/ 中存储网

ISO/IEC 27001:2005信息安全标准-要求中文版全文下载

2006-02-09 16:07:35 来源:中存储

ISO 标准——IEC 27001:2005信息安全管理体系

——要求

 

0.1 总则

本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进ISMS(ISMS)的模型。采用ISMS 应是一个组织的战略决定。

组织ISMS 的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统应随时间变化而变化。希望根据组织的需要去

扩充ISMS 的实施,如,简单的环境是用简单的ISMS 解决方案。本国际标准可以用于内部、外部评估其符合性。

0.2 过程方法

本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS 的有效性。一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。组织内过程体系的应用,连同这些过程的识

别和相互作用及管理,可以称之这“过程的方法”。

在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性:

a) 了解组织信息安全需求和建立信息安全策略和目标的需求;

b) 在组织的整体业务风险框架下,通过实施及运作控制措施管理组织的信息安全风险;

c) 监控和评审ISMS 的执行和有效性;

d) 基于客观测量的持续改进。

本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS 流程。

更多内容下载:

ISO/IEC 27001:2005信息安全标准中文版全文下载

ISO27000全系列

ISO27000系列共包括10个标准,当前已经发布和在研究的有6个,分别为:

1、ISO/IEC 27000《信息安全管理体系 基础和词汇》;

2、ISO/IEC 27001:2005《信息安全管理体系 要求》;

3、ISO/IEC

17799:2005《信息安全管理实用规则》(2007年4月后,编号将改为27002);

4、ISO/IEC 27003《信息安全管理体系实施指南》;

5、ISO/IEC 27004《信息安全管理测量》;

6、ISO/IEC 27005《信息安全风险管理》。