Transcription
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论什 么 是 ISO/IEC 27001?ISO/IEC 27001 标 准 的 名 称 为 《 信 息 技 术— 安全技术 — 信息安全管理体系 —要 求 》 , 由 国 际 标 准 化 组 织 ( ISO) 及 国 际电 工 委 员 会 ( IEC ) 出 版 。 ISO/IEC27001:2013( 下 称 ISO/IEC 27001) 为 最新 版 本 的 ISO/IEC 27001 标 准 , 修 订 了2005 年 出 版 的 上 一 个 版 本 ( 即 ISO/IEC27001:2005)。本 标 准 订 明 有 关 建 立 、推 行 �各项要 求 。信 息 安 全 管 理 体 系 阐 述 保 护 敏 感 信 息安 全 的 系 统 化 方 式 ,通 过 应 用 风 险 管 理 流 程管 理 人 事 、工 序 及 信 息 技 术 系 统 。这 套 系 �会合用。ISO/IEC 27001 可 以 与 相 关 支 援 控 制 措 施配 合 使 用 , 例 如 载 列 于 ISO/IEC27002:2013( 下 称 ISO/IEC 27002) 文 件的 控 制 措 施 。 ISO/IEC 27002 分 为 14 节 及35 个 控 制 目 标 ,详 述 114 项 安 全 控 制 措 施 。有 关 ISO/IEC 27001 及 ISO/IEC 27002 的目 录 载 于 附 录 A。政府资讯科技总监办公室出版 二零二二年五月更新机 构 是 否 遵 行 ISO/IEC 27001 标 准 所 定 的要 求 ,可 由 认 可 认 证 机 构 进 行 正 式 评 估 和 �ISO/IEC 27001 标 准 的 认 证 ,显 示 机 构 致 力保 护 信 息 安 全 ,又 可 增 加 客 户 、合 伙 人 及 持份者的信心。ISO/IEC 27001 认 证 要 求为 符 合 ISO/IEC 27001 认 证 要 求 , 机 构 �认证机 构 进 行 审 计 。 ISO/IEC 27001 第 4 节 至10 节 所 载 的 要 求 ( 见 附 录 A) 是 强 制 性 要求 ,并 没 有 豁 免 情 况 。若 机 构 的 信 息 安 全 管理 体 系 通 过 正 式 审 计 ,便 会 获 认 证 机 构 颁 发ISO/IEC 27001 证 书 。 证 书 的 有 效 期 为 三年 ,期 满 后 ,机 构 需 要 重 新 为 其 信 息 安 全 ��全管理体系持续遵行有关要求 ,按 规 定 运 行 和 不 断 改 进 。为 了 保 持 证 书有 效 ,认 证 机 构 会 每 年 至 少 一 次 就 信 息 安 �审计。在 审 计 过 程 中 ,认 证 机 构 只 会 对 部 分 信 息 安全 管 理 体 系 作 出 审 计 。当 三 年 有 效 期 临 近 届满 时 ,认 证 机 构 才 会 对 整 个 信 息 安 全 管 理 体系作出审计。1
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论ISO/IEC 27001 认 证 的 效 益认证机构机 构 获 取 ISO/IEC 27001 认 证 后 , 在 内 �ISO/IEC 27001 认 证 过 程 涉 及 由 认 证 机 构给 予 的 认 可 。认 证 机 构 须 显 示 已 完 全 符 合 有关 国 际 标 准 的 要 求 ,即 ISO/IEC 17021《 合格评定 — 管理体系审核认证机构的要求 》及 ISO/IEC 27006《 信 息 安 全 管 理 体 �可。在 内 部 方 面 , 机 构 采 用 ISO/IEC 27001 可获得下述效益:订 立 依 据 ,以 便 安 全 地 交 换 信 息 和 保 护数据隐私,尤其是敏感信息;管 理 和 减 低 风 险 承 担 ,从 而 减 少 发 生 事件 的 机 会 ,亦 相 应 减 少 用 于 安 全 事 件 �和改进业务的安全性 结 构 ,如 明 确 界 定 有 关 信 息 安 全 的 职责及职务;减 少 在 投 标 合 约 时 和 批 出 合 约 后 ,按 �相关信息的资源。在 对 外 方 面 ,机 构 通 过 宣 传 已 获 取 ISO/IEC27001 认 证 , 可 获 得 下 述 效 益 :给 予 客 户 及 持 份 者 信 心 ,让 他 们 了 解 �宜;有 助 遵 守 法 律 责 任 ,如《 个 人 资 料( 私隐)条例》;享 有 竞 争 优 势 ,以 助 吸 引 更 多 投 资 者 及客户;改 进 服 务 及 产 品 的 一 致 性 ,从 而 提 高 客户的满意度和挽留客户;由 于 安 全 流 程 经 独 立 认 证 机 构 核 实 ,故可 保 护 和 提 升 机 构 信 誉 ,从 而 提 高 对 �准备好面对客户日益殷切的期望。现 时 市 民 对 信 息 安 全 事 件 愈 趋 敏 感 ��技总监办公室出版 二零二二年五月更新2011 年 11 月 15 日 ,香 港 认 可 处 正 式 推 出ISO/IEC 27001 认 证 的 认 可 服 务 。认 证 机 构可 联 络 香 港 认 可 处 ,并 提 出 认 可 申 请 。有 �证费用包括推行信息安全管理体系和 获 取 ISO/IEC 27001 认 证 所 需 的 费 用 。推 行 信 息 安 全 管 理 体 系 的 费 用 ,主 要 取 决 �的差距 。在 推 行 费 用 方 面 ,部 分 费 用 及 资 源 用 于推 行 安 全 控 制 措 施 、编 写 文 档 、培 训 人 员 等 应用情况根 据 国 际 标 准 化 组 织 在 2020 年 进 行 的 调查 , 截 至 2020 年 12 月 31 日 全 球 137 个国 家 及 经 济 体 系 有 效 的 ISO/IEC 27001 证书 近 44 500 张 。首 三 个 有 效 证 书 总 数 最 多的 国 家 及 经 济 体 系 分 别 是 中 国 ( 12 400 多张 ) 、 日 本 ( 5 600 多 张 ) 及 英 国 ( 3 300多 张 )。根 据 同 一 调 查 的 数 据 ,香 港 的 有 效证 书 数 目 约 186 张 , 包 括 部 分 政 府 部 门 就某 些 指 定 职 能 范 畴 取 得 的 ISO/IEC 27001认证。2
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论ISO/IEC 27001 的 推 行 情 况 和 认 证 过 程 概 要 ISO/IEC 27001的推行情况123456 制订信息安全方针 �持,以推行安全改进计划。 界定信息安全管理体系范围 �ISO/IEC � 进行风险评估 ��风险分类排列资产。 管理已确定的风险 ��职责及优先事项。 选择将会推行的控制措施 IEC 施的推行方法。 推行控制措施 �施。 ISO/IEC 27001的认证78 准备认证 ��作的整个流程。 申请认证 ��审计。政府资讯科技总监办公室出版 二零二二年五月更新3
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论ISO/IEC 27000 标 准 系 列ISO/IEC 27000 标 准 系 列( 见 附 录 B)包 括互 有 关 连 的 标 准 及 指 南 (已 经 出 版 或 正 在 拟备 ), 以 及 若 干 重 要 的 组 成 部 分 。 这 些 组 �要求( ISO/IEC 27001) 、 ISO/IEC 27001 标 准的 认 证 机 构 要 求 ( IS O/IEC 27006 ) 及 信 息政府资讯科技总监办公室出版 �定行业推行的外加要求框 架 ( ISO/IEC 27009) 的 参 考 标 准 。 其 �的不同 范 畴 提 供 指 引 ,如 一 般 流 程 、特 定 控 制 措施指南及特定行业指南。4
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论ISO/IEC 27001 的 现 有 版 本 在 2013 年 发布 。 除 了 上 文 最 多 提 及 的 ISO/IEC 27001、ISO/IEC 27002 及 ISO/IEC 27018 外 ,ISO/IEC 27000 标 准 系 列 的 一 些 其 它 标 准也被广泛引用。例子包括:ISO/IEC 27000 —《 信 息 安 全 管 理 体 系—概 述 和 词 汇 》概 述 信 息 安 全 管 理 体 系的 数 据 ,并 提 供 信 息 安 全 管 理 体 系 标 准系 列 的 常 用 术 语 和 定 义 。为 确 保 用 语 一致 , 所 有 ISO/IEC 27000 标 准 系 列 会 以ISO/IEC 27000 所 载 的 术 语 及 定 义 �ISO/IEC 27000 标 准 系 列 有 初 步 了 解 。ISO/IEC 27003 —《 信 息 安 全 管 理 体 系— 指 南 》就 ISO/IEC 27001 所 订 明 对 信息 安 全 管 理 体 系 的 要 求 提 供 指 南 ,并 载述 与 这 些 要 求 相 关 的 建 议 、可 能 情 况 及允许情况。ISO/IEC 27004 —《 信 息 安 全 管 理 ��全 管 理 体 系 的 成 效 , 以 达 到 ISO/IEC27001所 订 明 有 关 监 视 、 测 量 、 分 析 和评价的要求。ISO/IEC 27005 — 《 信 息 安 全 风 险 �南 。 该 标 准 进 一 步 阐 述 ISO/IEC 27001所 载 的 一 般 概 念 ,旨 在 协 助 按 风 险 管 理方法顺利推行信息安全措施。ISO/IEC 27017 — 《 基 于 ISO/IEC27002 的 云 服 务 信 息 安 全 控 制 实 践 指南 》提 供 支 援 推 行 信 息 安 全 控 制 措 施 并适 用 于 云 用 户 及 供 应 商 的 指 南 。用 户 �估 及 其 它 要 求 ,选 择 适 当 的 控 制 措 施 和采 用 有 关 的 推 行 指 南 。 这 标 准 与ISO/IEC 27018一 并 使 用 , 涵 盖 范 围 更为 广 泛 ,除 隐 私 外 ,还 包 括 云 计 算 的 �室出版 二零二二年五月更新ISO/IEC 27031 —《 信 息 通 信 技 术 业 务连 续 性 指 南 》说 明 有 关 促 进 业 务 连 续 �则 ,并 提 供 相 关 方 法 及 流 程 的 框 架 ��性。ISO/IEC 27035-1 —《 信 息 安 全 事 件 管理 — 第 1部 分 : 事 件 管 理 原 理 》 载 �阶 段 ,并 有 系 统 地 将 这 些 概 念 与 原 理 结合 ,用 于 事 件 侦 测 、报 告 、评 估 和 响 应 ,以及经验教训。ISO/IEC 2703 5-2 —《 信 息 安 全 事 件 管理 — 第 2部 分 : 事 件 响 应 规 划 和 准 备指 南 》就 事 件 响 应 的 规 划 和 准 备 提 供 指南。ISO/IEC 27036-4 —《 供 应 商 关 系 信 息安 全 — 第 4部 分 : 云 服 务 安 全 指 南 �用于云服务的指南。ISO/IEC 27037 —《 数 字 证 据 的 识 别 、收 集 、获 得 和 保 全 指 南 》提 供 指 南 �识别 、收 集 、获 得 和 保 全 或 具 证 据 价 值 的潜在数字证据。ISO/IEC 2703 9 —《 入 侵 检 测 及 防 御 系统( IDPS)的 选 择 、部 署 和 操 作 》提 �防 御 系 统 ,特 别 针 对 入 侵 检 测 及 防 御 系统的选择、部署和操作。ISO/IEC 27043 —《 事 件 调 查 原 则 及 过程 》基 于 理 想 模 型 ,为 涉 及 数 字 证 据 �过 程 提 供 指 南 ,包 括 从 事 前 准 备 到 调 查结 束 的 过 程 ,以 及 有 关 该 等 过 程 的 一 般建议和须注意事项。5
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论ISO/IEC 27 110 —《 网 络 安 全 框 架 发 �,适 用 于 网 络 安 全 框 架 创 建 者,无 论 其 机构的类型、规模或性质如何。ISO/IEC 27570 — 《 智 慧 城 市 隐 私 指南 》就 智 慧 城 市 生 态 系 统 隐 私 保 护 �福公 民,以 及 智 慧 城 市 生 态 系 统 隐 私 保 �公室出版 二零二二年五月更新6
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论云 计 算 中 的 个 人 识 别 资 料 �和继续发展。云 计 算 具 备 潜 在 的 好 处 ,在 使 用 、维 护 和 提升 方 面 亦 具 备 成 本 效 益 。较 诸 传 统 的 数 据 存储 方 法 ,云 计 算 的 数 据 备 份 和 复 原 方 法 亦 较为 容 易 。此 外 ,云 计 算 亦 具 备 快 速 配 置 和 便利获取信息的好处。一 些 机 构 将 应 用 系 统 迁 移 到 云 。从 机 构 的 角度 来 看 ,云 计 算 的 安 全 ,尤 其 是 数 据 安 全 和隐 私 保 护 等 问 题 备 受 关 注 ,这 些 仍 然 是 阻 O/IEC 27018:201 9 标 准 ( 下 称 ISO/IEC27018 )的 名 称 为《 个 人 识 别 资 料 处 理 者 ��数据而设的 国 际 标 准 。ISO/IEC 27018 主 要 阐 述 普 遍用 作 保 护 经 公 有 云 服 务 供 应 商( 即 个 人 识 别资 料 处 理 商 )处 理 的 个 人 识 别 资 料 的 控 制 目标、控制措施和指南。ISO/IEC 27018 为 通 过 云 处 理 个 人 识 别 资料 的 所 有 类 型 及 规 模 的 私 营 或 公 营 机 构( 个人识别资料处理商)而设。ISO/IEC 27018 的 保 护 个 人 识 别 资 料 控制措施制 订 ISO/IEC 27018 时 已 考 虑 ISO/IEC27002 所 载 的 要 求 ,并 通 过 以 下 两 种 方 法 加强 ISO/IEC 27002 的 内 容 : 第 一 , 就ISO/IEC 27002 所 订 明 的 控 制 措 施 实 施 指南 作 出 补 充 ;第 二 ,提 供 ISO/IEC 27002 ��别资料的要 求 。 就 第 一 种 方 法 而 言 , ISO/IEC 27018在 以 下 11 项 ISO/IEC 27002 控 制 措 施 制 �的业务连续性管理符合性就 第 二 种 方 法 而 言 ,ISO/IEC 27018 附 件 A载 列 11 项 在 ISO/IEC 27002 基 础 上 的 加 �的要求 ,该 等 要 求 适 用 于 作 为 个 人 识 别 资 料 处 理商 的 公 有 云 服 务 供 应 商 。这 些 加 强 控 制 措 施根 据 ISO/IEC 29100 :2011 《 信 息 技 术 —安 全 技 术 — 隐 私 框 架 》 ( 下 称 ISO/IEC29100 ) 的 11 项 隐 私 原 则 分 类 。 有 关ISO/IEC 29100 的 隐 私 原 则 载 于 附 录 A 。ISO/IEC 27018 的 效 益ISO/IEC 27018 适 用 于 处 理 从 用 户 获 取 的 个 人 识 别 资 料 , 以 作 用 户 与 云 服 务 供 应 商 所 订立 的 合 约 中 已 订 明 的 用 途 。 通 过 采 用 ISO/IEC 27018, 机 构 可 府资讯科技总监办公室出版 二零二二年五月更新7
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论后记ISO/IEC 27001 阐 述 信 息 安 全 管 理 体 系 的正 式 规 格 ,着 重 于「 管 理 体 系 」而 非「 信 息安 全 」。已 认 证 的 信 息 安 全 管 理 体 系 能 明 确显 示 该 机 构 正 通 过 系 统 化 方 法 鉴 别 、评 估 和管 理 信 息 安 全 风 险 。信 息 安 全 管 理 体 系 若 能有 效 操 作 ,则 可 确 保 已 采 取 足 够 的 安 全 控 制措 施 。ISO/IEC 27001 证 书 可 有 助 推 广 、提高公信力和增加客户信心。附录 AISO/IEC 27001:2013 的 目 录ISO/IEC 27002:2013 的 目 录0. 简 介1. 范 围2. 参 考 标 准3. 术 语 和 定 义4. 组 织 架 构 环 境5. 领 导 力6. 策 划7. 支 援8. 运 行9. 绩 效 评 价10. 改 进附件 A 控制目标和控制措施参考参考文献0. 简 介1. 范 围2. 参 考 标 准3. 术 语 和 定 义4. 本 标 准 的 结 构5. 信 息 安 全 方 针6. 信 息 安 全 组 织 架 构7. 人 力 资 源 安 全8. 资 产 管 理9. 访 问 控 制10. 加 密 方 法11. 物 理 与 环 境 安 全12. 操 作 安 全13. 通 信 安 全14. 系 统 购 置 、 发 展 和 维 护15. 供 应 商 关 系16. 信 息 安 全 事 件 管 理17. 信 息 安 全 方 面 的 业 务 连 续 性 管 理18. 符 合 性参考文献ISO/IEC 29100:2011 的 隐 私 原 ��资讯科技总监办公室出版 二零二二年五月更新8
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论附录 B以 下 ISO/IEC 27000 标 准 系 列 的 信 息 安 全 标 准 已 经 出 版 或 正 在 拟 备( 注 : TR 指 技 术 报 告 ; TS 指 技 术 规 格 ) � — 概述和词汇信息安全管理体系 — 要求信息安全控制信息安全管理体系 — 指南信息安全管理 — �管理ISO/IEC ��的要求ISO/IEC TS 27006- � — 第 2 SO/IEC 27001 的 特 定 行 业 应 用 — 要 �ISO/IEC 270112016*基 于 ISO/IEC 27002 的 电 信 组 织 信 息 安 全 控 制 实 践 指 南ISO/IEC 27013ISO/IEC 27014ISO/IEC TR 27016202120202014ISO/IEC 27001 和 IS O/IEC 20000- 1 整 合 实 施 指 南信息安全治理信息安全管理 — 组织经济学ISO/IEC 270172015基 于 ISO/IEC 27002 的 云 服 务 信 息 安 全 控 制 实 践 指 南ISO/IEC �保护个人识别资料的实践指南ISO/IEC 27019ISO/IEC O/IECISO/IECISO/IECISO/IEC20212015拟稿 2011*信息安全管理体系过程指南ISO/IEC 27001 和 IS O/IEC 27002 修 订 版 本 对 照在 政 府 /规 管 要 求 中 使 用 ISO/IEC 27001 系 列 标 �ISO/IEC 27032ISO/IEC 27033- 12012*2015网络安全指南网络安全 — 第 1 部分:概述和概念ISO/IEC 27033- 2ISO/IEC 27033- 320122010网络安全 — 第 2 �全 — 第 3 EC 27033- 42014网 络 安 全 — 第 4 部 分 :使 用 安 全 网 关 保 护 网 络 之 间 的通信ISO/IEC 27033- 52013ISO/IEC 27033- 6ISO/IEC 27033- 72016拟稿 ISO/IECISO/IECISO/IECISO/IECISO/IECISO/IEC27007TS 270082700927010TS 27022TR 27023TR 2702 427031政府资讯科技总监办公室出版 二零二二年五月更新网 络 安 全 — 第 5 部 分 : 使 用 虚 拟 专 用 网 络 (VPN)保 护跨网络的通信安全网 络 安 全 — 第 6 部 分 : 保 护 无 线 IP 网 络 访 问网络安全 — 第 7 部分:网络虚拟化安全指南9
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论标准出版名称ISO/IEC 27034- 1ISO/IEC 27034- 22011*2015应用安全 — 第 1 部分:概述和概念应用安全 — 第 2 部分:组织规范性框架ISO/IEC 27034- 3ISO/IEC 27034- 520182017应用安全 — 第 3 部分:应用安全管理过程应 用 安 全 — 第 5 部 分 :协 议 和 应 用 安 全 控 制 数 据 结 构ISO/IEC TS 27034- 5-12018ISO/IEC 27034- 6ISO/IEC 27034- 7ISO/IEC 27035- 12016*20182016*ISO/IEC 27035- 22016*ISO/IEC 27035- 32020ISO/IEC 27035- 4ISO/IEC 27036- 1ISO/IEC 27036- 2拟稿 20212014*ISO/IEC 27036- 36- 4270372703827039270402704127042270432704627050- 127050- 227050- 327050- 420162012201420152015*201520152015拟稿 2019201820202021信 息 安 全 事 件 管 理 — 第 3 部 分 : ICT 事 件 响 应 操 作 指南信息安全事件管理 — 第 4 部分:协同供应商关系— 第 1 � — 第 2 部分:要求供 应 商 关 系 信 息 安 全 — 第 3 部 分 : ICT 供 应 链 安 全 指南供应商关系信息安全 — 第 4 ��入 侵 检 测 及 防 御 系 统 ( IDPS) 的 选 择 、 部 署 和 操 私 — 实施指南电子发现 — 第 1 部分:概述和概念电子发现 — 第 2 �现 — 第 3 部分:电子发现实践指南电子发现 — 第 4 S 2710027102TR 27103TS 2711027400274022021拟稿 拟稿 202020192018*2021拟稿 拟稿 ��施 — 实践和政策框架网络安全 — 概述和概念网络保险指南网 络 安 全 与 ISO/IEC 标 �隐私 — 指南物联网安全与隐私 — �出版 二零二二年五月更新应 用 安 全 — 第 5-1 部 分:协 议 和 应 用 安 全 控 制 数 据 结构 , XML 模 式应用安全 — 第 6 部分:案例分析应用安全 — 第 7 �管理 — 第 1 部分:事件管理原理信 息 安 全 事 件 管 理 — 第 2 部 分 :事 件 响 应 规 划 和 准 备指南10
信息安全管理体系ISO/IEC 27000 标 准 系 列 概 论标准出版 名称ISO/IEC 27403ISO/IEC TR 27550拟稿2019物联网安全与隐私 — �私工程ISO/IEC 27 5512021ISO/IEC 27553- 1拟稿 SO/IECISO/IECISO/IECISO/IEC拟稿 2021拟稿 拟稿 拟稿 拟稿 拟稿 拟稿 拟稿 拟稿 的安全和隐私要求 — 第 1 部分:本地模式使 用 ISO 31000 评 估 身 分 管 理 相 关 风 技术 — �ISO/IEC 27001 和 ISO/IEC 27002 对 隐 私 信 息 管 理 的 扩展 — 要求和指南健 康 信 息 学 — 使 用 ISO/IEC 27002 的 健 康 信 息 安 全管理2755427555275562755727559TS 27560TS 2756127562TR 2756327565TS 27570ISO/IEC 277012019ISO 27799 #2016* 拟备中*正进行调整#并 非 使 用 同 一 通 用 名 称 的 国 际 标 准 , 但 属 ISO/IEC 27000 系 列 的 标 准参考资料1. 参 考 http://www.iso.org有 关 I SO /I E C 27 0 00 标 准 系 列 的 内 容2. 参 考 http://www.pc- history.org/17799.htm有 关 I SO /I E C 27 0 01 的 演 变3. 参 考 https://www.iso.org/the -iso-survey.html有 关 I SO 证 书 调 查 报 告政府资讯科技总监办公室出版 二零二二年五月更新11
iso/iec 27001 的现有版本在 2013 年发 布。除了上文最多提及的 iso/iec 27001、 iso/iec 27002 及 iso/iec 27018 外, iso/iec 27000 标准系列的一些其它标准 也被广泛引用。例子包括: iso/iec 27000 —《信息安全管理体系 �
