ISO/IEC 27000系列
維基百科,自由的 encyclopedia
ISO/IEC 27000 系列標準 (又名ISO/IEC 27000 標準系列,及「資訊保安管理系統標準族」,簡稱「ISO27K」) 是由國際標準化組織(ISO)及國際電工委員會(IEC)聯合客製化。
該標準系列由最佳實踐所得並提出對於資訊保安管理的建議,並在資訊保安管理系統領域中的風險及相關管控,該標準系列與質素管理保證系統的標準(ISO 9000系列)和環境保護標準系列(ISO 14000系列)有類似的架構[1]。
該系列故意擴大了在資訊保安領域的範圍,不僅僅包含私隱,保密以及資訊科技層面,更包含了包括法律,人員管理,物資管理等諸多方面,從而可以使其可以適合各種大小的組織。根據ISO/IEC 27000標準中推薦,每個與資訊相關的組織都應該根基本系列進行相關的資訊保安風險評估,並藉由相關的指導和建議實施適當的資訊保安管控。鑑於資訊保安的動態本質,針對事態的反應,回饋以及教訓,並由此改進資訊保安措施是非常合適的。總的來說也就是通過戴明的PDCA法,尋找資訊保安相關威脅,弱點,影響並進行資訊保安措施改進。
該標準系列中的標準是由ISO/IEC JTC1 (1號技術聯合委員會) SC27 (下屬27號委員會)委員會制定,該委員會每兩年進行一次實體會議。
目前該標準系列中共有22個標準批准發佈,另有一部分仍然在制定之中。標準文字由國際標準化組織直接銷售,本土化及譯本標準則有相關國家標準組織銷售。