BS7799、ISO/IEC 17799、ISO/IEC 27001的联系与区别
BS7799、ISO/IEC 17799、ISO/IEC 27001的联系与区别
1.
标准组织 5 t8 A$ o8 D) w; u# K0 b1 U
, k" L0 Q$ q! k% B$ u. PBSI,英国标准协会 : l' ]- T7 a7 Z% b/ S
: r2 H O/ Y0 M7 [- i
ISO,国际标准化组织 1 p8 [: q. Z5 V/ U8 Q: e5 }2 L& M8 T& G
" @- A$ S- l+ c. l" P, d SIEC,国际电工委员会
# y, |+ q7 U' _
" Y. S; Z( E+ `& v 2 z- V9 x& v. y) @# X; K4 `
2. 标准之间的关系 ; w3 t# x3 b2 Z/ n8 k" W
6 E1 a/ e3 t* l4 D, W7 C h BS7799 是BSI针对 信息 安全 管理而制定的一个标准,其最早始于1995 年.BS 7799分为两个部分: : M0 g7 D( P8 K4 ?
6 j- _9 g n) U9 ^- \第一部分,名为(Code of Practice for Information Security Management),于 2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是常说的ISO 17799:2005。
, w# a9 D' W8 G! R9 G: X; p
# I; T1 w% }/ F$ P) C第二部分(for Information Security Managemenet Specification ),其最新修订版在05年10月正式成为ISO27001, / l- u0 k" r# Z) X+ I: b- ^
; N O n( R1 r+ T( }7 H1 ^
0 }7 x; F: [+ K. D3. 标准简介
5 Q! \% A3 ?8 x7 w3 ~( e3 a# K
. t& R: v( S6 I7 T第一部分,已于2000年被采纳为ISO/IEC 17799,是 信息安全管理实施细则Code of Practice for Information Security Management)。其05年最新版本涉及 信息安全管理的各个方面: 4 k* H% t* C, m. d6 p5 J; O
J2 v( _& }. k
安全 策略(Security Policy)
# |8 M# ~5 {) ^4 ~. j; O5 b信息安全的组织结构(Organization of information security) " p2 y7 \; @# g: m3 {& ?, l
资产管理(Asset Management)
$ m8 s, g2 F! A+ L8 u$ f2 {; P" g人力资源安全(Human resources security) 1 F: {/ ] K+ `6 X- |! A
物理和环境安全(Physical and environmental security)
/ R5 Z( {0 b9 O( z- @6 E通信和操作管理(Communication and operations management) ; w: q3 X* ?1 @( w6 |& @% U
访问 控制(Access control)
) I# M( t9 {% T% n+ U- F 系统采购、开发和维护(Information systems acquisition, development and maintenance)
4 G4 j5 L) R' D; S, k$ S信息安全事件管理(Information security incident management) # L5 n. T0 Z5 U* Q- A1 V5 Y
业务连续性管理(Business continuity management)
/ p& `( w- w) }" S" z符合性(Compliance)
; g" W# J) t! a
) i( V% x$ g, x! s& K( OBS 7799通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节,还有39个主要安全类和133个具体控制措施(最佳 实践),供负责信息安全系统开发的人员作为参考使用,以规范化组织机构信息 安全管理建设的内容。 7 \ G+ l+ a7 Q \* H' }! t
6 v% J) I8 o/ R8 T第二部分内容,05年10月正式成为ISO27001,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的 要求,可用来指导相关人员去 应用ISO 17799,其最终目的,在于建立适合 企业需要的信息安全管理体系(ISMS)。 " r% a$ q O0 ~/ Q6 C- l0 [' K
0 `4 [' K+ u, M- a3 p! `
! }5 F @. _* q0 u4.发展方向 ( T: j: Y0 y, g: z
: R3 r9 p, f( T2 f7 u; g
BS 7799-3:2005 - information security management systems - guidelines for information security risk management” is a new British Standard due for release in December 2005 4 V1 Q' |1 U9 I5 O2 H4 b+ @
& O- u' y* {5 v# x8 k将来新的ISO27000系列安全标准将有5个部分组成: }, E0 Z" }* {2 T2 t
+ w* ]* C3 X8 v# k# \ ( }, q t7 h/ o
ISO 27000 will formally define the specific technical vocabulary used in these standards;
% G4 n$ i. q' K# v+ T ! v( O! @5 S9 p$ `
ISO 27001 will be the ISO version of BS 7799-2, the certification standard (due for full release in November 2005, already available as a final draft); " h" R ?* `- W
. K" _: a" R; U8 D$ I) PISO 27002 will be the renamed and updated version of ISO 17799:2005 (to be released in 2006 or 2007); ) W6 T6 m0 f8 V/ g3 y
1 m. ~! G0 g# s8 V6 h
ISO 27003 will contain guidance for those implementing the ISO 27000-series standards; 2 ^7 q' S8 M5 t% }: b& R- r) V5 v
, K2 x/ m' R1 S; D/ `
ISO 27004 will be a new Information Security Management Metrics and Measurement standard to help measure the effectiveness of information security management system implementations (currently in draft); 9 H C8 ?4 N6 w7 S
* Q. d' d6 j( |9 j* I/ G+ d( [ISO 27005 will be the ISO version of BS 7799-3
3 t% Y# g0 G& F( n 0 W9 E& ?; w8 I3 Z O
; `0 W0 h% d w: e5 O3 f6 N1 G . ^' K, ] i/ x. t% C
--------------------------------------------------------------------------------
' B; c: B) e, b9 a/ M1 j) E 9 q& @# Z" O. f0 [" F
另外, CISSP论坛Iamapuma补充如下: , C0 }; F7 z0 B7 a" U, K
标准发展历史:
) q* L6 _; C7 k4 O7 M- p4 F( Q2 ?2 d
) W/ x: G6 z9 W& ~1993年,BS7799由英国贸易工业部立项
. o0 O. O6 ^6 L3 s1995年,出版BS7799-1:1995
. a( T( E4 P( k7 @- O( U( j8 J1998年,出版BS7799-2:1998
+ S( j2 U+ c& G1999年,出版BS7799-1:1999和BS7799-2:1999 1 D( ^! m' s/ ]9 v4 P
2000年12月,BS7799-1:1999通过ISO认可,成为国际标准,标准号为ISO/IEC17799:2000
- N# @7 I5 \2 G& U; f/ J/ G2 F2002年,出版BS7799-2:2002
$ d+ p5 R* x% x' R/ k5 X) A* p" ]2005年6月,ISO17799:2000改版为ISO17799:2005;
! h# O4 f$ y) T! y+ x2 s* x8 t# N4 [2005年10月BS7799-2:2002改版为ISO27001:2005. ) ^: u. A6 t0 n6 D
, b! v V/ ^ k
ISO27001的11个控制区域如下翻译更好一些:
/ I, _/ U1 ?; z5 ^" W
. o) h1 O% H' p1 w! d8 l6 e信息安全方针 & O2 d9 D/ E/ I* l" B3 s+ C, Q+ m
组织信息安全
# p$ y0 K3 d1 n4 ^; S1 w; I资产管理 , V# C+ ^8 J6 s+ G: d) J3 i0 P
人力资源安全
: D `; Y( J7 E/ n物理与环境安全
) p8 @! I9 Y9 j2 r! E通信和操作管理
' I2 T8 y% I0 u+ X访问控制
* f' N% \$ L2 J: [: q 信息系统获得、开发与维护
) k: x( ?" E& P+ X信息安全事件管理 * G+ L3 X0 p' b6 ~0 F2 r
商业连续性管理 " ~+ z. A+ }1 a
适用性
, k" L0 Q$ q! k% B$ u. PBSI,英国标准协会 : l' ]- T7 a7 Z% b/ S
: r2 H O/ Y0 M7 [- i
ISO,国际标准化组织 1 p8 [: q. Z5 V/ U8 Q: e5 }2 L& M8 T& G
" @- A$ S- l+ c. l" P, d SIEC,国际电工委员会
# y, |+ q7 U' _
" Y. S; Z( E+ `& v 2 z- V9 x& v. y) @# X; K4 `
2. 标准之间的关系 ; w3 t# x3 b2 Z/ n8 k" W
6 E1 a/ e3 t* l4 D, W7 C h BS7799 是BSI针对 信息 安全 管理而制定的一个标准,其最早始于1995 年.BS 7799分为两个部分: : M0 g7 D( P8 K4 ?
6 j- _9 g n) U9 ^- \第一部分,名为(Code of Practice for Information Security Management),于 2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是常说的ISO 17799:2005。
, w# a9 D' W8 G! R9 G: X; p
# I; T1 w% }/ F$ P) C第二部分(for Information Security Managemenet Specification ),其最新修订版在05年10月正式成为ISO27001, / l- u0 k" r# Z) X+ I: b- ^
; N O n( R1 r+ T( }7 H1 ^
0 }7 x; F: [+ K. D3. 标准简介
5 Q! \% A3 ?8 x7 w3 ~( e3 a# K
. t& R: v( S6 I7 T第一部分,已于2000年被采纳为ISO/IEC 17799,是 信息安全管理实施细则Code of Practice for Information Security Management)。其05年最新版本涉及 信息安全管理的各个方面: 4 k* H% t* C, m. d6 p5 J; O
J2 v( _& }. k
安全 策略(Security Policy)
# |8 M# ~5 {) ^4 ~. j; O5 b信息安全的组织结构(Organization of information security) " p2 y7 \; @# g: m3 {& ?, l
资产管理(Asset Management)
$ m8 s, g2 F! A+ L8 u$ f2 {; P" g人力资源安全(Human resources security) 1 F: {/ ] K+ `6 X- |! A
物理和环境安全(Physical and environmental security)
/ R5 Z( {0 b9 O( z- @6 E通信和操作管理(Communication and operations management) ; w: q3 X* ?1 @( w6 |& @% U
访问 控制(Access control)
) I# M( t9 {% T% n+ U- F 系统采购、开发和维护(Information systems acquisition, development and maintenance)
4 G4 j5 L) R' D; S, k$ S信息安全事件管理(Information security incident management) # L5 n. T0 Z5 U* Q- A1 V5 Y
业务连续性管理(Business continuity management)
/ p& `( w- w) }" S" z符合性(Compliance)
; g" W# J) t! a
) i( V% x$ g, x! s& K( OBS 7799通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节,还有39个主要安全类和133个具体控制措施(最佳 实践),供负责信息安全系统开发的人员作为参考使用,以规范化组织机构信息 安全管理建设的内容。 7 \ G+ l+ a7 Q \* H' }! t
6 v% J) I8 o/ R8 T第二部分内容,05年10月正式成为ISO27001,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的 要求,可用来指导相关人员去 应用ISO 17799,其最终目的,在于建立适合 企业需要的信息安全管理体系(ISMS)。 " r% a$ q O0 ~/ Q6 C- l0 [' K
0 `4 [' K+ u, M- a3 p! `
! }5 F @. _* q0 u4.发展方向 ( T: j: Y0 y, g: z
: R3 r9 p, f( T2 f7 u; g
BS 7799-3:2005 - information security management systems - guidelines for information security risk management” is a new British Standard due for release in December 2005 4 V1 Q' |1 U9 I5 O2 H4 b+ @
& O- u' y* {5 v# x8 k将来新的ISO27000系列安全标准将有5个部分组成: }, E0 Z" }* {2 T2 t
+ w* ]* C3 X8 v# k# \ ( }, q t7 h/ o
ISO 27000 will formally define the specific technical vocabulary used in these standards;
% G4 n$ i. q' K# v+ T ! v( O! @5 S9 p$ `
ISO 27001 will be the ISO version of BS 7799-2, the certification standard (due for full release in November 2005, already available as a final draft); " h" R ?* `- W
. K" _: a" R; U8 D$ I) PISO 27002 will be the renamed and updated version of ISO 17799:2005 (to be released in 2006 or 2007); ) W6 T6 m0 f8 V/ g3 y
1 m. ~! G0 g# s8 V6 h
ISO 27003 will contain guidance for those implementing the ISO 27000-series standards; 2 ^7 q' S8 M5 t% }: b& R- r) V5 v
, K2 x/ m' R1 S; D/ `
ISO 27004 will be a new Information Security Management Metrics and Measurement standard to help measure the effectiveness of information security management system implementations (currently in draft); 9 H C8 ?4 N6 w7 S
* Q. d' d6 j( |9 j* I/ G+ d( [ISO 27005 will be the ISO version of BS 7799-3
3 t% Y# g0 G& F( n 0 W9 E& ?; w8 I3 Z O
; `0 W0 h% d w: e5 O3 f6 N1 G . ^' K, ] i/ x. t% C
--------------------------------------------------------------------------------
' B; c: B) e, b9 a/ M1 j) E 9 q& @# Z" O. f0 [" F
另外, CISSP论坛Iamapuma补充如下: , C0 }; F7 z0 B7 a" U, K
标准发展历史:
) q* L6 _; C7 k4 O7 M- p4 F( Q2 ?2 d
) W/ x: G6 z9 W& ~1993年,BS7799由英国贸易工业部立项
. o0 O. O6 ^6 L3 s1995年,出版BS7799-1:1995
. a( T( E4 P( k7 @- O( U( j8 J1998年,出版BS7799-2:1998
+ S( j2 U+ c& G1999年,出版BS7799-1:1999和BS7799-2:1999 1 D( ^! m' s/ ]9 v4 P
2000年12月,BS7799-1:1999通过ISO认可,成为国际标准,标准号为ISO/IEC17799:2000
- N# @7 I5 \2 G& U; f/ J/ G2 F2002年,出版BS7799-2:2002
$ d+ p5 R* x% x' R/ k5 X) A* p" ]2005年6月,ISO17799:2000改版为ISO17799:2005;
! h# O4 f$ y) T! y+ x2 s* x8 t# N4 [2005年10月BS7799-2:2002改版为ISO27001:2005. ) ^: u. A6 t0 n6 D
, b! v V/ ^ k
ISO27001的11个控制区域如下翻译更好一些:
/ I, _/ U1 ?; z5 ^" W
. o) h1 O% H' p1 w! d8 l6 e信息安全方针 & O2 d9 D/ E/ I* l" B3 s+ C, Q+ m
组织信息安全
# p$ y0 K3 d1 n4 ^; S1 w; I资产管理 , V# C+ ^8 J6 s+ G: d) J3 i0 P
人力资源安全
: D `; Y( J7 E/ n物理与环境安全
) p8 @! I9 Y9 j2 r! E通信和操作管理
' I2 T8 y% I0 u+ X访问控制
* f' N% \$ L2 J: [: q 信息系统获得、开发与维护
) k: x( ?" E& P+ X信息安全事件管理 * G+ L3 X0 p' b6 ~0 F2 r
商业连续性管理 " ~+ z. A+ }1 a
适用性