ISO27001信息安全管理体系标准是目前世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下:
ISO27001信息安全管理体系标准是目前世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下:
一、ISO27000标准族系相关标准明细表
|
序号 |
标准编号 | 标准名称 |
现行状态 |
| 1 | ISO27000 | 信息技术–安全技术-信息安全管理体系-概论及术语 | 2009年出版 |
| 2 | ISO27001 | 信息技术–安全技术-信息安全管理体系-要求 | 2013年出版 |
| 3 | ISO/IEC27002 | 信息技术–安全技术-信息安全管理-为规范 | 2013年出版 |
| 4 | ISO/IEC27003 | 信息技术–安全技术-信息安全管理体系-实施指南 | 2010年出版 |
| 5 | ISO/IEC27004 | 信息技术–安全技术-信息安全管理-测量 | 2009年出版 |
| 6 | ISO/IEC27005 | 信息技术–安全技术-信息安全风险管理 | 2011年出版 |
| 7 | ISO/IEC27006 | 信息技术–安全技术-认证机构要求 | 2011年出版 |
| 8 | ISO/IEC27007 | 信息技术–安全技术-信息安全管理体系审核指南 | 2011年出版 |
| 9 | ISO/IECTR27008 | 信息安全控制措施审核指南 | 2011年出版 |
| 10 | ISO/IEC27010 | 行业间交流的信息安全管理 | 2012年出版 |
| 11 | ISO/IEC27011 | 信息技术–安全技术-基于ISO/IEC27002通讯行业信息安全管理体系 | 2008年出版 |
| 12 | ISO/IEC27013 | 信息技术–安全技术-ISO/IEC20000-1及ISO/IEC27001一体化实施指南 | 2012年出版 |
| 13 | ISO/IEC27014 | 信息安全治理框架 | 工作组草案 |
| 14 | ISO/IECTR27015 | 金融及保险行业信息安全管理体系 | 2012年出版 |
| 15 | ISO/IEC27031 | 信息技术–安全技术–业务连续性的ICT准备能力指南 | 2011年出版 |
| 16 | ISO/IEC27032 | 信息技术–安全技术–网络空间安全指南 | 2012年出版 |
| 17 | ISO/IEC27033-1 | 信息技术–安全技术–网络安全–第1部分:概述和概念 | 2009年出版 |
| 18 | ISO/IEC27033-2 | 信息技术–安全技术–网络安全–第2部分:设计和实施网络安全指南 | 2012年出版 |
| 19 | ISO/IEC27033-3 | 信息技术–安全技术–网络安全–第3部分:参考网络情境–威胁、设计技术和控制活动 | 2010年出版 |
| 20 | ISO/IEC27033-4 | 信息技术–安全技术–网络安全–第4部分:使用安全网关确保网络间的通信安全–威胁、设计技术和控制活动 | 工作组草案 |
| 21 | ISO/IEC27034-1 | 应用安全–第1部分:概述和概念 | 2011年出版 |
| 22 | ISO/IEC27034-2 | 应用安全–第2部分:组织规范性框架 | 批准的新项目 |
| 23 | ISO/IEC27034-3 | 应用安全–第3部分:应用安全管理过程 | 批准的新项目 |
| 24 | ISO/IEC27034-4 | 应用安全–第4部分:应用安全确认 | 批准的新项目 |
| 25 | ISO/IEC27034-5 | 应用安全–第5部分:协议和应用安全控制的数据结构 | 批准的新项目 |
| 26 | ISO/IEC27035 | 信息技术–安全技术–信息安全事件管理 | 2011年出版 |
| 27 | ISO/IEC27036 | 信息技术–安全技术–外包安全指南 | 批准的新项目 |
| 28 | ISO/IEC27037 | 识别、收集、获取和保存数字证据指南 | 2012年出版 |
| 29 | ISO/IEC27038 | 信息技术–安全技术–数字化修订详述 | 批准的新项目 |
二、ISO27001:2013标准控制目标分解
| 控制域 | 控制目标 |
| A.5 安全方针 | A.5.1信息安全方针 |
| A.6 信息安全组织 | A.6.1 内部组织 A.6.2 移动设备和远程工作 |
| A.7 人力资源安全 | A.7.1 雇佣前 A.7.2 雇佣期间 A.7.3 雇佣终止或变更 |
| A.8 资产管理 | A.8.1 资产责任 A.8.2 信息分类 A.8.3 介质处置 |
| A.9 访问控制 | A.9.1 安全区域 A.9.2 用户访问管理 A.9.3 用户职责 A.9.4系统和应用访问控制 |
| A.10 密码学 | A.10.1 密码控制 |
| A.11 物理和环境安全 | A.11.1安全区域 A.11.2 设备 |
| A.12 操作安全 | A.12.1 操作规程和职责 A.12.2 恶意软件防护 A.12.3 备份 A.12.4 日志和监视 A.12.5 运行软件控制 A.12.6 技术脆弱性管理 A.12.7 信息系统审计考虑 |
| A.13 通信安全 | A.13.1 网络安全管理 A.13.2 信息交换 |
| A.14 系统获取、开发和维护 | A.14.1 信息系统的安全需求 A.14.2 开发和支持过程中的安全 A.14.3 测试数据 |
| A.15 供应商关系 | A.15.1 供应商关系的信息安全 A.15.2 供应商服务交付管理 |
| A.16 信息安全事件管理 | A.16.1 信息安全事件和改进的管理 |
| A.17 业务连续性管理的信息安全方面 | A.17.1 信息安全连续性 A.17.2 冗余 |
| A.18 符合性 | A.18.1 符合法律和合同要求 A.18.2 信息安全评审 |
声 明:本站文章仅供学习和工作交流,请勿用于商业出版或司法引用。任何组织或个人在未征得本站书面授权同意前,禁止复制、盗用、采集本站内容,非商业应用转载请务必注明文章来源(燕窝儿社区)和本文链接。如若本站内容不慎侵犯了原著的合法权益,请联系我们进行删帖处理。留言反馈
能不能下载