1.1 ISMS标准体系-ISO/IEC27000族简介
ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题,按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。
ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划,该系列标准的序号已经预留到27019,其中将27000~27009留给ISMS基本标准,27010~27019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。
1.1.1 ISMS国际标准化组织
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 信息技术委员会/安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织,我国是该组织的P成员国。ISO/IEC JTC1/SC27成立后设有三个工作组:
l WG1:需求、安全服务及指南工作组
l WG2:安全技术与机制工作组
l WG3:信息系统、部件和产品相关的安全评估准则工作组
在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上,通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案,将原来的三个工作组调整为现在五个工作组:
l WG1:ISMS标准工作组
l WG2:安全技术与机制工作组
l WG3:信息系统、部件和产品相关的安全评估准则工作组
l WG4:安全控制与服务工作组
l WG5:身份管理与隐私保护技术工作组
SC27组织机构的这次调整,专门将WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南,充分体现了ISMS的发展在全球范围内受到高度重视。
1.1.2 已经发布的ISMS标准-ISO/IEC27001和ISO/IEC27002
目前国际标准化组织已经正式发布的ISMS国际标准有两个:ISO/IEC27001和ISO/IEC27002,它们是ISMS的核心标准。
l ISO/IEC27001:2005:信息安全管理体系要求
Information technology-Security techniques-Information security management systems-Requirements
l ISO/IEC27002:2005:信息安全管理实用规则
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样,是ISMS的要求标准,内容共分8章和3个附录,其中附录A中的内容直接引用并与ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005适用于所有类型的组织(如企事业单位、政府机关等)。它从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001:2005是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。
ISO/IEC17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799:2005,原来版本同时废止。ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。
根据今年召开的第18届SC27全体会议决议,将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。
1.1.3 ISMS标准的类型
根据ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards 管理体系标准合理性和制定导则)和ISO/IEC的相关导则,ISO/IEC JTC1/SC27/WG1将ISMS标准分为4类:
l Type A – Vocabulary Standard A类-词汇标准
l Type B – Requirements Standard B类-要求标准
l Type C – Guidelines Standard C类-指南标准
l Type D – Related Standard D类-相关标准
A类-词汇标准:主要提供标准族中所有标准所涉及的基础信息,包括通用术语、基本原则等内容。ISO/IEC27000同ISO 9000(质量管理体系 基础和术语)类似,属于此类标准。
B类-要求标准:主要提供管理体系的相关规范,它能够使一个组织证明其满足内部和外部要求的能力。ISO/IEC27001同ISO 9001(质量管理体系 要求)、ISO 14001(环境管理体系 规范及使用指南)、OHSAS 18001(职业健康安全管理体系 规范)等标准一样,属于此类标准。
C类-指南标准:此类标准目的是为一个组织实施要求标准提供相关的指南,ISO/IEC27002、ISO/IEC27003等同ISO 9004(质量管理体系 业绩改进指南)、ISO 14004(环境管理体系 原则、体系和支持技术通用指南)、OHSMS 18002(职业健康安全管理体系 指南)等标准一样,属于此类标准。
D类-相关标准:此类标准严格说不是管理体系标准族中的标准,他们主要提供关于特定方面或相关支持技术的进一步的指导,此类标准一般独立开发,与要求类标准和指南类标准无明显的关联。ISO/IEC27006同ISO19011(质量和环境管理体系审核指南)等标准一样属于此类。
1.1.4 制订中的ISO/IEC27000系列标准介绍
截至2006年5月18日,ISO/IEC JTC1/SC27/WG1正在制定中的标准包括5个,分别是:
ISO/IEC 27000
ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。
ISO/IEC 27000目前处于WD(工作组草案)阶段,正在SC27内研究并征求意见。
ISO/IE 27003
ISO/IEC27003(Information security management system implementation guidance 信息安全管理体系实施指南),属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息,使用者主要为组织内负责实施ISMS的人员。
该标准给出了ISMS实施的关键成功因素,实施过程依照ISO/IEC27001要求的PDCA模型进行,并进一步介绍了各个阶段的活动内容及详细实施指南。
ISO/IEC 27003目前也处在WD阶段,正在SC27内研究并征求意见。
ISO/IEC 27004
ISO/IEC27004(Information security management measurements 信息安全管理测量),属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。
该标准将测量分为两个类别:有效性测量和过程测量,列出了多种测量方法,例如调查问卷、观察、知识评估、检查、二次执行、测试(包括设计测试和运行测试)以及抽样等。
该标准定义了ISMS的测量过程:首先要实施ISMS的测量,应定义选择测量措施,同时确定测量的对象和验证准则,形成测量计划;实施ISMS测量的过程中,应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展;在ISMS的检查和处置阶段,也应对测量措施加以改进,这就要求首先定义测量过程的评价准则,对测量过程加以监控,并定期实施评审。
目前该标准已经处于CD(委员会草案)阶段,预计将于2008年完成。
ISO/IEC 27005
ISO/IEC27005(Information security risk management 信息安全风险管理),属于C类标准。该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。
该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱性以及风险评估的方法,并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。
目前该标准处于Final CD(最终委员会草案)阶段。
ISO/IEC 27006
ISO/IEC27005(Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理体系认证机构的认可要求),属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。
目前该标准处于Final CD(最终委员会草案)阶段。
沪公网安备 31010502000282号