欢迎光临 佛山市沃博企业管理服务有限公司 官方网站
网站地图发布者: 沃博 时间:2022-11-12 15:05:49
ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。
规划的ISO27000系列包含下列标准
ISO 27000 原理与术语Principles and vocabulary
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南
Information technology_Security techniques_ISMS auditor guidelines
其中ISO27001:2005 的最终标准草案(FDIS)已经在2005年7月发布,预计在2005年底或2006年初作为正式国际标准发布。
引言 -该标准描述了系统管理信息风险的过程。
1、范围 -它指定适用于任何类型,规模或性质的组织的通用ISMS要求。
2、规范性引用文件 -仅 ISO / IEC 27000被视为对'27001'的用户绝对必要:其余的ISO27k标准是可选的。
3、术语和定义 -参见 ISO / IEC 27000。
4、组织的上下文-了解组织的上下文,“利益相关方”的需求和期望并定义ISMS的范围。第4.4节非常明确地指出“组织应建立,实施,维护和持续改进” ISMS。
5、领导力 -最高管理者必须表现出对ISMS,授权政策的领导力和承诺,并分配信息安全角色,职责和权限。
6、计划 -概述识别,分析和计划处理信息风险的过程,并阐明信息安全的目标。
7、支持 -必须分配足够的主管资源,提高意识,准备并控制文档。
8、操作 -有关评估和处理信息风险,管理变更以及记录事物的更多详细信息(部分以便可以由认证审核员进行审核)。
9、绩效评估 -监视,衡量,分析和评估/审核/审查信息安全控制,流程和管理系统,并在必要时进行系统改进。
10、改进 -解决审核和评审的结果(例如,不合格和纠正措施),对ISMS进行持续改进。
附件A参考控制目标和控件 -实际上只不过是 ISO / IEC 27002中控制部分标题的列表而已。该附件是“规范性的”,这意味着希望认证的组织使用该附件,但主体表示,它们可以偏离或补充该附件,以解决其特定的信息风险。仅附件A很难解释。请参阅ISO / IEC 27002,以获得有关控件的更有用的详细信息,包括实施指南。
介绍五个相关标准,以及ISO / IEC指令的第1部分,以获取更多信息。此外,在标准主体中将 ISO 27000标识为规范性(即必不可少的)标准,并且在风险管理方面有多个对ISO 31000的引用。
认证的强制性要求
ISO27001是ISMS的正式规范,具有两个不同的目的:
它列出了ISMS的设计,在相当高的层次上描述了重要部分。
可以(可选)将其用作经认证的审核员进行正式合规性评估的基础,以认证组织合规性。
认证明确需要以下强制性文件:
ISMS范围
信息安全政策
信息风险评估程序
信息风险处理流程
信息安全目标
从事信息安全工作的人员的能力证明
组织认为必要的其他与ISMS相关的文件
运作计划和控制文件
的结果的[信息]风险评估
关于[信息]风险处理的决定
监视和衡量信息安全的证据
ISMS内部审核计划和审核结果
ISMS最高管理层审查的证据
识别出不合格的证据,并采取纠正措施
其他各种: 附件A提及但未充分说明进一步的文档,包括可接受的资产使用规则,访问控制策略,操作程序,机密性或保密协议,安全系统工程原理,供应商关系的信息安全策略,信息安全事件响应程序,相关法律,法规和合同义务以及相关的合规性程序和信息安全连续性程序。但是,尽管附件A是规范性的,但组织并没有正式要求采用和遵守附件A:它们可以使用其他结构和方法来处理其信息风险。
认证审核员几乎可以肯定会检查以下十五种文件是否存在:(a)是否存在,以及(b)是否适合目的。
友情链接:
Copyright© 佛山市沃博企业管理服务有限公司 版权所有 粤ICP备11088590号
技术支持:万迪网络