|
ISO27000系列标准介绍(2)Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary 该标准目前已完成委员会草案,计划2007年11月完成最终标准草案,2008年5月发布。 标准介绍: ISO/IEC 27000标准有三个章节,第一章是标准的范围说明,第二章对ISO27000系列的各个标准进行了介绍,说明了各个标准之间的关系,包括:ISO27000,ISO27001,ISO27002,ISO27003,ISO27004,ISO27005,ISO27006。第三章给出了与ISO27000系列标准相关的术语和定义,共63个。 ISO/IEC 27001 Information technology -- Security techniques -- Information security management systems --Requirements 该标准源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式发布。 标准介绍: ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。 ISO/IEC 27002 Information technology -- Security techniques -- Code of practice for information security management 该标准将取代 ISO /IEC 17799:2005 ,直接由ISO/IEC 17799:2005更改标准编号为ISO/IEC 27002,计划2007年4月实施。 标准介绍: 本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。 ISO/IEC 27003 Information technology -- Security techniques -- Information security management systems implementation guidance 标准介绍: 该标准适用于所有类型、所有规模和所有业务形式的机构。各类组织可以利用本标准,实施符合ISO/IEC 27001的信息安全管理体系。 ISO/IEC 27004 Information technology -- Security techniques -- Information security management —Measurements 该标准阐述信息安全管理的测量和指标,用于测量信息安全管理的实施效果,预计2008年5月发布。 该标准目前处于委员会草案状态。 标准介绍: 本标准提供指南和建议,用于评估按照ISO/IEC 27001建立的ISMS、控制目标以及控制措施的有效性。 管理者可以使用本标准作为有效的测量方法,判断信息安全管理体系的有效性。测量结果可以作为评审现有控制有效性的输入,以决定是否需要更改或改进。 ISO/IEC 27005 Information technology -- Security techniques --Information security risk management 该标准以BS7799-3和ISO13335为基础,预计2007年11月发布。该标准目前处于最终委员会状态。 标准介绍: 本标准描述了信息安全风险管理的要求,可以用于风险评估,识别安全要求,支撑信息安全管理体系的建立和维持。 ISO/IEC 27006 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems 标准介绍: 该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。 ISO/IEC 27007 Information technology -- Security techniques – ISMS auditor guidelines |
