ISOIEC27000标准族的介绍与进展

最新推荐文章于 2023-08-15 11:04:32 发布
最新推荐文章于 2023-08-15 11:04:32 发布
阅读量6.9k 收藏 11
点赞数 1
分类专栏: 安全合规
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29277155/article/details/79840556
版权

0x01  信息安全体系

1 ISO/IEC27000信息安全管理体系概述和词汇 2016 

ISO/IEC270002009被等同采用为GB/T292462012,具体信息为:GB/T292462012/ISO/IEC270002009《信息技术安全技术信息安全管理体系概述和词汇》

2 ISO/IEC27001信息安全管理体系要求 2013 

ISO/IEC27001被等同采用为国家标准:GB/T220802016/ISO/IEC270012013《信息技术安全技术信息安全管理体系要求》

3 ISO/IEC27002信息安全控制实践指南 2013

ISO/IEC27002被等同采用为国家标准:GB/T220812016/ISO/IEC270022013《信息技术安全技术信息安全控制实践指南》

4 ISO/IEC27003信息安全管理体系实施指南 2017

ISO/IEC27003主要是描述如何在组织内实施ISO/IEC27001,于2017年3月1日发第二版的ISO/IEC 27003取消并取代第二版(ISO/IEC27003:2010),这是一个较小的修订。

ISO/IEC27004信息安全管理测量 

ISO/IEC27004是提供了信息安全管理测量的方法,当然,主要是针对ISO/IEC27001最新版本为:ISO/IEC270042009InformationtechnologySecuritytechniquesInformationsecuritymanagementMeasurement(《信息技术安全技术信息安全管理测量》)尚无国家标准与之对应。

ISO/IEC27005信息安全风险管理

ISO/IEC27005是专门讨论信息安全风险管理的,基本与通用的风险管理标准ISO31000保持了一致。现在的版本是第2版,发布于2011年,之前版本为2008年版,且被等同采用为GB/T317222015,具体参考信息为:最新版本为:ISO/IEC270052011InformationtechnologySecuritytechniquesInformationsecurityriskmanagement  ISO/IEC27005应该来源于1998年版本的ISO/IECTR13335-3,但是没有官方文献确认,以我们的阅读来看,就整个框架而言,与ISO/IECTR13335-31998差别不大。

更多资料,可参考《信息安全风险评估——概念、方法和实践(第2版)》的附录中有GB/T317222015/ISO/IEC270052008全文。

7ISO/IEC27006认证机构要求

ISO/IEC27006是一个认可标准(accreditationstandard)。认证和认可是两码事。认证,指的是第三方组织去审核企业,然后发证。认可,指的是国家主管机构审核第三方组织,以确认他们是否有认证资质。类比一下,认证就是学校给学生发毕业证,认可就是教育部检查学校。显然,这个标准受众,是个小众群体,即第三方认证组织。但是内容基本都是规定性的,改版频繁,目前已经是第3版了,之前为2007版、2011版,现在最新为2015版。

具体信息为:ISO/IEC270062015InformationtechnologySecuritytechniquesRequirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems

目前有国家标准:GB/T250672016/ISO/IEC270062011《信息技术安全技术信息安全管理体系审核和认证机构要求》

ISO/IEC27007通用的审核

ISO/IEC27007是为第三方认证机构审核企业提供指导的,ISO/IEC270072011InformationtechnologySecuritytechniquesGuidelinesforinformationsecuritymanagementsystemsauditing

目前被修改采用为:GB/T284502012《信息安全技术信息安全管理体系审核指南》

9ISO/IECTR27008控制措施审核

ISO/IECTR270082011是个技术报告,也是信息安全管理体系的特别之处,主要为ISO/IEC27001的附录A提供审核指南。

目前最新版本为:ISO/IECTR270082011InformationtechnologySecuritytechniquesGuidelinesforauditorsoninformationsecuritycontrols(《信息技术安全技术信息安全控制审核指南》)

0x02 跨行业的信息安全体系

10ISO/IEC27009特定行业应用的要求

ISO/IEC27009用于组织如何在特定行业应用ISO/IEC27001,例如,如何提炼或增加相关的要求或控制。

目前最新版本为2016版,具体信息为:ISO/IEC270092016InformationtechnologySecuritytechniquesSector-specificapplicationofISO/IEC27001Requirements(《信息技术安全技术特定行业应用ISO/IEC27001要求》)

11SO/IEC27010跨行业和跨组织的通信

ISO/IEC27010开始的编号,讨论行业应用。

ISO/IEC27010为不同行业以及不同国家间共享风险和事件等信息,提供信息安全管理指导,尤其是这些信息会影响到关键基础设施的时候(criticalinfrastructure)。

最早发布于2012年,目前已经发布第2版,具体信息为:ISO/IEC270102015InformationtechnologySecuritytechniquesInformationsecuritymanagementforinter-sectorandinter-organizationacommunications(《信息技术安全技术跨行业与跨组织通信的信息安全管理》)

其中的章节安排,从第5章到第18章,基本与ISO/IEC270022013保持了一致。

12ISO/IEC27011电信行业的应用

ISO/IEC27011是由ITUISO/IECJTC1/SC27联合开发,因此同时也发布为ITU-TX.1051

这个标准最早发布于2008年,最新版本为2016版,具体信息为:

ISO/IEC270112016InformationtechnologySecuritytechniquesCodeofpracticeforInformationsecuritycontrolsbasedonISO/IEC27002fortelecommunicationsorganizations(《信息技术安全技术基于ISO/IEC27002的电信组织信息安全控制实用规则》)

特定行业的应用在框架上与ISO/IEC27002基本都是统一的。

0x03 信息安全与服务管理

13ISO/IEC27013信息安全管理体系与服务管理整合

在实践领域,ISMSITIL10)的整合是很常见的一种形式,由于信息安全多为控制点,IT服务多为流程,而且这两者的从业人员背景也比较相似,整合应用是不可避免的。ISO/IEC27013最早发布于2012年,现在最新版本为:

ISO/IEC270132015InformationtechnologySecuritytechniquesGuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1(《信息技术安全技术ISO/IEC27001ISO/IEC20000-1的整合应用指南》)

ISO/IEC270112016SC27SC7合作开发,附录A中有ISO/IEC27001ISO/IEC20000-1的对照。

14ISO/IEC27014信息安全治理

ISO/IEC27014是关于信息安全治理的,治理和管理的区别,在公司治理领域分得比较清楚。但是在信息安全领域,这两个词汇界限非常模糊。一般而言,治理是方向性的,关注如何在高层管理中梳理清楚利益关系,管理更多是控制性的,更关注如何实现组织的信息安全目标,更细节一些。

ISO/IEC27014也是ITUISO/IECJTC1/SC27合作开发的,因此同时发布为ITU-TX.1054,目前最新版本为:

ISO/IEC270142013InformationtechnologySecuritytechniquesGovernanceofinformationsecurity

该标准已经被等同采用为国家标准:GB/T329232016/ISO/IEC270142013《信息技术安全技术信息安全治理》

0x04 金融行业的 信息安全

15ISO/IECTR27015金融服务信息安全管理

ISO/IECTR27015主要指导在金融企业内实施ISO/IEC27000标准族,目前最新版本为:

ISO/IECTR270152012InformationtechnologySecuritytechniquesInformationsecuritymanagementguidelinesforfinancialservices(《信息技术安全技术金融服务信息安全管理指南》)

从上文中,我们也已经看出,电信和金融对信息安全比较重视,除了这个标准,还有类似于:

ISO/TR135692005FinancialservicesInformationsecurityguidelines(《金融服务信息安全指南》)

这个标准不是ISO/IECJTC1/SC27开发的,是ISO/TC68/SC212)发布的标准。这是真正从业务角度考虑信息安全,所以视角完全不同。ISO/TR13569已经是第3版了,之前有19971998版本。

原则上说,随着ISO/IEC27001ISO/IEC27002的改版,ISO/IECTR270152012也需要改版了。到现在ISO标识的状态依然是60.60,没有改版的迹象。据说这个标准要被弃用,如果放弃开发也很正常,如果业务领域和信息安全领域的标准有竞争,最后被采用的肯定是业务领域推广的标准。

16ISO/IECTR27016安全经济学

ISO/IECTR27016用于指导企业如何在考虑经济因素条件下对信息安全投资做决策,在实践中这件事很重要。目前,ISO/IECTR27016的最新版本为:ISO/IECTR270162014InformationtechnologySecuritytechniquesInformationsecuritymanagementOrganizationaleconomics(《信息技术安全技术信息安全管理组织经济学》)

0x05 云服务与信息安全

17ISO/IEC27017云服务安全

ISO/IEC27017是在ISO/IEC27002及其他相关ISO/IEC27000标准族的基础上,提供云服务的信息安全控制,这个标准也是与ITU合作,因此同时发布为ITU-TX.1631

目前最新版本为:

ISO/IEC270172015InformationtechnologySecuritytechniquesCodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloudservices(《信息技术安全技术基于ISO/IEC27002的云服务信息安全控制实用规则》)

该标准与特定行业的应用架构基本是一致的,都与ISO/IEC27009保持兼容。

18ISO/IEC27018公有云中的隐私保护

ISO/IEC27018用来指导公有云的服务提供商,例如,微云、百度云等,如何保护个人隐私,该标准与ISO/IEC27017联系紧密。

目前,最新版本信息为:

ISO/IEC270182014InformationtechnologySecuritytechniquesCodeofpracticeforprotectionofpersonallyidentifiableinformationPIIinpubliccloudsactingasPIIprocessors(《信息技术安全技术公有云中作为个人身份信息处理者保护个人身份信息的实用规则》)

通俗地讲,ISO/IEC27018是关于公有云服务个人资料处理者如何保护客户隐私的最佳实践,这些在特定领域应用的标准,架构基本都一致,因为都是基于通用的ISO/IEC27001ISO/IEC27002

0x06 能源行业与信息安全

19ISO/IECTR27019能源公共事业信息安全管理

ISO/IECTR27019是关于能源公用事业行业应用ISO/IEC27002及其相关的ISO/IEC27000标准族的指南,目前最新的版本为:

ISO/IECTR270192013InformationtechnologySecuritytechniquesInformationsecuritymanagementguidelinesbasedonISO/IEC27002forprocesscontrolsystemsspecifictotheenergyutilityindustry(《信息技术安全技术基于ISO/IEC27002用于能源公共事业行业过程控制的信息安全管理指南》)

ISO/IECTR27019目前所依据的还是ISO/IEC270022005ISO最新标识的状态是90.9215)。

20  ISO 27799 健康领域应用

ISO 27799 目前是第 2 版,最初发布于 2008 年,具体信息为 :ISO 27799 :2016 Health informatics—Informationsecurity management in health using ISO/IEC 27002(《健康信息学 应用 ISO/IEC 27002 的健康信息安全管理》)
值得指出的是,ISO 27799 在引言中专门讨论了该标准与信息治理、公司治理以及临床治理之间的关系。其中认为,越来越多的医疗机构依赖于信息系统的支持,例如,利用决策支持系统使得诊断从“基于经验”转至“基于证据”,信息完整性、可用性和保密性的损失对诊疗产生显著的影响。因此,临床治理框架需要将有效的信息安全风险管理和护理治疗计划、传染病管理战略和其他“核心”临床管理事务同等重视。

这个标准实际与ISO/IEC 27010 等特定领域的应用都是差不多的,但是 ISO 27799 在国内推广得很一般。ISO 27799 没有按照顺序编号,可能是因为这个标准的开发组织并不是 ISO/IEC JTC1/SC 27,而是ISO/TC 215。

https://github.com/ym2011/SecurityManagement/tree/master/ISO27001


欢迎大家分享更好的思路,热切期待^^_^^ !

煜铭2011
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ISO/IEC27000系列标准研究
qq_38989921的博客
01-18 1365
ISO/IEC27000系列标准研究 首先介绍两个名词: ISO:International Organization for Standardization 国际标准化组织,是标准化领域中的一个国际性非政府组织。ISO成立于1947年,中国是ISO的正式成员。 IEC:International Electrotechnical Commission 国际电工委员会,成立于1906年,它是世界上成立最早的国际性电工标准化机构,负责有关电气工程和电子工程领域中的国际标准化工作。 我们介绍一部分: ISO/I
ISO/IEC 27000
06-30
ISO 27000 Document English Version
ISO27001信息安全管理体系认证申请条件及材料清单
企证易的博客
03-20 763
ISO27000信息安全管理体系介绍ISO/IEC 27000系列标准(又名ISO/IEC 27000 标准系列,即“信息安全管理系统标准”,简称“ISO27K”) 是由国际标准化组织(ISO)及国际电工委员会(IEC)联合定制。(3)现场审核前,受审核方的管理体系至少有效运行三个月并进行了一次完整的内部审核和管理评审。(2)有效的资质证明、产品生产许可证等(需要时);(4)申请认证产品的生产、加工或服务工艺流程图;(1)法律地位证明文件(如企业营业执照);(3)组织简介(标准、设备、人员情况等);
ISO/IEC 27000系列标准列表(最新)
Andy0214的专栏
08-15 6533
ISOIEC 27000系列标准列表
ISO/IEC 27000系列标准
12-13
用思维导图制作的ISO/IEC 27000系列标准说明,简洁明了
ISO27000系列标准
weixin_33752045的博客
11-21 633
已发布的: ISO/IEC 27000:2009 信息技术—安全技术—信息安全管理体系—概况与术语 ISO/IEC 27001:2005 信息技术—安全技术—信息安全管理体系—要求 ISO/IEC 27002:2005 信息技术—安全技术—信息安全管理实用规则 ISO/IEC 27003:2010 信息技术—安全技...
ISOIEC27000标准-ISO27001关联体系
煜铭2011
04-21 5617
0x01  技术要求1  ISO/IEC 27031 ICT的业务连续性ISO/IEC 27031 提供了 ICT 业务连续性概念及基本原则,对应到 ISO/IEC 27001 :2013 的 A.17 业务连续性管理的信息安全方面。ISO/IEC 27031 发布于 2011 年,与 ISO 22301 :2012 联系紧密。目前版本信息为 :ISO/IEC 27031 :2011 Inform...
[CN] 信息安全管理体系 ISOIEC 27000 标准系列概论
04-17
ISO/IEC 27000提供了ISMS标准中所涉及的通用术语及基本原则,是ISMS标准中最基础的标准之一。ISMS标准中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现...
ISO27000整理中文版.zip
01-14
ISOIEC 27004(信息技术-安全技术-信息安全管理测量) ISO27000(信息技术-安全技术-信息安全管理体系-概述和...ISOIEC 27001(信息安全管理体系-规范与使用指南) ISOIEC 27002(信息技术-安全技术-信息安全管理实用规则)
ISO_IEC_27000_2016 信息技术 安全技术 信息安全管理体系 概述和词汇 中译版
12-20
ISO_IEC_27000_2016 信息技术 安全技术 信息安全管理体系 概述和词汇 中译版
JEDEC标准
09-16
JEDEC标准,各种清单,可以一目了然的看到各种标准对应的内容
ISO/IEC 27000:2009 pdf
11-16
ISO/IEC 27000 Information technology - Security techniques - Information security management systems - Overview and vocabulary Introduction to the family of standards plus a glossary of common terms ISO27000组系列 - 概述与术语
ISO+IEC+27000-2018.pdf
10-16
ISO/IEC+27000的标准,是2018年最新的标准标准名为Information technology — Security techniques — Information security management systems — Overview and vocabulary
ISO27000系列全套中文版
10-23
ISO27000系列,全套,中文版,包含信息安全管理测量、信息安全管理体系概述和词汇、信息安全管理体系实施指南、信息安全风险管理、信息安全管理系统验证机构认证规范、信息安全管理体系规范与使用指南、信息安全管理实用规则
ISOIEC的C-C++标准.rar
03-20
ISOIEC是国际标准化组织(International Organization for Standardization)和国际电工委员会(International Electrotechnical Commission)的联合简称,这两个机构负责制定全球性的技术标准。在编程语言领域,...
现行ISOIEC软件工程国际标准
04-22
现行ISOIEC软件工程国际标准 所列的标准有些比较旧,但可以作为参考,寻找最新版即可
二维码标准-ISOIEC
11-02
1、英文文档 2、带目录 3、国际标准ISOIEC 18004_2006Cor 1_2009.pdf
ISO/IEC 27000 系列最新信息安全标准
crazylili1000的博客
05-14 833
ISO/IEC 27000 系列最新信息安全标准 ISO27000系列标准于2005年正式推出,初步考虑制定将近10个标准全面规范信息安全管理体系(ISMS),下面是截止到目前已经发布或正在计划中的6个标准ISO27000——...
基于ISOIEC9126标准的软件质量评价系统.pptx
最新发布
10-22
基于ISOIEC9126标准的软件质量评价系统.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值