與ISO27001相關(guān)的幾個重要的信息安全標(biāo)準(zhǔn) 

主要內(nèi)容如下：

BS7799系列（ISO/IEC 27000系列）

ISO/IEC TR 13335系列

SSE-CMM

ITIL和BS15000

CC

CoBIT

NIST SP800系列

1、ISO/IEC TR 13335

ISO/IEC TR 13335，早前被稱作“IT 安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版稱作“信息和通信技術(shù)安全管理”（Management of Information and Communications Technology Security，MICTS），是ISO/IEC JTC1 制定的技術(shù)報告，是一個信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實施IT安全管理提供建議和支持。

ISO/IEC TR 13335系列標(biāo)準(zhǔn)（舊版）－ GMITS，由5部分標(biāo)準(zhǔn)組成：

ISO/IEC13335-1:1996《IT安全的概念與模型》

ISO/IEC13335-2:1997《IT安全管理與策劃》

ISO/IEC13335-3:1998《IT安全管理技術(shù)》

ISO/IEC13335-4:2000《防護(hù)措施的選擇》

ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》

目前，ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004（MICTS 第1部分：信息和通信技術(shù)安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2（MICTS 第2 部分：信息安全風(fēng)險管理）取代。

ISO/IEC TR 13335 只是一個技術(shù)報告和指導(dǎo)性文件，并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn)，信息安全體系建設(shè)參考BS 7799，具體實踐參考ISO TR 13335。 

2、SSE-CMM

SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局(NSA)領(lǐng)導(dǎo)開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。

SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評估方法2.0版發(fā)布。

系統(tǒng)安全工程過程一共有三個相關(guān)組織過程：

工程過程

風(fēng)險過程

保證過程

共分5個能力級別，11個過程區(qū)域：

基本執(zhí)行級

計劃跟蹤級

充分定義級

量化控制級

持續(xù)改進(jìn)級

2002年被國際標(biāo)準(zhǔn)化組織采納成為國際標(biāo)準(zhǔn)即ISO/IEC 21827:2002《信息技術(shù)系統(tǒng)安全工程－成熟度模型》。

SSE-CMM 和BS 7799 都提出了一系列最佳慣例，但BS 7799 是一個認(rèn)證標(biāo)準(zhǔn)（第二部分），提出了一個可供認(rèn)證的ISMS 體系，組織應(yīng)該將其作為目標(biāo)，通過選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤崿F(xiàn)。而SSE-CMM 則是一個評估標(biāo)準(zhǔn)， 適合作為評估工程實施組織能力與資質(zhì)的標(biāo)準(zhǔn)

3、通用標(biāo)準(zhǔn)（CC）

我們通常所稱的通用標(biāo)準(zhǔn)或通用準(zhǔn)則（Common Criteria，簡稱CC）是指ISO/IEC15408:1999標(biāo)準(zhǔn)。目前CC標(biāo)準(zhǔn)的最新版本是2.2；CC2.1版在1999年成為國際標(biāo)準(zhǔn)ISO/IEC15408:1999；我國在2001年等同采用為國家標(biāo)準(zhǔn)GB/T 18336－2001。

CC標(biāo)準(zhǔn)由三個部分組成：

GB/T 18336.1－2001 idt ISO/IEC15408-1:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第1部分：簡介和一般模型

GB/T 18336.2－2001 idt ISO/IEC15408-2:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第2部分：安全功能要求

GB/T 18336.3－2001 idt ISO/IEC15408-3:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準(zhǔn)則第3部分：安全保證要求

與BS7799 標(biāo)準(zhǔn)相比，CC 的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評價上，BS7799 在闡述信息安全管理要求時，并沒有強(qiáng)調(diào)技術(shù)細(xì)節(jié)。因此，組織在依照BS7799 標(biāo)準(zhǔn)來實施ISMS 時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒CC 標(biāo)準(zhǔn)。

4、ITIL和BS15000

ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫（Information Technology Infrastructure Library）。ITIL針對一些重要的IT實踐，詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。

IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（Service Delivery）和服務(wù)支持（Service Support）

服務(wù)交付（Service Delivery）：

Service Level Management

Financial Management for IT Service

Capacity Management

IT Service Continuity Management

Availability Management

服務(wù)支持（Service Support）：

Service Desk

Incident Management

Problem Management

Configuration Management

Change Management

Release Management

有關(guān)ITIL，我之前也有一篇文章進(jìn)行過簡單介紹。

2001年，英國標(biāo)準(zhǔn)協(xié)會在國際IT 服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標(biāo)準(zhǔn)BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。

BS15000 有兩個部分，目前都已經(jīng)轉(zhuǎn)化成國際標(biāo)準(zhǔn)了。

ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Information technology service management. Specification for Service Management）

ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實踐（ Information technology service management. Code of Practice for Service Management）

與BS7799 相比，ITIL 關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息安全方面的補(bǔ)充，同時引入ITIL 流程的方法，以此加強(qiáng)信息安全管理的實施能力。

5、CoBIT

CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標(biāo)（Control Objectives for Information and related Technology），是ITGI提出的IT治理模型（IT Governance)，是一個IT控制和IT治理的框架（framework）。CobiT是一個在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的IT治理模型。

CoBIT的八個控制過程：

計劃和組織（Planning & Organisation）

采購和實施（Acquisition & Implementation）

交付和支持（Delivery & Support）

監(jiān)視和評估（Monitoring & evaluation）

CoBIT的七個控制目標(biāo)：

機(jī)密性（Confidentiality）

完整性（Integrity）

可用性（Availability）

有效性（Effectiveness）

高效性（Efficiency）

可靠性（Reliability）

符合性（Compliance）

目前基本上存在著兩類控制模型，一類是類似COSO這樣的商業(yè)控制模式（business control model），另一類則是像BS7799這樣的更關(guān)注IT的控制模型（more focused on IT control model），而CoBIT的目標(biāo)是在兩者之間架起一座橋梁。

6、NIST SP800系列

美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會（National Institute of Standards and Technology，NIST）發(fā)布的Special Publication 800 文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南，其中有多篇是有關(guān)信息安全管理的，包括：

SP 800-12：計算機(jī)安全介紹（An Introduction to Computer Security: The NIST Handbook）

SP 800-30 ： IT 系統(tǒng)風(fēng)險管理指南（Risk Management Guide for Information Technology Systems）

SP 800-34：IT 系統(tǒng)應(yīng)急計劃指南（Contingency Planning Guide for Information Technology Systems）

SP 800-26 ： IT 系統(tǒng)安全自我評估指南（ Security Self-Assessment Guide for Information Technology Systems）

這些文件可以作為實施ISMS 過程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照（例如風(fēng)險評估、應(yīng)急計劃等），是對BS7799 標(biāo)準(zhǔn)很好的補(bǔ)充和細(xì)化。

7、BS7799系列（ISO/IEC 27000系列）

BS7799 Part 1:

BSBS7799 Part 1的全稱是Code of Practice for Information Security，也即為信息安全的實施細(xì)則。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。

ISO/IEC 17799:2005 通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個安全管理要素，還有39個主要執(zhí)行目標(biāo)和133個具體控制措施（最佳實踐），供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開發(fā)的人員作為參考使用，以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。

ISO/IEC 17799:2005的內(nèi)容如下圖：（見附件）

BS7799 Part 2:

BS7799 Part 2的全稱是Information Security Management Specification，也即為信息安全管理體系規(guī)范，其最新修訂版在05年10月正式成為ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細(xì)說明了建立、實施和維護(hù)信息安全管理體系的要求，可用來指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。

今天通過對《與ISO27001相關(guān)的幾個重要的信息安全標(biāo)準(zhǔn)》的學(xué)習(xí)，相信你對認(rèn)證有更好的認(rèn)識。如果要辦理相關(guān)認(rèn)證，請聯(lián)系我們吧。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202012/ccaa_16030.html