返回
isoiec27000系列标准介绍

isoiec27000系列标准介绍

ID:37758511

大小:170.64 KB

页数:8页

时间:2019-05-30

isoiec27000系列标准介绍_第1页
isoiec27000系列标准介绍_第2页
isoiec27000系列标准介绍_第3页
isoiec27000系列标准介绍_第4页
isoiec27000系列标准介绍_第5页
资源描述:

《isoiec27000系列标准介绍》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、word格式文档ISO/IEC27000系列标准介绍一、背景病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边程度不同的发生过。因此,保护信息资产,解决信息安全问题,已经成了企业必须高度重视并着力解决的问题。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加

2、密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。例如,与企业员工相关的信息安全问题、信息安全和效益的平衡问题、信息安全目标、业务连续性、信息安全法规遵从等问题,

3、只靠产品和技术是解决不了的。有效解决信息安全问题,还要靠“三分技术、七分管理”。ISO国际标准化组织近10年来针对信息安全和信息安全管理体系(ISMS)先后发布了一系列的国际标准,下面列出其中的一部分:⒈ISO/IEC27001(Informationsecuritymanagementsystem-fundamentalsandvocabulary信息安全管理体系-基础和术语:提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的其他每个标准都有“术

4、语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。⒉ISO/IEC27001:2005:Informationtechnology-securitytechniques-Informationsecuritymanagementsystems-Requirements(信息安全管理体系—要求)于2005年10月15日正式发布,是ISMS的要求标准,内容共分8章和3个附录,其中重要附录A中的内容直接引用并与其前身ISO/IEC17799:2005第5到1

5、5章一致。⒊ISO/IEC27001:2005:Informationtechnology-Securitytechniques-专业整理word格式文档CodeofpracticeforInformationsecuritymanagement(信息安全管理实用规则)ISO/IEC27002是国际标准化组织ISO/IEC最早发布的ISMS系列标准之一(原先为ISO/IEC17799,2005年正式更名为ISO/IEC27002)。它从信息安全的诸多方面,总结了11个方面一百多项信息安全控制措施,是信

6、息安全管理最佳实践。一、ISO/IEC27002的主要内容ISO/IEC27002:2005是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的最佳实践。标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便标准的用户使用。从内容和结构上看,标准分为四个部分:(一)引言部分。主要介绍了信息安全的基础知识,包括什

7、么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险8个方面内容。(二)标准的通用要素部分(1~3章)。第1章是标准的范围,给出了该标准的内容概述、用途及目标。第2章是术语和定义,介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。(三)风险评估和处理部分。该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。(四)控制措施部分(5~15章)。这是标准的主体部分,包括11个领域的控制措施章节,分别是:1、安全方针(控制目标:1个,控制措施:2个

8、)2、信息安全管理机构(控制目标:2个,控制措施:11个)3、资产管理(控制目标:2个,控制措施:5个)4、人力资源安全(控制目标:3个,控制措施:9个)5、物理和环境安全(控制目标:2个,控制措施:13个)6、通信和操作管理(控制目标:10个,控制措施:32个)7、访问控制(控制目标:7个,控制措施:25个)8、信息系统获取、开发和维护(控制目标:6个,控制措施:16个)9、信息安全事件管理(控制目标:1个,控制措施:5个)10、业务连续性管理(控制目

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。