ISO27000系列标准介绍
栏目:ISO27001:2013信息安全管理体系 发布时间:2017-05-26 浏览量: 108

1.标准编号 

信息安全管理体系的标准号将规范到2700X系列,其中27000是术语和定义,27001是规范,27002是实践指导,27003是实施的指南,27004是度量规范,27005是风险管理,这些标准都是信息安全管理相关标准和指南,未来如果有新的指南文件,将不断扩充进去。  

ISO27001∶2005已经发布,而ISO17799∶2005于2007年4月份统一编号到ISO27002。 

  ISO 27005则将以BS7799:3作为蓝本,预计的发行时间也是2007年。 

2. 关于认证 

  鉴于由BS7799-2:2002转化而来的ISO27001已经发布,对于已经持有认证证书的组织,升级转版时限为18个月,也就是组织可以在2007年4月份之前,选择在后续的跟踪审核时完成升级转版工作。而从2006年4月以后,就不再提供针对旧版标准的新认证,需要针对新版ISO27001:2005进行认证。 截至2007年1月,全球已经发出超过3000份ISO27001认证证书.

3.国标动态 

  GB/T19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型 

  中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布 

  GB/T19715.2-2005 信息技术 信息技术安全管理指南 第2部分:管理和规划信息 

  中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布 

  GB/T19716-2005 信息技术 信息安全管理实用规则(等同采用ISO17799:2000) 

  中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布

   ISO27001(BS7799/ISO17799)国际标准究竟是什么?它如何帮助一个组织更加有效地管理信息安全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全管理领域应该掌握哪些内容,以便组织发起信息安全管理项目?如何获得BS7799国际标准认证?
IT治理和信息安全

近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处理和储存各种信息,以保证业务正常运营,由此IT系统在企业治理中的作z用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事会和企业内部共同关注的领域。IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。
与此同时,和信息安全相关的国际标准已经出台,成为标准IT治理框架中的一大基石。
信息安全和法律法规

业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。

本质上说,信息安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动生成并释放。更严重的问题是,其他各种形式的危险也在整日威胁数据安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。

ISO27001适用于所有类型的组织(例如,企业、政府机构、非赢利组织)。

 ISO27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。

 当由于组织及其业务特性,标准中的任何要求不适用时,可以考虑进行删减。

 如果有删减,除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力,否则不能声称符合ISO27001标准。