ISO/IEC 27000系列

ISO/IEC 27000 系列標準 (又名ISO/IEC 27000 標準系列,及「資訊安全管理系統標準族」,簡稱「ISO27K」) 是由國際標準化組織(ISO)及國際電工委員會(IEC)聯合客製化。

該標準系列由最佳實踐所得並提出對於資訊安全管理的建議,並在資訊安全管理系統領域中的風險及相關管控,該標準系列與品質管理保證系統的標準(ISO 9000系列)和環境保護標準系列(ISO 14000系列)有類似的架構[1]

該系列故意擴大了在資訊安全領域的範圍,不僅僅包含隱私保密以及資訊科技層面,更包含了包括法律,人員管理,物資管理等諸多方面,從而可以使其可以適合各種大小的組織。根據ISO/IEC 27000標準中推薦,每個與資訊相關的組織都應該根基本系列進行相關的資訊安全風險評估,並藉由相關的指導和建議實施適當的資訊安全管控。鑑於資訊安全的動態本質,針對事態的反應,回饋以及教訓,並由此改進資訊安全措施是非常合適的。總的來說也就是通過戴明PDCA法,尋找資訊安全相關威脅,弱點,影響並進行資訊安全措施改進。

該標準系列中的標準是由ISO/IEC JTC1 (1號技術聯合委員會) SC27 (下屬27號委員會)委員會制定,該委員會每兩年進行一次實體會議。

目前該標準系列中共有22個標準批准發布,另有一部分仍然在制定之中。標準文字由國際標準化組織直接銷售,本土化及譯本標準則有相關國家標準組織銷售。

已發布的標準

  • ISO/IEC 27000 — 資訊安全管理系統 - 綜述及詞彙
  • ISO/IEC 27001 — 資訊安全管理系統 - 要求
  • ISO/IEC 27002 — 資訊安全管理實踐準則
  • ISO/IEC 27003 — 資訊安全管理系統實施指導
  • ISO/IEC 27004 — 資訊安全管理系統 - 測評
  • ISO/IEC 27005 — 資訊安全風險管理
  • ISO/IEC 27006 — 針對審查及認證資訊安全管理系統的實體之要求
  • ISO/IEC 27007 — 資訊安全管理系統審查指導 (本標準專注於管理系統)
  • ISO/IEC TR 27008 — 資訊安全管理系統審查者指導 (本標準專注於資訊安全控制)
  • ISO/IEC 27010 — 對於跨領域,跨組織間通訊的資訊科技,保安技巧及資訊安全管理
  • ISO/IEC 27011 — 對於電信組織根據ISO/IEC 27002標準的資訊安全管理指導
  • ISO/IEC 27013 — ISO/IEC 20000-1 和 ISO/IEC 27001 整合實施的指導
  • ISO/IEC 27014 — 資訊安全的治理
  • ISO/IEC TR 27015 — 對於金融服務的資訊安全管理指導
  • ISO/IEC 27021 — 資訊安全管理系統專業人員的能力要求 - 技術
  • ISO/IEC 27031 — 對於配備資訊及通訊技術的業務連續性的知道
  • ISO/IEC 27032 — 網路保安的指導(本質上講的是如何做一個「網際網路上的好鄰居」)
  • ISO/IEC 27033-1 — 網路保安的綜述及概念
  • ISO/IEC 27033-2 — 設計和實施網路保安的指導
  • ISO/IEC 27033-3:2010 — 網路情況的參考 - 威脅,設計應對方式及管控
  • ISO/IEC 27034 — 應用程式保安的指導
  • ISO/IEC 27035 — 保安事件管理
  • ISO/IEC 27037 — 鑑別,收集並且(或者)獲得並儲存電子證物的指導
  • ISO/IEC 27102 — 網路保險指南
  • ISO/IEC 27701 — 隱私資訊管理
  • ISO 27799 — 健保業實施ISO/IEC 27002的資訊安全管理

仍然在制定中的標準

相關條目

  • BS 7799,英國標準,ISO/IEC 17799和 ISO/IEC 27002的部分內容為其衍生
  • 檔案管理系統
  • 薩班斯-奧克斯利法案,根據安然有限公司(Enron)、世界通訊公司(Worldcom)等財務欺詐事件破產暴露出來的公司和證券監管問題所立的監管法規
  • Standard of Good Practice (優等實踐標準) 由資訊安全論壇發表的關於資訊安全的優秀實踐

參考資料

  1. ^ ISO/IEC 27001:常见问题. atsec. [2013-05-02]. (原始內容存檔於2013-06-28). 

外部連結