免费建立商铺,与百万浙商做生意!
ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题,按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。
ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划,该系列标准的序号已经预留到27019,其中将27000~27009留给ISMS基本标准,27010~27019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。
1 ISMS国际标准化组织
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织,我国是该组织的P成员国。ISO/IEC JTC1/SC27成立后设有三个工作组:
l WG1:需求、安全服务及指南工作组
l WG2:安全技术与机制工作组
l WG3:信息系统、部件和产品相关的安全评估准则工作组
在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上,通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案,将原来的三个工作组调整为现在五个工作组:
l WG1:ISMS标准工作组
l WG2:安全技术与机制工作组
l WG3:信息系统、部件和产品相关的安全评估准则工作组
l WG4:安全控制与服务工作组
l WG5:身份管理与隐私保护技术工作组
SC27组织机构的这次调整,专门将WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南,充分体现了ISMS的发展在全球范围内受到高度重视。
2 已经发布的ISMS标准-ISO/IEC27001和ISO/IEC27002
目前国际标准化组织已经正式发布的ISMS国际标准有两个:ISO/IEC27001和ISO/IEC27002,它们是ISMS的核心标准。
l ISO/IEC27001:2005:信息安全管理体系要求
Information technology-Security techniques-Information security management systems-Requirements
l ISO/IEC27002:2005:信息安全管理实用规则
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样,是ISMS的要求标准,内容共分8章和3个附录,其中附录A中的内容直接引用并与ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005适用于所有类型的组织(如企事业单位、政府机关等)。它从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001:2005是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。
ISO/IEC17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799:2005,原来版本同时废止。ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。
根据今年召开的第18届SC27全体会议决议,将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。
i. ISMS标准的类型
根据ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards 管理体系标准合理性和制定导则)和ISO/IEC的相关导则,ISO/IEC JTC1/SC27/WG1将ISMS标准分为4类:
l Type A – Vocabulary Standard A类-词汇标准
l Type B – Requirements Standard B类-要求标准
l Type C – Guidelines Standard C类-指南标准
l Type D – Related Standard D类-相关标准
A类-词汇标准:主要提供标准族中所有标准所涉及的基础信息,包括通用术语、基本原则等内容。ISO/IEC27000同ISO 9000(质量管理体系基础和术语)类似,属于此类标准。
B类-要求标准:主要提供管理体系的相关规范,它能够使一个组织证明其满足内部和外部要求的能力。ISO/IEC27001同ISO 9001(质量管理体系要求)、ISO 140
浙江民营企业网 www.zj123.com 版权所有 2002-2010