信息安全标准ISO27000

那天去考绿盟，最后问到ISO27000标准的事情，想了半天，不记得以前学过这个，今天上网去查，发现原来就是BS7799的ISO版本，。

 

唉，虽然那个考的不怎么样，但了解一下这个标准还是很有用的，下面就贴一些资料吧。

 

以下内容转自：http://duecare.biz/cgi-bin/mt/mt-tb.cgi/21

 

BS7799-2于2005年10月正式成为ISO标准。标准号为ISO 27001。
 
BS7799-1即ISO 17799:2000也正式更新为ISO 17799:2005，更新后的17799涉及了11安全控制章节，如下：

安全策略（Security Policy）
信息安全的组织结构（Organizing information security）
资产管理（Asset Management）
人力资源安全（Human resources security）
物理和环境安全（Physical and environmental security）
通信和操作管理（Communication and operations management）
访问控制（Access control）
系统采购、开发和维护（Information system acquisition, development and maintenance）
信息安全事件管理（Information security incident management）
业务连续性管理（Business continuity management）
符合性（Compliance）

相对与2000版本，新版的变化较多，增加了事件管理（Incident Management），同时原有的几个章节也更加符合当前信息安全的定义。名称的描述也更贴切。

 

BS7799可谓信息安全业的圣经。是BSI针对信息安全管理制定的一个标准。我们所熟知的为两个部分：
 
第一部分，名为（Code of Practice for Information Security Management），2000年被采纳为ISO/IEC 17799，目前其最新版本为2005版，也就是ISO 17799:2005。ISO 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节，还有39个主要安全类和133个具体控制措施（最佳实践），供负责信息安全系统开发的人员作为参考使用，以规范化组织机构信息安全管理建设的内容。
 
第二部分，名为（Information Security Management Specification），其最新修订版在05年10月正式成为ISO 27001，ISO 27001是建立信息安全管理体系（ISMS）的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，可用来指导相关人员去应用ISO 17799，其最终目的，在于建立适合企业需要的信息安全管理体系（ISMS）。

目前7799的第三个部分也正式成为了英国标准（British Standard），即BS 7799-3:2005 - ISMS - 信息安全风险管理指南（Information Security Management Systems - Guidelines for Information Security Risk Management）。

 

未来新的ISO27000系列安全标准将有5个部分组成:：

ISO 27000：定义在ISO 27000系列信息安全标准中应用的特殊技术术语；
ISO 27001：即BS 7799-2的ISO版本、已经在2005年10月成为正式标准；
ISO 27002：即BS 7799-1的ISO版本，也是ISO 17799:2005的更新版本，将在2006或2007年发布；
ISO 27003：将成为如何应用ISO 27000系列标准的指南；
ISO 27004：将成为一个全新的、用来衡量信息安全管理系统（ISMS）实施效果的信息安全管理结构和度量标准（Information Security Management Metrics and Measurement standard），目前处理草案阶段。
ISO 27005：将是BS 7799-3的ISO版本。