ISO27000系列标准介绍
时间:2023-01-12 10:12:17 作者:雄略企业管理iso27001的作用
国际标准化组织/IEC17799-2000包含127项安全控制措施,帮助组织识别运营期间影响信息安全的因素。组织可以根据适用的法律、法规和公司章程选择和使用它们,或者添加其他附加控制。国际标准化组织(标准化组织)于2005年修订了ISO 17799。修订后的标准是ISO27000标准系列的第一部分——国际标准化组织/IEC 27001。信息安全管理体系通过定义、评估和控制风险,确保运营的连续性和能力。信息安全管理体系减少因违反合同和直接违反法律法规而导致的责任。此外,信息安全管理体系遵循国际标准,能够提高企业竞争力和形象。
iso27001的涉及领域
信息安全方针和策略。依据业务要求和相关法律法规为信息安全提供管理指导和支持。
信息安全组织。建立一个管理框架,开展公司的信息安全工作。
人力资源安全。确保员工和外包方理解其职责,并履行信息安全职责,在任用终止时保护公司的利益。
资产管理。识别公司资产(主要指信息资产),将信息资产按照重要程度确定适当的防护级别。 确保存储在介质中的信息资产不会泄露或破坏。
访问控制。限制对数据信息和数据处理设施(如服务器)的访问,保证授权用户对系统和服务的访问,并阻止未授权的访问。
密码。有效地使用密码技术以保护数据信息的保密性、真实性、完整性。
物理和环境安全。阻止对数据信息和信息处理设施的未授权物理访问、损坏和干扰。防止资产的丢失、损坏、失窃或危及资产安全、业务连续性。
ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准。
规划的ISO 27000系列包含下列标准:
ISO 27000——《信息安全管理体系原理和术语》《Information security management system fundamentals and vocabulary》该标准主要用于阐述ISMS的基本原理和术语,预计2008年发布。
ISO 27001——《信息安全管理体系要求》《Information security management system requirements》该标准源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式发布。
ISO 27002——《信息安全管理实践规则》《Code of practice for information security management》 该标准将取代 ISO /IEC 17799:2005,计划2007年发布。
ISO 27003——《信息安全管理体系实施指南》《Information security management systems implementation guidance》该标准将为ISMS的建立、实施、维持、改进提供指导,目前还在开发中,预计2007年发布。
ISO 27004——《信息安全管理测量与指标》《Information security management measurements and metrics》该标准阐述信息安全管理的测量和指标,用于测量信息安全管理的实施效果,预计2007年底或2008年发布。
ISO 27005——《信息安全风险管理》《Information security risk management》该标准以BS7799-3和ISO13335为基础,预计2007年发布。
ISO 27006——《信息安全管理体系审核认证机构要求》《Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems》该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。
上述标准中, ISO27001是ISO27000系列的主标准,类似于ISO 9000系列中的ISO9001,各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是ISO/IEC 27001:2005。
ISO27001 信息安全在企业风险管理中极为重要,强调对一个组织运行所必需的IT系统和信息的保密性、完整性、可用性的保护,提高投资回报率,降低由信息安全事故造成 的损失及业务中断的风险。ISO27001体系已由国际标准组织颁布为国际标准ISO 27001:2005,是目前世界上唯一的“信息安全管理标准”,成为“信息安全管理”之国际通用语言,并被全球五千多家政府机构和**企业所采用。其方 法是通过“风险评估”、“风险管理”切入企业的信息安全需求,有效降低企业面临的风险。建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产 业、金融机构等管理运营风险不可缺少的重要机制。在某些行业,如软件外包,ISO27001认证已经成为客户要求必备条件。
