1. 信息安全管理体系 ISO/IEC 27001 1.1. 管理体系及其产业链 管理体系是组织用来保证其完成任务, 事件目标的过程集的框架。 在ISO 9000 :2000中, 将其定义为建立方针和目标并实现这些目标的体系。 注:一个组织的管理体系可包括若干个不同的管理体系,如质量管理体系、财务管理体 系或环境管理体系。 一个典型的管理体系 框架如下图所示 : 图1-1 目前存在很多的管理体系,例如质量管理体、系环境管理体系、职业健康 管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的 管理体系,其他管理体系或多或少都借鉴了质量管理体系的经验。 管理体系形成的完整的产业链,如 图11所示. 信息安全管理体系正如其名称所表述的含义,就是关于信息安全的管理体 系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法,来 建立、实施、运行、监视、评审、保持和改进信息安全的。 ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解,它强 调的是基于业务风险方法来组织信息安全活动,其本身只是整个管理体系的一 部分。这就要求我们站在全局的观点看待信息安全问题。 图123123 1.2. ISO/IEC 27000 标准族 1.2.1. ISO/IEC 27001 发展历程 ISO27000 从诞生到现在只不过 20年间的事情,但基本上可以看出一个标准 “源于生 活,高于生活”的发展特点,也就是说,一个真正普遍适用并能被普遍接受的标准,必然是 能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。 BS7799最初是由英国贸工部 (DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开 发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。 负责标 准开发和管理工作的 BSI—DISC Committee BDD/2 是由来自贸易和工业部门的众多代表共同 组成的,其成员在各自的领域都具有足够的影响力,包括金融业的英国保险协会、渣打会计 协会、汇丰银行等 ,通信行业有大英电讯公司,还有像壳牌、联合利华、 毕马威 (KPMG )等这 样的跨国机构。 1995年, BS7799—1:199 5《信息安全管理实施细则》首次出版 (其前身是 1993年发布的 PD0005 ),它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各 类信息系统通用控制提供唯一的参考基准。 在随后一段时间里,由于电子商务的发展,由此引发客户、供应商、贸易伙伴间对各自 信息保护能力的信任问题, 促使第三方认证成为一个急需。 信息安全管理遵循一套最佳惯例, 但怎样做的?执行程度如何?是否完备?这就需要有一个共同的尺度来进行衡量。 1998年, BS7799—2:1998《信息安全管理体系规范》公布,这是对 BS7799—1的有效补 充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理 体系评估的基础,可以作为认证的依据。至此, BS7799标准初步成型。 1999年4月,BS7799的两个部分被重新修订和扩展, 形成了一个完整版的 BS7799:1999 。 新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前 版本所有内容之外, 新版本还补充了很多新的控制, 包括电子商务、 移动计算、 远程工作等。 由于 BS7799日益得到国际认同,使用的国家也越来越多, 2000年12月,国际标准 化 组织 ISO/IEC JTC 1/SC27 工作组认可 BS7799—1:1999,正式将其转化为国际标准,即所 颁布 的ISO/IEC 17799 :2000《信息技术 ——信息安全管理实施细则》 。作为一个全球通用的标准, ISO/IEC 17799 并不局限于 IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成 的,是市场驱动的结果。 2002年, BSI对BS7799:2 —1999进行了重新修订,正式引入 PDCA过程模型,以此作为 建立、实施、持续改进信息安全管理体系的依据,同时,新版本的调整更显 示了与 ISO9001:2000 、ISO14001:1996 等其他管理标准以及经济合作与开发组织 (OECD )基本原则的一 致性,体现了管理体系融合的趋势。 2004年9月5日, BS7799—2:2002正式发布,随即提 交ISO并迈入“快速通道” 。 2005年6月, ISO/IEC 17799:2000 经过改版,形成了新的 ISO/IEC 17799:2005 ,新版本较 老版本无论是组织编排还是内容完整性上都有了很大增强和提升。紧接着,被期待已久的 BS7799—2:2002也终于被 ISO组织所采纳,于同年 10月推出了 ISO/IEC 27001:2005 。 2007年10月, ISO/IEC 17799:2005 被正式纳入 ISO27000 体系,成为 ISO27002:2007 。 2013年9月, ISO/IEC 27001:2005 经过改版,形成了新的 ISO/IEC 27001:2013 ,新版本 从原先 8个章节扩展到 10个章节,重建了 ISO标准 PDCA章节架构,并将旧版 11个控制域 扩展到 14个,使结构更合理,表现更清晰。 作为认证标准, ISO27000 系列中最关键的还是 ISO27001 , 所以, 人们更习惯以 ISO27001 来直接代表 此系列信息安全管理标准。 图5所示为 ISO27000 系列标准的发展历程。 1.2.2. ISO/IEC 27000 标准族一览 ISO/IEC 27000 族标准是国际化组织专门为 ISMS预留下来的一系列相关标准的总称具 体如下 : 序号 标准编号 标准名称 出版年份 1 ISO/IEC27000 信息技术 -安全技术 -信息安全管理体系 -概 述与术语 2009 序号 标准编号 标准名称 出版年份 2 ISO/IEC27001 信息技术 -安全技术 -信息安全管理体系 -要 求 2013 3 ISO/IEC27002 信息技术 -安全技术 -信息安全管理 -实用规 则 2013 4 ISO/IEC27003 信息技术 -安全技术 -信息安全管理体系 -实 施指南 2010 5 ISO/IEC27004 信息技术 -安全技术 -信息安全管理 -度量 2009 6 ISO/IEC27005 信息技术 -安全技术 -信息安全风险管理 2011 7 ISO/IEC27006 信息技术 -安全技术 -信息安全管理体系 -认 证机构要求 2007 8 ISO/IEC27007 信息技术 -安全技术 -信息安全管理体系审核 指南 2011 9 ISO/IEC27008 信息技术 -安全技术 -ISMS控制措施的审核员 指南 2011 10 ISO/IEC27010 信息技术 -安全技术 -部门间和组织间通信的 信息安全管理 2012 11 ISO/IEC27011 信 息 技 术 -安 全 技 术 -通 讯 行 业 基 于 ISO/IEC27002 的信息安全管理指南 2008 12 ISO/IEC27013 信息技术 -安全技术 -ISO/IEC 27001 与 ISO/IEC 20000 -1整合实施指南 2012 13 ISO/IEC27014 信息技术 -安全技术 -信息安全治理架构 2013 14 ISO/IEC27015 信息技术 -安全技术 -金融服务行业信息安全 管理指南 2012 15 ISO/IEC27017 信息技术 -安全技术 -信息安全管理 -基于 ISO/IEC 27002 使用云计算服务信息安全控 制措施指南 未发布 16 ISO/IEC27018 信息技术 -安全技术 -公共云计算服务数据保 护控制措施实用规则 未发布 17 ISO/IEC27031 信息技术 -安全技术 -业务连续性信息通信技 术准备指南 2011 18 ISO/IEC27032 信息技术 -安全技术 -网络安全技术指南 2012 19 ISO/IEC27033 -1 信息技术 -安全技术 -网络安全 -概述与概念 2009 20 ISO/IEC27033 -2 信息技术 -安全技术 -网络安全 -网络安全设 计与实施指南 2012 21 ISO/IEC27033 -3 信息技术 -安全技术 -网络安全 -参考网络场 景-威胁、设计技术与控制问题 2010 22 ISO/IEC27034 -1 信息技术 -安全技术 -应用安全 -应用安全概 述与概念 2011 23 ISO/IEC27034 -2 信息技术 -安全技术 -应用安全 -组织规范框 架 未发布 序号 标准编号 标准名称 出版年份 24 ISO/IEC27034 -3 信息技术 -安全技术 -应用安全 -应用安全管 理流程 未发布 25 ISO/IEC27034 -4 信息技术 -安全技术 -应用安全 -应用安全验 证 未发布 26 ISO/IEC27034 -5 信息技术 -安全技术 -应用安全 -协议和应用 安全控制数据结构 未发布 27 ISO/IEC27034 -6 信

pdf文档 ISO27001 中文解说版

安全标准 > ISO > 文档预览
中文文档 48 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共48页,可预览 3 页,浏览全部内容或当前文档出现乱码点击下载文档
下载文档到电脑,方便使用
本文档由 思安2022-11-26 12:12:29上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。