说明:在《信息技术 安全技术》通用标题下,ISMS 标准族由下列标准组成(按标准号排序);通用标题《信息技术 安全技术》是指这些标准是由 ISO/IEC 的信息技术委员会(JTC 1)下属的安全技术分委员会(SC 27)制定的;
不在通用标题《信息技术 安全技术》之下,但也属于 ISMS 标准族的标准,如下:ISO27799。
ISO 27000标准族组成及概述
1 ISO/IEC 27000
信息安全管理体系 概述和词汇(Information securitymanagement systems – Overview and vocabulary)
范围:
该标准为组织和个人提供:
- a) ISMS 标准族的概述;
- b) 信息安全管理体系的介绍;
- c) ISMS 标准族中使用的术语和定义。
目的:
该标准描述信息安全管理体系的基础,形成 ISMS 标准族的主题,并定义相关术语。
2 ISO/IEC 27001
信息安全管理体系 要求(Information security managementsystems – Requirements)
范围:
该标准规范在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式信息安全管理体系(ISMS)的要求。它规范可被用来定制以满足单个组织或其部门需要的信息安全控制的实现要求。该标准可被用于所有类型、规模和性质的组织。
目的:
ISO/IEC 27001 为 ISMS 的开发和运行提供规范性要求,包括一套控制和降低信息资产相关风险的控制。组织通过运行 ISMS寻求对其信息资产的保护。组织可以对其运行的 ISMS 的符合性进行审核和认证。
3 ISO/IEC 27002
信息安全控制实践指南(Code of practice for information securitycontrols)
范围:
该标准提供一套被广泛接受的控制目标和最佳实践的控制,为选择和实施实现信息安全的控制提供指南。
目的:
ISO/IEC 27002 提供关于信息安全控制实施的指南。特别是第5 章~第 18 章为支持 ISO/IEC 27001 中所规范的控制提供最佳实践方面的具体实施建议和指南。
4 ISO/IEC 27003
信息安全管理体系实施指南(Information security management system implementation guidance)
范围:
该标准为依据 ISO/IEC 27001 建立、实施、运行、监视、评审、保持和改进 ISMS 提供实用的实施指南和进一步信息。
目的:
ISO/IEC 27003 为依据 ISO/IEC 27001 成功实施 ISMS 提供面向过程的方法。
5 ISO/IEC 27004
信息安全管理测量(Information security management -Measurement)
范围:
该标准为了对 ISO/IEC 27001 所规范的,用于实施和管理信息安全的,ISMS、控制目标和控制的有效性进行评估,提供测量的开发和使用指南及建议。
目的:
ISO/IEC 27004 提供一种测量框架,以便能够依据 ISO/IEC27001 对 ISMS 的有效性进行测量。
6 ISO/IEC 27005
信息安全风险管理(Information security risk management)
范围:
该标准为信息安全风险管理提供指南。该标准给岀的方法支持 ISO/IEC 27001 中所规范的一般概念。
目的:
ISO/IEC 27005 为实施面向过程的风险管理方法提供指南,有助于圆满实施和兑现 ISO/IEC 27001 中的信息安全风险管理要求。
7 ISO/IEC 27006
信息安全管理体系审核认证机构的要求(Requirements for bodiesproviding audit and certification of information security management systems)
范围:
该标准在 ISO/IEC 17021 所含要求的基础上,为依据 ISO/IEC27001 提供审核和 ISMS 认证的机构,规范要求并提供指南。它主要为依据 ISO/IEC 27001 提供 ISMS 认证的认证机构的认可提供支持。
目的:
ISO/IEC 27006 是对 ISO/IEC 17021 的补充,提供对认证组织进行认可的要求,以此许可这些组织一贯地提供对 ISO/IEC 27001要求的符合性认证。
8 ISO/IEC 27007
信息安全管理体系审核指南(Guidelines for information security management systems auditing)
范围:
该标准在适用于一般管理体系的 ISO 19011 指南的基础上,为 ISMS 审核实施以及信息安全管理体系审核员能力提供指南。
目的:
ISO/IEC 27007 为需要依据 ISO/IEC 27001 中所规范的要求,进行 ISMS 内部或外部审核或者管理 ISMS 审核方案的组织提供指南。
9 ISO/IEC TR 27008
信息安全控制措施审核员指南(Guidelines for auditors on information security controls)
范围:
该指导性技术文件为评审控制措施的实施和运行符合组织建立的信息安全标准提供指南,包括信息系统控制措施的技术符合性检查。
目的:
该指导性技术文件重点在于评审信息安全控制措施,包括对照组织建立的信息安全实施标准检查技术符合性。它不是为分别在 ISO/IEC 27004、ISO/IEC 27005 或 ISO/IEC 27007 中规范的测量、风险评估或 ISMS 审核,提供任何具体的符合性检査指南。该指导性技术文件不用于管理体系审核。
10 ISO/IEC 27009
ISO/IEC 27001 的行业特定应用要求( Sector-specific application of ISO/TEC 27001 – Requirements)
范围:
目的:
11 ISO/IEC 27010
行业间和组织间通信的信息安全管理(Information securitymanagement or inter-sector and inter-organizational communications)
范围:
该标准在 ISMS 标准族已有指南的基础上,为在信息共享社区中实施信息安全管理提供指南,特别是为在组织间和行业间启动、实施、保持和改进信息安全另外提供控制和指南。
目的:
该标准适用于所有形式的敏感信息交换与共享,不论公共的还是私人的、国内的还是国际的同行业或市场的还是行业间的。特别是,它可适用于与组织或国家关键基础设施的供给、维护和保护相关的信息交换与共享。
12 ISO/IEC 27011
基于 ISO/IEC 27002 的电信组织信息安全管理指南(Information security management guidelines for telecommunications organizations based on ISO/IEC 27002)
范围:
该标准为支持在电信组织中实施信息安全控制提供指南。
目的:
ISO/IEC 27011 能使电信组织满足保密性、完整性、可用性和任何其他相关安全属性的信息安全管理基线要求。
13 ISO/IEC 27013
ISO/IEC27001 和 ISO/IEC 20000-1 综合实施指南(Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)
范围:
该标准为组织进行如下任何一种 ISO/IEC 27001 和 ISO/IEC20000-1 的综合实施提供指南:
a)在已经实施了 ISO/IEC 20000-1 的情况下实施 ISO/IEC27001,或者反之;
b)同时实施 ISO/IEC 27001 和 ISO/IEC 20000-1;
c)集成现有的 ISO/IEC 27001 和 ISO/IEC 20000-1 管理体系。
该标准专门聚焦在综合实施 ISO/IEC 27001 中所规范的信息安全管理系统(ISMS)和 ISO/IEC 20000-1 中所规范的服务管理体系(SMS)。
目的:
为组织提供对 ISO/IEC 27001 和 ISO/IEC 20000-1 的特征和异同的更好理解,有助于规划同时符合两个标准的综合管理体系。
14 ISO/IEC 27014
信息安全治理(Governance of information security)
范围:
该标准就信息安全治理的原则和过程提供指南,组织依此可以评价、指导和监视信息安全管理。
目的:
信息安全已成为组织的一个关键问题。不仅法律法规要求日益增加,而且组织的信息安全措施失效会直接影响其声誉。因此治理者越来越需要承担起治理责任中的信息安全监督职责。来确保组织目标的实现。
15 ISO/IEC TR 27015
金融服务信息安全管理指南(Information security management guidelines for financial services)
范围:
该指导性技术文件在 ISMS 标准族已有指南的基础上,为在提供金融服务的组织中启动、实施、保持和改进信息安全提供指南。
目的:
该指导性技术文件是对 ISO/IEC27001 和 ISO/IEC27002 的专业补充,为提供金融服务的组织所用,以提供如下方面的支持:
a)启动、实施、保持和改进基于 ISO/IEC 27001 的信息安全管理体系。
b)设计和实施 ISO/IEC 27002 或该标准中定义的控制。
16 ISO/IEC TR 27016
信息安全管理组织经济学(Information security management – organizational economics)
范围:
该指导性技术文件提供一种方法学,以使组织能够更好地从经济上理解如何准确估价其所识别的信息资产,评价这些信息资产面临的潜在风险,认识对这些信息资产进行保护控制的价值,并确定用于保护这些信息资产的资源最佳配置程度。
目的:
该指导性技术文件在组织所处的更广泛社会环境的语境下,在组织信息资产的保护中叠加经济视角,并通过模型和例子提供如何应用信息安全组织经济学的指南,是对 ISMS 标准族的补充。
17 ISO/IEC 27017
基于 ISO/IEC 27002 的云服务信息安全控制实践指南(Code of practice for information security controls based on ISO/IEC 27002 for cloud services)
范围:
ISO/IEC 27017 通过提供如下指南给出适用于云服务供给和使用的信息安全控制指南:
ISO/IEC 27002 中规范的相关控制的额外实施指南;与云服务特别相关的额外控制及其实施指南。
目的:
该标准为云服务提供者和云服务客户提供控制和实施指南。
18 ISO/IEC 27018
可识别个人信息(PII)处理者在公有云中保护 PII 的实践指南( Code of prac tice for protection of personally identifiable information(PII) in public clouds acting as PII processors)
范围:
ISO/IEC 27018 按照 ISO/IEC 29100 中公有云计算环境下的隐私保护原则,为保护可识别个人信息(PII)建立被广泛接受的控制目标和控制,并提供措施的实施指南。
目的:
该标准适用于通过与其他组织签约的云计算提供信息处理服务,作为 PII 处理者的组织,不论公共企业还是私营企业、政府机构还是非营利组织。该标准中的指南可能与作为 PII 控制者的组织也有关,但 PII 控制者可能受制于额外的,不适用于 PII 处理者的且不在该标准范围内的,保护 PII 的法律法规、规章制度和义务。
19 ISO/IEC 27019
基于 ISO/IEC27002 的能源供给行业过程控制系统信息安全管理指南(Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry)
范围:
ISO/IEC TR 27019 就能源供给行业过程控制系统中实施的信息安全控制提供指南。能源供给行业的过程控制系统,与支持过程的控制相结合,对电力、燃气和供热的产生、传输、存储和分配进行控制和监视。特别是包括如下系统、应用和组件:
全面信息技术(IT)支持的集中式和分布式过程控制、监视和自动化技术以及用于其运行的 IT 系统,诸如编程和参数化设备;
数宇控制器和自动化组件,诸如控制和现场设备或可编程逻辑控制器(PLC),包括数字传感器和执行器元件;
过程控制领域中用到的所有进一步的 IT 系统支持,例如对补充的数据可视化任务的支持,对控制、监控、数据归档和文档化的支持;
过程控制领域中用到的全部通信技术,例如,网络、遥测、远程控制应用和远程控制技术;
数字计量和测量装置,例如,对能量消耗、产生和释放的测量;
数宇保护和安全系统,例如,继电保护或安全 PLC;未来智能电网环境下的分布式组件;
上述系统中安装的所有软件、固件和应用。
目的:
在 ISO/IEC27002 所规范的安全目标和措施的基础上,该指导性技术文件为能源供给行业和能源供应商使用的系统提供满足其进一步特定要求的信息安全控制的指南。
20 ISO 27799
健康信息学 使用 ISO/IEC 27002 的健康信息安全管理(Health informatics Information security management in health using ISO/IEC 27002)
范围:
该标准为支持信息安全管理在健康组织中实施提供指南。
目的:
ISO 27799 基于 ISO/IEC 27002,除了那些满足 ISO/IEC 27001
暂无评论内容