ISO/IEC 27000系列

ISO/IEC 27000 系列标准 (又名ISO/IEC 27000 标准系列,及“信息安全管理系统标准族”,简称“ISO27K”) 是由国际标准化组织(ISO)及国际电工委员会(IEC)联合定制。

该标准系列由最佳实践所得并提出对于信息安全管理的建议,并在信息安全管理系统领域中的风险及相关管控,该标准系列与质量管理保证系统的标准(ISO 9000系列)和环境保护标准系列(ISO 14000系列)有类似的架构[1]

该系列故意扩大了在信息安全领域的范围,不仅仅包含隐私保密以及信息技术层面,更包含了包括法律,人员管理,物资管理等诸多方面,从而可以使其可以适合各种大小的组织。根据ISO/IEC 27000标准中推荐,每个与信息相关的组织都应该根基本系列进行相关的信息安全风险评估,并借由相关的指导和建议实施适当的信息安全管控。鉴于信息安全的动态本质,针对事态的反应,回馈以及教训,并由此改进信息安全措施是非常合适的。总的来说也就是通过戴明PDCA法,寻找信息安全相关威胁,弱点,影响并进行信息安全措施改进。

该标准系列中的标准是由ISO/IEC JTC1 (1号技术联合委员会) SC27 (下属27号委员会)委员会制定,该委员会每两年进行一次实体会议。

目前该标准系列中共有22个标准批准发布,另有一部分仍然在制定之中。标准文本由国际标准化组织直接销售,本土化及译本标准则有相关国家标准组织销售。

已发布的标准

  • ISO/IEC 27000 — 信息安全管理系统 - 综述及词汇
  • ISO/IEC 27001 — 信息安全管理系统 - 要求
  • ISO/IEC 27002 — 信息安全管理实践准则
  • ISO/IEC 27003 — 信息安全管理系统实施指导
  • ISO/IEC 27004 — 信息安全管理系统 - 测评
  • ISO/IEC 27005 — 信息安全风险管理
  • ISO/IEC 27006 — 针对审查及认证信息安全管理系统的实体之要求
  • ISO/IEC 27007 — 信息安全管理系统审查指导 (本标准专注于管理系统)
  • ISO/IEC TR 27008 — 信息安全管理系统审查者指导 (本标准专注于信息安全控制)
  • ISO/IEC 27010 — 对于跨领域,跨组织间通讯的信息技术,安全技巧及信息安全管理
  • ISO/IEC 27011 — 对于电信组织根据ISO/IEC 27002标准的信息安全管理指导
  • ISO/IEC 27013 — ISO/IEC 20000-1 和 ISO/IEC 27001 集成实施的指导
  • ISO/IEC 27014 — 信息安全的治理
  • ISO/IEC TR 27015 — 对于金融服务的信息安全管理指导
  • ISO/IEC 27021 — 信息安全管理系统专业人员的能力要求 - 技术
  • ISO/IEC 27031 — 对于配备信息及通讯技术的业务连续性的知道
  • ISO/IEC 27032 — 网络安全的指导(本质上讲的是如何做一个“因特网上的好邻居”)
  • ISO/IEC 27033-1 — 网络安全的综述及概念
  • ISO/IEC 27033-2 — 设计和实施网络安全的指导
  • ISO/IEC 27033-3:2010 — 网络情况的参考 - 威胁,设计应对方式及管控
  • ISO/IEC 27034 — 应用程序安全的指导
  • ISO/IEC 27035 — 安全事件管理
  • ISO/IEC 27037 — 鉴别,收集并且(或者)获得并保存电子证物的指导
  • ISO/IEC 27102 — 网络保险指南
  • ISO/IEC 27701 — 隐私信息管理
  • ISO 27799 — 健保业实施ISO/IEC 27002的信息安全管理

仍然在制定中的标准

相关条目

  • BS 7799,英国标准,ISO/IEC 17799和 ISO/IEC 27002的部分内容为其派生
  • 文件管理系统
  • 萨班斯-奥克斯利法案,根据安然有限公司(Enron)、世界通信公司(Worldcom)等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规
  • Standard of Good Practice (优等实践标准) 由信息安全论坛发表的关于信息安全的优秀实践

参考资料

  1. ^ ISO/IEC 27001:常见问题. atsec. [2013-05-02]. (原始内容存档于2013-06-28). 

外部链接