廣州市品達(dá)企業(yè)管理顧問(wèn)有限公司

ISMS是近兩年來(lái)在管理體系和信息安全領(lǐng)域興起的一個(gè)熱門話題，按照ISO/IEC27001建立和實(shí)施ISMS并積極申請(qǐng)認(rèn)證成為許多組織解決其信息安全問(wèn)題的選擇。
ISO/IEC27000族是國(guó)際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來(lái)的系列相關(guān)國(guó)際標(biāo)準(zhǔn)的總稱。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的最新計(jì)劃，該系列標(biāo)準(zhǔn)的序號(hào)已經(jīng)預(yù)留到27019，其中將27000～27009留給ISMS基本標(biāo)準(zhǔn)，27010～27019預(yù)留給ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔?？梢?jiàn)ISMS標(biāo)準(zhǔn)將來(lái)會(huì)是一個(gè)龐大的家族。
1 ISMS國(guó)際標(biāo)準(zhǔn)化組織
ISO/IEC JTC1/SC27/WG1（國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)信息技術(shù)委員會(huì)/安全技術(shù)分委員會(huì)/第一工作組）是制定和修訂ISMS標(biāo)準(zhǔn)的國(guó)際組織，我國(guó)是該組織的P成員國(guó)。ISO/IEC JTC1/SC27成立后設(shè)有三個(gè)工作組：
l WG1：需求、安全服務(wù)及指南工作組
l WG2：安全技術(shù)與機(jī)制工作組
l WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組
在2006年5月8日至17日西班牙馬德里舉行的SC27第32屆工作組會(huì)議和第18屆全體會(huì)議上，通過(guò)了2005年11月在馬來(lái)西亞會(huì)議上提出的調(diào)整SC27組織結(jié)構(gòu)的提案，將原來(lái)的三個(gè)工作組調(diào)整為現(xiàn)在五個(gè)工作組：
l WG1：ISMS標(biāo)準(zhǔn)工作組
l WG2：安全技術(shù)與機(jī)制工作組
l WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組
l WG4：安全控制與服務(wù)工作組
l WG5：身份管理與隱私保護(hù)技術(shù)工作組
SC27組織機(jī)構(gòu)的這次調(diào)整，專門將WG1做為ISMS標(biāo)準(zhǔn)的工作組，負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南，充分體現(xiàn)了ISMS的發(fā)展在全球范圍內(nèi)受到高度重視。
2 已經(jīng)發(fā)布的ISMS標(biāo)準(zhǔn)－ISO/IEC27001和ISO/IEC27002
目前國(guó)際標(biāo)準(zhǔn)化組織已經(jīng)正式發(fā)布的ISMS國(guó)際標(biāo)準(zhǔn)有兩個(gè)：ISO/IEC27001和ISO/IEC27002，它們是ISMS的核心標(biāo)準(zhǔn)。
l ISO/IEC27001:2005：信息安全管理體系要求
Information technology-Security techniques-Information security management systems-Requirements
l ISO/IEC27002:2005：信息安全管理實(shí)用規(guī)則
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式發(fā)布。它同ISO9001的性質(zhì)一樣，是ISMS的要求標(biāo)準(zhǔn)，內(nèi)容共分8章和3個(gè)附錄，其中附錄A中的內(nèi)容直接引用并與ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005適用于所有類型的組織（如企事業(yè)單位、政府機(jī)關(guān)等）。它從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。ISO/IEC27001:2005是組織建立和實(shí)施ISMS的依據(jù)，也是ISMS認(rèn)證機(jī)構(gòu)實(shí)施審核的依據(jù)。
ISO/IEC17799于2000年12月1日正式發(fā)布，2005年6月15日發(fā)布修訂版即ISO/IEC17799:2005，原來(lái)版本同時(shí)廢止。ISO/IEC17799的2005年版本比2000年版本在結(jié)構(gòu)和內(nèi)容上都有較大的變化。
根據(jù)今年召開的第18屆SC27全體會(huì)議決議，將于2007年4月將ISO/IEC17799的標(biāo)準(zhǔn)序號(hào)更改為ISO/IEC27002。
i. ISMS標(biāo)準(zhǔn)的類型
根據(jù)ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards 管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）和ISO/IEC的相關(guān)導(dǎo)則，ISO/IEC JTC1/SC27/WG1將ISMS標(biāo)準(zhǔn)分為4類：
l Type A – Vocabulary Standard A類－詞匯標(biāo)準(zhǔn)
l Type B – Requirements Standard B類－要求標(biāo)準(zhǔn)
l Type C – Guidelines Standard C類－指南標(biāo)準(zhǔn)
l Type D – Related Standard D類－相關(guān)標(biāo)準(zhǔn)
A類－詞匯標(biāo)準(zhǔn)：主要提供標(biāo)準(zhǔn)族中所有標(biāo)準(zhǔn)所涉及的基礎(chǔ)信息，包括通用術(shù)語(yǔ)、基本原則等內(nèi)容。ISO/IEC27000同ISO 9000（質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ)）類似，屬于此類標(biāo)準(zhǔn)。
B類－要求標(biāo)準(zhǔn)：主要提供管理體系的相關(guān)規(guī)范，它能夠使一個(gè)組織證明其滿足內(nèi)部和外部要求的能力。ISO/IEC27001同ISO 9001（質(zhì)量管理體系要求）、ISO 140