ISO/IEC 27001,其名称是《资讯科技—安全技术—资讯安全管理系统—要求》(Information technology — Security techniques — Information security management systems — Requirements)是资讯安全管理的国际标准。此标准一开始是由国际标准化组织(ISO)及国际电工委员会(IEC)在2005年联合发布[1],曾在2013年改版[2],最近一次改版是在2022年[3]。其中有列出有关资讯安全管理系统(information security management system、ISMS)架构、实施、维护以及持续改善上的要求,目的是帮助组织可以使其保管的资讯资产更加安全[4]。2017年时,欧洲有更新此标准,并且出版[5]。组织若要符合此标准的要求,在成功完成一次内部审计后,可申请由合格的认证单位进行认证。

ISO/IEC 27001设计包括的示例不只是IT部门而已, ISO/IEC 27001会要求进行以下的管理:

  • 系统性地检验组织的资讯安全风险,考虑其威胁、弱点以及影响。
  • 设计、实现连贯而且全面的资讯安全控管包,并且/或者其他的风险管理方案(例如风险避免或风险转移)来处理无法接受的风险。
  • 用总体管理的流程,在现有的基础上,确认资讯安全管理控管可以持续的符合组织的资讯安全需求。

管理层为了认证的考量,会决定资讯安全管理系统(ISMS)的范围,例如限制在单一的事业单位或是单一地区。ISO/IEC 27001可以针对个别部门的认证,也可以针对全公司的认证[6][7]

ISO/IEC 27000系列中的标准中可以提供设计、实现资讯安全管理系统以及其运作相关的指引,例如在有关资讯安全风险管理的ISO/IEC 27005英语ISO/IEC 27005

标准历史

ISO/IEC 27001中有许多内容是源自英国标准BS 7799英语BS 7799

BS 7799是由BSI集团提出的标准[8]。由英国贸易和工业部英语Department of Trade and Industry (United Kingdom)在1995年时改写,分为几个部分。

BS7799的第一部分包括资讯安全管理的最佳实务,在1998年修订。各国的标准机构针对其内容进行长期的讨论,最后由ISO在2000年修订为ISO/IEC 17799《资讯科技—资讯安全管理实务准则》(Information Technology - Code of practice for information security management)。在2005年6月再次修订,最后在2007年7月集成在ISO 27000的系列标准中(ISO/IEC 27002)。

BS7799的第二部分最早是由BSI在1999年发布,称为BS 7799第二部《资讯安全管理系统—规范及使用指引》(Information Security Management Systems - Specification with guidance for use)。BS 7799-2注重如何实现资讯安全管理系统(ISMS),在BS 7799-2中称为资讯管理结构及控制。这部分后来成为ISO/IEC 27001:2005。BS 7799第二部分后来在2005年11月被ISO修改为ISO/IEC 27001。

BS 7799第三部分是在2005年后发布,包括了风险分析及管理,后来变成ISO/IEC 27001:2005。

BS标准中,很少内容有引用ISO/IEC 27001。

认证

许多认可注册商英语Accredited Registrar可以认证资讯安全管理系统是否符合ISO/IEC 27001[9]。若是针对ISO/IEC 27001各国版本(例如日本的JIS Q 27001)的认证,在功能上等效于针对ISO/IEC 27001的认证。

有些国家会将认证管理系统的组织称为“认证机构”(certification bodies),有些则称为“登记机构”(registration bodies)、“评估及登记机构”(assessment and registration bodies)、“认证/登记机构”(certification/ registration bodies)等。

相关条目

参考资料

外部链接

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.