信息安全管理体系标准族 从BS 7799到ISO 17799再到今天我们谈ISO 27000系列,他是一个变化发展的过程,变化发展是基于原来的优秀经验创新发展的。在有关材料中介绍,我国的等级保护1.0充分借鉴了ISO 17799这个国际标准,现在等级保护2.0阶段的安全管理制度要求,是在1.0的基础进行了优化,这么你也可以理解我国等级保护制度在管理制度测评中,是充分借鉴了ISO 27000标准的。但是,27000是一个系列标准族系,完全借鉴也是不太现实的。 我们通过整理的材料,简单介绍一下27000系列部分标准的名称。其在《信息技术 安全技术》通用标题下,ISMS标准族,我们按照按标准号排序,由下列标准组成: -ISO/IEC 27000:信息安全管理体系 概述和词汇 -ISO/IEC 27001:信息安全管理体系 要求 -ISO/IEC 27002:信息安全管理体系 信息安全控制实践指南 -ISO/IEC27003:信息安全管理体系实施指南 -ISO/IEC27004:信息安全管理 测量 ISO/IEC27005:信息安全风险管理 (Information security risk management) -ISO/IEC27006:信息安全管理体系审核认证机构的要求 (Requirements for bodies providing audit and certification of information security management systems) -ISO/IEC27007:信息安全管理体系审核指南 (Guidelines for information security management systems auditing) -ISO/IECTR:27008 信息安全控制措施审核员指南 (Guidelines for auditors on information security controls) -ISO/IEC 27009:ISO/IEC27001的行业特定应用 要求 (Sector-specificapplication of ISO/IEC 27001-Requirements) -ISO/IEC27010:行业间和组织间通信的信息安全管理 (Information security management for inter-sector and inter-organizational communications) -ISO/IEC27011:基于ISO/IEC27002的电信组织信息安全管理指南 (Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002) -ISO/IEC 27013:ISO/IEC 27001和ISO/IEC 20000-1综合实施指南 (Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1) -ISO/IEC 27014:信息安全治理 (Governance of information security) -ISO/IEC TR 27015:金融服务信息安全管理指南 (Information security management guideLines for financial services) -ISO/IEC TR 27016:信息安全管理 组织经济学 (Information security management-Organizational economics) -ISO/IEC 27017:基于ISO/IEC 27002的云服务信息安全控制实践指南 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) ISO/IEC 27018:可识别个人信息(PII)处理者在公有云中保护PII的实践指南 (Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors) ISO/IEC 27019:基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南 (Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry) 网络安全等级保护:网络安全等级保护和信息安全技术国家标准列表 |
|