ISO/IEC 27000系列
ISO/IEC 27000 系列標準 (又名ISO/IEC 27000 標準系列,及「信息安全管理系統標準族」,簡稱「ISO27K」) 是由國際標準化組織(ISO)及國際電工委員會(IEC)聯合定製。
該標準系列由最佳實踐所得並提出對於信息安全管理的建議,並在信息安全管理系統領域中的風險及相關管控,該標準系列與質量管理保證系統的標準(ISO 9000系列)和環境保護標準系列(ISO 14000系列)有類似的架構[1]。
該系列故意擴大了在信息安全領域的範圍,不僅僅包含隱私,保密以及信息技術層面,更包含了包括法律,人員管理,物資管理等諸多方面,從而可以使其可以適合各種大小的組織。根據ISO/IEC 27000標準中推薦,每個與信息相關的組織都應該根基本系列進行相關的信息安全風險評估,並藉由相關的指導和建議實施適當的信息安全管控。鑑於信息安全的動態本質,針對事態的反應,回饋以及教訓,並由此改進信息安全措施是非常合適的。總的來說也就是通過戴明的PDCA法,尋找信息安全相關威脅,弱點,影響並進行信息安全措施改進。
該標準系列中的標準是由ISO/IEC JTC1 (1號技術聯合委員會) SC27 (下屬27號委員會)委員會制定,該委員會每兩年進行一次實體會議。
目前該標準系列中共有22個標準批准發布,另有一部分仍然在制定之中。標準文本由國際標準化組織直接銷售,本土化及譯本標準則有相關國家標準組織銷售。
已發布的標準
- ISO/IEC 27000 — 信息安全管理系統 - 綜述及詞彙
- ISO/IEC 27001 — 信息安全管理系統 - 要求
- ISO/IEC 27002 — 信息安全管理實踐準則
- ISO/IEC 27003 — 信息安全管理系統實施指導
- ISO/IEC 27004 — 信息安全管理系統 - 測評
- ISO/IEC 27005 — 信息安全風險管理
- ISO/IEC 27006 — 針對審查及認證信息安全管理系統的實體之要求
- ISO/IEC 27007 — 信息安全管理系統審查指導 (本標準專注於管理系統)
- ISO/IEC TR 27008 — 信息安全管理系統審查者指導 (本標準專注於信息安全控制)
- ISO/IEC 27010 — 對於跨領域,跨組織間通訊的信息技術,安全技巧及信息安全管理
- ISO/IEC 27011 — 對於電信組織根據ISO/IEC 27002標準的信息安全管理指導
- ISO/IEC 27013 — ISO/IEC 20000-1 和 ISO/IEC 27001 整合實施的指導
- ISO/IEC 27014 — 資訊安全的治理
- ISO/IEC TR 27015 — 對於金融服務的信息安全管理指導
- ISO/IEC 27021 — 資訊安全管理系統專業人員的能力要求 - 技術
- ISO/IEC 27031 — 對於配備信息及通訊技術的業務連續性的知道
- ISO/IEC 27032 — 網絡安全的指導(本質上講的是如何做一個「因特網上的好鄰居」)
- ISO/IEC 27033-1 — 網絡安全的綜述及概念
- ISO/IEC 27033-2 — 設計和實施網絡安全的指導
- ISO/IEC 27033-3:2010 — 網絡情況的參考 - 威脅,設計應對方式及管控
- ISO/IEC 27034 — 應用程式安全的指導
- ISO/IEC 27035 — 安全事件管理
- ISO/IEC 27037 — 鑑別,收集並且(或者)獲得並保存電子證物的指導
- ISO/IEC 27102 — 網路保險指南
- ISO/IEC 27701 — 隱私資訊管理
- ISO 27799 — 健保業實施ISO/IEC 27002的信息安全管理
仍然在制定中的標準
- ISO/IEC 27014 — 信息安全統治框架
- ISO/IEC 27017 — 雲端系統的信息安全管理
- ISO/IEC 27018 — 雲端系統的數據保護
- ISO/IEC 27033 — 信息科技網絡安全
- ISO/IEC 27036 — 供應關係的安全指導
- ISO/IEC 27038 — 數位文件編譯的規格
- ISO/IEC 27039 — 入侵發現及保護系統
- ISO/IEC 27040 — 貯存安全指導
- ISO/IEC 27041 — 確保數位證據調查方式
- ISO/IEC 27042 — 分析和解釋數位證據
- ISO/IEC 27043 — 數位證據的調查原理和工序
相關條目
- BS 7799,英國標準,ISO/IEC 17799和 ISO/IEC 27002的部分內容為其衍生
- 文件管理系統
- 薩班斯-奧克斯利法案,根據安然有限公司(Enron)、世界通訊公司(Worldcom)等財務欺詐事件破產暴露出來的公司和證券監管問題所立的監管法規
- Standard of Good Practice (優等實踐標準) 由信息安全論壇發表的關於信息安全的優秀實踐
參考資料
- ^ ISO/IEC 27001:常见问题. atsec. [2013-05-02]. (原始內容存檔於2013-06-28).
外部連結
- The ISO 17799 Newsletter(頁面存檔備份,存於網際網路檔案館)
- Opensource software to support ISO 27000 processes(頁面存檔備份,存於網際網路檔案館)
- ISO IEC 27000,2009 version(頁面存檔備份,存於網際網路檔案館)
- The ISO 27000 Directory(頁面存檔備份,存於網際網路檔案館)
- ISO/IEC 27000:2009 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary(頁面存檔備份,存於網際網路檔案館)