[ISO质量体系]ISO27000(信息安全管理体系) [复制链接]

ISO27000介绍

    1.标准编号

　　信息安全管理体系的标准号将规范到2700X系列，其中27000是术语和定义，27001是规范，27002是实践指导，27003是实施的指南，27004是度量规范，27005是风险管理，这些标准都是信息安全管理相关标准和指南，未来如果有新的指南文件，将不断扩充进去。目前，ISO27001∶2005已经发布，而ISO17799∶2005于2007年4月份统一编号到ISO27002。

　　ISO 27005则将以BS7799:3作为蓝本，预计的发行时间也是2007年。

　　2. 关于认证

　　鉴于由BS7799-2:2002转化而来的ISO27001已经发布，对于已经持有认证证书的组织，升级转版时限为18个月，也就是组织可以在2007年4月份之前，选择在后续的跟踪审核时完成升级转版工作。而从2006年4月以后，就不再提供针对旧版标准的新认证，需要针对新版ISO27001:2005进行认证。 截至2007年1月，全球已经发出超过3000份ISO27001认证证书.

　　3.国标动态

　　GB/T19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型

　　中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布

　　GB/T19715.2-2005 信息技术 信息技术安全管理指南 第2部分:管理和规划信息

　　中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布

　　GB/T19716-2005 信息技术 信息安全管理实用规则（等同采用ISO17799：2000）

　　中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布

ISO27001信息安全管理和内控体系

    ISO27001信息安全管理和内控体系是个交集，关于两者的不同点，考虑了一些，如下：

　　1、目的和关注点不同，内控涉及的信息系统范围和内容比安全管理体系(ISO27001)小。

　　安全管理依据ISO27001是国际标准，是为了保障组织系统安全，关注整体信息系统的完整性、保密性、可用性。

　　内控是为了满足美国证监会对上市公司财务报表数据真实性的要求，主要是针对与财务相关的系统，关注点在数据的真实性。

　　安全管理主要涉及内容：

　　信息安全方针

　　组织安全

　　资产分类管理

　　人力资源安全

　　物理和环境安全

　　通信与操作管理

　　访问控制

　　信息系统的获取、开发和维护

　　信息安全事故管理

　　业务连续性管理

　　符合性

　　内控主要考虑的内容：

　　对程序和数据的访问控制

　　程序变更管理

　　程序开发

　　系统运行

　　2、重合控制点的控制侧重不同。

　　内控比较关注用户的管理、权限的控制、访问的审计等，这个和ISO27001关注的一些控制点有重合，不过在控制点里边，内控的要求侧重在数据真实的控制，偏重审计，防范技术手段和管理的脱节，内控更偏重于细节点。7799关注整体的安全管理，从体系的角度来考虑安全。

　　3、安全管理体系和内控相互促进，两者的交集以要求高的为标准。

BS7799, ISO17799与ISO27001的关系

    信息安全发展至今，人们越来越认识到安全管理在整个信息安全建设过程中的重要性，而作为信息安全管理方面最著名的国际标准——ISO27001（即之前所称的BS7799标准），则成为可以指导我们现实工作的最好的参照。

　　BS7799是英国标准协会（BrITish Standards Institute，BSI）于1995年2月制定的信息安全管理标准，分两个部分，其第一部分于2000年被ISO组织采纳，正式成为ISO/IEC 17799标准。该标准2005年经过最新改版，发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间讨论修订，也于2005年成为正式的ISO标准，即ISO/IEC 27001:2005。

　　ISO17799:2005标准（即BS7799第一部分），是信息安全管理实施细则（Code of Practice for Information Security Management），其中包含11个主题，定义了133个安全控制。ISO17799:2005中的11个主题分别是：

　　◆ 安全策略（Security policy）；

　　◆ 信息安全组织（Organization of information security）；

　　◆ 资产管理（Asset management）；

　　◆ 人力资源安全 （Human resource security）；

　　◆ 物理和环境安全（Physical and environmental security）；

　　◆ 通信和操作管理（Communication and operation management）；

　　◆ 访问控制（Access control）；

　　◆ 信息系统获取、开发和维护（Information systems acquisition, development and maintenance）；

　　◆ 信息安全事件管理（Information security incident management）；

　　◆ 业务连续性管理（Business continuity management）；

　　◆ 符合性（Compliance）。

　　ISO27001:2005标准，是建立信息安全管理体系（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI最终的认证（对依据ISO27001建立的ISMS进行认证），还有一系列相应的注册认证过程。作为一套管理标准，ISO27001指导相关人员怎样去应用ISO/IEC 17799，其最终目的，还在于建立适合企业需要的信息安全管理体系。

  来源：世科网