ISO 27000系列标准介绍
ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的IS9000系列和环境管理体系的ISO14000系列标准。
规划的ISO27000系列包含下列标准
ISO 27000 原理与术语Principles and vocabulary ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础) ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005) ISO 27003 信息安全管理体系—风险管理ISMS Risk management ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement ISO 27005 信息安全管理体系—实施指南ISMS Implementation guidelines 其中ISO27001:2005 的最终标准草案(FDIS)已经在2005年7月发布,预计在2005年底或2006年初作为正式国际标准发布。
2005版和2000版ISO17799的总体比较 ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是BS7799-2:2002。当ISO27001正式发布后,BS7799-2:2002将被撤销。
总体来看,2005版与2000版没有非常大的变化,2000版有10个章节,127项控制,而2005版有11章节,134项的控制措施。旧版的127个控制措施绝大部分仍保留,删除的不到10%,更改部分约占10%,增加部分约有10%多。结构比较如下:
控制目标和控制措施的结构模式完全相同,没有发生变化,即控制目标规定了安全要求,对应控制目标有一项或多项控制措施来满足目标的要求。但是控制目标和控制措施的陈述方式上,2005版进行了改进,使其更明确,容易理解。
2005版标准将一些控制措施进行了重组、调整了分类和从属关系,更好的体现了过程方式。
2005版修改了部分词汇,如“外部单位(external parties)”包含旧版的第三方、外包、客户,使标准的适用范围更广泛。
因新的IT技术增加新的控制措施,如移动式编码(mobile code)和技术薄弱性管理(technical vulnerability management)。
随因特网的发展修改控制措施词汇,如: 2000版 2005版Automatic terminal identification → Identification of equipments in networksTerminal log-on procedures → Secure log-on proceduresTerminal time-out → Session time-outEnforced path → 被删除
ISO/IEC 17799:2005 (一) 标准版本及名称
ISO/IEC 17799:2005 Information technology — Security techniques — Code of practice for information security management 信息技术—安全技术—信息安全管理实践规范
(二) 新版标准发布日期
2005年6月15日
(三) 控制措施的数量
ISO/IEC 17799:2005 共有11章,134项控制措施。
11 个控制措施章节是:
1. security policy;
2. organization of information security;
3. asset management;
4. human resources security;
5. physical and environmental security;
6. communications and operations management;
7. access control;
8. information systems acquisition, development and maintenance;
9. information security incident management;
10. business continuity management;
11. Compliance. |