该系列ISO /IEC 27000信息安全管理体系(I***S)标准族在不断地制定发布,并成功被***各业采纳。本标准族的主打标准是ISO / IEC 27001,该标准已在世界范围内公认为认证、合同及***要求标准。根据***近的ISO调查表明2008年***ISO/ IEC 27001认证增长超过20%。
作为ISO / IEC 27001的补充,ISO/IEC 2000组标准其它成员制订的目的是按照ISO/IEC 27001建立、实施和改进信息安全管理体系指南及支持。本族标准包括基础标准ISO / IEC 27002(1995年出版)。ISO / IEC 27002公认的信息安全管理行为规范。人们目前正对ISO / IEC 27001和ISO / IEC27002进行五年期的评审修订,旨在实现管理体系标准的不断完善。
另一指南标准是ISO / IEC 27005为风险管理指南标准。信息安全风险管理过程是ISO / IEC 27001PDCA过程模式的一个关键组成部分。
新的指南
***近加入的ISO / IEC 27000族的新成员是ISO / IEC 27003和27004。ISO/IEC 27004涉及信息管理领域一个非常重要的话题即:测量衡量信息系统管理体系实施有效性。标准使企业的管理层能时刻跟踪信息安全管理体系的安全绩效。ISO / IEC 27004包括了在检查PDCA过程模式时,有效性测量的内容、时机和方法 –过程模式主要是指在监督和审查持续改进的过程阶段。ISO / IEC 27003为支持ISO/IEC27001 I***S过程的策划和实施提供实施指南。
审核标准
目前已出台了认可用标准及与信息安全管理体系审核相关的审核员指南。这包括认可用标准ISO / IEC 27006,它是一个版本的ISO 17021-1。ISO / IEC 27006提供了认证机构应如何解释的审核与ISO的要求/ IEC 27001信息安全符合条件的信息安全管理标准17021-1指导。
两个审核指南标准的ISO / IEC 27007和ISO / IEC 27008目前还正在制订中。标准制定工作同时结合了ISO 19011***新的修订内容和ISO 17021-2的要求。ISO / IEC 27007是专门I***S范围和复杂程度、风险管理、控制方法的选择和I***S审核员的能力等方面提供审核指南。ISO / IEC 27008,另一方面,对ISO/IEC27001附录A中规定的安全控制提出了技术要求。这两个标准都预计将在2011年出版。
行业标准
人们正在制定一系列ISO/IEC 27001行业应用新标准。当然,这些标准将不会取代ISO / IEC 27001,但他们引入了行业附加的特殊要求。目前的工作方案包括:
ISO / IEC 27010 – 由于行业间的沟通
这个标准主要涉及那些***基础设施的行业和***的各类安全要求。这包括指令安全及控制应用措施如监督控制和数据采集。
ISO / IEC 27011 - 电信***
基于的ISO / IEC 27002,这个标准于2008年出版,电信标准号为的X.1051。
ISO / IEC 27013 – 将ISO / IEC 20000-1和ISO / IEC 27001整合
本标准为那些希望将服务管理和信息安全管理体系的共性整合成为一体的机构提供指南。如,他们可将文件化体系、事故处理体系和安全服务提供、监督和审查程序整合起来。
ISO / IEC 27014 - 信息安全管理架构
本标准支持公司管理架构的信息安全。ISO / IEC 27001是一个理想的信息安全框架,因为它包含三个关键管理要素:风险管理,控制体系和审核职能。
ISO / IEC 27015 - ***和***服务部门
该标准是ISO/IEC27001标准在***和***业的特殊运用。