|
在昨天的公眾號(hào)中��,我們提到了有關(guān)等同標(biāo)準(zhǔn)�。因?yàn)镮SO 27000系列掛著個(gè)“國(guó)際”的名號(hào)����,對(duì)于不太了解國(guó)標(biāo)的朋友很容易被唬住,好像是非常難以理解的東西�。這個(gè),在我工作中已經(jīng)和眾多安全從業(yè)人員甚至單位領(lǐng)導(dǎo)接觸中深有體會(huì)���,而在我和冀老師交流中�����,我曾給冀老師說(shuō)過(guò)我在整理國(guó)標(biāo)中等同27000相關(guān)標(biāo)準(zhǔn)的事情�����,說(shuō)來(lái)這已經(jīng)是三年前的事情了���。從中����,也看到我的拖延癥有多嚴(yán)重�!可能了解過(guò)27000系列的人都知道��,27000系列是以信息安全管理體系標(biāo)準(zhǔn)族(InformationSecurity Management System�����,簡(jiǎn)稱ISMS標(biāo)準(zhǔn)族)作為國(guó)際信息安全技術(shù)標(biāo)準(zhǔn)化組織(ISO/IECJTCl SC27)制定的信息安全管理體系系列國(guó)際標(biāo)準(zhǔn)����。根據(jù)我初步整理的國(guó)家標(biāo)準(zhǔn),我做了一個(gè)簡(jiǎn)單列表�����,左側(cè)為國(guó)家標(biāo)準(zhǔn)��,右側(cè)為ISO 27000系列標(biāo)準(zhǔn)�����。由于個(gè)人屬于腳踩西瓜皮,加之精力有限�,倉(cāng)促整理,應(yīng)該不是太全面�����。只是通過(guò)這種方式��,期盼大家更加容易的去理解27000系列��,破除迷信讓每一個(gè)看到該文的朋友不在感到神秘���。當(dāng)然����,我并不是否認(rèn)標(biāo)準(zhǔn)的價(jià)值以及理解難度��,只是希望大家別糾結(jié)27000這個(gè)詞����。在表格后,我將根據(jù)整理的內(nèi)容簡(jiǎn)單介紹信息安全管理體系標(biāo)準(zhǔn)族以及27000系列的知識(shí)�����。 
| 國(guó)家標(biāo)準(zhǔn) | 等同國(guó)際標(biāo)準(zhǔn) | | GB/T 29246 信息技術(shù) 安全技術(shù) 信息安全管理體系 概述和詞匯 | (ISO/IEC 27000) | | GB/T 22080 信息技術(shù) 安全技術(shù) 信息安全管理體系要求 | (ISO/IEC 27001) | | GB/T 22081 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則 | (ISO/IEC 27002) | | GB/T 31496 信息技術(shù) 安全技術(shù) 信息安全管理體系實(shí)施指南 | (ISO/IEC 27003) | | GB/T 31497 信息技術(shù) 安全技術(shù) 信息安全管理測(cè)量 | (ISO/IEC 27004) | | GB/T 31722 信息技術(shù) 安全技術(shù) 信息安全管理風(fēng)險(xiǎn) | (ISO/IEC 27005) | | GB/T 25067 信息技術(shù) 安全技術(shù) 信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求 | (ISO/IEC 27006) | | GB/T 38631 信息技術(shù) 安全技術(shù) GBT22080具體行業(yè)應(yīng)用要求 | (ISO/IEC 27009) |
信息安全管理體系標(biāo)準(zhǔn)族 從BS 7799到ISO 17799再到今天我們談ISO 27000系列,他是一個(gè)變化發(fā)展的過(guò)程���,變化發(fā)展是基于原來(lái)的優(yōu)秀經(jīng)驗(yàn)創(chuàng)新發(fā)展的�。在有關(guān)材料中介紹�����,我國(guó)的等級(jí)保護(hù)1.0充分借鑒了ISO 17799這個(gè)國(guó)際標(biāo)準(zhǔn)��,現(xiàn)在等級(jí)保護(hù)2.0階段的安全管理制度要求���,是在1.0的基礎(chǔ)進(jìn)行了優(yōu)化,這么你也可以理解我國(guó)等級(jí)保護(hù)制度在管理制度測(cè)評(píng)中�����,是充分借鑒了ISO 27000標(biāo)準(zhǔn)的�����。但是,27000是一個(gè)系列標(biāo)準(zhǔn)族系����,完全借鑒也是不太現(xiàn)實(shí)的。 我們通過(guò)整理的材料�����,簡(jiǎn)單介紹一下27000系列部分標(biāo)準(zhǔn)的名稱��。其在《信息技術(shù) 安全技術(shù)》通用標(biāo)題下��,ISMS標(biāo)準(zhǔn)族�����,我們按照按標(biāo)準(zhǔn)號(hào)排序���,由下列標(biāo)準(zhǔn)組成:
注:以下第一行為冒號(hào)前為標(biāo)準(zhǔn)號(hào)��,冒號(hào)后為中文翻譯名稱�,通過(guò)加粗字體顯示�,第二行為英文名稱。
-ISO/IEC 27000:信息安全管理體系 概述和詞匯 (Information security management systems Overview and vocabulary)-ISO/IEC 27001:信息安全管理體系 要求 (Information security management systems Requirements)-ISO/IEC 27002:信息安全管理體系 信息安全控制實(shí)踐指南 (Codeof practice for information security controls)-ISO/IEC27003:信息安全管理體系實(shí)施指南 (Information security managenent system im-plementation guidance)-ISO/IEC27004:信息安全管理 測(cè)量 (Information security management—Measurement)ISO/IEC27005:信息安全風(fēng)險(xiǎn)管理 (Information security risk management) -ISO/IEC27006:信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求 (Requirements for bodies providing audit and certification of information security management systems) -ISO/IEC27007:信息安全管理體系審核指南 (Guidelines for information security management systems auditing) -ISO/IECTR:27008 信息安全控制措施審核員指南 (Guidelines for auditors on information security controls) -ISO/IEC 27009:ISO/IEC27001的行業(yè)特定應(yīng)用 要求 (Sector-specificapplication of ISO/IEC 27001-Requirements) -ISO/IEC27010:行業(yè)間和組織間通信的信息安全管理 (Information security management for inter-sector and inter-organizational communications) -ISO/IEC27011:基于ISO/IEC27002的電信組織信息安全管理指南 (Information security management guidelinesfor telecommunications organizations based on ISO/IEC 27002) -ISO/IEC 27013:ISO/IEC 27001和ISO/IEC 20000-1綜合實(shí)施指南 (Guidance on the inteGrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1) -ISO/IEC 27014:信息安全治理 (Governance of information security) -ISO/IEC TR 27015:金融服務(wù)信息安全管理指南 (Information security management guideLines for financial services) -ISO/IEC TR 27016:信息安全管理 組織經(jīng)濟(jì)學(xué) (Information security management-Organizational economics) -ISO/IEC 27017:基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)踐指南 (Code of practice for information security controls based on ISO/IEC 27002 for cloud services) ISO/IEC 27018:可識(shí)別個(gè)人信息(PII)處理者在公有云中保護(hù)PII的實(shí)踐指南 (Code of practice for protection of personally identifiable information(PII) in public clouds acting as PII processors) ISO/IEC 27019:基于ISO/IEC 27002的能源供給行業(yè)過(guò)程控制系統(tǒng)信息安全管理指南 (Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energyutility industry) 我國(guó)的網(wǎng)絡(luò)安全等級(jí)保護(hù)是充分借鑒國(guó)外優(yōu)秀經(jīng)驗(yàn)的基礎(chǔ)上�����,創(chuàng)新發(fā)展而來(lái)。然而�,若要充分理解等級(jí)保護(hù)需要對(duì)國(guó)內(nèi)外安全標(biāo)準(zhǔn)發(fā)展以及我國(guó)標(biāo)準(zhǔn)發(fā)展有一定的了解,很多安全要求在某一個(gè)標(biāo)準(zhǔn)中相對(duì)是孤立的�����,而其定義或要求內(nèi)在的含義卻需要在其他標(biāo)準(zhǔn)里去尋找�����。有些標(biāo)準(zhǔn)解決某項(xiàng)內(nèi)容的有無(wú)���,而有無(wú)之后還涉及到一個(gè)質(zhì)量標(biāo)準(zhǔn),那么質(zhì)量標(biāo)準(zhǔn)則由另一個(gè)標(biāo)準(zhǔn)給出���。另外�����,有些術(shù)語(yǔ)在一個(gè)標(biāo)準(zhǔn)中���,是未進(jìn)行詮釋是需要到另外標(biāo)準(zhǔn)中尋找答案����,切不可望文生義��。如27000系列之ISO/IEC 27000專門講詞匯�����,在其他27000系列標(biāo)準(zhǔn)中可能就不在專門提及其定義��,在這個(gè)過(guò)程中若不看ISO/IEC 27000�,就容易犯望文生義的毛病。這個(gè)毛病既是我個(gè)人犯過(guò)的毛病�����,相信也有很多人見(jiàn)過(guò)望文生義卻自以為是高手吧��。
網(wǎng)絡(luò)安全等級(jí)保護(hù):網(wǎng)絡(luò)安全等級(jí)保護(hù)和信息安全技術(shù)國(guó)家標(biāo)準(zhǔn)列表
網(wǎng)絡(luò)安全等級(jí)保護(hù):網(wǎng)絡(luò)安全等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)五個(gè)環(huán)節(jié)
網(wǎng)絡(luò)安全等級(jí)保護(hù):什么是關(guān)鍵信息基礎(chǔ)設(shè)施
網(wǎng)絡(luò)安全等級(jí)保護(hù):什么是等級(jí)保護(hù)����?
|
