與ISO27001相關(guān)的幾個(gè)重要的信息安全標(biāo)準(zhǔn)
主要內(nèi)容如下:
ISO/IEC TR 13335系列
SSE-CMM
ITIL和BS15000
CC
CoBIT
NIST SP800系列
1、ISO/IEC TR 13335
ISO/IEC TR 13335,早前被稱作“IT 安全管理指南”(Guidelines for the Management of IT Security,GMITS),新版稱作“信息和通信技術(shù)安全管理”(Management of Information and Communications Technology Security,MICTS),是ISO/IEC JTC1 制定的技術(shù)報(bào)告,是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn),其目的是為有效實(shí)施IT安全管理提供建議和支持。
ISO/IEC TR 13335系列標(biāo)準(zhǔn)(舊版)- GMITS,由5部分標(biāo)準(zhǔn)組成:
ISO/IEC13335-1:1996《IT安全的概念與模型》
ISO/IEC13335-2:1997《IT安全管理與策劃》
ISO/IEC13335-3:1998《IT安全管理技術(shù)》
ISO/IEC13335-4:2000《防護(hù)措施的選擇》
ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》
目前,ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004(MICTS 第1部分:信息和通信技術(shù)安全管理的概念和模型)所取代,ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2(MICTS 第2 部分:信息安全風(fēng)險(xiǎn)管理)取代。
ISO/IEC TR 13335 只是一個(gè)技術(shù)報(bào)告和指導(dǎo)性文件,并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn),信息安全體系建設(shè)參考BS 7799,具體實(shí)踐參考ISO TR 13335。
2、SSE-CMM
SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支,是美國國家安全局(NSA)領(lǐng)導(dǎo)開發(fā)的,是專門用于系統(tǒng)安全工程的能力成熟度模型。
SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相應(yīng)評估方法2.0版發(fā)布。
系統(tǒng)安全工程過程一共有三個(gè)相關(guān)組織過程:
工程過程
風(fēng)險(xiǎn)過程
保證過程
共分5個(gè)能力級別,11個(gè)過程區(qū)域:
基本執(zhí)行級
計(jì)劃跟蹤級
充分定義級
量化控制級
持續(xù)改進(jìn)級
2002年被國際標(biāo)準(zhǔn)化組織采納成為國際標(biāo)準(zhǔn)即ISO/IEC 21827:2002《信息技術(shù)系統(tǒng)安全工程-成熟度模型》。
SSE-CMM 和BS 7799 都提出了一系列最佳慣例,但BS 7799 是一個(gè)認(rèn)證標(biāo)準(zhǔn)(第二部分),提出了一個(gè)可供認(rèn)證的ISMS 體系,組織應(yīng)該將其作為目標(biāo),通過選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤?shí)現(xiàn)。而SSE-CMM 則是一個(gè)評估標(biāo)準(zhǔn), 適合作為評估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn)
3、通用標(biāo)準(zhǔn)(CC)
我們通常所稱的通用標(biāo)準(zhǔn)或通用準(zhǔn)則(Common Criteria,簡稱CC)是指ISO/IEC15408:1999標(biāo)準(zhǔn)。目前CC標(biāo)準(zhǔn)的最新版本是2.2;CC2.1版在1999年成為國際標(biāo)準(zhǔn)ISO/IEC15408:1999;我國在2001年等同采用為國家標(biāo)準(zhǔn)GB/T 18336-2001。
CC標(biāo)準(zhǔn)由三個(gè)部分組成:
GB/T 18336.1-2001 idt ISO/IEC15408-1:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分:簡介和一般模型
GB/T 18336.2-2001 idt ISO/IEC15408-2:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分:安全功能要求
GB/T 18336.3-2001 idt ISO/IEC15408-3:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分:安全保證要求
與BS7799 標(biāo)準(zhǔn)相比,CC 的側(cè)重點(diǎn)放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價(jià)上,BS7799 在闡述信息安全管理要求時(shí),并沒有強(qiáng)調(diào)技術(shù)細(xì)節(jié)。因此,組織在依照BS7799 標(biāo)準(zhǔn)來實(shí)施ISMS 時(shí),一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求,可以借鑒CC 標(biāo)準(zhǔn)。
4、ITIL和BS15000
ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫(Information Technology Infrastructure Library)。ITIL針對一些重要的IT實(shí)踐,詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。
IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付(Service Delivery)和服務(wù)支持(Service Support)
服務(wù)交付(Service Delivery):
Service Level Management
Financial Management for IT Service
Capacity Management
IT Service Continuity Management
Availability Management
服務(wù)支持(Service Support):
Service Desk
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
有關(guān)ITIL,我之前也有一篇文章進(jìn)行過簡單介紹。
2001年,英國標(biāo)準(zhǔn)協(xié)會在國際IT 服務(wù)管理論壇(itSMF)上正式發(fā)布了以ITIL為核心的英國國家標(biāo)準(zhǔn)BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。
BS15000 有兩個(gè)部分,目前都已經(jīng)轉(zhuǎn)化成國際標(biāo)準(zhǔn)了。
ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范(Information technology service management. Specification for Service Management)
ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實(shí)踐( Information technology service management. Code of Practice for Service Management)
與BS7799 相比,ITIL 關(guān)注面更為廣泛(信息技術(shù)),而且更側(cè)重于具體的實(shí)施流程。ISMS實(shí)施者可以將BS7799 作為ITIL 在信息安全方面的補(bǔ)充,同時(shí)引入ITIL 流程的方法,以此加強(qiáng)信息安全管理的實(shí)施能力。
5、CoBIT
CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標(biāo)(Control Objectives for Information and related Technology),是ITGI提出的IT治理模型(IT Governance),是一個(gè)IT控制和IT治理的框架(framework)。CobiT是一個(gè)在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的IT治理模型。
CoBIT的八個(gè)控制過程:
計(jì)劃和組織(Planning & Organisation)
采購和實(shí)施(Acquisition & Implementation)
交付和支持(Delivery & Support)
監(jiān)視和評估(Monitoring & evaluation)
CoBIT的七個(gè)控制目標(biāo):
機(jī)密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
有效性(Effectiveness)
高效性(Efficiency)
可靠性(Reliability)
符合性(Compliance)
目前基本上存在著兩類控制模型,一類是類似COSO這樣的商業(yè)控制模式(business control model),另一類則是像BS7799這樣的更關(guān)注IT的控制模型(more focused on IT control model),而CoBIT的目標(biāo)是在兩者之間架起一座橋梁。
6、NIST SP800系列
美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會(National Institute of Standards and Technology,NIST)發(fā)布的Special Publication 800 文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南,其中有多篇是有關(guān)信息安全管理的,包括:
SP 800-12:計(jì)算機(jī)安全介紹(An Introduction to Computer Security: The NIST Handbook)
SP 800-30 : IT 系統(tǒng)風(fēng)險(xiǎn)管理指南(Risk Management Guide for Information Technology Systems)
SP 800-34:IT 系統(tǒng)應(yīng)急計(jì)劃指南(Contingency Planning Guide for Information Technology Systems)
SP 800-26 : IT 系統(tǒng)安全自我評估指南( Security Self-Assessment Guide for Information Technology Systems)
這些文件可以作為實(shí)施ISMS 過程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照(例如風(fēng)險(xiǎn)評估、應(yīng)急計(jì)劃等),是對BS7799 標(biāo)準(zhǔn)很好的補(bǔ)充和細(xì)化。
7、BS7799系列(ISO/IEC 27000系列)
BS7799 Part 1:
BSBS7799 Part 1的全稱是Code of Practice for Information Security,也即為信息安全的實(shí)施細(xì)則。2000年被采納為ISO/IEC 17799,目前其最新版本為2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個(gè)安全管理要素,還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施(最佳實(shí)踐),供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開發(fā)的人員作為參考使用,以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。
ISO/IEC 17799:2005的內(nèi)容如下圖:(見附件)
BS7799 Part 2:
BS7799 Part 2的全稱是Information Security Management Specification,也即為信息安全管理體系規(guī)范,其最新修訂版在05年10月正式成為ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規(guī)范,其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799,其最終目的,在于建立適合企業(yè)需要的信息安全管理體系(ISMS)。
今天通過對《與ISO27001相關(guān)的幾個(gè)重要的信息安全標(biāo)準(zhǔn)》的學(xué)習(xí),相信你對認(rèn)證有更好的認(rèn)識。如果要辦理相關(guān)認(rèn)證,請聯(lián)系我們吧。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
