与ISO27001相关的几个重要的信息安全标准
主要内容如下:
BS7799系列(ISO/IEC 27000系列)
ISO/IEC TR 13335系列
SSE-CMM
ITIL和BS15000
CC
CoBIT
NIST SP800系列
1、ISO/IEC TR 13335
ISO/IEC TR 13335,早前被称作“IT 安全管理指南(Guidelines for the Management of IT Security,GMITS),新版称作“信息和通信技术安全管理(Management of Information and Communications Technology Security,MICTS),是ISO/IEC JTC1 制定的技术报告,是1个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议和支持。
ISO/IEC TR 13335系列标准(旧版)- GMITS,由5部分标准组成:
ISO/IEC13335-1:1996《IT安全的概念与模型》
ISO/IEC13335-2:1997《IT安全管理与策划》
ISO/IEC13335-3:1998《IT安全管理技术》
ISO/IEC13335-4:2000《防护措施的选择》
ISO/IEC13335-5:2001《网络安全管理指南》
目前,ISO/IEC 13335-1:1996 已经被新的ISO/IEC 13335-1:2004(MICTS 第1部分:信息和通信技术安全管理的概念和模型)所取代,ISO/IEC 13335-2:1997也将被正在开发的ISO/IEC 13335-2(MICTS 第2 部分:信息安全风险管理)取代。
ISO/IEC TR 13335 只是1个技术报告和指导性文件,并不是可依据的认证标准,信息安全体系建设参考BS 7799,具体实践参考ISO TR 13335。
2、SSE-CMM
SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系统安全工程这个具体领域应用而产生的1个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能力成熟度模型。
SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相应评估方法2.0版发布。
系统安全工程过程一共有3个相关组织过程:
工程过程
风险过程
保证过程
共分5个能力级别,11个过程区域:
基本执行级
计划跟踪级
充分定义级
量化控制级
持续改进级
2002年被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002《信息技术系统安全工程-成熟度模型》。
SSE-CMM 和BS 7799 都提出了一系列最佳惯例,但BS 7799 是1个认证标准(第二部分),提出了1个可供认证的ISMS 体系,组织应该将其作为目标,通过选择适当的控制措施(第一部分)去实现。而SSE-CMM 则是1个评估标准, 适合作为评估工程实施组织能力与资质的标准
3、通用标准(CC)
我们通常所称的通用标准或通用准则(Common Criteria,简称CC)是指ISO/IEC15408:1999标准。目前CC标准的最新版本是2.2;CC2.1版在1999年成为国际标准ISO/IEC15408:1999;我国在2001年等同采用为国家标准GB/T 18336-2001。
CC标准由3个部分组成:
GB/T 18336.1-2001 idt ISO/IEC15408-1:1999 信息技术安全技术信息技术安全性评估准则第1部分:简介和通常模型
GB/T 18336.2-2001 idt ISO/IEC15408-2:1999 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
GB/T 18336.3-2001 idt ISO/IEC15408-3:1999 信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求
与BS7799 标准相比,CC 的侧重点放在系统和产品的技术指标评价上,BS7799 在阐述信息安全管理要求时,并没有强调技术细节。因此,组织在依据BS7799 标准来实施ISMS 时,一些牵涉系统和产品安全的技术要求,能够借鉴CC 标准。
4、ITIL和BS15000
ITIL的全称是信息技术基础设施库(Information Technology Infrastructure Library)。ITIL针对一些重要的IT实践,详细描述了可适用于任何组织的全面的Checklists、Tasks、ProCEdures、Responsibilities等。
IT服务管理中最主要的内容就是服务交付(Service Delivery)和服务支持(Service Support)
服务交付(Service Delivery):
Service Level Management
Financial Management for IT Service
Capacity Management
IT Service Continuity Management
Availability Management
服务支持(Service Support):
Service Desk
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
有关ITIL,我以前也有一篇文章进行过简单介绍。
2001年,英国标准协会在国际IT 服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT 服务管理领域具有历史意义的重大事件。
BS15000 有两个部分,目前都已经转化成国际标准了。
ISO/IEC 20000-1:2005 信息技术服务管理-服务管理规范(Information technology service management. Specification for Service Management)
ISO/IEC 20000-2:2005 信息技术服务管理- 服务管理最佳实践( Information technology service management. Code of Practice for Service Management)
与BS7799 相比,ITIL 关注面更为广泛(信息技术),并且更侧重于具体的实施流程。ISMS实施者能够将BS7799 作为ITIL 在信息安全方面的补充,同时引入ITIL 流程的方法,以此加强信息安全管理的实施能力。
5、CoBIT
CoBIT的全称是信息和相关技术的控制目标(Control Objectives for Information and related Technology),是ITGI提出的IT治理模型(IT Governance),是1个IT控制和IT治理的框架(framework)。CobiT是1个在更高的层面上指导管理层进行技术标准和信息系统管理的IT治理模型。
CoBIT的八个控制过程:
计划和组织(Planning & Organisation)
采购和实施(Acquisition & Implementation)
交付和支持(Delivery & Support)
监视和评估(Monitoring & evaluation)
CoBIT的七个控制目标:
机密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
有效性(Effectiveness)
高效性(Efficiency)
可靠性(Reliability)
符合性(Compliance)
目前大部分存在着两类控制模型,一类是类似COSO这样的商业控制模式(business control model),另一类则是像BS7799这样的更关注IT的控制模型(more focused on IT control model),而CoBIT的目标是在两者之间架起一座桥梁。
6、NIST SP800系列
美国国家标准技术协会(National Institute of StandaRDS and Technology,NIST)发布的Special Publication 800 文档是一系列针对信息安全技术和管理领域的实践参考指南,其中有多篇是有关信息安全管理的,包含:
SP 800-12:计算机安全介绍(An Introduction to Computer Security: The NIST Handbook)
SP 800-30 : IT 系统风险管理指南(Risk Management Guide for Information Technology Systems)
SP 800-34:IT 系统应急计划指南(Contingency Planning Guide for Information Technology Systems)
SP 800-26 : IT 系统安全自我评估指南( Security Self-Assessment Guide for Information Technology Systems)
这些文件能够作为实施ISMS 过程中一些关键任务的指导和参照(例如风险评估、应急计划等),是对BS7799 标准很好的补充和细化。
7、BS7799系列(ISO/IEC 27000系列)
BS7799 Part 1:
BSBS7799 Part 1的全称是Code of Practice for Information Security,也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素,还有39个主要执行目标和133个具体控制措施(最佳实践),供负责信息安全系统应用和开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。
ISO/IEC 17799:2005的内容如下图:(见附件)
BS7799 Part 2:
BS7799 Part 2的全称是Information Security Management Specification,也即为信息安全管理体系规范,其最新修订版在05年10月正式成为ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,可用于指导相关人员去应用ISO/IEC 17799,其最终目的,在于建立适合企业必须的信息安全管理体系(ISMS)。
今日通过对《与ISO27001相关的几个重要的信息安全标准》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。