安全服务-信息安全管理体系咨询服务方案.pdfVIP

信息安全管理体系咨询服务方案

一服务的实施标准或原则.

1.1ISO27000标准族介绍

1.1.1什么是ISO27000

ISO27000--“Informationsecuritymanagementsystemfundamentalsandvocabulary”(《信息

安全管理体系原理和术语》)该标准主要用于阐述ISMS的基本原理和术语。

ISO27000正式定义这一系列标准中所使用的特定技术词汇。信息安全和其它大多数技术

主题一样包括很多复杂的术语，但很少有人给出严格定义。这在标准来说是不可接受的，因

为这会导致混淆以及正式评估和认证的效果削弱。ISO27000希望可以成为公认的信息安全术

语参考标准。

1.1.2ISO27000标准以及发展历程

ISO27000标准族共有以下几个主要标准：

27000ISMS综述与术语；

27001ISMS要求；

27002ISMS实践规范；

27003ISMS实施指南；

27004ISMS测量；

27005信息安全风险管理；

27006认证机构要求；

27007ISMS审核指南；

发展历史：

ISO27000

信息安全管理体系(InformationSecurityManagementSystem，ISMS)是ISO发展的一个信

息安全管理标准族。

2005年10月，BS7799-2正式成为ISO27001。这是建立信息安全管理体系(ISMS)的-套规

范(SpecificationforInformationSecurityManagementSystems)，其中详细说明了建立、实施和维

护信息安全管理体系的要求，可用来指导相关人员去应用ISO／IEC17799，其最终目的，在于

建立适合企业需要的信息安全管理体系。

ISO27001

信息技术-安全技术-信息安全管理体系要求。

ISO27001的特点在于定义了包括风险评估、风险处理和管理决策的风险管理方法持续改

进的模型，有效性的衡量以及内部和外部可审计的规范。

ISO27001定义了“6步过程”并使用了“PDCA方法”。

其中的6步过程为：

(1)定义信息安全策略；

(2)定义信息安全管理体系的范围；

(3)进行信息安全风险评估；

(4)管理标识出的风险；

(5)选择控制措施以供实施和应用；

(6)准备-份适用性声明。

ISO27002

信息技术-安全技术-信息安全管理实践准则

ISO17799是最广为人知的信息安全管理标准之-。ISO17799最早是英国贸工部颁布的实

践指南，贸工部主要根据石油公司使用的国内安全标准：1995年由英国标准协会(BSI)颁布为

BS7799，2000年成为国际标准ISO17799：2005年6月15日经过改版发布为ISO17799：2005。

BSI还将不断制定信息安全管理相关的不断变化的风险、控制措施和最佳实践。ISO17799：

2005将于2007年改名和更新为ISO27002．”信息技术-安全技术-信息安全管理实践准则”。

ISO27003

信息技术-安全技术-信息安全管理实施指南。

ISO27003将是ISO27000系列标准的实施指南，包括有关PDCA过程的详细的指导和帮

助、ISMS的范围和策略、资产的标识、监视和检查、持续改进等内容。目前还没有详细的资

料，可能是原先的BSI／DISCPD005之类的实施指南的修订版本。

ISO27004

信息技术-安全技术-信息安全管理的度量指标和衡量。

ISO27004将是全新的信息安全管理度量和衡量的标准，帮助衡量信息安全管理体系实施

的有效性．包括管理过程(ISO27001)和控制措施(ISO17799／27002)的有效性。目前正在制定

当中．处于工作草案的形式。这些度量指标的制定，可能会部分参考NISTSP800-55“IT系

统安全度量指南”．提供关键绩效指标以及方法学。

ISO27005

信息技术-安全技术-信息安全风险管理指南

ISO27005将为ISO2700l提