ISOIEC27000系列标准介绍.docxVIP

PAGE2 / NUMPAGES8 ISO/IEC27000系列标准介绍 背景 病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边程度不同的发生过。因此，保护信息资产，解决信息安全问题，已经成了企业必须高度重视并着力解决的问题。 人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。 当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。 例如,与企业员工相关的信息安全问题、信息安全和效益的平衡问题、信息安全目标、业务连续性、信息安全法规遵从等问题,只靠产品和技术是解决不了的。有效解决信息安全问题,还要靠“三分技术、七分管理”。 ISO国际标准化组织近10年来针对信息安全和信息安全管理体系（ＩＳＭＳ）先后发布了一系列的国际标准，下面列出其中的一部分： ISO/IEC 27001(Information security management system- fundamentals and vocabulary 信息安全管理体系-基础和术语： 提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的其他每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC 27000则主要用于实现这种协调。 ISO/IEC27001:2005:Information technology-security techniques-Information security management systems-Requirements (信息安全管理体系—要求） 于2005年10月15日正式发布，是ISMS的要求标准，内容共分８章和３个附录，其中重要附录Ａ中的内容直接引用并与其前身ISO/IEC17799：2005第5到15章一致。 ISO/IEC27001:2005:Information technology-Security techniques- Code of practice for Information security management (信息安全管理实用规则） ISO/IEC27002是国际标准化组织ISO/IEC最早发布的ISMS系列标准之一(原先为ISO/IEC17799，2005年正式更名为ISO/IEC27002）。它从信息安全的诸多方面，总结了11个方面一百多项信息安全控制措施，是信息安全管理最佳实践。 ISO/IEC27002的主要内容 ISO/IEC27002:2005是一个通用的信息安全控制措施集，这些控制措施涵盖了信息安全的方方面面，是解决信息安全问题的最佳实践。 标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，循序渐进，从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施，标准还给出了详细的实施方面的信息，以方便标准的用户使用。 从内容和结构上看,标准分为四个部分： 引言部分。 主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险8个方面内容。 标准的通用要素部分（1～3章）。 第1章是标准的范围，给出了该标准的内容概述、用途及目标。第2章是术语和定义，介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。 风险评估和处理部分。 该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。 控制措施部分（5～15章）。 这是标准的主体部分,包括11个领域的控制措施章节，分别是： 1、安全方针（控制目标：1个，控制措施：2个） 2、信息安全管理机构（控制目标：2个，控制措施：11个） 3、资产管理（控制目标：2个，控制措施：5个） 4、人力资源安全（控制目标：3个，控制措施：9个） 5、物理和环境安全（控制目标：2个，控制措施：13个） 6、通信和操作管理（控制目标：10个，控制措施：32个） 7、访问控制（控制目标：7个，控制措施：25个） 8、信息系统获取、开发和维护（控制目标：6个