ISO/IEC27000系列标准研究

ISO/IEC27000系列标准研究

首先介绍两个名词：
ISO：International Organization for Standardization 国际标准化组织，是标准化领域中的一个国际性非政府组织。ISO成立于1947年，中国是ISO的正式成员。
IEC：International Electrotechnical Commission 国际电工委员会，成立于1906年，它是世界上成立最早的国际性电工标准化机构，负责有关电气工程和电子工程领域中的国际标准化工作。
我们介绍一部分：
ISO/IEC 27000 信息安全管理体系概述和词汇 被采用为：GB/T29246—2012/ISO/IEC27000：2009《信息技术安全技术信息安全管理体系概述和词汇》
ISO/IEC 27001 信息安全管理体系要求 被采用为：GB/T22080—2016/ISO/IEC27001：2013《信息技术安全技术信息安全管理体系要求》
ISO/IEC 27002 信息安全管理实践代码(或者说信息安全管理实用规则) 被采用为：GB/T22081—2016/ISO/IEC27002：2013《信息技术安全技术信息安全控制实践指南》
ISO/IEC 27003 信息安全管理体系实施指南
ISO/IEC 27004 信息安全管理衡量指南与指标框架
ISO/IEC 27005 信息安全风险管理指南

ISO27001是ISO27000系列的主标准，各类组织可以按照ISO27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。
下面我们详细地分析一下ISO27001（依据：ISO27001:2013）
首先ISO27001的要求分为14个大类（即A.5-A.18），每一个大类下面又有各自的要求。

A.5 信息安全策略
A.5.1 信息安全管理方向
A.5.1.1 信息安全策略
信息安全策略集应由管理者定义、批准、发布并传达给员工和相关外部方。
A.5.1.2 信息安全策略的评审
信息安全策略应按计划的时间间隔或当重大变化发生时进行评审，以确保其持续的适宜性、充分性和有效性。

A.6 信息安全组织
A.6.1 内部组织
A.6.1.1 信息安全的角色和职责
所有的信息安全职责应予以定义和分配。
A.6.1.2 职责分离
应分离相冲突的责任及职责范围，以降低未授权或无意识的修改或者不当使用组织资产的机会。
A.6.1.3 与监管机构的联系
应保持与监管机构的适当联系。
A.6.1.4 与特殊利益集团的联系
与特殊利益团体、其他专业安全协会或行业协会应维持适当联系。
A.6.1.5 项目管理中的信息安全
无论项目是什么类型，在项目管理中都应处理信息安全问题。
A.6.2 移动设备和远程办公
A.6.2.1 移动设备策略
应采取安全策略和配套的安全措施，对使用移动设备带来的风险进行管理。
A.6.2.2 远程办公
应实施安全策略和配套的安全措施，保护信息的访问、处理或在远程办公地点的存储。

A.7 人力资源安全
A.7.1 任用之前
A.7.1.1 人员筛选
根据相关法律、法规、道德规范，对员工、合同人员及承包商人员进行背景调查，调查应符合业务需求、访问的信息类别及已知风险。
A.7.1.2 任用的条款及条件
员工和承包商的合同协议应当规定他们和组织的信息安全责任。
A.7.2 任用中
A.7.2.1 管理职责
管理层应要求员工、合同方和承包商用户应用符合组织建立的信息安全策略和程序。
A.7.