信息安全标准:ISO/IEC 2700X系列国际标准
ISO/IEC 2700X系列国际标准主要有以下几个方面:
ISO/IEC 27000 信息技术 安全技术 信息安全管理体系概况与术语;
ISO/IEC 27001 信息技术 安全技术 信息安全管理体系要求;
ISO/IEC 27002 信息技术 安全技术 信息安全管理实践规则;
ISO/IEC 27003 信息技术 安全技术 信息安全管理体系实施指南;
ISO/IEC 27004 信息技术 安全技术 信息安全管理测量;
ISO/IEC 27005 信息技术 安全技术 信息安全风险管理;
ISO/IEC 27006 信息技术 安全技术 信息安全管理体系审核认证机构要求。
一、 信息安全管理体系(ISO/IEC 27001: 2005)
目前,在信息安全管理体系方面,ISO/IEC 27001: 2005——信息安全管理体 系标准已经成为世界上应用最广泛与最典型的信息安全管理标准,它是由英国 标准BS 7799转换而成的。
本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理 体系(Information Security Management System,ISMS)提供模型。米用 ISMS
应当是一个组织的一项战略性决策。•个组织的ISMS的设计和实施受其需要 和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及 其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的, 例如,简单的情况可采用简单的ISMS解决方案。
本标准可被内部和外部相关方用于一致性评估。
本标准采用一种过程方法来建立、实施、运行、监视、评审、保持和改进 一个组织的ISMS。
一个组织必须识别和管理众多活动使之有效运作。通过使用资源和管理, 将输入转化为输出的任意活动,可以视为一个过程。通常,一个过程的输出可 直接构成下一过程的输入。
一个组织内诸过程的系统的运用,连同这些过程的识别和相互作用及其管 理,可称为“过程方法”。
本标准中提出的用于信息安全管理的过程方法鼓励其用户强调以下方面的 重要性:
(1) 理解组织的信息安全要求和建立信息安全方针与目标的需要;
(2) 从组织整体业务风险的角度,实施和运行控制措施,以管理组织的信息安全风险;
(3) 监视和if审1SMS的执行情况和有效性;
(4) 基于客观测量的持续改进。
本标准采用了 “规划(Plan)-实施(Do)-检查(Check)-处置(Act)”, 简称PDCA模型,该模型可应用于所有的ISMS过程。图4-2说明了 ISMS如 何把相关方的信息安全要求和期望作为输入,并通过必要的行动和过程,产生 满足这些要求和期望的信息安全结果。
采用PDCA模型还反映了治理信息系统和网络安全所设置的原则。本标准 为风险评估、安全设计和实施、安全管理和再评估的原则提供了一个强健的 模型。
例1:某些信息安全缺陷不至于给组织造成严重的财务损失和/或使组织陷 入困境,这可能是一种要求。
例2:如果发生了严重的事件——可能是组织的电子商务网站被黑客入侵 ——应有经充分培训的员工按照适当的程序,将事件的影响降至最小,这可能是一种期望。
| 表4-1 PDCA模型说明表 | |
| 项 目 | 说 明 |
| 规划(建立ISMS) | 建立与管理风险和改进信息安全有关的ISMS方针、目标、 过程和程序,以提供与组织总方针和总目标相一致的结果 |
| 实施(实施和运行ISMS) | 实施和运行ISMS方针、控制措施、过程和程序 |
| 检查(监视和评审ISMS) | 对照ISMS方针、目标和实践经验,评估并在适当时,测 量过程的执行情况,并将结果报告管理者以供评审 |
| 处置(保持和改进ISMS) | 基于ISMS内部审核和管理评审的结果或者其他相关信息, 采取纠正和预防措施,以持续改进ISMS |
1996相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个 设计恰当的管理体系可以满足所有这些标准的要求。
本标准的设计能够使一个组织将其ISMS与其他相关的管理体系要求结合或整合起来。
二、信息安全管理实施细则(ISO/IEC 27002)
国际标准化组织(ISO)发布公告,ISO/IEC 27002将取代ISO/IEC 17799: 2005,直接由 ISO/IEC 17799: 2005 更改标准编号为 ISO/IEC 27002: 2005,于 2〇〇7年7月实施。
ISO/IEC 27002是一个被国际社会广泛认可的信息安全管理标准。其目的是 将信息系统用于工业和商业用途时,为确定实施控制措施的范围提供一个参考 依据,并且能够让各种规模的组织所采用。其前身ISO/IEC 17799于2005年进 行了修订,新版本增加了最新的信息处理技术应用、网络和通信技术,并更加 强调了信息安全所涉及的商业问题和责任问题。它主要涵盖了 11个控制域,其 中包含39个控制目标以及133个控制措施。ISCMEC 27002: 2005中的11个主 题分别是:
(1) 安全策略;
(2) 信息安全组织;
(3) 资产管理;
(4) 人力资源管理安全;
(5) 物理和环境安全;
(6) 通信和操作管理;
(7) 访问控制;
(8) 信息系统获取、开发和维护;
(9) 信息安全事件管理;
(10) 业务连续性管理;
(11) 符合性。
其结构如图4-3所示。
ISO/IEC 27002是一个完整的信息安全控制模型,它可以为企业带来以下好处:
(1) 一个受业界广泛认同的方法论;
(2) 按业界最佳实践方针去开展信息安全评估,实施、维护和管理;
(3) 为定义策略、标准、流程和指南提供框架。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞1作者其他文章
评论 0 · 赞 0
评论 0 · 赞 0
评论 0 · 赞 0
评论 0 · 赞 0
评论 0 · 赞 0
添加新评论0 条评论