iso27001是什麽

信息安全管理標準ISO27001:2005介紹及風險評估

壹、ISO27001信息安全管理體系標準的發展

隨著在世界範圍內，信息化水平的不斷發展，信息安全逐漸成為人們關註的焦點，世界範圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準，國際標準化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。目前，在信息安全管理方面，英國標準ISO2700:2005已經成為世界上應用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。ISO27001標準於1993年由英國貿易工業部立項，於1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了壹套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制範圍的唯壹參考基準，並且適用於大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規範》，它規定信息安全管理體系要求與信息安全控制要求，它是壹個組織的全面或部分信息安全管理體系評估的基礎，它可以作為壹個正式認證方案的根據。ISO2700:2005-1與ISO2700:2005-2經過修訂於1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月，ISO2700:2005-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC17799-1：2000《信息技術-信息安全管理實施細則》。2002年9月5日，ISO2700:2005-2:2002草案經過廣泛的討論之後，終於發布成為正式標準，同時ISO2700:2005-2:1999被廢止。現在，ISO2700:2005標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對ISO2700:2005標準感興趣，我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統的管理。截至2002年9月，全球***有142家各類組織通過了ISO2700:2005信息安全管理體系認證。

目 錄 摘 要

基礎 知識

00 信息安全事件集錦

01 信息安全相關的術語和定義

1.01 信息安全

1.02 保密性

1.03 完整性

......

02 BS 7799、ISO17799和ISO27001的基本知識

ISO17799：2005介紹

ISO17799基礎知識

ISO27000系列標準介紹

風險評估基礎

......

03 信息安全管理體系認證認可基礎知識

ISMS不符合項的種類有哪些？

ISMS內部審核策劃階段應做好哪些工作？

ISMS認證是否是終身有效的？

ISMS審核報告中具體應該包括哪些內容？

......

04 我國信息安全法律法規和標準化

我國信息安全標準化

我國信息安全法律法規

05 信息安全資格考試相關知識

5.1 CISP

5.2 CISSP

5.3 BS7799 主任審核員

5.4 ITIL

5.5 CISA

5.6 信息安全相關技術文檔

標準 理解

06 ISO27001：2005標準(中英對照)理解與指南

目錄

0 簡介

1 範圍

2 引用標準

3 術語和定義

4 信息安全管理體系

5 管理職責

6 內部信息安全管理體系審核

7 信息安全管理體系管理評審

8 信息安全管理體系改進

附錄A

附錄B

附錄C

參考書目

ISO27001：2005相關介紹

07 ISO17799：2005標準(中英對照)理解與指南

目錄

0 引言

1 範圍

2 術語和定義

3 標準的結構

4 風險評估和處理

5 安全方針

6 信息安全組織

7 資產管理

8 人力資源安全

9 物理和環境安全

10 通信和運作管理

11 訪問控制

12 信息系統的獲取、開發以及維護

13 信息安全事件管理

14 業務持續性管理

15 符合性

ISO17799：2005相關介紹

08 信息安全管理的其他可供參考標準

ASNZS 4360介紹

ISO15408標準介紹

ISOIEC TR 13335簡介

NIST SP 800-30 IT系統風險管理指南

SSE-CMM簡介

導入 實踐

09 建立基於ISO27001的信息安全管理體系

09.1 方針制定與流程策劃

09.2 ISMS的文件

09.3 風險評估與選擇控制

09.4 ISMS體系審核和管理評審

09.5 申請認證與審核準備

10 信息安全管理體系文件模板

10.1 信息安全管理體系手冊

10.2 信息安全管理體系程序文件

10.3 信息安全管理體系作業文件

10.4 常見信息安全管理體系記錄

11 信息安全風險評估標準介紹

11.1 信息安全風險評估標準的發展概況

11.2 BS7799與ISO13335

11.3 GAO AIMD-99-139

11.4 NIST SP800-30IT系統風險管理指南

11.5 OCTAVE方法

11.6 系統安全工程能力成熟模型SSE-CMM

11.7 AS NZS4360風險管理指南

11.8 其他信息安全評測標準

12 信息安全策略編寫以及典型策略選例

12.1 信息安全策略基本知識

12.2 信息安全策略的編寫和執行

12.3 典型信息安全策略集錦

策略模板

ISO27000咨詢

ISO27000標準

ISO27000法律法規

ISO27000相關資料

/shownews.asp?id=49