ISO 27000 介紹

時(shí)間：2021-12-29作者：中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司瀏覽：204

信息安全發(fā)展至今，人們越來越認(rèn)識到安全管理在整個(gè)信息安全建設(shè)過程中的重要性，而作為信息安全管理方面較*的**標(biāo)準(zhǔn)——iso27001（即之前所稱的BS7799標(biāo)準(zhǔn)），則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的較好的參照。 

    BS7799是英標(biāo)準(zhǔn)準(zhǔn)協(xié)會（British Standards Institute，BSI）于1995年2月制定的信息安全管理標(biāo)準(zhǔn)，分兩個(gè)部分，其**部分于2000年被iso組織采納，正式成為iso/IEC 17799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)2005年經(jīng)過較新改版，發(fā)展成為iso/IEC 17799:2005標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)的*二部分經(jīng)過長時(shí)間討論修訂，也于2005年成為正式的iso標(biāo)準(zhǔn)，即iso/IEC 27001:2005。

    iso27000標(biāo)準(zhǔn)（即BS7799**部分），是信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Management），其中包含11個(gè)主題，定義了133個(gè)安全控制。iso17799:2005中的11個(gè)主題分別是：

      ◆  安全策略（Security policy）；

      ◆  信息安全組織（Organization of information security）；

      ◆  資產(chǎn)管理（Asset management）；

      ◆  人力資源安全 （Human resource security）；

      ◆  物理和環(huán)境安全（Physical and environmental security）；

      ◆  通信和操作管理（Communication and operation management）；

      ◆   訪問控制（Access control）；

      ◆  信息系統(tǒng)獲取、開發(fā)和維護(hù)（Information systems acquisition, development and maintenance）；

      ◆  信息安全事件管理（Information security incident management）；

      ◆  業(yè)務(wù)連續(xù)性管理（Business continuity management）；

      ◆  符合性（Compliance）。

      iso27001:2005標(biāo)準(zhǔn)，是建立信息安全管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI較終的（對依據(jù)iso27001建立的ISMS進(jìn)行），還有一系列相應(yīng)的注冊過程。作為一套管理標(biāo)準(zhǔn)，iso27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用iso/IEC 17799，其較終目的，還在于建立適合企業(yè)需要的信息安全管理體系。

 標(biāo)準(zhǔn)的起源和發(fā)展

    信息安全管理實(shí)用規(guī)則iso/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英標(biāo)準(zhǔn)準(zhǔn)協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分：

    BS7799-1，信息安全管理實(shí)施規(guī)則

    BS7799-2，信息安全管理體系規(guī)范。

    **部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用；*二部分說明了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。

    2000年，**標(biāo)準(zhǔn)化組織（iso）在BS7799-1的基礎(chǔ)上制定通過了iso 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。iso組織在2005年對iso 17799再次修訂，BS7799-2也于2005年被采用為iso27001:2005。

標(biāo)準(zhǔn)的主要內(nèi)容

    iso/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

    標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個(gè)組織具有**，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至較小，使**和業(yè)務(wù)機(jī)會較大。

    信息安全是通過實(shí)現(xiàn)一組合適控制獲得的?？刂瓶梢允遣呗浴T例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。

    iso/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識別在運(yùn)做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。**標(biāo)準(zhǔn)化組織（iso）在2005年對iso 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為iso 27000標(biāo)準(zhǔn)族的**部分——iso/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性較好，較適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)：

    1）安全策略

    2）信息安全的組織

    3）資產(chǎn)管理

    4）人力資源安全

    5）物理和環(huán)境安全

    6）通信和操作管理

    7）訪問控制

    8）系統(tǒng)系統(tǒng)采集、開發(fā)和維護(hù)

    9）信息安全事故管理

    10）業(yè)務(wù)連續(xù)性管理

    11）符合性 


中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司專注于ISO9001質(zhì)量管理體系認(rèn)證,ISO14001環(huán)境管理體系認(rèn)證,ISO45001職業(yè)健康安全管理體系認(rèn)證,IATF16949認(rèn)證,GB/T27922售后服務(wù)認(rèn)證,GB/T27925品牌認(rèn)證,GB/T31950誠信管理體系認(rèn)證,ISO39001道路交通安全管理體系認(rèn)證,ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證,GB/T35770合規(guī)管理體系認(rèn)證等

• 詞條

  詞條說明

• ISO9000族的基本要求

  產(chǎn)品質(zhì)量是企業(yè)生存的關(guān)鍵。影響產(chǎn)品質(zhì)量的因素很多，單純依靠檢驗(yàn)只不過是從生產(chǎn)的產(chǎn)品中挑出合格的產(chǎn)品。這就不可能以較佳成本持續(xù)穩(wěn)定地生產(chǎn)合格品。?一個(gè)組織所建立和實(shí)施的質(zhì)量體系，應(yīng)能滿足組織規(guī)定的質(zhì)量目標(biāo)。確保影響產(chǎn)品質(zhì)量的技術(shù)、管理和人的因素處于受控狀態(tài)。無論是硬件、軟件、流程性材料還是服務(wù)，所有的控制應(yīng)針對減少、消除不合格，尤其是預(yù)防不合格。這是ISO9000族的基本指導(dǎo)思想，具體地體

• ISO14000相關(guān)知識問答

  1. 什么是ISO14000標(biāo)準(zhǔn)？答：ISO14000系列標(biāo)準(zhǔn)是由**標(biāo)準(zhǔn)化組織（ISO）*207技術(shù)**（ISO/TC207）組織制訂的環(huán)境管理體系標(biāo)準(zhǔn)，其標(biāo)準(zhǔn)號從14001至14100，共100個(gè)標(biāo)準(zhǔn)號，統(tǒng)稱為ISO14000系列標(biāo)準(zhǔn)。它是順應(yīng)**環(huán)境保護(hù)的發(fā)展，依據(jù)**經(jīng)濟(jì)貿(mào)易發(fā)展的需要而制定的。目前正式頒布的有ISO14001、ISO14004、ISO14010、ISO14011、ISO

• OHSAS18001需準(zhǔn)備的主要資料

  1. 申請方須有獨(dú)立的法人資格，若是集團(tuán)公司下屬企業(yè),應(yīng)有集團(tuán)公司的授權(quán)證明?2. 申請方本年度內(nèi)無職業(yè)健康與安全事故發(fā)生?3. 一年內(nèi)未出現(xiàn)過安監(jiān)部門監(jiān)督抽查不合格現(xiàn)象?4. 滿足上述前提，填報(bào)《職業(yè)健康與安全管理體系申請表》，并準(zhǔn)備以下主要資料：?1) 有效版本的OHSAS18001體系文件?2) 營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼復(fù)印件或機(jī)構(gòu)成立批文

• iso45001認(rèn)證資料

  辦理ISO 45001認(rèn)證需要準(zhǔn)備以下資料：?質(zhì)量手冊：包括組織的質(zhì)量政策、目標(biāo)和相關(guān)程序的描述。程序文件：包括各項(xiàng)質(zhì)量管理程序的編制和實(shí)施細(xì)節(jié)，如內(nèi)部審核程序、糾正和預(yù)防措施程序、管理評審程序等。工作指導(dǎo)書：包括各項(xiàng)工作的具體操作指導(dǎo)，如工作書、作業(yè)書等。記錄文件：包括各項(xiàng)質(zhì)量管理活動的記錄，如內(nèi)部審核記錄、糾正和預(yù)防措施記錄、管理評審記錄等。組織結(jié)構(gòu)和職責(zé)：描述組織的結(jié)構(gòu)和各個(gè)職責(zé)的