ISO27000
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
什麼是ISO27000[1]
ISO27000--“Information security management system fundamentals and vocabulary”(《信息安全管理體系原理和術語》)該標準主要用於闡述ISMS的基本原理和術語。
ISO 27000正式定義這一系列標準中所使用的特定技術辭彙。信息安全和其它大多數技術主題一樣包括很多複雜的術語,但很少有人給出嚴格定義。這在標準來說是不可接受的,因為這會導致混淆以及正式評估和認證的效果削弱。ISO 27000希望可以成為公認的信息安全術語參考標準,可能會吸收IS01IEC GUide 2:1 996“Standardization and related activities-General vocabulary。and ISO/IEC Guide 73:2002“Risk management-Vocabu-larv-Guidelines for use in standards”中的術語。
1.ISO27000標準族共有以下幾個主要標準:
27000 ISMS綜述與術語;
27001 ISMS要求;
27002 ISMS實踐規範;
27003 ISMS實施指南;
27004 ISMS測量;
27005信息安全風險管理;
27006認證機構要求;
27007 ISMS審核指南;
2.發展歷史:
- ISO27000
信息安全管理體系(Information Security Management System,ISMS)是ISO發展的-個信息安全管理標準族。
2005年10月,BS7799-2正式成為ISO27001。這是建立信息安全管理體系(ISMS)的-套規範(Specification for Information Security ManagementSystems),其中詳細說明瞭建立、實施和維護信息安全管理體系的要求,可用來指導相關人員去應用iso/IEC17799,其最終目的,在於建立適合企業需要的信息安全管理體系。
- 1S0 27001
信息技術-安全技術-信息安全管理體系要求(Information technology-Security techniques-Informationsecurity management systems requirements)。
ISO 27001的特點在於定義了包括風險評估、風險處理和管理決策的風險管理方法持續改進的模型,有效性的衡量以及內部和外部可審計的規範。
ISO 27001定義了“6步過程”並使用了“PDCA方法”。
其中的6步過程為:
(1)定義信息安全策略;
(2)定義信息安全管理體系的範圍;
(3)進行信息安全風險評估;
(5)選擇控制措施以供實施和應用;
(6)準備-份適用性聲明。
PDCA方法就是Plan-Do-Check-Act迴圈.源自20世紀50年代的W.Edwards Deming.故又稱做“戴明環”。它說明應將業務過程看作連續的反饋迴圈,以便管理者能夠標識和變更過程那些需要改進的部分--過程.或對過程的改進,首先應計劃.然後實施並衡量效果,然後應根據計劃的具體細節檢查衡量結果並標識和向管理者報告所有偏離和潛在的需改進點.以使管理者可以做出採取什麼行動的決策。
在ISO 2700l中的ISMS過程應用PDCA迴圈的情況如下圖所示。
第4章是信息安全管理體系的建立、實施和運行、監視和評審以及維護和改進過程.從具體實施方面體現了PDCA迴圈:第5、6、7、8章是整個信息安全管理體系更高視角的PDCA迴圈,包括管理者職責、內審和管理評審以及ISMS的改進。ISO 27001已經將原先BS7799-2中的內部審核的內容單獨作為-童。在ISO 27001中的信息安全管理體系可以看作-個嵌套的PDCA迴圈。
- ISO 27002
信息技術-安全技術-信息安全管理實踐準則
(Information technology-Security techniques-Code ofpractice for information security management)。
ISO 17799是最廣為人知的信息安全管理標準之-。ISO 17799最早是英國貿工部頒佈的實踐指南,貿工部主要根據石油公司使用的國內安全標準:1995年由英國標準協會(BSI)頒佈為BS 7799,2000年成為國際標準ISO17799:2005年6月15日經過改版發佈為ISO 17799:2005。BSI還將不斷制定信息安全管理相關的不斷變化的風險、控制措施和最佳實踐。ISO 17799:2005將於2007年改名和更新為ISO 27002.”信息技術-安全技術-信息安全管理實踐準則”。目前ISO 17799的2000版和2005版的對比如表1所示:
其中控制措施有以下這些變化:
(1)控制措施的組織方式的變化.每個控制措施由原來的”控制措施以及-些實施指南和其它支持信息”轉變為包含三個部分.
控制措施綜述.描述控制措施為了什麼,定義了滿足控制目標的特定控制措施的描述;
實施指南.幫助特定組織實施控制措施的詳細指南.提供了更加詳細的實施控制措施和相關指南.以滿足控制措施和控制目標,這些信息和指南不-定適合所有的情況.也可能有更適合的實施方式:
需要考慮的其它信息,提供了與實施控制措施相關的解釋性說明,包括實施控制措施時應該考慮的那些因素(例如.法律因素的考慮等)的描述:
(2)從控制目標和控制措施數量上的改變,經過刪除、重構和重新插入後的控制領域和控制措施.增加了17個新的控制措施、刪除了9個舊的控制措施,保留了118個控制措施.還有-些重新整理的控制措施,控制措施總數;爭增6個.從2000版的127個增加到2005版的133個,如圖下所示:
(3)在控制措施的內容上.加入了移動設備的管理和信息安全事故管理等內容。
ISO 17799:2005改版之後加入了移動設備的管理、改進了資產管理、人力資源安全和事故處理的管理等。信息安全事故管理,顯示了對新技術的跟蹤、不斷補充和完善.覆蓋了最新的威脅和風險。其中的信息安全事故管理融合了2004年的4月份以技術報告的形式出台的ISO/IECTR 18044信息技術-安全技術-信息安全事故管理的部分內容。ISO 17799:2005不僅在內容上的增加是突出特點.也很重要的是在結構上的變化.目的是要澄清控制目標、實施指南和其它支撐性文檔的區別,使標準的結構和條理更加清晰。
另外,我國已將ISO 17799:2000修改採用為GB/T19716-2005.並於2005年8月發佈。
- 1SO 27003
信息技術-安全技術-信息安全管理實施指南(Information security management-Security techniques-Information security management system implementation guidance)。
ISO 27003將是ISO 27000系列標準的實施指南,包括有關PDCA過程的詳細的指導和幫助、ISMS的範圍和策略、資產的標識、監視和檢查、持續改進等內容。目前還沒有詳細的資料,可能是原先的BSI/DISC PD 005之類的實施指南的修訂版本。
- ISO 27004
信息技術-安全技術-信息安全管理的度量指標和衡量(Information technology-Security techniques-Informa-tion security management metrics and measurements)。
ISO 27004將是全新的信息安全管理度量和衡量的標準,幫助衡量信息安全管理體系實施的有效性.包括管理過程(ISO 27001)和控制措施(ISO 17799/27002)的有效性。目前正在制定當中.處於工作草案的形式。這些度量指標的制定,可能會部分參考NIST SP 800-55“IT系統安全度量指南”.提供關鍵績效指標以及方法學。
- ISO 27005
信息技術-安全技術-信息安全風險管理指南
(Information technology-Security techniques-guidelines forinformation security risk management)。
BS 7799系列將出現-個新的標準:BS 7799-3-in-formation security management systems-guidelines for infor-marion security risk management信息安全管理體系--信息安全風險管理指南,ISo 27005將是即將出版的BS7799-3的ISO版本,目前BS 7799-3:2006已發佈。
ISO 27005將為ISO 2700l提供風險管理指南.包括評估風險、實施適當的控制措施、不斷或定期監視和檢查風險、維護和持續改進控制措施體系。
- IS0 27006
信息技術-安全技術-信息和通信技術災難恢復服務指南(Information technology-Security techniques-Guide-lines for information and communication technology disasterrecovery services)。
ISO 27006將是一個新標準信息和通信技術災難恢復服務指南,目前在初步設想中[2]。
