ISOIEC27000系列标准介绍
说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。
ISO/IEC27000系列标准介绍 一、背景 病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以与利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边程度不同的发生过。因此,保护信息资产,解决信息安全问题,已经成了企业必须高度重视并着力解决的问题。 人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。 当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。 例如,与企业员工相关的信息安全问题、信息安全和效益的平衡问题、信息安全目标、业务连续性、信息安全法规遵从等问题,只靠产品和技术是解决不了的。有效解决信息安全问题,还要靠“三分技术、七分管理”。 ISO国际标准化组织近10年来针对信息安全和信息安全管理体系(ISMS)先后发布了一系列的国际标准,下面列出其中的一部分: ⒈ ISO/IEC 27001(Information security management system- fundamentals and vocabulary 信息安全管理体系-基础和术语: 提供了ISMS标准族中所涉与的通用术语与基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的其他每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC 27000则主要用于实现这种协调。 ⒉ ISO/IEC27001:2005:Information technology-security techniques-Information security management systems-Requirements (信息安全管理体系—要求) 于2005年10月15日正式发布,是ISMS的要求标准,内容共分8章和3个附录,其中重要附录A中的内容直接引用并与其前身ISO/IEC17799:2005第5到15章一致。 ⒊ ISO/IEC27001:2005:Information technology-Security techniques- Code of practice for Information security management (信息安全 . 管理实用规则) ISO/IEC27002是国际标准化组织ISO/IEC最早发布的ISMS系列标准之一(原先为ISO/IEC17799,2005年正式更名为ISO/IEC27002)。它从信息安全的诸多方面,总结了11个方面一百多项信息安全控制措施,是信息安全管理最佳实践。 二、ISO/IEC27002的主要内容 ISO/IEC27002:2005是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的最佳实践。 标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便标准的用户使用。 从内容和结构上看,标准分为四个部分: (一) 引言部分。 主要介绍了信息安全的基础知识,包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险8个方面内容。 (二) 标准的通用要素部分(1~3章)。 第1章是标准的范围,给出了该标准的内容概述、用途与目标。第2章是术语和定义,介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。 (三) 风险评估和处理部分。 该章简单介绍了评估安全风险和处理安全风险的原则、流程与要求。 (四) 控制措施部分(5~15章)。 这是标准的主体部分,包括11个领域的控制措施章节,分别是: 1、安全方针(控制目标:1个,控制措施:2个) 2、信息安全管理机构(控制目标:2个,控制措施:11个) 3、资产管理(控制目标:2个,控制措施:5个) 4、人力资源安全(控制目标:3个,控制措施:9个) 5、物理和环境安全(控制目标:2个,控制措施:13个) 6、通信和操作管理(控制目标:10个,控制措施:32个) 7、访问控制(控制目标:7个,控制措施:25个) 8、信息系统获取、开发和维护(控制目标:6个,控制措施:16个) 9、信息安全事件管理(控制目标:1个,控制措施:5个) 10、业务连续性管理(控制目标:2个,控制措施:5个) 11、法规遵从符合性(控制目标:3个,控制措施:10个) 上列内容作为信息安全管理的最佳实践,既有专用性的特点,也有通用 . 性特点。 说它具有专用性,是因为作为信息安全管理体系标准族(ISMS标准)中的一员,目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的,ISO/IEC27001:2005中的规范性附录A就是ISO/IEC27002:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织,应根据ISO/IEC27001:2005的要求,选择ISMS范围,制定信息安全方针和目标,实施风险评估,根据风险评估的结果,选择控制目标和控制措施,制定和实施风险处理计划,执行内部审核和管理评审,以持续改进。 ISO/IEC27002:2005的通用性,体现在标准中提出的控制措施是从信息安全工作实践中总结出来的,是最佳实践。任何规模、任何性质的有信息安全要求的组织,不管其是否建设ISMS,都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。 另外,ISO/IEC27002:2005提出的控制目标和控制措施,对一个人具体的组织并不一定全部适用,也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC27002:2005以外的控制目标和控制措施。 例如,有人就主张,上列11个领域还应增加4个领域,包括: 12、信息安全教育和培训, 13、外部合作方的安全, 14、加密控制, 15、检查、监督和审计。 三、ISO/IEC27001:2005介绍 ISO/IEC27001:2005标准设计用于认证目的,它可帮助组织建立和维护ISMS。标准的4~8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4~8章的所有要求,那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核(初审)后,其结果是符合ISO/IEC27001:2005的要求,那么它就会颁发ISMS证书,声明该组织的ISMS符合ISO/IEC27001:2005标准的要求。不管是第一方审核、第二方审核,还是第三方审核,评估组织的ISMS对ISO/IEC27001:2005标准的符合性是十分严格的。 ISO/IEC27001:2005标准适用于所有类型的组织,而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说,该标准要求组织通过业务风险的方法,来建立、实施、运行、监视、评审、保持和改进其ISMS,确保其信息资产的安全(XX性、可用性和完整性)。 信息资产 ISO/IEC27001:2005所指“信息”可包括所有形式的数据、文件、通信件(如email和 等)、交谈(如 等)、消息、录音带和照片等。信息资产是被认为对组织具有“价 . 本文来源:https://www.wddqw.com/doc/d4a4d030084c2e3f5727a5e9856a561252d32190.html