什么是ISO27000
ISO27000–“Information security management system fundamentals and vocabulary”(《信息安全管理体系原理和术语》)该标准主要用于阐述ISMS的基本原理和术语。
ISO 27000正式定义这一系列标准中所使用的特定技术词汇。信息安全和其它大多数技术主题一样包括很多复杂的术语,但很少有人给出严格定义。这在标准来说是不可接受的,因为这会导致混淆以及正式评估和认证的效果削弱。ISO 27000希望可以成为公认的信息安全术语参考标准,可能会吸收IS01IEC GUide 2:1 996“Standardization and related activities-General vocabulary。and ISO/IEC Guide 73:2002“Risk management-Vocabu-larv-Guidelines for use in standards”中的术语。
ISO27000标准以及发展历程
1.ISO27000标准族共有以下几个主要标准:
27000 ISMS综述与术语;
27001 ISMS要求;
27002 ISMS实践规范;
27003 ISMS实施指南;
27004 ISMS测量;
27005信息安全风险管理;
27006认证机构要求;
27007 ISMS审核指南;
2.发展历史:
ISO27000
信息安全管理体系(Information Security Management System,ISMS)是ISO发展的-个信息安全管理标准族。
2005年10月,BS7799-2正式成为ISO27001。这是建立信息安全管理体系(ISMS)的-套规范(Specification for Information Security ManagementSystems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用iso/IEC17799,其最终目的,在于建立适合企业需要的信息安全管理体系。
1S0 27001
信息技术-安全技术-信息安全管理体系要求(Information technology-Security techniques-Informationsecurity management systems requirements)。
ISO 27001的特点在于定义了包括风险评估、风险处理和管理决策的风险管理方法持续改进的模型,有效性的衡量以及内部和外部可审计的规范。
ISO 27001定义了“6步过程”并使用了“PDCA方法”。
其中的6步过程为:
(1)定义信息安全策略;
(2)定义信息安全管理体系的范围;
(3)进行信息安全风险评估;
(4)管理标识出的风险;
(5)选择控制措施以供实施和应用;
(6)准备-份适用性声明。
PDCA方法就是Plan-Do-Check-Act循环.源自20世纪50年代的W.Edwards Deming.故又称做“戴明环”。它说明应将业务过程看作连续的反馈循环,以便管理者能够标识和变更过程那些需要改进的部分–过程.或对过程的改进,首先应计划.然后实施并衡量效果,然后应根据计划的具体细节检查衡量结果并标识和向管理者报告所有偏离和潜在的需改进点.以使管理者可以做出采取什么行动的决策。
在ISO 2700l中的ISMS过程应用PDCA循环的情况如下图所示。
第4章是信息安全管理体系的建立、实施和运行、监视和评审以及维护和改进过程.从具体实施方面体现了PDCA循环:第5、6、7、8章是整个信息安全管理体系更高视角的PDCA循环,包括管理者职责、内审和管理评审以及ISMS的改进。ISO 27001已经将原先BS7799-2中的内部审核的内容单独作为-童。在ISO 27001中的信息安全管理体系可以看作-个嵌套的PDCA循环。
ISO 27002
信息技术-安全技术-信息安全管理实践准则
(Information technology-Security techniques-Code ofpractice for information security management)。
ISO 17799是最广为人知的信息安全管理标准之-。ISO 17799最早是英国贸工部颁布的实践指南,贸工部主要根据石油公司使用的国内安全标准:1995年由英国标准协会(BSI)颁布为BS 7799,2000年成为国际标准ISO17799:2005年6月15日经过改版发布为ISO 17799:2005。BSI还将不断制定信息安全管理相关的不断变化的风险、控制措施和最佳实践。ISO 17799:2005将于2007年改名和更新为ISO 27002.”信息技术-安全技术-信息安全管理实践准则”。目前ISO 17799的2000版和2005版的对比如表1所示:
其中控制措施有以下这些变化:
(1)控制措施的组织方式的变化.每个控制措施由原来的”控制措施以及-些实施指南和其它支持信息”转变为包含三个部分.
控制措施综述.描述控制措施为了什么,定义了满足控制目标的特定控制措施的描述;
实施指南.帮助特定组织实施控制措施的详细指南.提供了更加详细的实施控制措施和相关指南.以满足控制措施和控制目标,这些信息和指南不-定适合所有的情况.也可能有更适合的实施方式:
需要考虑的其它信息,提供了与实施控制措施相关的解释性说明,包括实施控制措施时应该考虑的那些因素(例如.法律因素的考虑等)的描述:
(2)从控制目标和控制措施数量上的改变,经过删除、重构和重新插入后的控制领域和控制措施.增加了17个新的控制措施、删除了9个旧的控制措施,保留了118个控制措施.还有-些重新整理的控制措施,控制措施总数;争增6个.从2000版的127个增加到2005版的133个,如图下所示:
(3)在控制措施的内容上.加入了移动设备的管理和信息安全事故管理等内容。
ISO 17799:2005改版之后加入了移动设备的管理、改进了资产管理、人力资源安全和事故处理的管理等。信息安全事故管理,显示了对新技术的跟踪、不断补充和完善.覆盖了最新的威胁和风险。其中的信息安全事故管理融合了2004年的4月份以技术报告的形式出台的ISO/IECTR 18044信息技术-安全技术-信息安全事故管理的部分内容。ISO 17799:2005不仅在内容上的增加是突出特点.也很重要的是在结构上的变化.目的是要澄清控制目标、实施指南和其它支撑性文档的区别,使标准的结构和条理更加清晰。
另外,我国已将ISO 17799:2000修改采用为GB/T19716-2005.并于2005年8月发布。
1SO 27003
信息技术-安全技术-信息安全管理实施指南(Information security management-Security techniques-Information security management system implementation guidance)。
ISO 27003将是ISO 27000系列标准的实施指南,包括有关PDCA过程的详细的指导和帮助、ISMS的范围和策略、资产的标识、监视和检查、持续改进等内容。目前还没有详细的资料,可能是原先的BSI/DISC PD 005之类的实施指南的修订版本。
ISO 27004
信息技术-安全技术-信息安全管理的度量指标和衡量(Information technology-Security techniques-Informa-tion security management metrics and measurements)。
ISO 27004将是全新的信息安全管理度量和衡量的标准,帮助衡量信息安全管理体系实施的有效性.包括管理过程(ISO 27001)和控制措施(ISO 17799/27002)的有效性。目前正在制定当中.处于工作草案的形式。这些度量指标的制定,可能会部分参考NIST SP 800-55“IT系统安全度量指南”.提供关键绩效指标以及方法学。
ISO 27005
信息技术-安全技术-信息安全风险管理指南
(Information technology-Security techniques-guidelines forinformation security risk management)。
BS 7799系列将出现-个新的标准:BS 7799-3-in-formation security management systems-guidelines for infor-marion security risk management信息安全管理体系–信息安全风险管理指南,ISo 27005将是即将出版的BS7799-3的ISO版本,目前BS 7799-3:2006已发布。
ISO 27005将为ISO 2700l提供风险管理指南.包括评估风险、实施适当的控制措施、不断或定期监视和检查风险、维护和持续改进控制措施体系。
IS0 27006
信息技术-安全技术-信息和通信技术灾难恢复服务指南(Information technology-Security techniques-Guide-lines for information and communication technology disasterrecovery services)。
ISO 27006将是一个新标准信息和通信技术灾难恢复服务指南,目前在初步设想中。