***高管理者应该通过以下活动,对建立 、实施、运作、监视、评审、保持和改进I***S的承诺提供证据:
a) 建立信息安全方针;
b) 确保信息安全目标和计划得以制定;
c) 建立信息安全的角色和职责;
d) 向***传达满足信息安全目标、 符合信息安全方针、履行***责任和持续改进的重要性;
e) 提供充分的资源,以建立、实施、运作、监视、评审、 保持并改进I***S;
f) 决定接受风险的准 则和风险的可接受等级;
g) 确保内部I***S审核得以实施;
h) 实施I***S管理评审。
ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准。规划的ISO27000系列包含下列标准:
ISO27000,ISO27001,ISO27002,ISO27003,ISO27004,ISO27005,ISO27006,ISO27007
上述标准中,ISO 27001是ISO 27000系列的主标准,类似于ISO 9000系列中的ISO9001,各类***可以按照ISO 27001的要求建立自己的信息安全管理体系(I***S),并通过认证。目前的有效版本是ISO/IEC 27001:2005。
注:上述标准以ISO发布的为准。
- ISO/IEC 27000
Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
信息技术—安全技术—信息安全管理体系—概况与术语
该标准目前已完成***会草案,计划2007年11月完成***终标准草案,2008年5月发布。
标准介绍:该标准对应用于信息安全管理体系的ISO/IEC 27000系列标准的概况、状态和关系提供说明,并规定了与ISO/IEC 27000 I***S系列标准相关的术语。ISO/IEC 27000标准有三个章节,***章是标准的范围说明,第二章对ISO27000系列的各个标准进行了介绍,说明了各个标准之间的关系,包括:ISO27000,ISO27001,ISO27002,ISO27003,ISO27004,ISO27005,ISO27006。第三章给出了与ISO27000系列标准相关的术语和定义,共63个。