ISO已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC 27000系列編號(hào),類似于質(zhì)量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標(biāo)準(zhǔn)。 規(guī)劃的ISO 27000系列包含下列標(biāo)準(zhǔn): ISO 27000——《信息安全管理體系原理和術(shù)語》《Information security management system fundamentals and vocabulary》該標(biāo)準(zhǔn)主要用于闡述ISMS的基本原理和術(shù)語,預(yù)計(jì)2008年發(fā)布。 ISO 27001——《信息安全管理體系要求》《Information security management system requirements》該標(biāo)準(zhǔn)源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式發(fā)布。 ISO 27002——《信息安全管理實(shí)踐規(guī)則》《Code of practice for information security management》
該標(biāo)準(zhǔn)將取代 ISO /IEC 17799:2005,計(jì)劃2007年發(fā)布。 ISO
27003——《信息安全管理體系實(shí)施指南》《Information security management systems
implementation guidance》該標(biāo)準(zhǔn)將為ISMS的建立、實(shí)施、維持、改進(jìn)提供指導(dǎo),目前還在開發(fā)中,預(yù)計(jì)2007年發(fā)布。 ISO
27004——《信息安全管理測(cè)量與指標(biāo)》《Information security management measurements and
metrics》該標(biāo)準(zhǔn)闡述信息安全管理的測(cè)量和指標(biāo),用于測(cè)量信息安全管理的實(shí)施效果,預(yù)計(jì)2007年底或2008年發(fā)布。 ISO 27005——《信息安全風(fēng)險(xiǎn)管理》《Information security risk management》該標(biāo)準(zhǔn)以BS7799-3和ISO13335為基礎(chǔ),預(yù)計(jì)2007年發(fā)布。 ISO
27006——《信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求》《Information technology -- Security techniques
-- Requirements for bodies providing audit and certification of
information security management
systems》該標(biāo)準(zhǔn)對(duì)提供ISMS認(rèn)證的機(jī)構(gòu)提出要求,所有提供ISMS認(rèn)證服務(wù)的機(jī)構(gòu)需要按照該標(biāo)準(zhǔn)的要求證明其能力和可靠性。 上述標(biāo)準(zhǔn)中, ISO27001是ISO27000系列的主標(biāo)準(zhǔn),類似于ISO 9000系列中的ISO9001,各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系(ISMS),并通過認(rèn)證。目前的有效版本是ISO/IEC 27001:2005。 ISO27001
信息安全在企業(yè)風(fēng)險(xiǎn)管理中極為重要,強(qiáng)調(diào)對(duì)一個(gè)組織運(yùn)行所必需的IT系統(tǒng)和信息的保密性、完整性、可用性的保護(hù),提高投資回報(bào)率,降低由信息安全事故造成
的損失及業(yè)務(wù)中斷的風(fēng)險(xiǎn)。ISO27001體系已由國際標(biāo)準(zhǔn)組織頒布為國際標(biāo)準(zhǔn)ISO
27001:2005,是目前世界上唯一的“信息安全管理標(biāo)準(zhǔn)”,成為“信息安全管理”之國際通用語言,并被全球五千多家政府機(jī)構(gòu)和知名企業(yè)所采用。其方
法是通過“風(fēng)險(xiǎn)評(píng)估”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求,有效降低企業(yè)面臨的風(fēng)險(xiǎn)。建立信息安全管理體系(ISMS)已成為各種組織,特別是高科技產(chǎn)
業(yè)、金融機(jī)構(gòu)等管理運(yùn)營風(fēng)險(xiǎn)不可缺少的重要機(jī)制。在某些行業(yè),如軟件外包,ISO27001認(rèn)證已經(jīng)成為客戶要求必備條件。