ISO 27000系列标准介绍.doc

ISO27000系列标准介绍   ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号,类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准:ISO27000——《信息安全管理体系原理和术语》《Informationsecuritymanagementsystemfundamentalsandvocabulary》该标准主要用于阐述ISMS的基本原理和术语,预计2008年发布。ISO27001——《信息安全管理体系要求》《Informationsecuritymanagementsystemrequirements》该标准源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式发布。ISO27002——《信息安全管理实践规则》《Codeofpracticeforinformationsecuritymanagement》该标准将取代ISO/IEC17799:2005,计划2007年发布。ISO27003——《信息安全管理体系实施指南》《Informationsecuritymanagementsystemsimplementationguidance》该标准将为ISMS的建立、实施、维持、改进提供指导,目前还在开发中,预计2007年发布。ISO27004——《信息安全管理测量与指标》《Informationsecuritymanagementmeasurementsandmetrics》该标准阐述信息安全管理的测量和指标,用于测量信息安全管理的实施效果,预计2007年底或2008年发布。ISO27005——《信息安全风险管理》《Informationsecurityriskmanagement》该标准以BS7799-3和ISO13335为基础,预计2007年发布。ISO27006——《信息安全管理体系审核认证机构要求》《Informationtechnology--Securitytechniques--Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems》该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。上述标准中,IS