ISO 27000 介紹

時(shí)間：2021-12-29作者：中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司瀏覽：205

信息安全發(fā)展至今，人們越來越認(rèn)識到安全管理在整個(gè)信息安全建設(shè)過程中的重要性，而作為信息安全管理方面較*的**標(biāo)準(zhǔn)——iso27001（即之前所稱的BS7799標(biāo)準(zhǔn)），則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的較好的參照。 

    BS7799是英標(biāo)準(zhǔn)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）于1995年2月制定的信息安全管理標(biāo)準(zhǔn)，分兩個(gè)部分，其**部分于2000年被iso組織采納，正式成為iso/IEC 17799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)2005年經(jīng)過較新改版，發(fā)展成為iso/IEC 17799:2005標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)的*二部分經(jīng)過長時(shí)間討論修訂，也于2005年成為正式的iso標(biāo)準(zhǔn)，即iso/IEC 27001:2005。

    iso27000標(biāo)準(zhǔn)（即BS7799**部分），是信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Management），其中包含11個(gè)主題，定義了133個(gè)安全控制。iso17799:2005中的11個(gè)主題分別是：

      ◆  安全策略（Security policy）；

      ◆  信息安全組織（Organization of information security）；

      ◆  資產(chǎn)管理（Asset management）；

      ◆  人力資源安全 （Human resource security）；

      ◆  物理和環(huán)境安全（Physical and environmental security）；

      ◆  通信和操作管理（Communication and operation management）；

      ◆   訪問控制（Access control）；

      ◆  信息系統(tǒng)獲取、開發(fā)和維護(hù)（Information systems acquisition, development and maintenance）；

      ◆  信息安全事件管理（Information security incident management）；

      ◆  業(yè)務(wù)連續(xù)性管理（Business continuity management）；

      ◆  符合性（Compliance）。

      iso27001:2005標(biāo)準(zhǔn)，是建立信息安全管理體系（ISMS）的一套規(guī)范（Specification for Information Security Management Systems），其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI較終的（對依據(jù)iso27001建立的ISMS進(jìn)行），還有一系列相應(yīng)的注冊過程。作為一套管理標(biāo)準(zhǔn)，iso27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用iso/IEC 17799，其較終目的，還在于建立適合企業(yè)需要的信息安全管理體系。

 標(biāo)準(zhǔn)的起源和發(fā)展

    信息安全管理實(shí)用規(guī)則iso/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英標(biāo)準(zhǔn)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分：

    BS7799-1，信息安全管理實(shí)施規(guī)則

    BS7799-2，信息安全管理體系規(guī)范。

    **部分對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用；*二部分說明了建立、實(shí)施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。

    2000年，**標(biāo)準(zhǔn)化組織（iso）在BS7799-1的基礎(chǔ)上制定通過了iso 17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。iso組織在2005年對iso 17799再次修訂，BS7799-2也于2005年被采用為iso27001:2005。

標(biāo)準(zhǔn)的主要內(nèi)容

    iso/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

    標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個(gè)組織具有**，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至較小，使**和業(yè)務(wù)機(jī)會(huì)較大。

    信息安全是通過實(shí)現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。

    iso/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識別在運(yùn)做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。**標(biāo)準(zhǔn)化組織（iso）在2005年對iso 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為iso 27000標(biāo)準(zhǔn)族的**部分——iso/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性較好，較適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)：

    1）安全策略

    2）信息安全的組織

    3）資產(chǎn)管理

    4）人力資源安全

    5）物理和環(huán)境安全

    6）通信和操作管理

    7）訪問控制

    8）系統(tǒng)系統(tǒng)采集、開發(fā)和維護(hù)

    9）信息安全事故管理

    10）業(yè)務(wù)連續(xù)性管理

    11）符合性 


中泰智聯(lián)（北京）認(rèn)證中心有限公司長春分公司專注于ISO9001質(zhì)量管理體系認(rèn)證,ISO14001環(huán)境管理體系認(rèn)證,ISO45001職業(yè)健康安全管理體系認(rèn)證,IATF16949認(rèn)證,GB/T27922售后服務(wù)認(rèn)證,GB/T27925品牌認(rèn)證,GB/T31950誠信管理體系認(rèn)證,ISO39001道路交通安全管理體系認(rèn)證,ISO22301業(yè)務(wù)連續(xù)性管理體系認(rèn)證,GB/T35770合規(guī)管理體系認(rèn)證等

• 詞條

  詞條說明

• ISO14001緊急處理程序

  1.?目????的為了預(yù)防潛在環(huán)境事故的發(fā)生,明確緊急事件發(fā)生時(shí)的應(yīng)急措施,減少可能性伴隨的環(huán)境影響,制訂本基準(zhǔn)。2.?適用范圍本基準(zhǔn)適用于本公司潛在的環(huán)境事故和緊急事件的預(yù)防和響應(yīng)之業(yè)務(wù)。3.?職????責(zé)⑴?生管課與ISO室負(fù)責(zé)對化學(xué)品、油品儲(chǔ)存時(shí)的緊急情況知識進(jìn)行講座及模擬

• iSO9001質(zhì)量管理體系2015版標(biāo)準(zhǔn)難點(diǎn)淺析

  iSO9001質(zhì)量管理體系2015版標(biāo)準(zhǔn)難點(diǎn)淺析iso9001:2015標(biāo)準(zhǔn)在內(nèi)容、結(jié)構(gòu)、管理思想和理念方面與2008版相比發(fā)生了較大的變化，許多企業(yè)都面臨對新版標(biāo)準(zhǔn)的理解、實(shí)施和轉(zhuǎn)化問題。那么，以硬件裝配型制造業(yè)為基礎(chǔ)編制的iso9001:2015標(biāo)準(zhǔn)改版為四大類產(chǎn)品都適用的iso9001:2015標(biāo)準(zhǔn)，其內(nèi)容、范圍、用詞等方面都有通用、全面和比較抽樣的特點(diǎn)。下面，筆者對iso9001:20

• ISO13485：2003和ISO9001：2000的異同

  ?ISO/DIS13485是以ISO9001：2000為基礎(chǔ)的，它采用了ISO9001：2000各章、條的架構(gòu)和其主要內(nèi)容。但是，由于醫(yī)療器械直接關(guān)系到人的生命和健康，中國和**都為其制定了較其他產(chǎn)品更多的法律、法規(guī)，提出了較嚴(yán)格的控制要求，以便達(dá)到使醫(yī)療器械安全和有效的主要目的。為此，ISO/DIS13485將ISO9001：2000的內(nèi)容分為提出要求的章、條和資料性的章、條。標(biāo)準(zhǔn)

• ISO/TS16949將成汽車業(yè)一質(zhì)量管理標(biāo)準(zhǔn)

  近段時(shí)間以來，ISO／TS16949認(rèn)證在國內(nèi)風(fēng)起云涌。7月1日，幾大跨國汽車生產(chǎn)廠將執(zhí)行新的認(rèn)證標(biāo)準(zhǔn)，國內(nèi)的汽車配套生產(chǎn)廠家聞風(fēng)而動(dòng)，提早換標(biāo)成為一股新潮流。新認(rèn)證標(biāo)準(zhǔn)獲汽車制造商支持ISO／TS16949是2002年3月1日**標(biāo)準(zhǔn)化組織ISO與IATF公布的一項(xiàng)行業(yè)性質(zhì)量體系規(guī)范，適用于整個(gè)汽車產(chǎn)業(yè)的供應(yīng)鏈，包括整車廠、零配件廠商以及為汽車行業(yè)提供產(chǎn)品的鋼鐵、玻璃和電子產(chǎn)品的供應(yīng)商等。這個(gè)