认证种别/ Certification

1541993508332504.jpg

ISO27001是有关信息宁静办理的国际规范。最初源于英国规范BS7799,颠末十年的不时改版,终究在2005年被国际规范化构造(ISO)转化为正式的国际规范,于2005年10月15日宣布为ISO/IEC 27001:2005。该规范可用于构造的信息宁静办理系统的成立和实行,保证构造的信息宁静,接纳PDCA进程体例,基于危险评价的危险办理理念,周全系统地延续改良构造的宁静办理。对古代企业来讲,将以往被以为是本钱中间的IT局部改变成主动的增值办事供给者,是一种挑衅,也是机缘,而鞭策这一机缘成为实际的.

  2.取得认证应具有的前提

应具有响应的天资,(如停业执照、构造机构代码、相干的国度行政审批天资或行业天资),具有相干举措办法和资本,能普通展开运营勾当。能供给三个月以上的运营勾当记实。

4.取得认证的效益

  1、经由进程界说、评价和节制危险,确保运营的延续性和才能

  2、削减因为条约违规行动和间接冒犯法令律例请求所构成的义务

  3、经由进程遵照国际规范进步企业合作才能,晋升企业抽象

  4、明白界说一切构造的内部和内部的信息接口方针:严防数据的误用和丧失

  5、成立宁静东西利用方针

  6、严防手艺窍门的丧失

  7、在构造内部加强宁静认识

  8、可作为大众管帐审计的证据

系列规范

编辑

ISO已为信息宁静办理系统规范预留了ISO/IEC 27000系列编号,近似于品质办理系统的ISO9000系列和情况办理系统的ISO14000系列规范。

打算的ISO27000系列包罗以下规范

ISO 27000 道理与术语Principles and vocabulary

ISO 27001 信息宁静办理系统—请求 ISMS Requirements (以BS 7799-2为根本)

ISO 27002 信息手艺—宁静手艺—信息宁静办理理论规范 (ISO/IEC 17799:2005)

ISO 27003 信息宁静办理系统—实行指南ISMS Implementation guidelines

ISO 27004 信息宁静办理系统—方针与丈量ISMS Metrics and measurement

ISO 27005 信息宁静办理系统—危险办理ISMS Risk management

ISO 27006 信息宁静办理系统—认证机构的承认请求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息手艺-宁静手艺-信息宁静办理系统考核员指南

Information technology_Security techniques_ISMS auditor guidelines

此中ISO27001:2005 的终究规范草案(FDIS)已在2005年7月宣布,估计在2005年末或2006年头作为正式国际规范宣布。 [1] 

全体比拟

编辑

有用版本是BS7799-2:2002。当ISO27001正式宣布后,BS7799-2:2002将被撤消。

全体来看,2005版与2000版不很是大的变更,2000版有10个章节,127项节制,而2005版有11章节,134项的节制办法。旧版的127个节制办法绝大局部仍保留,删除的不到10%,变动局部约占10%,增添局部约有10%多。布局比拟以下:

节制方针和节制办法的布局形式完全不异,不产生变更,即节制方针划定了宁静请求,对应节制方针有一项或多项节制办法来知足方针的请求。可是节制方针和节制办法的陈说体例上,2005版停止了改良,使其更明白,轻易懂得。

2005版规范将一些节制办法停止了重组、调剂了分类和隶属干系,更好的表现了进程体例。

2005版点窜了局部辞汇,如“内部单元(external parties)”包罗旧版的第三方、外包、客户,使规范的合用规模更普遍。

因新的IT手艺增添新的节制办法,如挪动式编码(mobile code)和手艺软弱性办理(technical vulnerability management)。

随因特网的成长点窜节制办法辞汇,如: 2000版 2005版Automatic terminal identification → Identification of equipments in networksTerminal log-on procedures → Secure log-on proceduresTerminal time-out → Session time-outEnforced path → 被删除

别的相干

编辑

版本先容

(一) 规范版本及称号

ISO/IEC 17799:2005?? Information technology — Security techniques — Code of practice for information security management 信息手艺—宁静手艺—信息宁静办理理论规范

(二) 新版规范宣布日期

2005年6月15日

(三) 节制办法的数目

ISO/IEC 17799:2005 共有11章,134项节制办法。

11 个节制办法章节是:

1. security policy;

2. organization of information security;

3. asset management;

4. human resources security;

5. physical and environmental security;

6. communications and operations management;

7. access control;

8. information systems acquisition, development and maintenance;

9. information security incident management;

10. business continuity management;

11. Compliance.

规范先容

停止2006年5月18日,ISO/IEC JTC1/SC27/WG1正在拟定中的规范包罗5个,别离是:

ISO/IEC 27000

ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息宁静办理系统根本和术语),属于A类规范。ISO/IEC 27000供给了ISMS规范族中所触及的通用术语及根基准绳,是ISMS规范族中最根本的规范之一。ISMS规范族中的每一个规范都有“术语和界说”局部,但差别规范的术语间常常缺少调和性,而ISO/IEC27000则首要用于完成这类调和。

ISO/IEC 27000今朝处于WD(任务组草案)阶段,正在SC27内研讨并收罗定见。

ISO/IE 27003

ISO/IEC27003(Information security management system implementation guidance 信息宁静办理系统实行指南),属于C类规范。ISO/IEC27003为成立、实行、监督、评审、坚持和改良合适ISO/IEC27001的ISMS供给了实行指南和进一步的信息,利用者首要为构造内担任实行ISMS的职员。

该规范给出了ISMS实行的关头胜利身分,实行进程遵照ISO/IEC27001请求的PDCA模子停止,并进一步先容了各个阶段的勾当内容及具体实行指南。

ISO/IEC 27003也处在WD阶段,正在SC27内研讨并收罗定见。

ISO/IEC 27004

ISO/IEC27004(Information security management measurements 信息宁静办理丈量),属于C类规范。该规范首要为构造丈量信息宁静节制办法和ISMS进程的有用性供给指南。

该规范将丈量分为两个种别:有用性丈量和进程丈量,列出了多种丈量体例,比方查询拜访问卷、察看、常识评价、查抄、二次履行、测试(包罗设想测试和运转测试)和抽样等。

该规范界说了ISMS的丈量进程:起首要实行ISMS的丈量,应界说挑选丈量办法,同时肯定丈量的工具和考证原则,构成丈量打算;实行ISMS丈量的进程中,应界说数据的搜集、阐发和报告法式并评审、核准供给资本以撑持丈量勾当的展开;在ISMS的查抄和措置阶段,也应答丈量办法加以改良,这就请求起首界说丈量进程的评价原则,对丈量进程加以监控,并按期实行评审。

该规范已处于CD(委员会草案)阶段,估计将于2008年完成。

ISO/IEC 27005

ISO/IEC27005(Information security risk management 信息宁静危险办理),属于C类规范。该规范给出了信息宁静危险办理的指南,此中所描写的手艺遵守ISO/IEC27001中的通用观点、模子和进程。

该规范先容了普通性的危险办理进程,偏重点论述了危险评价的几个首要关头,包罗危险评价、危险处置、危险接管等。在规范的附录中,给出了资产、影响、懦弱性和危险评价的体例,并列出了罕见的要挟和懦弱性。最初还给出了按照差别通讯系统和差别宁静题目和要挟挑选节制办法的体例。

今朝该规范处于Final CD(终究委员会草案)阶段。

ISO/IEC 27006

ISO/IEC27005(Requirements for the accreditation of bodies providing certification of information security management systems 信息宁静办理系统认证机构的承认请求),属于D类规范。该规范的首要内容是对处置ISMS认证的机构提出了请求和规范,或说它划定了一个机构“具有如何的前提便能够处置ISMS认证营业”。

今朝该规范处于Final CD(终究委员会草案)阶段。

征询认证

编辑

信息宁静办理系统扶植名目分别成五个大的阶段,并包罗25项关头的勾当,若是每项前后联系关系的勾当都能很好地完成,终究就能够成立起有用的ISMS,完成信息宁静扶植全体蓝图,接管ISO27001考核并取得认证更是瓜熟蒂落的工作。

1近况调研:从平常运维、办理机制、系统设置装备摆设等方面临构造信息宁静办理宁静近况停止调研,经由进程培训使构造相干职员周全领会信息宁静办理的根基常识。

2 危险评价:对构造信息资产停止资产代价、要挟身分、懦弱性阐发,从而评价构造信息宁静危险,挑选恰当的办法、体例完成办理危险的目标。

3 办理筹谋:按照构造对信息宁静危险的战略,拟定响应的信息宁静全体打算、办理打算、手艺打算等,构成完全的信息宁静办理系统。

4 系统实行阶段:ISMS成立起来(系统文件正式宣布实行)以后,要经由进程必然时候的试运转来查验其有用性和不变性。

5 认证考核阶段:颠末必然时候运转,ISMS到达一个不变的状况,各项文档和记实已成立完整,此时,能够提请停止认证。 




拨打德律风