ISO/IEC 27001

ISO/IEC 27001,其名称是《资讯科技—安全技术—资讯安全管理系统—要求》(Information technology — Security techniques — Information security management systems — Requirements)是资讯安全管理的国际标准。此标准一开始是由国际标准化组织(ISO)及国际电工委员会(IEC)在2005年联合发布[1],曾在2013年改版[2],最近一次改版是在2022年[3]。其中有列出有关资讯安全管理系统(information security management system、ISMS)架构、实施、维护以及持续改善上的要求,目的是帮助组织可以使其保管的资讯资产更加安全[4]。2017年时,欧洲有更新此标准,并且出版[5]。组织若要符合此标准的要求,在成功完成一次内部审计后,可申请由合格的认证单位进行认证。

ISO/IEC 27001设计包括的示例不只是IT部门而已, ISO/IEC 27001会要求进行以下的管理:

  • 系统性地检验组织的资讯安全风险,考虑其威胁、弱点以及影响。
  • 设计、实现连贯而且全面的资讯安全控管包,并且/或者其他的风险管理方案(例如风险避免或风险转移)来处理无法接受的风险。
  • 用总体管理的流程,在现有的基础上,确认资讯安全管理控管可以持续的符合组织的资讯安全需求。

管理层为了认证的考量,会决定资讯安全管理系统(ISMS)的范围,例如限制在单一的事业单位或是单一地区。ISO/IEC 27001可以针对个别部门的认证,也可以针对全公司的认证[6][7]

ISO/IEC 27000系列中的标准中可以提供设计、实现资讯安全管理系统以及其运作相关的指引,例如在有关资讯安全风险管理的ISO/IEC 27005英语ISO/IEC 27005

标准历史

ISO/IEC 27001中有许多内容是源自英国标准BS 7799英语BS 7799

BS 7799是由BSI集团提出的标准[8]。由英国贸易和工业部英语Department of Trade and Industry (United Kingdom)在1995年时改写,分为几个部分。

BS7799的第一部分包括资讯安全管理的最佳实务,在1998年修订。各国的标准机构针对其内容进行长期的讨论,最后由ISO在2000年修订为ISO/IEC 17799《资讯科技—资讯安全管理实务准则》(Information Technology - Code of practice for information security management)。在2005年6月再次修订,最后在2007年7月集成在ISO 27000的系列标准中(ISO/IEC 27002)。

BS7799的第二部分最早是由BSI在1999年发布,称为BS 7799第二部《资讯安全管理系统—规范及使用指引》(Information Security Management Systems - Specification with guidance for use)。BS 7799-2注重如何实现资讯安全管理系统(ISMS),在BS 7799-2中称为资讯管理结构及控制。这部分后来成为ISO/IEC 27001:2005。BS 7799第二部分后来在2005年11月被ISO修改为ISO/IEC 27001。

BS 7799第三部分是在2005年后发布,包括了风险分析及管理,后来变成ISO/IEC 27001:2005。

BS标准中,很少内容有引用ISO/IEC 27001。

认证

许多认可注册商英语Accredited Registrar可以认证资讯安全管理系统是否符合ISO/IEC 27001[9]。若是针对ISO/IEC 27001各国版本(例如日本的JIS Q 27001)的认证,在功能上等效于针对ISO/IEC 27001的认证。

有些国家会将认证管理系统的组织称为“认证机构”(certification bodies),有些则称为“登记机构”(registration bodies)、“评估及登记机构”(assessment and registration bodies)、“认证/登记机构”(certification/ registration bodies)等。

相关条目

参考资料

  1. ^ ISO/IEC 27001 International Information Security Standard published. bsigroup.com. BSI. [21 August 2020]. (原始内容存档于2022-01-29). 
  2. ^ Bird, Katie. NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS. iso.org. ISO. [21 August 2020]. (原始内容存档于2019-09-20). 
  3. ^ ISO/IEC. ISO/IEC 27001:2022. ISO.org. [2022-11-29]. (原始内容存档于2024-05-27) (英语). 
  4. ^ ISO/IEC 27001:2013. ISO. ISO. [9 July 2020]. (原始内容存档于2020-11-15). 
  5. ^ BS EN ISO/IEC 27001:2017 – what has changed?. www.bsigroup.com. BSI Group. [29 March 2018]. (原始内容存档于2019-12-22). 
  6. ^ 臺灣第四個全公司通過ISO 27001認證案例出爐. [2020-12-07]. (原始内容存档于2022-01-24). 
  7. ^ 台灣興起全民資安運動. [2020-12-07]. (原始内容存档于2022-01-24). 
  8. ^ Facts and figures. bsigroup.com. [2020-12-06]. (原始内容存档于2012-10-20). 
  9. ^ Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah. ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais. 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE). October 2013: 1–4 [2020-12-06]. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. (原始内容存档于2020-03-27). 

外部链接