当前位置: 首页 > 知识体系 > IT Security > 详情

ISO/IEC 27001

  • 1 标题/定义
    ISO/IEC 27000系列:信息技术-安全技术
    2 基本知识
    ISO/IEC 27000是由国际标准组织(ISO)和国际电工委员会(IEC)开发并发布的信息安全标准系列;这些标准提供了在信息安全管理领域全球认可的最佳实践框架。
    3 摘要
    国际标准组织(ISO)和国际电工委员会(IEC)对ISO/IEC 27000拥有知识产权。ISO 27001标准规定了一些必须遵循的要求,基于此,可以对组织的信息安全管理体系(ISMS)进行审核和认证。ISO 27000标准族中的其他标准是实务守则,提供非强制性的最佳实践指导,组织可以全部或部分遵循,具有自主权。
     
    监管该标准的主要概念为:
    鼓励组织评估自己的信息安全风险。
    组织应该依照需求实施适当的信息安全控制。
    指南应该从相关标准中提取。
    使用计划、执行、检查、改进模型,实现持续反馈。
    持续评估信息安全问题面临的威胁和风险变化。
    27000 标准族信息技术– 安全技术– 信息安全管理体系
    •ISO/IEC 27000:2009 - 概述和词汇
    •ISO/IEC 27001:2005 - 需求
    •ISO/IEC 27002:2005 -信息安全管理实践守则
    •ISO/IEC 27003:2010 - 信息安全管理体系实施指南
    •ISO/IEC 27004:2009 - 测量
    •ISO/IEC 27005:2011 - 信息安全风险管理
    •ISO/IEC 27006:2011 - 提供信息安全管理体系审核认证机构的要求
    •ISO/IEC 27007:2011 -信息安全管理体系审核指南
    •ISO/IEC TR27008:2011 - 审核员信息安全控制指南
    •ISO/IEC 27010:2012 -信息安全管理的跨部门和跨组织沟通
    •ISO/IEC 27011:2008-电信组织基于ISO/IEC 27002的信息安全管理指南
     
    4 目标受众
    组织中所有负责安全管理的人员,IT安全管理专家,审核员。
    5 范围与局限性
    ISO/IEC 27000标准族的应用范围广泛:不管规模大小,任何组织和任何行业均适用。
    优势
    通过与ISO/IEC标准对照,组织可以:
    保证自己的关键资产安全。
    管理风险等级。
    改善和确保客户信心。
    避免损害品牌、损失利润或可能的罚款。
    伴随技术发展,推动信息安全。
     
    局限性
    很少组织愿意按照标准正式规定其ISMS的范围、风险评估方法以及风险接受准则。
    很多组织缺少正式的过程来报告安全事件,以及量化和监控事故的机制。
    业务连续性计划经常缺失或过时,连续性演练不规律和不现实。
     
    6 相关链接 (网站)
    ISO官方网站:www.iso.org

    (C) Van Haren Publishing 2015
    该文章的版权属于国际最佳实践管理联盟和荷兰范哈仑出版社,未经授权,不得转载!版权所有,侵权必究。