信息安全管理体系标准族
声明
本文是学习29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
信息安全管理体系标准族
一般信息
信息安全管理体系(ISMS)标准族由一系列已发布的或制定中的相互关联的标准组成,并包含许多重要的结构组件。这些组件着重于对ISMS要求(ISO/IEC 27001|GB/T 22080)、对进行ISO/IEC 27001|GB/T 22080符合性认证的认证机构的要求(ISO/IEC 27006|GB/T 25067)和对行业特定ISMS实施的附加要求框架(ISO/IEC 27009)进行描述的规范性标准。其他标准提供ISMS实施的各方面指南,包括通用过程以及行业特定指南。
ISMS标准族中各标准之间的关系如图1所示。
- ISMS标准族关系
ISMS标准族的每一个标准按照其在ISMS标准族中的类型(或角色)和编号分别在下面描述。相应的条款为:
- 给出概述和术语的标准(见4.2);
- 规范要求的标准(见4.3);
- 给出一般指南的标准(见4.4);
- 给出行业特定指南的标准(见4.5)。
给出概述和术语的标准
ISO/IEC 27000|GB/T 29246(本标准)
信息技术 安全技术 信息安全管理体系 概述和词汇
范围:该标准为组织和个人提供:
- ISMS标准族的概述;
- 信息安全管理体系的介绍;
- ISMS标准族中使用的术语和定义。
目的:该标准描述信息安全管理体系的基础,形成ISMS标准族的主题,并定义相关术语。
规范要求的标准
ISO/IEC 27001|GB/T 22080
信息技术 安全技术 信息安全管理体系 要求
范围:该标准规范在组织整体业务风险的语境下建立、实施、运行、监视、评审、保持和改进正式信息安全管理体系(ISMS)的要求。它规范可被用来定制以满足单个组织或其部门需要的信息安全控制的实现要求。该标准可被用于所有类型、规模和性质的组织。
目的:ISO/IEC 27001|GB/T 22080为ISMS的开发和运行提供规范性要求,包括一套控制和降低信息资产相关风险的控制。组织通过运行ISMS寻求对其信息资产的保护。组织可以对其运行的ISMS的符合性进行审核和认证。作为ISMS过程的一部分,应从ISO/IEC 27001|GB/T 22080附录A中选择对所识别要求适合的控制目标和控制。ISO/IEC 27001|GB/T 22080附录A.1中列出的控制目标和控制是直接来自ISO/IEC 27002|GB/T 22081第5章至第18章并与其一致。
ISO/IEC 27006|GB/T 25067
信息技术 安全技术 信息安全管理体系审核认证机构的要求
范围:该标准在ISO/IEC 17021|GB/T 27021所含要求的基础上,为依据ISO/IEC 27001|GB/T 22080提供审核和ISMS认证的机构,规范要求并提供指南。它主要为依据ISO/IEC 27001|GB/T 22080提供ISMS认证的认证机构的认可提供支持。
目的:ISO/IEC 27006|GB/T 25067是对ISO/IEC 17021|GB/T 27021的补充,提供对认证组织进行认可的要求,以此许可这些组织一贯地提供对ISO/IEC 27001|GB/T 22080要求的符合性认证。
给出一般指南的标准
ISO/IEC 27002|GB/T 22081
信息技术 安全技术 信息安全控制实践指南
范围:该标准提供一套被广泛接受的控制目标和最佳实践的控制,为选择和实施实现信息安全的控制提供指南。
目的:ISO/IEC 27002|GB/T 22081提供关于信息安全控制实施的指南。特别是第5章至第18章为支持ISO/IEC 27001|GB/T 22080中所规范的控制提供最佳实践方面的具体实施建议和指南。
ISO/IEC 27003|GB/T 31496
信息技术 安全技术 信息安全管理体系实施指南
范围:该标准为依据ISO/IEC 27001|GB/T 22080建立、实施、运行、监视、评审、保持和改进ISMS提供实用的实施指南和进一步信息。
目的:ISO/IEC 27003|GB/T 31496为依据ISO/IEC 27001|GB/T 22080成功实施ISMS提供面向过程的方法。
ISO/IEC 27004|GB/T 31497
信息技术 安全技术 信息安全管理 测量
范围:该标准为了对ISO/IEC 27001|GB/T 22080所规范的,用于实施和管理信息安全的,ISMS、控制目标和控制的有效性进行评估,提供测量的开发和使用指南及建议。
目的:ISO/IEC 27004|GB/T 31497提供一种测量框架,以便能够依据ISO/IEC 27001|GB/T 22080对ISMS的有效性进行测量。
ISO/IEC 27005|GB/T 31722
信息技术 安全技术 信息安全风险管理
范围:该标准为信息安全风险管理提供指南。该标准给出的方法支持ISO/IEC 27001|GB/T 22080中所规范的一般概念。
目的:ISO/IEC 27005|GB/T 31722为实施面向过程的风险管理方法提供指南,有助于圆满实施和兑现ISO/IEC 27001|GB/T 22080中的信息安全风险管理要求。
ISO/IEC 27007
信息技术 安全技术 信息安全管理体系审核指南
范围:该标准在适用于一般管理体系的ISO 19011|GB/T 19011指南的基础上,为ISMS审核实施以及信息安全管理体系审核员能力提供指南。
目的:ISO/IEC 27007为需要依据ISO/IEC 27001|GB/T 22080中所规范的要求,进行ISMS内部或外部审核或者管理ISMS审核方案的组织提供指南。
ISO/IEC TR 27008|GB/Z 32916
信息技术 安全技术 信息安全控制措施审核员指南
范围:该指导性技术文件为评审控制措施的实施和运行符合组织建立的信息安全标准提供指南,包括信息系统控制措施的技术符合性检查。
目的:该指导性技术文件重点在于评审信息安全控制措施,包括对照组织建立的信息安全实施标准检查技术符合性。它不是为分别在ISO/IEC 27004|GB/T 31497、ISO/IEC 27005|GB/T 31722或ISO/IEC 27007中规范的测量、风险评估或ISMS审核,提供任何具体的符合性检查指南。该指导性技术文件不用于管理体系审核。
ISO/IEC 27013
信息技术 安全技术 ISO/IEC 27001和ISO/IEC 20000-1综合实施指南
范围:该标准为组织进行如下任何一种ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1的综合实施提供指南:
- 在已经实施了ISO/IEC 20000-1|GB.T 24405.1的情况下实施ISO/IEC 27001|GB/T 22080,或者反之;
- 同时实施ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1;
- 集成现有的ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1管理体系。
该标准专门聚焦在综合实施ISO/IEC 27001|GB/T 22080中所规范的信息安全管理系统(ISMS)和ISO/IEC 20000-1|GB.T 24405.1中所规范的服务管理体系(SMS)。
目的:为组织提供对ISO/IEC 27001|GB/T 22080和ISO/IEC 20000-1|GB.T 24405.1的特征和异同的更好理解,有助于规划同时符合两个标准的综合管理体系。
ISO/IEC 27014|GB/T 32923
信息技术 安全技术 信息安全治理
范围:该标准就信息安全治理的原则和过程提供指南,组织依此可以评价、指导和监视信息安全管理。
目的:信息安全已成为组织的一个关键问题。不仅法律法规要求日益增加,而且组织的信息安全措施失效会直接影响其声誉。因此,治理者越来越需要承担起治理责任中的信息安全监督职责,来确保组织目标的实现。
ISO/IEC TR 27016
信息技术 安全技术 信息安全管理 组织经济学
范围:该指导性技术文件提供一种方法学,以使组织能够更好地从经济上理解如何准确估价其所识别的信息资产,评价这些信息资产面临的潜在风险,认识对这些信息资产进行保护控制的价值,并确定用于保护这些信息资产的资源最佳配置程度。
目的:该指导性技术文件在组织所处的更广泛社会环境的语境下,在组织信息资产的保护中叠加经济视角,并通过模型和例子提供如何应用信息安全组织经济学的指南,是对ISMS标准族的补充。
给出行业特定指南的标准
ISO/IEC 27010|GB/T 32920
信息技术 安全技术 行业间和组织间通信的信息安全管理
范围:该标准在ISMS标准族已有指南的基础上,为在信息共享社区中实施信息安全管理提供指南,特别是为在组织间和行业间启动、实施、保持和改进信息安全另外提供控制和指南。
目的:该标准适用于所有形式的敏感信息交换与共享,不论公共的还是私人的、国内的还是国际的、同行业或市场的还是行业间的。特别是,它可适用于与组织或国家关键基础设施的供给、维护和保护相关的信息交换与共享。
ISO/IEC 27011
信息技术 安全技术 基于ISO/IEC 27002的电信组织信息安全管理指南
范围:该标准为支持在电信组织中实施信息安全控制提供指南。
目的:ISO/IEC 27011能使电信组织满足保密性、完整性、可用性和任何其他相关安全属性的信息安全管理基线要求。
ISO/IEC TR 27015
信息技术 安全技术 金融服务信息安全管理指南
范围:该指导性技术文件在ISMS标准族已有指南的基础上,为在提供金融服务的组织中启动、实施、保持和改进信息安全提供指南。
目的:该指导性技术文件是对ISO/IEC 27001|GB/T 22080和ISO/IEC 27002|GB/T 22081的专业补充,为提供金融服务的组织所用,以提供如下方面的支持:
- 启动、实施、保持和改进基于ISO/IEC 27001|GB/T 22080的信息安全管理体系。
- 设计和实施ISO/IEC 27002|GB/T 22081或该标准中定义的控制。
ISO/IEC 27017
信息技术 安全技术 基于ISO/IEC 27002的云服务信息安全控制实践指南
范围:ISO/IEC 27017通过提供如下指南给出适用于云服务供给和使用的信息安全控制指南:
- ISO/IEC 27002|GB/T 22081中规范的相关控制的额外实施指南;
- 与云服务特别相关的额外控制及其实施指南。
目的:该标准为云服务提供者和云服务客户提供控制和实施指南。
ISO/IEC 27018
信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护PII的实践指南
范围:ISO/IEC 27018按照ISO/IEC 29100中公有云计算环境下的隐私保护原则,为保护可识别个人信息(PII)建立被广泛接受的控制目标和控制,并提供措施的实施指南。
目的:该标准适用于通过与其他组织签约的云计算提供信息处理服务,作为PII处理者的组织,不论公共企业还是私营企业、政府机构还是非营利组织。该标准中的指南可能与作为PII控制者的组织也有关,但PII控制者可能受制于额外的,不适用于PII处理者的且不在该标准范围内的,保护PII的法律法规、规章制度和义务。
ISO/IEC TR 27019
信息技术 安全技术 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南
范围:ISO/IEC TR 27019就能源供给行业过程控制系统中实施的信息安全控制提供指南。能源供给行业的过程控制系统,与支持过程的控制相结合,对电力、燃气和供热的产生、传输、存储和分配进行控制和监视。特别是包括如下系统、应用和组件:
- 全面信息技术(IT)支持的集中式和分布式过程控制、监视和自动化技术以及用于其运行的IT系统,诸如编程和参数化设备;
- 数字控制器和自动化组件,诸如控制和现场设备或可编程逻辑控制器(PLC),包括数字传感器和执行器元件;
- 过程控制领域中用到的所有进一步的IT系统支持,例如对补充的数据可视化任务的支持,对控制、监控、数据归档和文档化的支持;
- 过程控制领域中用到的全部通信技术,例如,网络、遥测、远程控制应用和远程控制技术;
- 数字计量和测量装置,例如,对能量消耗、产生和释放的测量;
- 数字保护和安全系统,例如,继电保护或安全PLC;
- 未来智能电网环境下的分布式组件;
- 上述系统中安装的所有软件、固件和应用。
目的:在ISO/IEC 27002|GB/T 22081所规范的安全目标和措施的基础上,该指导性技术文件为能源供给行业和能源供应商使用的系统提供满足其进一步特定要求的信息安全控制的指南。
ISO 27799
健康信息学 使用ISO/IEC 27002的健康信息安全管理
范围:该标准为支持信息安全管理在健康组织中实施提供指南。
目的:ISO 27799基于ISO/IEC 27002|GB/T 22081,除了那些满足ISO/IEC 27001|GB/T 22080附录A要求的指南外,为健康组织提供其行业独特的指南。
延伸阅读
更多内容 可以 29246-2022 信息安全技术 信息安全管理体系 概述和词汇 征求意见稿. 进一步学习
联系我们
DB45-T 2560-2022 预包装南宁老友粉生产规范 广西壮族自治区.pdf