BS7799、ISO/IEC 17799、ISO/IEC 27001 的关系
在信息安全领域,相信您会经常听到标题所列的三个名字,这三个标准之间有何联系呢?为了避免更多的朋友混淆,我查了相关的资料并做了整理,希望对您有所帮助。
1. 标准组织介绍 5 t8 A$ o8 D) w; u# K0 b1 U
BSI (British Standards Institution) 英国标准协会 : l' ]- T7 a7 Z% b/ S
: r2 H O/ Y0 M7 [- i ISO (International Organization for Standardization) 国际标准化组织 1 p8 [: q. Z5 V/ U8 Q: e5 }2 L& M8 T& G
IEC (International Electrotechnical Commission) 国际电工委员会
2 z- V9 x& v. y) @# X; K42. 标准之间的关系 ; w3 t# x3 b2 Z/ n8 k" W
BS7799 是BSI针对信息安全管理而制定的一个标准,其最早始于1995 年.BS 7799分为两个部分: : M0 g7 D( P8 K4 ?
第一部分,名为(Code of Practice for Information Security Management),于2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是常说的ISO 17799:2005。
第二部分(for Information Security Managemenet Specification ),其最新修订版在05年10月正式成为ISO27001, / l- u0 k" r# Z) X+ I: b- ^
3. 标准简介
第一部分,已于2000年被采纳为ISO/IEC 17799,是信息安全管理实施细则Code of Practice for Information Security Management)。其05年最新版本涉及信息安全管理的各个方面: 4 k* H% t* C, m. d6 p5 J; O
J2 v( _& }. 安全策略(Security Policy) -- 信息安全方针
信息安全的组织结构(Organization of information security) " p2 y7 \; @# g: m3 {& ?, l -- 组织信息安全
资产管理(Asset Management) -- 资管理
人力资源安全(Human resources security) 1 F: {/ ] K+ `6 X- |! A -- 人力资源安全
物理和环境安全(Physical and environmental security) -- 物理和环境安全
通信和操作管理(Communication and operations management) ; w: q3 X* ?1 @( w6 |& @% U-- -- 通信和操作管理
访问控制(Access control) -- 访问控制
系统采购、开发和维护(Information systems acquisition, development and maintenance) --信息系统获得,开发与维护
信息安全事件管理(Information security incident management) # L5 n. T0 Z5 U* Q- A1 V5 Y -- 信息安全事件管理
业务连续性管理(Business continuity management) -- 商业连续性管理
符合性(Compliance) -- 适用性
BS 7799通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节,还有39个主要安全类和133个具体控制措施(最佳实践),供负责信息安全系统开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。 7 \ G+ l+ a7 Q \* H' }! t
第二部分内容,05年10月正式成为ISO27001,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO 17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。 " r% a$ q O0 ~/ Q6 C- l0 [' K
0 `4 [' K+ u, M- a3 p! `
4.发展方向 ( T: j: Y0 y, g: z R3 r9 p, f( T2 f7 u; g
BS 7799-3:2005 - information security management systems - guidelines for information security risk management" is a new British Standard due for release in December 2005 4 V1 Q' |1 U9 I5 O2 H4 b+ @
将来新的ISO27000系列安全标准将有5个部分组成: }, E0 Z" }* {2 T2 t
( }, q t7 h/ ISO 27000 will formally define the specific technical vocabulary used in these standards; v( O! @5 S9 p$ `
ISO 27001 will be the ISO version of BS 7799-2, the certification standard (due for full release in November 2005, already available as a final draft); " h" R ?* `- W
ISO 27002 will be the renamed and updated version of ISO 17799:2005 (to be released in 2006 or 2007); ) W6 T6 m0 f8 V/ g3 y
1 m. ~! G0 g# s8 V6ISO 27003 will contain guidance for those implementing the ISO 27000-series standards; 2 ^7 q' S8 M5 t% }: b& R- r) V5 v K2 x/ m' R1 S; D/ `
ISO 27004 will be a new Information Security Management Metrics and Measurement standard to help measure the effectiveness of information security management system implementations (currently in draft); 9 H C8 ?4 N6 w7 S
ISO 27005 will be the ISO version of BS 7799-3W9 E& ?; w8 I3 Z O
. ^' K, ] i/ x. t%