ISO/IEC 27000標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)化組織專門為信息安全管理體系建立的一系列相關(guān)標(biāo)準(zhǔn)的總稱,已經(jīng)預(yù)留了ISO/IEC 27000到ISO/IEC 27059共60個(gè)標(biāo)準(zhǔn)號(hào),到目前為止,正式發(fā)布的信息安全管理體系(ISMS)標(biāo)準(zhǔn)有8個(gè),其中兩個(gè)已經(jīng)轉(zhuǎn)化成國家標(biāo)準(zhǔn).全部標(biāo)準(zhǔn)從ISO/IEC 27000到ISO/IEC 27037,以及ISO 27799和其他,基本可以分為以下四部分。

    ISO/IEC 27000標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)化組織專門為信息安全管理體系建立的一系列相關(guān)標(biāo)準(zhǔn)的總稱，已經(jīng)預(yù)留了ISO/IEC 27000到 ISO/IEC 27059共60個(gè)標(biāo)準(zhǔn)號(hào)，到目前為止，正式發(fā)布的信息安全管理體系(ISMS)標(biāo)準(zhǔn)有8個(gè)，其中兩個(gè)已經(jīng)轉(zhuǎn)化成國家標(biāo)準(zhǔn)。全部標(biāo)準(zhǔn)從ISO/IEC 27000到ISO/IEC 27037，以及ISO 27799和其他，基本可以分為以下四部分。

    第一部分是要求和支持性指南，包括ISO/IEC 27000到ISO/IEC 27005，是信息安全管理體系的基礎(chǔ)和基本要求；第二部分是有關(guān)認(rèn)證認(rèn)可和審核的指南，包括ISO/IEC27006到ISO/IEC 27008，面向認(rèn)證機(jī)構(gòu)和審核人員；第三部分是面向?qū)ｉT行業(yè)的信息安全管理要求，如金融業(yè)、電信業(yè)，或者專門應(yīng)用于某個(gè)具體的安全域，如數(shù)字證據(jù)、業(yè)務(wù)連續(xù)性方面；第四部分是由ISO技術(shù)委員會(huì)TC215單獨(dú)制定的（而非和IEC共同制定）應(yīng)用于健康行業(yè)的標(biāo)準(zhǔn)ISO 27799，以及一些處于研究階段并以新項(xiàng)目提案方式體現(xiàn)的成果，比如供應(yīng)鏈安全、存儲(chǔ)安全等。部分標(biāo)準(zhǔn)見附表。本文向大家介紹一下ISO/IEC27000族主要標(biāo)準(zhǔn)。

    ISO/IEC 270000是信息安全管理的概述和術(shù)語，是最基礎(chǔ)的標(biāo)準(zhǔn)之一。它提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語和基本原則，由于ISMS每個(gè)標(biāo)準(zhǔn)都有自己的術(shù)語和定義，以及使用環(huán)境和行業(yè)的差別，不同標(biāo)準(zhǔn)的術(shù)語間往往會(huì)有一些細(xì)微的差異，致使在使用過程中相對(duì)缺乏協(xié)調(diào)，而ISO/IEC 27000就是用于實(shí)現(xiàn)這種一致性。ISO/IEC 27000標(biāo)準(zhǔn)有三個(gè)章節(jié)，第一章是標(biāo)準(zhǔn)的范圍說明；第二章對(duì)IS0 27000系列的各個(gè)標(biāo)準(zhǔn)進(jìn)行介紹，說明了各個(gè)標(biāo)準(zhǔn)之間的關(guān)系；第三章給出了共63個(gè)與IS0 27000系列標(biāo)準(zhǔn)相關(guān)的術(shù)語和定義。

附表 ISO/IEC 27000標(biāo)準(zhǔn)族

    ISO/IEC 27001: 2005是《信息技術(shù)安全技術(shù)信息安全管理體系要求》，等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GB/T 22080-2008/ISO/IEC27001：2005，于200 8年6月19發(fā)布，同年11月1日正式實(shí)施。同ISO 9001標(biāo)準(zhǔn)的性質(zhì)一樣，它是ISMS的規(guī)范性標(biāo)準(zhǔn)，也是ISO/IEC27000系列最核心的兩個(gè)標(biāo)準(zhǔn)之一，適用于所有類型的組織。它著眼于組織的整體業(yè)務(wù)風(fēng)險(xiǎn)，通過對(duì)業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)其信息安全管理體系，確保其信息資產(chǎn)的保密性、可用性和完整性。它還規(guī)定了為適應(yīng)不同組織或部門的需求而制定的安全控制措施的實(shí)施要求，也是獨(dú)立第三方認(rèn)證及實(shí)施審核的依據(jù)。

    ISO/IEC 27002：2005是《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》，等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GB/T 22081-2008/ISO/IEC27002:2005，也是ISO/IEC 27000系列最核心的兩個(gè)標(biāo)準(zhǔn)之一。它從11個(gè)方面提出39個(gè)控制目標(biāo)和133個(gè)控制措施，這些控制目標(biāo)和措施是信息安全管理的最佳實(shí)踐。從應(yīng)用角度看，該標(biāo)準(zhǔn)具有專用和通用的二重性。作為ISO27000標(biāo)準(zhǔn)族系列的成員之一，它是配合ISO/IEC 27001標(biāo)準(zhǔn)來使用的，體現(xiàn)其專用性；同時(shí)，它提出的信息安全控制目標(biāo)和控制措施又是從信息安全工作實(shí)踐中總結(jié)出來的，不管組織是否建立和實(shí)施ISMS，均可從中選擇適合自己的思路、方法和手段來實(shí)現(xiàn)目標(biāo)，這又體現(xiàn)其通用性。

    ISO/IEC 27003是《信息安全管理體系實(shí)施指南》，該標(biāo)準(zhǔn)適用于所有類型、所有規(guī)模和所有業(yè)務(wù)形式的組織，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)符合ISO/IEC 27001的信息安全管理體系提供實(shí)施指南。它給出了ISMS實(shí)施的關(guān)鍵成功因素，按照PDCA的模型，明確了計(jì)劃、實(shí)施、檢查、糾正每個(gè)階段的活動(dòng)內(nèi)容和詳細(xì)指南。

    ISO/IEC 27004是《信息安全管理測(cè)量》，該標(biāo)準(zhǔn)闡述信息安全管理的測(cè)量和指標(biāo)，用于測(cè)量信息安全管理的實(shí)施效果，為組織測(cè)量信息安全控制措施和ISMS過程的有效性提供指南。它分為信息安全測(cè)量概述、管理責(zé)任、測(cè)量和測(cè)量改進(jìn)、測(cè)量操作、數(shù)據(jù)分析和測(cè)量結(jié)果報(bào)告、信息安全管理項(xiàng)目的評(píng)估和改進(jìn)共6個(gè)關(guān)鍵部分，該標(biāo)準(zhǔn)還詳細(xì)描述了測(cè)量過程機(jī)制，分析了如何收集基準(zhǔn)測(cè)量單位，以及如何利用分析技術(shù)和決策準(zhǔn)則來生成信息安全的臨界指標(biāo)等。

    ISO/IEC 27005是《信息安全風(fēng)險(xiǎn)管理》，該標(biāo)準(zhǔn)描述了信息安全風(fēng)險(xiǎn)管理的要求，可以用于風(fēng)險(xiǎn)評(píng)估，識(shí)別安全需求，支撐信息安全管理體系的建立和維持。作為信息安全風(fēng)險(xiǎn)管理的指南，該標(biāo)準(zhǔn)還介紹了一般性的風(fēng)險(xiǎn)管理過程，重點(diǎn)闡述風(fēng)險(xiǎn)評(píng)估的重要環(huán)節(jié)。在附錄中它給出了資產(chǎn)，影響、脆弱性以及風(fēng)險(xiǎn)評(píng)估的方法，即列出了常見的威脅和脆弱性，最后給出了根據(jù)不同通訊系統(tǒng)、不同安全威脅選擇控制措施的方法。

    ISO/IEC 27006是《信息安全管理對(duì)認(rèn)證機(jī)構(gòu)的認(rèn)可要求》，該標(biāo)準(zhǔn)主要是對(duì)從事ISMS認(rèn)證的機(jī)構(gòu)提出了要求和規(guī)范，即一個(gè)機(jī)構(gòu)具備了怎樣的條件才能從事ISMS認(rèn)證業(yè)務(wù)，所有提供ISMS認(rèn)證服務(wù)的機(jī)構(gòu)需要按照該標(biāo)準(zhǔn)的要求證明其能力和可靠性。

    ISO/IEC 27007是《信息安全管理的審核指南》，該標(biāo)準(zhǔn)對(duì)提供ISMS認(rèn)證的第三方認(rèn)證機(jī)構(gòu)的審核員的工作提供支持，內(nèi)部審核員也可以參考本標(biāo)準(zhǔn)完成內(nèi)部審核活動(dòng)，還可為任何依據(jù)ISO/IEC27002標(biāo)準(zhǔn)來管理信息安全風(fēng)險(xiǎn)、審查組織措施有效性的人員提供指導(dǎo)和支持。

    ISO/IEC 27008是《信息安全管理的控制措施審核員指南》，該標(biāo)準(zhǔn)是對(duì)所有審核員在考察組織基于業(yè)務(wù)風(fēng)險(xiǎn)而采取信息安全控制措施方面提供工作指導(dǎo)，它通過比較信息安全風(fēng)險(xiǎn)管理過程中內(nèi)部、外部、第三方的所有管理體系要求與控制措施之間的關(guān)系來判定其有效性，也判別其控制措施的有效程度，滿足信息安全治理的要求。

    ISO/IEC 27010是《部門間通信的信息安全管理》，該標(biāo)準(zhǔn)提供了如何針對(duì)信息安全風(fēng)險(xiǎn)、控制措施約束以及如何在不同物理場(chǎng)地跨組織通信的情況下進(jìn)行數(shù)據(jù)共享的方法，尤其是對(duì)跨重要設(shè)施進(jìn)行通信時(shí)所產(chǎn)生的問題和影響提供了有效支持。通過對(duì)同一物理場(chǎng)地通信、不同物理場(chǎng)地通信、危機(jī)時(shí)與政府機(jī)構(gòu)間的通信、常規(guī)商務(wù)環(huán)境下為滿足正常合同要求而進(jìn)行雙向業(yè)務(wù)通信的一系列分析，該標(biāo)準(zhǔn)明確了不同組織之間安全信息交換的方法、模型、過程、協(xié)議、控制措施和工作機(jī)制。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：解讀標(biāo)準(zhǔn)ISO27000

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083936136.html