ISMS与PCI-DSS的关系

支付卡行业数据安全标准Payment Card Industry Data Security Standard（PCI-DSS）对所有存储、传输或处理支付卡的组织提出12项强制性的高级别要求，亦称做“十二诫律”。这12项要求又被进一步细分为几部分，描述了组织必须进行的活动，这些活动包括如何安全地管理其网络和系统，以及如何保护其受委托的支付卡数据。

虽然PCI-DSS列出了法规要求的大部分细节，它只是给出了必需满足整体安全构架中所需行动的指南性参考。如果组织只是盲目地跟从PCI-DSS，他们可能无法实现整体的安全目标。

例如：ISO 27002讨论了让业务、管理、人力资源和技术代表参与安全方案的必要性。它也提供了如数据分类、数据处理和访问控制等重要领域的高层次政策参考。虽然PCI-DSS描述了具体的技术措施和组织活动，但它并未涉及包含这些活动的总体方案，或者关于这些活动的具体政策。

当组织开始建立类似ISO 27002标准的广泛方案时，可以将PCI-DSS标准做为ISO的一个子集加以考虑。此外，按照ISO 27002的要求，组织对于如PCI-DSS的合规系统需部署关键的安全支撑系统。例如，ISO 27002要求在网络管理，系统配置，政策管理，过程管理和软件开发中进行变更控制。PCI-DSS要求提供精确的网络和系统的架构图示和文档描述，以及变更控制流程，以确保和PCI-DSS相关组件的管理纪律。

ISO 27002关于变更控制以及其它管理方面的广泛要求鼓励组织间采用的一致的方法。将这种方法应用到PCI-DSS，将有助于改善双方的一致性，有效性和在组织间进行变更的效率,同时也会增加审计师认为一个组织的做法是可以接受的可能性。

另外将ISO 27002的结构同PCI-DSS具体要求进行结合的好处是帮助组织定义符合ISO标准最具挑战的三个方面：遵循的范围、数据分类和数据处理。针对这些制约条件，组织可以依据ISO最侍实践定义出直接用于PCI-DSS遵循的策略和流程。例如,PCI-DSS定义了哪些方面的信用卡数据是敏感的。它描述了信用卡信息访问控制的要求，传输和存储的加密要求，甚至用以验证控制有效性的必要的测试。这些具体要求，允许组织声明系统必须如何得到配置，员工必须如何对待数据和组织如何监控其控制的有效性。

越来越多的组织正在建立基于类似ISO 27002标准框架的安全方案。这些框架允许组织以一致和有效的方式将多项法规遵循及合约纳入他们的安全方案。

混合使用ISO标准和具体法规的美妙之处在于法规包含构架所缺乏的详细细节，而框架提供处理多项要求的一致性的架构。将两个概念携手并用，组织可获得更好的安全效能、效率和可审计。