国际标准
ISO/IEC 27000系列标准介绍
ISO/IEC 27000系列标准是由国际标准化组织(ISO)及国际电工委员会(IEC)联合制定。该系列标准与质量管理体系标准(ISO 9000系列)和环境管理体系标准(ISO 14000系列)有类似的架构。它是目前国际上最权威、最全面、应用最广泛的信息安全管理体系标准,它为企业的信息安全管理体系实施和落地提供了非常优秀的管理控制方法和风险评估理念。该系列标准不仅包含隐私,保密以及信息技术层面,还包含了包括法律,人员管理,资产管理等诸多方面,从而可以使其可以适合各种大小的组织。根据ISO/IEC 27000标准推荐,每个与信息相关的组织都应该根据本系列标准进行相关的信息安全风险评估,并参考相关的指导和建议实施适当的信息安全管控。鉴于信息安全的动态本质,针对事态的反应,回馈以及教训,并由此改进信息安全措施是非常合适的。总的来说也就是通过戴明的PDCA法,寻找信息安全相关威胁,弱点,影响并进行信息安全措施改进。目前该标准系列主要包括如下标准: ISO/IEC 27000:2018 - 信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇 ISO/IEC 27001:2013 - 信息技术 - 安全技术 - 信息安全管理系统 - 要求 ISO/IEC 27002:2013 - 信息技术 - 安全技术 - 信息安全控制的操作规范 ISO/IEC 27003:2017 - 信息技术 - 安全技术 - 信息安全管理系统 - 指南 ISO/IEC 27004:2016 - 信息技术 - 安全技术 - 信息安全管理 - 监测,测量,分析和评估 ISO/IEC 27005:2011 - 信息技术 - 安全技术 - 信息安全风险管理 ISO/IEC 27006:2015 - 信息技术 - 安全技术 - 提供信息安全管理系统审计和认证的机构的要求 ISO/IEC 27007:2017 - 信息技术 - 安全技术 - 信息安全管理系统审计指南 ISO/IEC TR 27008:2011 - 信息技术 - 安全技术 - 信息安全控制审计员指南 ISO/IEC 27009:2016 - 信息技术 - 安全技术 - ISO/IEC 27001的部门特定应用 - 要求 ISO/IEC 27010:2015 - 信息技术 - 安全技术 - 跨部门和组织间通信的信息安全管理 ISO/IEC 27011:2016 - 信息技术 - 安全技术 - 基于ISO/IEC 27002的电信组织信息安全控制实践规范 ISO/IEC 27013:2015 - 信息技术 - 安全技术 - ISO/IEC 27001和ISO/IEC 20000-1综合实施指南 ISO/IEC 27014:2013 - 信息技术 - 安全技术 - 信息安全治理 ISO/IEC TR 27015:2012 - 信息技术 - 安全技术 - 金融服务的信息安全管理指南 ISO/IEC TR 27016:2014 - 信息技术 - 安全技术 - 信息安全管理 - 组织经济学 ISO/IEC 27017:2015 - 信息技术 - 安全技术 - 基于ISO/IEC 27002的云服务信息安全控制实践规范 ISO/IEC 27018:2014 - 信息技术 - 安全技术 - 作为PII处理器的公共云中保护个人可识别信息(PII)的操作规范 ISO/IEC 27019:2017 - 信息技术 - 安全技术 - 能源公用事业的信息安全控制 ISO/IEC 27021:2017 - 信息技术 - 安全技术 - 信息安全管理系统专业人员的能力要求 ISO/IEC TR 27023:2015 - 信息技术 - 安全技术 - 映射ISO/IEC 27001和ISO/IEC 27002的修订版 ISO/IEC 27030 - 信息技术 - 安全技术 - 物联网(IoT)安全和隐私指南(草案) ISO/IEC 27031:2011 - 信息技术 - 安全技术 - 业务连续性的信息和通信技术准备指南 ISO/IEC 27032:2012 - 信息技术 - 安全技术 - 网络安全指南 ISO/IEC 27033-1:2015 网络安全概述和概念 ISO/IEC 27033-2:2012 网络安全设计和实施指南 ISO/IEC 27033-3:2010 参考网络方案 - 威胁,设计技术和控制问题 ISO/IEC 27033-4:2014 使用安全网关保护网络之间的通信 ISO/IEC 27033-5:2013 使用虚拟专用网络(VPN)保护跨网络的通信 ISO/IEC 27033-6:2016 保护无线IP网络访问 ISO/IEC 27034-1:2011 - 信息技术 - 安全技术 - 应用安全 - 概述和概念 ISO/IEC 27034-2:2015 - 信息技术 - 安全技术 - 应用安全 - 组织规范框架 ISO/IEC 27034-3:2018 - 信息技术 - 安全技术 - 应用安全 - 应用安全管理过程 ISO/IEC 27034-4 - 信息技术 - 安全技术 - 应用安全 - 应用安全验证(草案) ISO/IEC 27034-5:2017 - 信息技术 - 安全技术 - 应用安全 - 协议和应用安全控制数据结构 ISO/IEC TR 27034-5-1:2018 - 信息技术 - 安全技术 - 应用安全 - 协议和应用安全控制数据结构,XML模式 ISO/IEC 27034-6:2016 - 信息技术 - 安全技术 - 应用安全 - 案例研究 ISO/IEC 27034-7:2018 - 信息技术 - 安全技术 - 应用安全 - 保证预测框架 ISO/IEC 27035-1:2016 事件管理原则 ISO/IEC 27035-2:2016 计划和准备事件响应的指南 ISO/IEC 27035-3 事件响应操作指南(草案) ISO/IEC 27036-1:2014 - 供应商关系的信息安全 - 第1部分:概述和概念 ISO/IEC 27036-2:2014 - 供应商关系的信息安全 - 第2部分:要求 ISO/IEC 27036-3:2013 - 供应商关系的信息安全 - 第3部分: - ICT供应链安全指南 ISO/IEC 27036-4:2016 - 云服务安全指南 ISO/IEC 27037:2012 - 信息技术 - 安全技术 - 数字证据的识别,收集,获取和保存指南 ISO/IEC 27038:2014 - 信息技术 - 安全技术 - 数字编辑规范 ISO/IEC 27039:2015 - 信息技术 - 安全技术 - 入侵检测和预防系统(IDPS)的选择,部署和操作 ISO/IEC 27040:2015 - 信息技术 - 安全技术 - 存储安全 ISO/IEC 27041:2015 - 信息技术 - 安全技术 - 确保事件调查方法的适用性和充分性的指南 ISO/IEC 27042:2015 - 信息技术 - 安全技术 - 数字证据分析和解释指南 ISO/IEC 27043:2015 - 信息技术 - 安全技术 - 事件调查原则和过程 ISO/IEC 27045 - 信息技术 - 安全技术 - 大数据安全和隐私过程(草案) ISO/IEC 27050-1:2016 - 信息技术 - 安全技术 - 电子发现 - 概述和概念 ISO/IEC 27050-2 - 信息技术 - 安全技术 - 电子发现 - 电子发现治理和管理指南(草案) ISO/IEC 27050-3:2017 - 信息技术 - 安全技术 - 电子发现 - 电子发现的操作规范 ISO/IEC 27050-4 - 信息技术 - 安全技术 - 电子发现 - 电子发现的ICT准备(草案) ISO/IEC 27070 - 信息技术 - 安全技术 - 建立虚拟化信任根的安全要求(草案) ISO/IEC 27099 - 信息技术 - 安全技术 - 公钥基础设施 - 实践和政策框架(草案) ISO/IEC 27100 - 信息技术 - 安全技术 - 网络安全 - 概述和概念(草案) ISO/IEC 27101 - 信息技术 - 安全技术 - 网络安全框架开发指南(草案) ISO/IEC TR 27103:2018 - 信息技术 - 安全技术 - 网络安全和ISO和IEC标准 ISO/IEC TR 27550 - 信息技术 - 安全技术 - 系统生命周期过程的隐私工程(草案) ISO/IEC 27551 - 信息技术 - 安全技术 - 基于属性的不可链接实体认证的要求(草案) ISO/IEC 27552 - 信息技术 - 安全技术 - ISO/IEC 27001和ISO/IEC 27002对隐私信息管理的扩展 - 要求和指南(草案) ISO/IEC 27553 - 信息技术 - 安全技术 - 在移动设备上使用生物识别技术进行身份验证的安全要求(草案) ISO/IEC 27554 - 信息技术 - 安全技术 - ISO 31000在身份管理相关风险评估中的应用(草案) ISO/IEC 27555 - 信息技术 - 安全技术 - 在组织中建立PII删除概念(草案) ISO 27799:2016 - 健康信息学 - 使用ISO/IEC 27002的健康信息安全管理 |