|  客服中心  |  网站导航
当前位置: 首页 » 学院 » 认证知识 » 体系认证 » 正文

ISO27000(信息安全管理体系)

放大字体  缩小字体 世科网   发布日期:2010-02-10  浏览次数:1503
核心提示:ISO27000介绍 1.标准编号  信息安全管理体系的标准号将规范到2700X系列,其中27000是术语和定义,27001是规范,27002是实践指导

ISO27000介绍

    1.标准编号 

  信息安全管理体系的标准号将规范到2700X系列,其中27000是术语和定义,27001是规范,27002是实践指导,27003是实施的指南,27004是度量规范,27005是风险管理,这些标准都是信息安全管理相关标准和指南,未来如果有新的指南文件,将不断扩充进去。目前,ISO27001∶2005已经发布,而ISO17799∶2005于2007年4月份统一编号到ISO27002。 

  ISO 27005则将以BS7799:3作为蓝本,预计的发行时间也是2007年。 

  2. 关于认证 

  鉴于由BS7799-2:2002转化而来的ISO27001已经发布,对于已经持有认证证书的组织,升级转版时限为18个月,也就是组织可以在2007年4月份之前,选择在后续的跟踪审核时完成升级转版工作。而从2006年4月以后,就不再提供针对旧版标准的新认证,需要针对新版ISO27001:2005进行认证。 截至2007年1月,全球已经发出超过3000份ISO27001认证证书.

  3.国标动态 

  GB/T19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型 

  中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布 

  GB/T19715.2-2005 信息技术 信息技术安全管理指南 第2部分:管理和规划信息 

  中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布 

  GB/T19716-2005 信息技术 信息安全管理实用规则(等同采用ISO17799:2000) 

  中华人民共和国国家质量监督检验疫总局,中国国家标准化管理委员会发布

ISO27001信息安全管理和内控体系

    ISO27001信息安全管理和内控体系是个交集,关于两者的不同点,考虑了一些,如下:

  1、目的和关注点不同,内控涉及的信息系统范围和内容比安全管理体系(ISO27001)小。

  安全管理依据ISO27001是国际标准,是为了保障组织系统安全,关注整体信息系统的完整性、保密性、可用性。

  内控是为了满足美国证监会对上市公司财务报表数据真实性的要求,主要是针对与财务相关的系统,关注点在数据的真实性。

  安全管理主要涉及内容:

  信息安全方针

  组织安全

  资产分类管理

  人力资源安全

  物理和环境安全

  通信与操作管理

  访问控制

  信息系统的获取、开发和维护

  信息安全事故管理

  业务连续性管理

  符合性

  内控主要考虑的内容:

  对程序和数据的访问控制

  程序变更管理

  程序开发

  系统运行

  2、重合控制点的控制侧重不同。

  内控比较关注用户的管理、权限的控制、访问的审计等,这个和ISO27001关注的一些控制点有重合,不过在控制点里边,内控的要求侧重在数据真实的控制,偏重审计,防范技术手段和管理的脱节,内控更偏重于细节点。7799关注整体的安全管理,从体系的角度来考虑安全。

  3、安全管理体系和内控相互促进,两者的交集以要求高的为标准。

BS7799, ISO17799与ISO27001的关系

    信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准——ISO27001(即之前所称的BS7799标准),则成为可以指导我们现实工作的最好的参照。

  BS7799是英国标准协会(BrITish Standards Institute,BSI)于1995年2月制定的信息安全管理标准,分两个部分,其第一部分于2000年被ISO组织采纳,正式成为ISO/IEC 17799标准。该标准2005年经过最新改版,发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间讨论修订,也于2005年成为正式的ISO标准,即ISO/IEC 27001:2005。

  ISO17799:2005标准(即BS7799第一部分),是信息安全管理实施细则(Code of Practice for Information Security Management),其中包含11个主题,定义了133个安全控制。ISO17799:2005中的11个主题分别是:

  ◆ 安全策略(Security policy);

  ◆ 信息安全组织(Organization of information security);

  ◆ 资产管理(Asset management);

  ◆ 人力资源安全 (Human resource security);

  ◆ 物理和环境安全(Physical and environmental security);

  ◆ 通信和操作管理(Communication and operation management);

  ◆ 访问控制(Access control);

  ◆ 信息系统获取、开发和维护(Information systems acquisition, development and maintenance);

  ◆ 信息安全事件管理(Information security incident management);

  ◆ 业务连续性管理(Business continuity management);

  ◆ 符合性(Compliance)。

  ISO27001:2005标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业需要的信息安全管理体系。
 

 
  来源:世科网
文章出自: 世科网
本文网址: http://www.cgets.net/college/show-532.html

声明:

1、本网转载作品目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。

2、凡来源注明“世科网”的所有作品,版权均属世科网所有,未经本网授权,不得转载使用。

3、如涉及作品内容、版权和其它问题,请在30个工作日内与本网联系,我们将在第一时间处理!

分享到:
5.31K
 
[ 学院搜索 ]  [ ]  [ 告诉好友 ]  [ 打印本文 ]  [ 关闭窗口 ]

 
0条 [查看全部]  相关评论