
IT安全—安全技術—外包安全管理指南
ISO/IEC 27036將指導組織評價和消除包含在採購、使用外包服務中的安全風險,支持對外包實施ISO/IEC 27002的安全控制措施。
ISO27037
IT安全—安全技術—數字證據的識別、收集、獲取和保存指南
該標準將爲電子證據的識別、收集、獲取、標識、儲存、搬運和保護提供詳細的指南。
目前,該標準的名稱和範圍仍未確定。
ISO27799
醫療信息學—使用ISO/IEC 27002的醫療信息安全管理
該標準是由ISO負責醫療信息學的技術委員會TC215發佈的,而不是由負責ISO27K的ISO IEC聯合技術委員會JTC1/SC27發佈。因此,ISO 27799是否是ISO/IEC 27000系列標準中的一個還存在爭議。ISO 27799:2008爲在醫療信息領域理解和實施ISO/IEC 27002提供支持,是ISO/IEC 27002的伴隨標準。