ISO/IEC 27002

ISO/IEC 27002 是由国际标准化组织(ISO)及国际电工委员会(IEC)所发表的一个资讯安全标准,其标题为《资讯科技 - 安全技术 - 资讯安全管理作业法规》(Information technology – Security techniques – Code of practice for information security controls)。

ISO/IEC 27002:2005 是由发表于西元 1990 年代中期的英国标准 BS7799 所延续发展而来。这个英国标准被 ISO/IEC 所采用,成为 ISO/IEC 17799:2000,并在西元 2005 年的时候有过更新。西元 2007 年时被重新编号以便与其他ISO/IEC 27000系列一致。

ISO/IEC 27002 提供了一种最佳实践方式用来初始化、实作、及管理的一套资讯安全系统。资讯安全的定义在C-I-A 三原则可找到。

简述

在简介章节之后,这个标准包含以下十二个主要章节:

  1. 风险管理
  2. 安全政策 - 管理方向
  3. 资讯安全组织 - 资讯安全的管理
  4. 资产管理 - 资讯资产的清单与分类
  5. 人力资源安全 - 以安全的角度来看员工对于组织的任用、调职、及离职
  6. 实体于环境安全 - 电脑设备的保护
  7. 通讯与作业管理 - 安全控管技术于系统与网络的管理
  8. 存取控制 - 限制网络、系统、应用程序、功能、及资料的存取权限
  9. 资讯系统的取得、开发、与维护 - 将安全内建到应用程序中
  10. 资讯安全事故管理- 对于资讯危安的预防与反应对策
  11. 事业营运计划 - 保护、管理、及复元企业重要的流程及系统
  12. 相容性 - 确保对于资讯安全的政策、标准、法律及规范的遵守

在各章节中, 资讯安全控管及它们的目标被明确的指出并描述。这些资讯安全控制一般被认为是实践那些目标的最佳手段。 对于每一个控制都有提供实作的指引。特殊的控制并非强制,如:

  1. 每一个组织都被要求去做一个有架构的资讯安全风险评估程序以用来在决定它的特殊需求之前去选择对于它的环境的适当的控制。在简介章节中有略述一个险评估程序虽然有其他的标准涵盖了这个领域如 ISO/IEC 27005。使用资讯安全风险分析去驱使实做资讯安全控制的撰择是 ISO/IEC 27000 系列的一个重要的特性:意思是在这个标准中一般好的实作建议会被客制化成对于不同使用者组织的特定的内容,而不是死硬的强制执行。

并不是所有的 39 个控制目标都是被每个不同的组织或个体所适切的需要,因此整个控制的类别也不一定就被认为是需要的。 这个标准是个开放的结尾因为资讯安全控制是 '建议', 留了一些空间让使用者去采用其他的需要的控制,只要关键的控制目标对于相关的减少资讯安全风险能够被满足就好。这使得标准可以对日新月异演变进化的资讯威胁、弱点与冲击、及特定资讯安全控制的趋势有所关联。

  1. 在实务上要列出所有想得到的控制在一个通用的标准中是不太可能的。工业规范实作指引 ISO/IEC 27001 及 ISO/IEC 27002 提供了对于通信产业的客制化建议 (请看 ISO/IEC 27011) 及 对于医疗产业 (请看 ISO 27799), 以及附加的指引用于金融服务级其他工业。

相对应的国家标准

ISO/IEC 27002 在很多国家都有对应该国的国家标准。 翻译及国内发布常导致比 ISO/IEC 国际标准延迟数个月晚更新或发布,但国家标准的主体通常会加长使得翻译的内容能准确的确保与 ISO/IEC 27002 内容完整及意思一致。

国家 相对应国家标准
  澳大利亚

  新西兰

AS/NZS ISO/IEC 27002:2006
  巴西 ISO/IEC NBR 17799/2007 - 27002
  智利 NCH2777 ISO/IEC 17799/2000
  中国 GB/T 22081-2008
  捷克 ČSN ISO/IEC 27002:2006
  丹麦 DS484:2005
  爱沙尼亚 EVS-ISO/IEC 17799:2003, 2005 version in translation
  日本 JIS Q 27002
  立陶宛 LST ISO/IEC 27002:2009 (adopted ISO/IEC 27002:2005, ISO/IEC 17799:2005)
  荷兰 NEN-ISO/IEC 27002:2005
  秘鲁 NTP-ISO/IEC 17799:2007
  波兰 PN-ISO/IEC 17799:2007, based on ISO/IEC 17799:2005
  中华民国 CNS27002
  俄罗斯 ГОСТ/Р ИСО МЭК 17799-2005
  斯洛伐克 STN ISO/IEC 27002:2006
  南非 SANS 17799:2005
  西班牙 UNE 71501
  瑞典 SS 627799
  土耳其 TS ISO/IEC 27002
  乌克兰 СОУ Н НБУ 65.1 СУІБ 2.0:2010
  英国 BS ISO/IEC 27002:2005
  乌拉圭 UNIT/ISO 17799:2005

认证

ISO/IEC 27002 仅是一个咨询用的标准。也就是说它是用于解释与应用到任何种类任何大小的组织上,依据其面对不同的资讯安全风险。实务上, 这种灵活性给了使用者非常大的范围去调整那些只对他们有意义的资讯安全控制, 但也使得这个标准无法被直觉的做测试认证相对于那些正式的认证系统。

ISO/IEC 27001(资讯科技 - 安全技术 - 资讯安全管理系统 - 要求)是一个可被认证的标准。 ISO/IEC 27001 特别订了一组严格的需求对于建立, 实作, 管理 及 加强 ISMS, 并且在附注 A 中提供一组 133 个资讯安全控制让组织能被鼓励应用在他们适当的 ISMS 中。这些在附注 A 中的控制是由 ISO/IEC 27002 衍生而来。

未来发展

不论 ISO/IEC 27001 还是 ISO/IEC 27002 目前都正在更新为 ISO/IEC JTC1/SC27。 这是一个每几年就会有的例行公事用来确保 ISO/IEC 标准符合趋势潮流。举例来说, 它也会被其他相关的安全标准所引用改进 (如 ISO/IEC 27000, ISO/IEC 27004 及 ISO/IEC 27005) 及其他良好的安全实作也都可能引入部分的领域。 因为已经很多组织已经导入 ISO/IEC 27002, 特别在有关资讯安全控制支援在相容 ISO/IEC 27001 的 ISMS 系统上, 任何改变都必须被调整。 也因此最好让标准慢慢演进, 而不是革命性的改变。更新的标准预计在西元 2013 年发表。

相关条目

外部链接