ISO /IEC 27000系列标准介绍

　　ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号，类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准。规划的ISO 27000系列包含下列标准：

　　ISO27000：信息技术—安全技术—信息安全管理体系—概况与术语

　　ISO27001：信息技术—安全技术—信息安全管理体系—要求

　　ISO27002：信息技术—安全技术—信息安全管理实用规则

　　ISO27003：信息技术—安全技术—信息安全管理体系实施指南

　　ISO27004：信息技术—安全技术—信息安全管理—测量

　　ISO27005：信息技术—安全技术—信息安全风险管理

　　ISO27006：信息技术—安全技术—信息安全管理体系审核认证机构要求

　　ISO27007：信息技术—安全技术—信息安全管理体系审核指南（该标准处于起草阶段）

　　ISO27008：信息技术—安全技术—ISMS控制措施的审核员指南（该标准处于起草阶段）

　　ISO27010：信息技术—安全技术—跨领域沟通的信息安全管理

　　ISO27011：信息技术—安全技术—电信机构基于ISO/IEC 27002的信息安全管理指南

　　ISO27013：IT技术—安全技术—ISO/IEC 20000-1 和 ISO/IEC 27001整合实施指南

　　（该标准处于起草阶段）

　　ISO27014：信息技术—安全技术—信息安全治理架构（该标准处于起草阶段）

　　ISO27015：信息技术—安全技术—金融保险行业信息安全管理体系指南

　　（该标准处于起草阶段）

　　ISO27031：信息技术—安全技术—业务连续性的ICT准备能力指南

　　（该标准处于起草阶段）

　　ISO27032：信息技术—安全技术—网络空间安全指南（该标准处于起草阶段）

　　ISO27033：信息技术—安全技术—网络安全

　　该标准处于起草阶段（其中的第一部分 ISO/IEC 27033-1已于2009年12月正式发布）

　　ISO27034：信息技术—安全技术—应用安全（该标准处于起草阶段）

　　ISO27035：信息技术—安全技术—安全事件管理（该标准处于起草阶段）

　　ISO27036：IT安全—安全技术—外包安全管理指南（该标准处于起草阶段）

　　ISO27037：IT安全—安全技术—数字证据的识别、收集、获取和保存指南

　　（该标准处于起草阶段）

　　ISO27799：医疗信息学—使用ISO/IEC 27002的医疗信息安全管理

　　上述标准中，ISO 27001是ISO 27000系列的主标准，类似于ISO 9000系列中的ISO9001，各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。目前的有效版本是ISO/IEC 27001：2005。

　　注：上述标准以ISO发布的为准。

ISO27001信息安全系统是ISO27001标准系统的重要组成部分，也是目前国际公认的信息安全领域先进的安全系统高标准之一。该标准不仅明确了信息安全系统的功能和作用，而且在指导组织的信息安全管理实践中充分发挥了促进信息安全管理系统运行的作用。该标准是信息安全管理领域的里程碑事件，也是国际组织信息安全管理标准的实践之一。它被许多国家广泛使用，促进了国际标准化组织信息安全管理系统在世界范围内的广泛应用。

　　一，基本要求

　　信息安全管理系统要求组织建立健全的信息安全管理系统、管理系统和工作流程，形成符合信息安全发展规律和自身实际情况的管理机制，确保信息安全工作高效运行，满足信息安全等级保护要求。为确保信息安全管理系统的有效运行，组织应建立健全组织内部信息安全管理系统和工作流程，建立有效的监控和预警机制，有效监控和管理信息安全活动。组织还应建立信息安全事件报告机制和应急响应机制，及时响应信息安全事件。

　　第二，管理要求

　　管理：建立和实施适当的信息安全管理制度和标准规范，使信息安全工作与组织发展相适应。

　　安全性：组织应当确保其信息安全不受伤害、滥用、非法使用或者泄露或者破坏信息安全事故或者信息泄露的信息内容。

　　3.安全:组织应当对其信息安全进行适当的管理，确保个人、组织和其他相关人员遵守信息安全规定，以防止不适当和不安全的内容造成信息流失和泄露。

技术：组织应采取技术措施，确保信息系统不受安全威胁，实现数据的可访问性和安全性。

　　5.人员:组织应当确保员工履行职责，遵守信息安全标准和工作流程。6.环境:组织应确保环境符合信息安全管理要求。

　　实施步骤三

　　根据本系统的要求，组织建立组织信息安全管理的基础，制定组织信息安全管理系统的指南，并根据“规划、制定、实施、检查、反馈、更新”六个步骤进行组织。组织信息安全系统的建设应建立一套完善有效的管理机制和管理系统流程，如管理系统、实施计划、日常管理和记录管理，并不断改进。组织要不断完善组织信息安全管理的相关技术和手段，使其能够适应信息安全管理的不断增加、信息量的不断增加、信息安全保护的不断变化等诸多方面。

　　第四，风险评估

　　风险评估应确保风险因素的分析和评估。风险评估应确定风险评估活动的对象和程序，并识别风险并将其列为安全风险点(也称“关注点”)。当风险事件发生时，应将其列为“影响因素”而不是“安全风险点”(也称“危险点”);在收集和处理相关数据的过程中，应根据实际情况评估风险并采取对策;事件发生时应根据实际情况做出回应(或采取控制措施)，并记录行动和后果。同时，当发生重大信息事故或信息泄露时，应对事件进行分类、分级或描述。

　　质量保证五

　　质量保证的目的是确保信息安全要求得到满足，使用的产品或服务符合相关标准和规范。为了实现这一目标，组织必须通过各种方法对产品和服务的质量进行监控，以确保产品和服务符合要求;为了保证所使用的产品或服务符合相应的法律、法规和规范要求，必须采取必要的措施，确保产品或服务的质量符合相应的法律、法规和规范要求。因此，组织需要采取以下措施:确保质量保证体系得到满足，并保持持续改进;通过产品和服务的质量监控来确保证。