-
2019-05-10 10:28:42
因为写这篇文章的初衷不是给大佬看的,所以有的地方写的不是很正式,就用常见的白话叙述方式来描述,便于各位阅读此文章。
信息安全等级保护和ISO27000系列标准是我国两大主流信息安全标准体系,广泛应用于党和政府机关、企业事业单位。属于安全行业的公司经常在实际使用标准用来建立内部信息安全体系时,遇到一些困难,有时候需要同时满足两个标准体系的要求。这篇文章我从初学者的角度来描写,会简要的介绍一下这两个体系的历史和相关标准,并且对这两个标准进行比较,从面向对象、出发点、实施过程的难点和安全分类标准等多个方面来分析两个标准之间的异同点。
- 信息安全等级保护制度和ISO 27000系列标准的概念
以下概念摘自百度文库《等级保护与iso27000的比较》处
##信息安全等级保护制度
我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》,成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个,涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。##ISO 27000系列标准
ISO 27000起源于英国的BS 7799标准系列,其中ISO 27001是“信息安全管理体系要求”(Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO 27002,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施;概念中阐述了等级保护与ISO27000系列标准的起源与运用,在学习的过程中曾经因为两个标准的相似引发过为何要区分的疑惑,在熟悉二者之间关系并且运用后发现两个标准的相同和不同,写此文章的意义不仅在于与大家分享学习的心得,更在于我自身学习不足改正之处的记录,如有不足之处请指明。详细标准于文章最下方。
首先来看二者标准的不同之处:
-
1.面向对象
等级保护面向的对象是组织外部(国家安全、社会秩序和公共利益),是自外而内的信息安全建设工作。
ISO 27000系列面向的对象是组织内部(业务),是自内而外的信息安全建设工作。 -
2.出发点
等级保护的最终目的是保护国家安全、社会秩序和公共利益,指导全国安全工作,构建国家整体安全保障体系,需要达到合规性要求、政策性要求、基本安全要求。
ISO 27000系列的最终目的是保证组织业务连续性,缩减业务风险,得到最大化投资收益,需要达到的要求是承诺相对安全、内生性需求、额外安全要求。 -
3.分级标准差异
等级保护首先是定级问题,根据问题的级别提出相应的安全要求,影响定级的主要因素有三方面:公民法人及其他组织、合法权益社会秩序、公共利益、国家安全,等级保护有固定的级别划分,最终以组织外部影响为依据。
ISO 27000系列首先是对企业进行风险评估,根据企业的资产、威胁、脆弱性、现有安全控制措施来进行定量或定性分级,是由组织自行决定风险评估可接受程度来划分的,最终以组织内部影响为依据。 -
4.安全控制项、控制点差异
等级保护和ISO 27000系列都从技术和管理两个方面提出了信息安全的要求。不同的是等级保护(2.0)有十个方面的要求:安全物理环节、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
ISO 27000系列有11个方面:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。 -
5.安全需求分析流程差异 等级保护:信息系统描述→信息系统划分→确定顶级对象→初步确定等级→一般安全需求/额外安全需求→综合指标评价/综合风险分析→需求分析报告。
ISO 27000:确定ISMS范围→选择风险评估方法→识别风险→分析评价风险→选择控制目标和措施→准备适用性声明。 -
6.实施流程和难点
流程不同
等级保护首先对信息系统进行定级,定级之后再结合不同等级的安全要求进行安全需求分析。在定级之前,首先要对信息系统进行描述,主要包括系统边界、网络拓补、设备部署等,对于大型的信息系统要在综合分析的基础上进行划分,确定可作为定级对象的信息系统个数。信息系统的定级由受侵害客体和对客体的侵害程度两个因素决定,通过综合判定客体的受侵害程度来确定系统的安全保护等级。安全等级确定之后,从信息系统安全等级保护基本要求中选择相应的等级评价指标,通过现场观察、询问、检查、测试等方式进行评估,确定信息系统安全保护的基本需求。对于有特殊保护要求的信息系统重要资产,其安全需求分析则采用风险评估的方法来进行。
ISO27000系列标准通过风险评估来识别风险和威胁,进而确定组织的信息安全需求,选择风险控制措施。在风险评估之前首先根据组织业务特征、资产和技术来确定ISMS范围和ISMS方针,然后选择使用于组织的风险评估方法,识别ISMS范围内的资产、资产所有者、资产的威胁、可能被资产利用的脆弱点、资产损失可能造成的影响,对风险进行分析和评价,评估安全失效可能造成的影响及后果、威胁和脆弱性发生的可能性,进而确定风险的等级。整个风险评估的过程就是对组织信息安全需求分析的过程。难点不同
等级保护虽然预留特殊安全保护需求,但对大型系统,宏观分级无法细化到具体要求,以国家安全,社会秩序和公共利益为出发点的时候对特定行业单位内生性需求未考虑,导致管理者对推动等保落地的意愿不足
ISO 27000实施中风险评估方法选择困难、实施难度大、耗时长、成本高,而如何选择控制措施困难,如何有重点针对性的选择控制措施更难
接下来看二者标准的相同之处:
-
1.风险处理思想相同
“安全是相对的,不安全是绝对的”
在网络安全行业,信息安全不可能保证百分之百的安全,所及等级保护和ISO 27000系列的最终目的是保护信息达到低于可接受风险的相对安全。两个标准在实施的过程中都是遵循PDCA模型来进行安全保护的建设,在实施之前强调分级分类来找出信息安全保护的重点和要点,二者标准的思想中都存在木桶原理:保护木桶最短的几块木板。 -
2.安全分类共同点
不论是等级保护,还是ISO 27000系列标准,二者都发布了基本要求,在ISO 27000系列中提供了14个控制域的114个控制措施,而等级保护2.0提供了技术要求和管理要求两个大类下的10个子类的安全要求,只要是使用过这两个标准的,就不难发现其中等级保护2.0版与ISO系列 27002标准在控制措施或安全子类层面的安全要求在一些方面是互通的,比如等级保护中的‘网络安全’与27002标准中的‘访问控制‘、‘信息安全事件管理’ -
3.宏观与微观角度
信息系统分布于各个组织内部,组织内部的信息安全是国家整体信息安全的基础,而国家整体安全体现在各个组织微观能力上,网络的互联和信息的共享,一个组织内部的信息系统遇到风险业务中断,就可能导致一系列的信息安全连锁反应,国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响,组织的风险来自内部也来自外部,可以说没有国家宏观信息安全也没有组织内部信息安全
总结
单个拆开来看,等级保护或者ISO 27000系列都有自己的优势与不足。企业安全保障需要两个标准的双管齐下,等级保护基本要求内容细致,ISO 27000适用范围广,两个体系融合形成全面细致的可操作要求。从控制点来看,结合等级保护运维建设、ISO 27000安全事件管理、ISO 27000业务连续性管理形成新运维控制措施结合,二者内容的互相补充将使企业的网络安全得到更加有效的保障
在实施的过程中,一般方法是融合等级保护与风险评估,先分析资产,列出资产清单后使用等保控制点来识别脆弱性,在进行威胁识别后开始一个总的风险分析,并给相关单位提出安全整改方案,指导安全体系的建立,最后还要进行定期的复查,大致的风评流程就是如此,等级保护与ISO 27000融合实施,信息安全保障一箭双雕。
本文部分引用:
1.ISO 27000百度百科
2.信息安全等级保护百度百科
3.浅谈信息安全等级保护与ISO27000系列标准的异同(http://www.toberp.com/html/support/1112156114.html)
4.ISMS信息安全管理体系与信息系统安全等级保护标准的异同点(CSDN博主:运维个西瓜)
5.百度文库《等级保护与iso27000的比较》等级保护标准:
十大重要标准
计算机信息系统安全等级保护划分准则 (GB 17859-1999) (基础类标准)
信息系统安全等级保护实施指南 (GB/T 25058-2010) (基础类标准)
信息系统安全保护等级定级指南 (GB/T 22240-2008) (应用类定级标准)
信息系统安全等级保护基本要求 (GB/T 22239-2008) (应用类建设标准)
信息系统通用安全技术要求 (GB/T 20271-2006) (应用类建设标准)
信息系统等级保护安全设计技术要求 (GB/T 25070-2010) (应用类建设标准)
信息系统安全等级保护测评要求 (GB/T 28448-2012)(应用类测评标准)
信息系统安全等级保护测评过程指南 (GB/T 28449-2012)(应用类测评标准)
信息系统安全管理要求 (GB/T 20269-2006) (应用类管理标准)
信息系统安全工程管理要求 (GB/T 20282-2006) (应用类管理标准)
其它相关标准
GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求
GB/T 20270-2006 信息安全技术 网络基础安全技术要求
GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
GB/T 20272-2006 信息安全技术 操作系统安全技术要求
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
GB/T 20985-2007 信息安全技术 信息安全事件管理指南
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范ISO 27000系列标准:
ISO 27000 原理与术语Principles and vocabulary
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南更多相关内容 -
-
ISO27000整理中文版.zip
2022-01-14 12:16:02ISO27000(信息技术-安全技术-信息安全管理体系-概述和词汇) ISOIEC 27003(信息技术-安全技术-信息安全管理体系实施指南) ISOIEC 27005(信息技术-安全技术-信息安全风险管理) ISOIEC 27006 (信息安全管理系统验证... -
ISO 27000系列 信息安全管理资料合集(10份).zip
2021-11-11 10:43:12ISO 27000 信息安全管理资料合集,共10份。 ISO 27001(CN) ISO 27002标准2013版 ISO 27003(CN) ISO 27005 2008_信息安全技术风险管理_(中文版) ISO 27006 (tw) ISO_27002_CN ISO_IEC 27004-信息安全管理测量 ISO/... -
ISO27000系列资料大合集.zip
2021-07-26 23:16:20ISO 27001新版标准解析(2013版)-谷安 ISO 27001 信息安全管理手册 ISO 27001 信息安全管理体系咨询服务及认证实施方案 ISO 27001-2013 控制项差距评分工具 ISO 27001-2013 信息安全管理国标新版解读精要(正式发布... -
ISO27000系列全套中文版
2018-10-23 15:01:12ISO27000系列,全套,中文版,包含信息安全管理测量、信息安全管理体系概述和词汇、信息安全管理体系实施指南、信息安全风险管理、信息安全管理系统验证机构认证规范、信息安全管理体系规范与使用指南、信息安全管理... -
ISO 27000中文系列
2020-11-01 18:02:56ISO 27000中文系列主要是包括iso 27001 -
ISO27000与等保3级对照表
2018-12-15 00:27:31a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; "a) 应访谈安全主管,询问机构的制度体系是否由安全政策、安全策略、管理制度、操作规程等构成,是否定期对安全... -
ISO27000及等保管理要求(三级)控制点对照表.xls
2019-08-02 15:58:01ISO27000及等保管理要求(三级)控制点对照表 -
ISO27000信息安全管理体系建设咨询服务.pdf
2021-08-25 23:56:25ISO27000信息安全管理体系建设咨询服务 -
ISO27000系列中文文档
2018-05-10 09:21:43其中主要包括ISO27001信息安全管理体系要求、ISO27002信息安全管理体系实用规则、ISO27003信息安全管理体系实施指南的中文文档 -
九、ISO 27000 术语定义及相关资料
2021-11-09 10:29:16此处使用的 27000 术语定义来自国标转化的 27000 标准 ISO 27000:2016(GB/T 29246— 2017/ ISO/IEC 27000: 2016 信息技术 安全技术 信息安全管理体系 概述和词汇)。其中编号按原文编号排列。 ISO 27000:2016 对...编者说明:
此处使用的 27000 术语定义来自国标转化的 27000 标准 ISO 27000:2016(GB/T 29246— 2017/ ISO/IEC 27000: 2016 信息技术 安全技术 信息安全管理体系 概述和词汇)。其中编号按原文编号排列。
ISO 27000:2016 对术语定义有下列说明:ISMS 标准族的术语归属者是指最初定义该术语的标准。术语归属者还要负责对定义进行维护,即提供、评审、更新和删除。
ISO/IEC27000 本身不定义任何术语。ISO/IEC27001 和 ISO/IEC27006 作为规范性标准(即包含要求)总是始终作为各自术语的归属者。
编号 术语 定义
2.1
访问控制 access control 确保对资产的访问是基于业务和安全要求(2.63)进行授权和限
制的手段。2.2
分析模型 analytical model 将一个或多个基本测度(2.10) 和(或)导出测度(2.22)关联到
决策准则(2.21)的算法或计算。2.3
攻击 attack 企图破坏、泄露、篡改、损伤、窃取、未授权访问或未授权
使用资产的行为。2.4
属性 attribute 可由人工或自动化手段定量或定性辨别的对象(2.55)特性或特
征。
[ISO/IEC 15939:2007,定义 2.2,做了修改:将原定义中的“实
体”替换为“对象”]2.5
审核 audit 获取审核证据并客观地对其评价以确定满足审核准则程度
的,系统的、独立的和文档化的过程(2.61) 。
注 1:审核可以是内部审核(第一方)或外部审核(第二方或
第三方),可以是结合审核(结合两个或两个以上学科)。
注 2:“审核证据”和“审核准则”在 ISO 19011 中被定义。2.6
审核范围 audit scope 审核(2.5)的程度和边界。
[ISO 19011:2011,定义 3.14,做了修改:删除注 1]
2.7 鉴别 authentication 为一个实体声称的特征是正确的而提供的保障措施。
2.8 真实性 authenticity 一个实体是其所声称实体的这种特性。
2.9 可用性 availability 根据授权实体的要求可访问和可使用的特性。2.10
基本测度 base measure 用某个属性(2.4) 及其量化方法定义的测度(2.47) 。
[ISO/IEC 15939:2007,定义 2.3 ,做了修改:删除注 2]编号 术语 定义
注:基本测度在功能上独立于其他测度(2.47)。
2.11 能力 competence 应用知识和技能实现预期结果的才能。2.12
保密性 confidentiaity 信息对未授权的个人、实体或过程(2.61)不可用或不泄露的特
性。2.13
符合性 conformity 对要求(2.63)的满足。
注;术语“一致性”是被弃用的同义词。2.14
后果 consequence 事态(2.25) 影响目标(2.56)的结果。
[ISO Guide 73:2009,定义 3.6.1.3,做了修改]
注 1:一个事态(2.25)可能导致一系列后果。
注 2:一个后果可以是确定的或不确定的,在信息安全(2.33)
的语境下通常是负面的。
注 3:后果可以被定性或定量地表示。
注 4:初始后果可能因连锁效应升级。2.15 持续改进 continual
improvement
为提高性能(2.59)的反复活动。2.16
控制 control 改变风险(2.68)的措施。
[ISO Guide 73:2009,定义 3.8.1.1]
注 1:控制包括任何改变风险(2.68)的过程(2.61)、策略
(2.60)、设备、实践或其他措施。
注 2:控制不一定总是达到预期或假定的风险改变效果。
2.17 控制目标 control objective 描述控制(2.16)的实施结果所要达到目标的声明。
2.18 纠正 correction 消除已查明的不符合(2.53)的措施。
2.19 整改措施 corrective action 消除不符合(2.53)成因以防再次发生的措施。2.20
数据 data 基本测度(2.10)、导出测度(2.22)和(或)指标(2.30)
所赋值的集合。
[ISO/IEC 15939:2007,定义 2.4,做了修改:增加注 1]
注:这个定义只适用于ISO/IEC 27004 的语境。2.21
决策准则 decision criteria 用于确定行动或进一步需要调查或者描述给定结果置信度的
阈值、目标或模式。
[ISO/IEC 15939:2007,定义 2.7]2.22
导出测度 derived measure 定义为两个或两个以上基本测度(2.10)值的函数的测度(2.10)。
[ISO/IEC l5939:2007,定义 2.8,做了修改:删除注 l]2.23
文档化信息 documented information 组织(2.57)需要控制和维护的信息及其载体。
注 1:文档化信息可以采用任何格式在任何载体中,出自任何
来源。
注 2:文档化信息可能涉及
管理体系(2.46),包括相关过程( 2.61);
为组织(2.57)运作所创建的信息(文档);
结果实现的证据(记录)。
2.24 有效性 effectiveness 实现所计划活动和达成所计划结果的程度。2.25
事态 event 一组特定情形的发生或改变。
[ISO Guide 73:2009,定义 3.5.1.3,做了修改:删除注 4]编号 术语 定义
注 1:一个事态可能是一个或多个发生,并可能有多种原因。
注 2:一个事态可能由一些未发生的事情组成。
注 3:一个事态可能有时被称为“事件”或“事故”。2.26
执行管理者 executive management 为达成组织(2.57)意图 ,承担由组织治理者(2.29)委派的战略
和策略实现责任的人或一组人。
注:执行管理者有时称为最高管理者(2.84),可以包括首席执
行官、首席财务官、首席信息官和类似的角色。2.27
外部语境 external context 组织(2.57)寻求实现其目标(2.56)的外部环境。
[ISO Guide 73:2009,定义 3.3.1.1]
注:外部语境可以包括如下方面:
文化、社会、政治、法律、法规、金融、技术、经济、自然
和竞争环境,无论是国际的、国家的、地区的或地方的;
影响组织(2.57)目标(2.56)的关键驱动力和趋势;
与外部利益相关方(2.82)的关系及其认知和价值观。2.28 信息安全治理 governance of
information security
指导和控制组织(2.57)信息安全(2.33)活动的体系。2.29
治理者 governing body 对组织(2.57)的性能(2.59)和合规负有责任的人或一组
人。
注:治理者在某些司法管辖区可以是董事会。2.30
指标 indicator 针对定义的信息需求(2.31),为分析模型(2.2)导出的属
性(2.4)提供估算或评价的测度(2.47)。2.31
信息需求 information need 对目标(2.56)、目的、风险和问题进行管理所必需的洞察。
[ISO/IEC15939:2007,定义 2.12]2.32 信息处理设施 information
processing facilities 任何的信息处理系统、服务或基础设施,或者其安置的物理
位置。2.33
信息安全 information security 对信息的保密性(2.12)、完整性(2.40)和可用性(2.9)
的保持。
注:另外,也可包括诸如真实性(2.8)、可核查性、抗抵赖
(2.54)和可靠性(2.62)等其他特性。2.34
信息安全持续性 information security continuity 确保信息安全(2.33)持续作用的过程(2.61)和规程。
编注:这里说的“规程”是指“procedure”,见英文版《SO/IEC
27000:2016[E]》。2.35
信息安全事态 information security event 识别到的一种系统、服务或网络状态的发生,丧明可能违反信息安全(2.33)策略(2.60)或控制(2.16)失效,或者一
种可能与信息安全相关但还不为人知的情况。2.36 信息安全事件 information
security incident 单一或一系列不希望或意外的,极有可能损害业务运行和威
胁信息安全(2.33)的信息安全事态(2.35)。2.37 信息安全事件管理
information security incident management
发现、报告、评估、响应、处理和总结信息安全事件(2.36) 的过程(2.61)。2.38 信息共享社区 information
sharing community 同意共享信息的组织(2.57)群体。
注:组织(2.57)可以是一个人。编号 术语 定义
2.39 信息系统 information system 应用、服务、信息技术资产或其他信息处理组件。
2.40 完整性 integrity 准确和完备的特性。2.41
受益相关方 interested party 对于一项决策或活动,可能对其产生影响,或被其影响,或
认为自己受到其影响的人或组织(2.57)。2.42
内部语境 internal context 组织(2.57)寻求实现其目标的内部环境。
[ISO Guide 73:2009,定义 3.3.1.2]
注:内部语境可以包括如下方面:
治理、组织结构、角色和职责;
策略(2.60)、目标(2.56)和要实现它们的战略;
在资源和知识方面的能力[如资本、时间、人员、过程
(2.61)、系统和技术]
信息系统(2.39)、信息流和决策过程(2.61)(正式的和非
正式的);
与内部利益相关方(2.82)的关系及其认知和价值观;
组织(2.57)的文化;
组织(2.57)采用的标准、指南和模型;
契约关系的形式和程度。2.43 信息安全管理体系项目 ISMS
project
组织(2.57)为实施ISMS 所开展的结构化活动。2.44
风险程度 level of risk 以后果(2.14)和其可能性(2.45)的组合来表示的风险
(2.68)大小。
[ISO Guide 73:2009,定义 3.6.1.8,做了修改:删除定义中的
“或风险组合”]2.45
可能性 likelihood 某事发生的概率。
[ISO Guide 73:2009,定义 3.6.1.1,做了修改:删除注 1 和注
2]2.46
管理体系 management system 组织中相互关联或相互作用的要素集,用来建立策賂(2.60)
和目标(2.56)以及达到这些目标的过程(2.61)。
注 1:一个管理体系可能专注于单一学科或多个学科。
注 2:体系要素包括组织结构、角色和责任、规划、运行。
注 3:一个管理体系范围可能包括组织(2.57)的整体、组织
(2.57)的特定且确定的功能、组织(2.57)的特定且确定的部门,或者跨一组组织(2.57)的一个或多个功能。2.47
测度 measure 作为测量(2.48)结果赋值的变量。
[ISO/IEC15939:2007,定义 2.15,做了修改]
注:术语“测度”是基本测度(2.10)、导出测度(2.22)和指
标(2.30)的统称。2.48
测量 measurement 确定一个值的过程(2.61)。
注:在信息安全(2.33)的语境下,确定一个值的过程
(2.61)需要使用测量方法(2.50)、测量函数(2.49)、分析模型(2.2)和决策准则(2.21),获得关于信息安全编号 术语 定义
(2.33)管理体系(2.46)及其相关控制(2.16)有效性
(2.24)的信息。2.49 测量函数 measurement
function 组合两个或两个以上基本测度(2.10)的算法或计算。
[ISO/IEC 15939:2007,定义 2.20]2.50
测量方法 measurement method 用于按规定的尺度(2.80)量化属性(2.4)的通用逻辑操作
序列。
[ISO/IEC 15939:2007,定义 2.22,做了修改:删除注 2]
注:测量方法的类型取决于属性(2.4)量化操作的性质。可
区分为以下两种类型:
主观的:包含人为判断的量化;
客观的:基于数字规则的量化。2.51 测量结果 measurement
results 对信息需要(2.31)的一个或多个指标(2.30)及其相关解
释。2.52
监视 monitoring 确定系统、过程(2.61)或活动状态的行为。
注:为确定状态可能需要检查、监督或严密观察。
2.53 不符合 nonconformity 对要求(2.63)的不满足。
2.54 抗抵赖 non-repudiation 证明所声称事态(2.25)或行为的发生及其源头的能力。
2.55 对象 object 通过测量(2.48)其属性(2.4)来描述其特性的事项。2.56
目标 objective 要实现的结果。
注 1:目标可以是战略性的、战术性的或操作性的。
注 2:目标可以涉及不冋学科(诸如金融、健康与安全以及环境目标),可以适用于不同层次[诸如战略、组织、项目产品
和过程(2.61)]。
注 3:目标可以以其他方式表示,例如,作为预期结果、意图、操作准则,作为信息安全(2.33)目标,或者使用具有类
似含义的其他词(例如,目的或标靶)。
注 4:在信息安全(2.33)管理体系(2.46)的语境下,组织
(2.57)制定与信息安全(2.33)策略(2.60)一致的信息安全(2.33)目标以实现特定结果。2.57
组织 organization 具有自身的功能、责任、权威和关系来实现其目标(2.56)的
人或一组人。
注:组织的概念包括但不限于个体经营者、公司、法人、商
行、企业、机关、合伙关系、慈善机构或院校,或部分或其组合,不论注册与否,公共的还是私营的。2.58
外包 outsource 做出由外部组织(2.57)执行部分的组织(2.57)功能或过程
(2.61)的安排。
注:外部组织在管理体系(2.46)的范围之外,尽管外包的功
能或过程(2.61)在范围之内。2.59
性能 performance 可测量的结果。
注 1:性能可以涉及定量或定性的调查结果。
注 2:性能可以涉及活动、过程(2.61)、产品(包括服
务)、系统或组织(2.57)的管理。编号 术语 定义
2.60
策略 policy 由最高管理者(2.84)正式表达的组织(2.57)的意图和方
向。
2.61 过程 process 将输入转换成输出的相互关联或相关作用的活动集。
2.62 可靠性 reliability 与顶期行为和结果一致的特性。2.63
要求 requirement 明示的、默认的或强制性的需要或期望。
注 1:“默认的”意指所考虑的需要或期望是不言而喻的,对于
组织(2.57)或受益相关方(2.41)是惯例或常见做法。
注 2:指定要求是在例如文档化信息(223)中明示的。2.64
残余风险 residual risk 风险处置(2.79)后余下的风险(2.68)。
注 1:残余风险可能包含未识别的风险(2.68)。
注 2:残余风险也可以被称为“保留风险”2.65
评审 review 针对实现所设立目标(2.54)的主题,为确定其适宜性、充分
性和有效性(2.24)而采取的活动。
[ISO Guide 73:2009,定义 3.8.2.2,做了修改:删除注 1]
2.66 评审对象 review object 被评审的特定事项。
2.67 评审目标 review objective 描述评审(2.65)结果要达到什么的陈述。2.68
风险 risk 对目标的不确定性影响。
[ISO Guide 73:2009,定义 1.1,做了修改]
注 1:影响是指与期望的偏离(正向的或反向的)。
注 2:不确定性是对事态(2.25)及其结果(2.14)或可能性
(2.45)的相关信息、理解或知识缺乏的状态(即使是部分的)。
注 3:风险常被表征为潜在的事态(2.25)和后果(2.14),
或者它们的组合。
注 4:风险常被表示为事态(2.25)的后果(2.14)(包括情
形的改变)和其发生可能性(2.45)的组合。
注 5:在信息安全(2.33)管理体系(2.46)的语境下,信息安全(2.33)风险可被表示为对信息安全(2.33)目标
(2.56)的不确定性影响。
注 6:信息安全(2.33)风险与威胁(2.83)利用信息资产或信息资产组的脆弱性(2.89)对组织(2.57)造成危害的潜力
相关。2.69
风险接受 risk acceptance 接纳特定风险(268)的有根据的决定。
[ISO Guide 73:2009,定义 3.7.1.6]
注 1:可不经风险处置(2.79)或在风险处置(2.79)过程
(2.61)中做出风险接受。
注 2:接受的风险(2.68)要受到监视(2.52)和评审
(2.65)。2.70
风险分析 risk analysis 理解风险(2.68)本质和确定风险等级(2.44)的过程
(2.61)。
[ISO Guide 73:2009,定义 3.6.1]编号 术语 定义
注 1:风险分析提供风险评价(2.74)和风险处置(2.79)决
策的基础。
注 2:风险分析包括风险估算。2.71
风险评估 risk assessment 风险识别(2.75)、风险分析(2.70)和风险评价(2.74)的
整个过程(2.61)。
[ISO Guide 73:2009,定义 3.4.1]2.72
风险沟通与咨询 risk communication and consultation 组织(2.57)就风险(2.68)管理所进行的,提供、共享或获取信息以及与利益相关方(2.82)对话的持续和迭代过程
(2.61)。
注 1:这些信息可能涉及到风险(2.68)的存在、性质、形
式、可能性(2.45)、重要性、评价、可接受性和处置。
注 2:咨询是对问题进行决策或确定方向之前,在组织
(2.57)和其利益相关方(2.82)之间进行知情沟通的双向过程(2.51)。
咨询是:
通过影响力而不是权力来影响决策的过程(2.61);
决策的输入,而非联合决策。2.73
风险准则 risk criteria 评价风险(2.68)重要性的参照条款。
[ISO Guide 73:2009,定义 3.3.1.3]
注 1:风险准则是基于组织的目标以及外部语境(2.27)和内
部语境(2.42)。
注 2:风险准则可来自标准、法律、策略(2.60)和其他要求
(2.63)。2.74
风险评价 risk evaluation 将风险分析(2.70)的结果与风险准则(2.73)比较以确定风险(2.68)和(或)其大小是否可接受或可容忍的过程
(2.61)。
[ISO Guide 73:2009,定义 3.7.1]
注:风险评价辅助风险处置(2.79)的决策。2.75
风险识别 risk identification 发现、识别和描述风险(2.61)的过程(2.61)。
编注:此处风险应为 2.68。原文如此!
[ISO Guide 73:2009,定义 3.5.1]
注 1:风险识别涉及风险源、事态(2.25)及其原因和潜在后
果(2.14)的识别。
注 2:风险识别可能涉及历史数据、理论分析、知情者和专家
的意见以及利益相关方(282)的需要。2.76
风险管理 risk management 指导和控制组织(2.57)相关风险(2.57)的协调活动。
编注:此处风险应为 2.68。原文如此!
[ISO Guide 73:2009,定义 2.1]2.77
风险管理过程 risk management proces 管理策略(2.60)、规程和实践在沟通、咨询、语境建立以及识别、分析、评价、处置、监视和评审风险(2.68)活动上的
系统性应用。
[ISO Guide 73:2009,定义 3.1,做了修改:增加注 1]编号 术语 定义
注:ISO/IEC 27005 使用术语“过程”(2.61)来描述全面风险管理。在风险管理(2.76)过程(2.61)中的要素被称为“活
动”。2.78
风险责任者 risk owner 具有责任和权威来管理风险(2.68)的人或实体。
[ISO Guide 73:2009,定义 3.5.1.5]2.79
风险处置 risk treatment 改变风险(2.68)的过程(2.61)。
[ISO Guide 73:2009,定义 3.8.1,做了修改:将注 1 中的“决
策”替换为“选择”]
注 1:风险处置可能涉及如下方面:
通过决定不启动或不继续进行产生风险(2.68)的活动来规避
风险(2.68);
承担或增加风险(2.68)以追求机会;
消除风险(2.68)源;
改变可能性(2.45);
改变后果(2.14);
与另外一方或多方共担风险(2.68)(包括合同和风险融
资);
有根据地选择保留风险(2.68)。
注 2:处理负面后果(2.14)的风险处置有时被称为“风险缓
解”“风险消除”“风险防范”和“风险降低”。
注 3:风险处置可能产生新的风险(2.68)或改变现有风险
(2.68)。2.80
尺度 scale 连续的或离散的值的有序集合,或者对应属性(2.4)的类集
合。
[ISO/IEC 15939:2007,定义 2.35,做了修改]
注:尺度的类型取决于尺度上值之间关系的性质。通常定义
如下四种尺度类型:
名义的:测量(2.48)值是类别化的;
顺序的:测量(2.48)值是序列化的;
间距的:测量(2.48)值对应于属性(2.4)的等同量是等距
离的;
比率的:测量(2.48)值对应于属性(2.4)的等同量是等距
离的,其中零值对应于属性的空。
这些只是尺度类型的示例。2.81 安全实施标准 security
implementation standard
规定授权的安全实现方式的文件。2.82
利益相关方 stakeholder 对于一项决策或活动,可能对其产生影响,或被其影响,或
认为自己受到其影响的人或组织(2.57)。
[ISO Guide 73:2009,定义 3.2.1.1,做了修改:删除注 1]2.83
威胁 threat 可能对系统或组织(2.57)造成危害的不期望事件的潜在原
由。
2.84 最高管理者 top management 最高层指导和控制组织(2.57)的人或一组人。编号 术语 定义
注 1:最高管理者具有在组织(2.57)内授权和提供资源的权
力。
注 2:如果管理体系(2.46)的范围只涵盖组织(2.57)的一
部分,则最高管理者就是指指导和控制组织(2.57)这部分的人或一组人。2.85 可信信息通信实体 trusted information communication
entity
支持在信息共享社区(2.38)内进行信息交换的自主组织
(2.57)。2.86
测量单位 unit of measurement 按惯例被定义和被采纳的特定量,用于其他同类量与其比较
以表示它们相对于这个量的大小。
[ISO/IEC 15939:2007,定义 2.40,做了修改]2.87
确认 validation 通过提供客观证据,证实满足特定预期使用或应用要求
(2.63)的行为。
[ISO 9000:2015.定义 3.8.12.做了修改]2.88
验证 verification 通过提供客观证据,证实满足规定要求(2.63)的行为。
[ISO 9000:2015,定义 3.8.4]
注:这也可被称为符合性测试。2.89
脆弱性 vulnerability 可能被一个或多个威胁(2.83)利用的资产或控制(2.16)的
弱点。11.2 ISO 27000 标准族组成
编者说明:
在《信息技术 安全技术》通用标题下,ISMS 标准族由下列标准组成(按标准号排序);通用标题《信息技术 安全技术》是指这些标准是由 ISO/IEC 的信息技术委员会(JTC 1)
下属的安全技术分委员会(SC 27)制定的;
不在通用标题《信息技术 安全技术》之下,但也属于 ISMS 标准族的标准,如下:ISO 27799。序号 标准编号 标准名称
1
ISO/IEC 27000 信息安全管理体系 概述和词汇(Information security
management systems - Overview and vocabulary)
2
ISO/IEC 27001 信息安全管理体系 要求(Information security management
systems - Requirements)
3
ISO/IEC 27002 信息安全控制实践指南(Code of practice for information security
controls)
4
ISO/IEC 27003 信息安全管理体系实施指南(Information security management
system inplementation guidance)
5
ISO/IEC 27004 信息安全管理测量(Information security management -
Measurement)
6 ISO/IEC 27005 信息安全风险管理(Information security risk management)序号 标准编号 标准名称
7
ISO/IEC 27006 信息安全管理体系审核认证机构的要求(Requirements for bodies providing audit and certification of information security management
systems)
8
ISO/IEC 27007 信息安全管理体系审核指南(Guidelines for information security
management systems auditing)
9
ISO/IEC TR 27008 信息安全控制措施审核员指南(Guidelines for auditors on
information security controls)
10
ISO/IEC 27009 ISO/IEC 27001 的行业特定应用要求( Sector-specific application of
ISO/TEC 27001 - Requirements)11
ISO/IEC 27010 行业间和组织间通信的信息安全管理(Information security management or inter-sector and inter-organizational
communications)12
ISO/IEC 27011 基于 ISO/IEC 27002 的电信组织信息安全管理指南(Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002)
13
ISO/IEC 27013 ISO/IEC27001 和 ISO/IEC 20000-1 综合实施指南(Guidance on the
integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)
14 ISO/IEC 27014 信息安全治理(Governance of information security)
15
ISO/IEC TR 27015 金融服务信息安全管理指南(Information security management
guidelines for financial services)
16
ISO/IEC TR 27016 信息安全管理组织经济学(Information security management -
organizational economics)17
ISO/IEC 27017 基于 ISO/IEC 27002 的云服务信息安全控制实践指南(Code of practice for information security controls based on ISO/IEC 27002 for
cloud services)18
ISO/IEC 27018 可识别个人信息(PII)处理者在公有云中保护 PII 的实践指南
( Code of prac tice for protection of personally identifiable information(PII) in public clouds acting as PII processors)19
ISO/IEC 27019 基于 ISO/IEC27002 的能源供给行业过程控制系统信息安全管理指南(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility
industry)20
ISO 27799 健康信息学 使用 ISO/IEC 27002 的健康信息安全管理(Health informatics Information security management in health using ISO/IEC
27002)11.3 ISO 27000 标准族概述
序号 标准编号 标准概述
1
ISO/IEC 27000 信息技术 安全技术 信息安全管理体系 概述和词汇范围:
该标准为组织和个人提供:序号 标准编号 标准概述
a) ISMS 标准族的概述;
b) 信息安全管理体系的介绍;
c) ISMS 标准族中使用的术语和定义。
目的:
该标准描述信息安全管理体系的基础,形成 ISMS 标准族的主题,并定义相关术语。2
ISO/IEC 27001 信息技术 安全技术 信息安全管理体系要求范围:
该标准规范在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式信息安全管理体系(ISMS)的要求。它规范可被用来定制以满足单个组织或其部门需要的信息安全控制的实现要求。该标准可被用于所有类型、规模和性质的组织。
目的:
ISO/IEC 27001 为 ISMS 的开发和运行提供规范性要求,包括一套控制和降低信息资产相关风险的控制。组织通过运行 ISMS 寻求对其信息资产的保护。组织可以对其运行的 ISMS 的符合性进行审核和认证。作为 ISMS 过程的一部分,应从 ISO/IEC 27001 附录A 中选择对所识别要求适合的控制目标和控制。ISO/IEC 27001 附录 A.1 中列出的控制目标和控制是直接来自 ISO/IEC
27002 第 5 章~第 18 章并与其一致。3
ISO/IEC 27002 信息技术 安全技术 信息安全控制实践指南范围:
该标准提供一套被广泛接受的控制目标和最佳实践的控制, 为选择和实施实现信息安全的控制提供指南。
目的:
ISO/IEC 27002 提供关于信息安全控制实施的指南。特别是第
5 章~第 18 章为支持 ISO/IEC 27001 中所规范的控制提供最佳实践方面的具体实施建议和指南。4
ISO/IEC 27003 信息技术 安全技术 信息安全管理体系实施指南范围:
该标准为依据 ISO/IEC 27001 建立、实施、运行、监视、评审、保持和改进 ISMS 提供实用的实施指南和进一步信息。
目的:
ISO/IEC 27003 为依据 ISO/IEC 27001 成功实施 ISMS 提供面向过程的方法。5
ISO/IEC 27004 信息技术 安全技术 信息安全管理 测量范围:
该标准为了对 ISO/IEC 27001 所规范的,用于实施和管理信息安全的,ISMS、控制目标和控制的有效性进行评估,提供测量的开发和使用指南及建议。
目的:序号 标准编号 标准概述
ISO/IEC 27004 提供一种测量框架,以便能够依据 ISO/IEC
27001 对 ISMS 的有效性进行测量。6
ISO/IEC 27005 信息技术 安全技术 信息安全风险管理范围:
该标准为信息安全风险管理提供指南。该标准给岀的方法支持 ISO/IEC 27001 中所规范的一般概念。
目的:
ISO/IEC 27005 为实施面向过程的风险管理方法提供指南,有助于圆满实施和兑现 ISO/IEC 27001 中的信息安全风险管理要求。7
ISO/IEC 27006 信息技术 安全技术 信息安全管理体系审核认证机构的要求范围:
该标准在 ISO/IEC 17021 所含要求的基础上,为依据 ISO/IEC 27001 提供审核和 ISMS 认证的机构,规范要求并提供指南。它主要为依据 ISO/IEC 27001 提供 ISMS 认证的认证机构的认可提供支持。
目的:
ISO/IEC 27006 是对 ISO/IEC 17021 的补充,提供对认证组织
进行认可的要求,以此许可这些组织一贯地提供对 ISO/IEC 27001
要求的符合性认证。8
ISO/IEC 27007 信息技术 安全技术 信息安全管理体系审核指南范围:
该标准在适用于一般管理体系的 ISO 19011 指南的基础上, 为 ISMS 审核实施以及信息安全管理体系审核员能力提供指南。目的:
ISO/IEC 27007 为需要依据 ISO/IEC 27001 中所规范的要求, 进行 ISMS 内部或外部审核或者管理 ISMS 审核方案的组织提供指
南。9
ISO/IEC TR 27008 信息技术 安全技术 信息安全控制措施审核员指南范围:
该指导性技术文件为评审控制措施的实施和运行符合组织建立的信息安全标准提供指南,包括信息系统控制措施的技术符合性检查。
目的:
该指导性技术文件重点在于评审信息安全控制措施,包括对照组织建立的信息安全实施标准检查技术符合性。它不是为分别在 ISO/IEC 27004、ISO/IEC 27005 或 ISO/IEC 27007 中规范的测
量、风险评估或 ISMS 审核,提供任何具体的符合性检査指南。
该指导性技术文件不用于管理体系审核。
10 ISO/IEC 27009 (略)
11
ISO/IEC 27010 信息技术 安全技术 行业间和组织间通信的信息安全管理
范围:序号 标准编号 标准概述
该标准在 ISMS 标准族已有指南的基础上,为在信息共享社区中实施信息安全管理提供指南,特别是为在组织间和行业间启动、实施、保持和改进信息安全另外提供控制和指南。
目的:
该标准适用于所有形式的敏感信息交换与共享,不论公共的还是私人的、国内的还是国际的同行业或市场的还是行业间的。特别是,它可适用于与组织或国家关键基础设施的供给、维护和保护相关的信息交换与共享。12
ISO/IEC 27011 信息技术 安全技术 基于 ISO/IEC 27002 的电信组织信息安全管理指南
范围:
该标准为支持在电信组织中实施信息安全控制提供指南。目的:
ISO/IEC 27011 能使电信组织满足保密性、完整性、可用性和
任何其他相关安全属性的信息安全管理基线要求。13
ISO/IEC 27013 信息技术 安全技术 ISO/IEC 27001 和 ISO/IEC 20000-1 综合实施指南
范围:
该标准为组织进行如下任何一种 ISO/IEC 27001 和 ISO/IEC 20000-1 的综合实施提供指南:
a) 在已经实施了 ISO/IEC 20000-1 的情况下实施 ISO/IEC 27001,或者反之;
b) 同时实施 ISO/IEC 27001 和 ISO/IEC 20000-1;
c) 集成现有的 ISO/IEC 27001 和 ISO/IEC 20000-1 管理体
系。
该标准专门聚焦在综合实施 ISO/IEC 27001 中所规范的信息安全管理系统(ISMS)和 ISO/IEC 20000-1 中所规范的服务管理体系(SMS)。
目的:
为组织提供对 ISO/IEC 27001 和 ISO/IEC 20000-1 的特征和异同的更好理解,有助于规划同时符合两个标准的综合管理体系。14
ISO/IEC 27014 信息技术 安全技术 信息安全治理范围:
该标准就信息安全治理的原则和过程提供指南,组织依此可以评价、指导和监视信息安全管理。
目的:
信息安全已成为组织的一个关键问题。不仅法律法规要求日益增加,而且组织的信息安全措施失效会直接影响其声誉。因此治理者越来越需要承担起治理责任中的信息安全监督职责。来确
保组织目标的实现。
15
ISO/IEC TR 27015 信息技术 安全技术 金融服务信息安全管理指南
范围:序号 标准编号 标准概述
该指导性技术文件在 ISMS 标准族已有指南的基础上,为在提供金融服务的组织中启动、实施、保持和改进信息安全提供指南。
目的:
该指导性技术文件是对 ISO/IEC27001 和 ISO/IEC27002 的专业补充,为提供金融服务的组织所用,以提供如下方面的支持:
a) 启动、实施、保持和改进基于 ISO/IEC 27001 的信息安全管理体系。
b) 设计和实施 ISO/IEC 27002 或该标准中定义的控制。16
ISO/IEC TR 27016 信息技术 安全技术 信息安全管理 组织经济学范围:
该指导性技术文件提供一种方法学,以使组织能够更好地从经济上理解如何准确估价其所识别的信息资产,评价这些信息资产面临的潜在风险,认识对这些信息资产进行保护控制的价值, 并确定用于保护这些信息资产的资源最佳配置程度。
目的:
该指导性技术文件在组织所处的更广泛社会环境的语境下, 在组织信息资产的保护中叠加经济视角,并通过模型和例子提供如何应用信息安全组织经济学的指南,是对 ISMS 标准族的补
充。17
ISO/IEC 27017 信息技术 安全技术 基于 ISO/IEC 27002 的云服务信息安全控制实践指南
范围:
ISO/IEC 27017 通过提供如下指南给出适用于云服务供给和使用的信息安全控制指南:
ISO/IEC 27002 中规范的相关控制的额外实施指南; 与云服务特别相关的额外控制及其实施指南。
目的:
该标准为云服务提供者和云服务客户提供控制和实施指南。18
ISO/IEC 27018 信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护 PII 的实践指南
范围:
ISO/IEC 27018 按照 ISO/IEC 29100 中公有云计算环境下的隐私保护原则,为保护可识别个人信息(PII)建立被广泛接受的控制目标和控制,并提供措施的实施指南。
目的:
该标准适用于通过与其他组织签约的云计算提供信息处理服务,作为 PII 处理者的组织,不论公共企业还是私营企业、政府机构还是非营利组织。该标准中的指南可能与作为 PII 控制者的组织也有关,但 PII 控制者可能受制于额外的,不适用于 PII 处理者的且不在该标准范围内的,保护 PII 的法律法规、规章制度和
义务。序号 标准编号 标准概述
19
ISO/IEC 27019 信息技术 安全技术 基于 ISO/IEC 27002 的能源供给行业过程控制系统信息安全管理指南
范围:
ISO/IEC TR 27019 就能源供给行业过程控制系统中实施的信息安全控制提供指南。能源供给行业的过程控制系统,与支持过程的控制相结合,对电力、燃气和供热的产生、传输、存储和分配进行控制和监视。特别是包括如下系统、应用和组件:
全面信息技术(IT)支持的集中式和分布式过程控制、监视和自动化技术以及用于其运行的 IT 系统,诸如编程和参数化设备;
数宇控制器和自动化组件,诸如控制和现场设备或可编程逻辑控制器(PLC),包括数字传感器和执行器元件;
过程控制领域中用到的所有进一步的 IT 系统支持,例如对补充的数据可视化任务的支持,对控制、监控、数据归档和文档化的支持;
过程控制领域中用到的全部通信技术,例如,网络、遥测、远程控制应用和远程控制技术;
数字计量和测量装置,例如,对能量消耗、产生和释放
的测量;
数宇保护和安全系统,例如,继电保护或安全 PLC; 未来智能电网环境下的分布式组件;
上述系统中安装的所有软件、固件和应用。
目的:
在 ISO/IEC27002 所规范的安全目标和措施的基础上,该指导性技术文件为能源供给行业和能源供应商使用的系统提供满足其进一步特定要求的信息安全控制的指南。20
ISO 27799 健康信息学 使用 ISO/IEC 27002 的健康信息安全管理范围:
该标准为支持信息安全管理在健康组织中实施提供指南。目的:
ISO 27799 基于 ISO/IEC 27002,除了那些满足 ISO/IEC 27001
附录A 要求的指南外,为健康组织提供其行业独特的指南。11.4 ISO 27000 标准族的语言措辞形式要求
编者说明:
在 ISO 27000 标准族中,对语言措辞形式有严格规定,国家标准化管理委员会发布的国标转化文档遵循了这方面的规定。
按下列表中的规定,语气越往上越强烈:can(能) < may(可) < should(宜) < shall(应)
其中中英文的用词是一一对应的,在全系列标准中也是全文统一的。
表明 解释
要求 助动词“应”和“不应”表明要严格遵循的要求,以符合标准文件,且不允许偏离
编注:shall
建议 助动词“宜”和“不宜”表明在许多可能性中建议一个特别适合的,但不提及或不排除其他的,也就是说,某种做法是优选的但不是必需的,或者反过来讲,某种做法是不提倡的但不是禁止的
编注:should
允许 助动词“可”和“不必”表明在标准文件的限制范围内某做法是许可的
编注:may
可能 助动词“能”和“不能”表明某事发生的可能
编注:can -
ISO 27000 2018 信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇
2018-04-17 16:33:01ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最... -
ISO27000国际标准全套 --中文版
2022-03-13 14:32:45ISO 27000 原理与术语Principles and vocabulary ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础) ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005) ISO 27003 ... -
解读标准ISO27000
2013-10-16 16:07:24解读标准ISO27000。 -
融合实施等级保护与ISO27000.pptx
2021-08-29 13:37:31等级保护与ISO27000的不同点 等级保护与ISO27000的相似点 等级保护与ISO27000实施时的问题 等级保护与ISO27000相互补充融合 -
ISO IEC 27000-2018 个人中译本
2019-01-03 11:29:34INTERBATIONAL STANDARD国际标准,ISO/IEC 27000 第五版 -
ISO 27000-27001-27002 (英文版).rar
2021-02-19 20:24:39ISO IEC 27000-2016 Overview and vocabulary ISO IEC 27001-2013 Requirements ISO IEC 27002-2013 Code of practice for information security controls -
ISO27000信息安全管理体系
2019-07-11 11:33:23针对ISO/IEC 27000的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO/IEC 27000 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27000标准的要求。...针对ISO/IEC 27000的受认可的认证,是对组织信息安全管理体系(ISMS)符合ISO/IEC 27000 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27000标准的要求。通过认证的组织,将会被注册登记。ISO/IEC 27000可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据。
建立ISMS对组织的意义
组织可以参照信息安全管理模型,按照先进的信息安全管理标准建立完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:
1、 强化员工的信息安全意识,规范组织信息安全行为;
2、对组织的关键信息资产进行全面系统的保护,维持竞争优势;
3、在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
4、使组织的生意伙伴和客户对组织充满信心。
三、ISMS信息安全管理体系的三大要素
1、保密性:确保只有经过授权的人才能存取信息。
2、完整性:维护提供使用的信息为正确与完整的,未受破坏或篡改。
3、可用性:确保经过授权的用户在需要时可以存取信息并使用相关信息。
总的来说,凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论,都是信息安全所要研究的范畴,也是信息安全所要实现的目标。
四、为什么要进行ISMS认证
根据CSI/FBI的报告统计, 65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了杀毒软件。可见,我们的信息安全手段并不奏效,信息安全现状不容乐观。
实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISO/IEC 27000标准并得到认证无疑是组织应该考虑的方案之一。其优点是:
1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:
(1)重要的商业秘密信息的泄漏、丢失、篡改和不可用;
(2)重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:
(1)依据信息资产的风险级别,安排安全控制措施的投资优先级;
(2)对于可接受的信息资产的风险,不投资安全控制;
保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;
增强客户、合作伙伴等相关方的信任和信心。
五、信息安全的重要性
1、信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要。
2、 任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。
3、目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。
4、有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
5、英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
六、咨询认证所需申请材料
1、认证申请条件:
(1)申请方应具有明确的法律地位;
(2)受审核方已经按照ISMS标准建立文件化的管理体系;
(3)现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。
2、ISMS认证须提交的材料清单
(1)法律地位证明文件(如企业法人营业执照、组织机构代码证书);
(2)有效的资质证明、产品生产许可证强制性产品认证证书等(需要时);
(3)组织简介(产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等);
(4)申请认证产品的生产、加工或服务工艺流程图;
(5)服务场所、多场所需提供清单;
(6)管理手册、程序文件及组织机构图;
(7)服务器数量以及终端数量;
(8)服务计划、服务报告、容量计划。
-
密码和iso27000等等
2015-06-15 15:53:44适合菜鸟学习了解密码及27000认证的判定标准和流程 -
ISO27000系列文档完整内容合集.zip
2021-11-14 01:07:26ISO27000系列文档完整内容合集.zip -
ISO/IEC 27000:2018 信息技术 - 安全技术 - 信息安全管理体系 - 概述和词汇 - 最新中文翻译版(49页)
2021-04-26 16:55:55本标准提供了信息安全管理系统(ISMS)的概述。 它还提供了ISMS系列标准中常用的术语和定义。 本文档适用于所有类型和规模的组织(例如商业企业,政府机构,非营利组织)。 -
ISO20000与ITIL、ISO27000、CMMI、BS25999的相互区别
2021-04-15 00:59:03公众号回复:干货,领取价值58元/套IT管理体系文档公众号回复:ITIL教材,领取最新ITIL4中文教材正文一、ISO20000与ITIL的联系区别1、ITIL 关注的10 个核心服务管理...公众号回复:干货,领取价值58元/套IT管理体系文档
公众号回复:ITIL教材,领取最新ITIL4中文教材
正文
一、ISO20000与ITIL的联系区别
1、ITIL 关注的10 个核心服务管理流程,而ISO20000 不仅仅有对服务管理流程的要求,还增加了关于服务管理体系整体的要求,比如管理层承诺、服务目标和持续改进等。
2、ISO20000 定义了服务管理的一系列目标和控制点,但没有告诉组织实现这些目标的方法和途径,ITIL 作为IT 服务管理行业的最佳实践,给出了实现这些目标的方法和途径。
3、ISO20000 和ITIL 的核心都是服务管理流程,但两者的流程不尽相同。ISO20000 主要基于ITIL v2 的10 个核心流程,并添加业务关系管理(Business relationshipManagement)与供应商管理(Supplier Management)和服务报告(ServiceReporting)三个新流程。而这三个流程在ITIL v3 中也作为独立的流程有专门的论述。二、ISO20000与ISO27001的相互区别
众所周知,ISO27001有11个控制域、39个控制项、133个控制措施,这是针对ISO 27001:2005年发布的版本,而2013年10月份会有新版本出来,因此后续的版本不纳入本次的区别讨论。
1、ISO20000 以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001 以控制点/控制措施为主,比较具体;
2、两套体系规范的侧重点有所不同,ISO20000 是面向IT 服务管理的质量体系标准,而ISO27001 是面向信息安全的质量标准规范,ISO20000 强调以流程的方式达到质量管理标准,ISO27001 强调以风险控制点的方式来达到信息安全管理的目的;
3、 两套体系规范存在着许多的共性特征,如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000 与ISO27001 认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范的控制公司的服务运维体系与安全管理。
4、范围不一样
a)、ISO20000 适用于企业的IT 服务部门,通常是IT 部门;
b)、ISO27001 适用于整个企业,不仅是IT 部门,还包括业务部门、财务、人事等部门。三、ISO20000与BS25999的相互区别
1、ISO20000 对服务管理的一系列流程也采用了PDCA 的质量环方法,保证所提供服务的质量,BS25999 则是利用这一方法对业务连续性进行质量控制。
2、管理控制对象的相关性。ISO20000 与BS25999 对连续性与有效性的管理都有定义,区别在于ISO20000 强调的是对服务,而BS25999 强调的是对流程。
3、专注的领域不同。ISO20000 是一个关于IT 服务体系的要求的标准,它帮助识别和管理IT 服务的关键过程,而BS25999 专注的只是ISO20000 中一个服务所需的相关流程—业务连续性。适用的范围不同;ISO20000 主要适用于服务提供商,比如IT 服务机构,或者企业中的IT 部门,而BS25999 则以业务连续性管理的最佳实践为基础,为工业、商业、公众和志愿部门的大型、中型及小型组织提供业务连续性管理体系方法。因此,BS25999 适用范围更广。四、ISO20000与CMMI的相互区别
ISO20000 是基于流程的服务管理标准,而CMMI 是CMMI 软件开发质量保障体系,两者有如下区别:
1、范围不一样
a)、 ISO20000 适用于企业的IT 服务部门,通常是IT 部门;
b)、CMMI 主要适用于软件企业。对于软件行业而言,CMMI 无疑是最合适的首选。基于SEI 在过程改进方面的主导地位,CMMI 的广泛应用已成为事实上的国际标准。
2、面向的领域不同
a)、ISO20000 负责对IT 运维流程的管理,属于面向服务的管理的范畴;
b)、CMMI 则主要负责软件或系统开发,对其内部模块进行详细说明。
3、实施的目的不同
a)、CMMI 是世界范围内用于衡量软件过程能力的事实标准,同时也是软件过程改进最权威的指南,因此CMMI 专注于软件开发的过程改进;
b)、而ISO20000 规定了组织向其顾客交付顾客可接受的质量的服务的要求,因此ISO20000 专注于服务提供与支持的标准化。扫码加入社群更多视频等干货分享讨论
更多推荐
信息化总体架构(资料下载)
ITIL实施:五步骤创造良好的企业文化
数字化转型新型能力体系建设指南
IT经理在实施ITIL时需要考虑的十大问题
企业信息安全体系建设方案(资料下载)
ISO20000及ITIL等服务管理体系研究及解析
IT运维自动化解析
从企业实务角度解读 ITIL4 之14个通用管理实践
IT运维服务整体方案(资料下载)
IT规划方法及详细实施过程(资料下载)
免责声明:
本公众号部分分享的资料来自网络收集和整理,所有文字和图片版权归属于原作者所有,且仅代表作者个人观点,与ITIL之家无关,文章仅供读者学习交流使用,并请自行核实相关内容,如文章内容涉及侵权,请联系后台管理员删除。
-
ISO27000信息安全管理体系建设咨询服务参照.pdf
2021-11-22 11:53:53ISO27000信息安全管理体系建设咨询服务参照.pdf -
ISO27000信息安全管理体系建设咨询服务7.docx
2021-11-17 09:44:36ISO27000信息安全管理体系建设咨询服务7.docx -
关于融合实施等级保护与ISO27000的介绍说明.zip
2021-11-07 21:57:25关于融合实施等级保护与ISO27000的介绍说明.zip -
包含ISO 27000-27001-27002 (英文版).zip
2021-11-04 23:54:38包含ISO 27000-27001-27002 (英文版).zip