ISMS與PCI-DSS的關係

支付卡行業數據安全標準Payment Card Industry Data Security Standard（PCI-DSS）對所有存儲、傳輸或處理支付卡的組織提出12項強制性的高級別要求，亦稱做“十二誡律”。這12項要求又被進一步細分爲幾部分，描述了組織必須進行的活動，這些活動包括如何安全地管理其網絡和系統，以及如何保護其受委託的支付卡數據。

雖然PCI-DSS列出了法規要求的大部分細節，它只是給出了必需滿足整體安全構架中所需行動的指南性參考。如果組織只是盲目地跟從PCI-DSS，他們可能無法實現整體的安全目標。

例如：ISO 27002討論了讓業務、管理、人力資源和技術代表參與安全方案的必要性。它也提供瞭如數據分類、數據處理和訪問控制等重要領域的高層次政策參考。雖然PCI-DSS描述了具體的技術措施和組織活動，但它並未涉及包含這些活動的總體方案，或者關於這些活動的具體政策。

當組織開始建立類似ISO 27002標準的廣泛方案時，可以將PCI-DSS標準做爲ISO的一個子集加以考慮。此外，按照ISO 27002的要求，組織對於如PCI-DSS的合規系統需部署關鍵的安全支撐系統。例如，ISO 27002要求在網絡管理，系統配置，政策管理，過程管理和軟件開發中進行變更控制。PCI-DSS要求提供精確的網絡和系統的架構圖示和文檔描述，以及變更控制流程，以確保和PCI-DSS相關組件的管理紀律。

ISO 27002關於變更控制以及其它管理方面的廣泛要求鼓勵組織間採用的一致的方法。將這種方法應用到PCI-DSS，將有助於改善雙方的一致性，有效性和在組織間進行變更的效率,同時也會增加審計師認爲一個組織的做法是可以接受的可能性。

另外將ISO 27002的結構同PCI-DSS具體要求進行結合的好處是幫助組織定義符合ISO標準最具挑戰的三個方面：遵循的範圍、數據分類和數據處理。針對這些制約條件，組織可以依據ISO最侍實踐定義出直接用於PCI-DSS遵循的策略和流程。例如,PCI-DSS定義了哪些方面的信用卡數據是敏感的。它描述了信用卡信息訪問控制的要求，傳輸和存儲的加密要求，甚至用以驗證控制有效性的必要的測試。這些具體要求，允許組織聲明系統必須如何得到配置，員工必須如何對待數據和組織如何監控其控制的有效性。

越來越多的組織正在建立基於類似ISO 27002標準框架的安全方案。這些框架允許組織以一致和有效的方式將多項法規遵循及合約納入他們的安全方案。

混合使用ISO標準和具體法規的美妙之處在於法規包含構架所缺乏的詳細細節，而框架提供處理多項要求的一致性的架構。將兩個概念攜手並用，組織可獲得更好的安全效能、效率和可審計。