fbpx
维基百科

ISO/IEC 27001

十月 21, 2023

ISO/IEC 27001,其名稱是《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information security management systems — Requirements)是資訊安全管理的國際標準。此標準一開始是由國際標準化組織(ISO)及国际电工委员会(IEC)在2005年聯合發佈[1],在2013年改版[2]。其中有列出有關資訊安全管理系統(information security management system、ISMS)架構、實施、維護以及持續改善上的要求,目的是幫助組織可以使其保管的資訊資產更加安全[3]。2017年時,歐洲有更新此標準,並且出版[4]。組織若要符合此標準的要求,在成功完成一次內部審計後,可申請由合格的認證單位進行認證。

ISO/IEC 27001設計包括的範例不只是IT部門而已, ISO/IEC 27001會要求進行以下的管理:

  • 系統性地檢驗組織的資訊安全風險,考慮其威脅、弱點以及影響。
  • 設計、實現連貫而且全面的資訊安全控管套件,並且/或者其他的風險管理方案(例如風險避免或風險轉移)來處理無法接受的風險。
  • 用總體管理的流程,在現有的基礎上,確認資訊安全管理控管可以持續的符合組織的資訊安全需求。

管理層為了認證的考量,會決定資訊安全管理系統(ISMS)的範圍,例如限制在單一的事業單位或是單一地區。ISO/IEC 27001可以針對個別部門的認證,也可以針對全公司的認證[5][6]

ISO/IEC 27000系列中的標準中可以提供設計、實現資訊安全管理系統以及其運作相關的指引,例如在有關資訊安全風險管理的ISO/IEC 27005英语ISO/IEC 27005

標準歷史 编辑

ISO/IEC 27001中有許多內容是源自英國標準BS 7799英语BS 7799

BS 7799是由BSI集團提出的標準[7]。由英國貿易和工業部英语Department of Trade and Industry (United Kingdom)在1995年時改寫,分為幾個部份。

BS7799的第一部份包括資訊安全管理的最佳實務,在1998年修訂。各國的標準機構針對其內容進行長期的討論,最後由ISO在2000年修訂為ISO/IEC 17799《資訊科技—資訊安全管理實務準則》(Information Technology - Code of practice for information security management)。在2005年6月再次修訂,最後在2007年7月整合在ISO 27000的系列標準中(ISO/IEC 27002)。

BS7799的第二部份最早是由BSI在1999年發佈,稱為BS 7799第二部《資訊安全管理系統—規範及使用指引》(Information Security Management Systems - Specification with guidance for use)。BS 7799-2注重如何實現資訊安全管理系統(ISMS),在BS 7799-2中稱為資訊管理結構及控制。這部份後來成為ISO/IEC 27001:2005。BS 7799第二部份後來在2005年11月被ISO修改為ISO/IEC 27001。

BS 7799第三部份是在2005年後發佈,包括了風險分析及管理,後來變成ISO/IEC 27001:2005。

BS標準中,很少內容有引用ISO/IEC 27001。

認證 编辑

許多認可註冊商英语Accredited Registrar可以認證資訊安全管理系統是否符合ISO/IEC 27001[8]。若是針對ISO/IEC 27001各國版本(例如日本的JIS Q 27001)的認證,在功能上等效於針對ISO/IEC 27001的認證。

有些國家會將認證管理系統的組織稱為「認證機構」(certification bodies),有些則稱為「登記機構」(registration bodies)、「評估及登記機構」(assessment and registration bodies)、「認證/登記機構」(certification/ registration bodies)等。

結構 编辑

ISO/IEC 27001:2013分為以下10章,以及一個很長的附錄:

1. 此標準範圍
2. 如何參考此文件
3. 重新使用ISO/IEC 27000中的詞語及定義
4. 組織環境及利益相關者
5. 資訊安全領導及高層的政策支持
6. 資訊安全管理系統的計劃:風險評估,風險處置
7. 資訊安全管理系統的相關支持
8. 如何讓資訊安全管理系統可以正常運作
9. 審核系統的性能
10. 矯正措施
附錄A:控制方式列表以及其目的

此標準的結構和其他管理標準(例如有闗業務連續性計劃ISO 22301英语ISO 22301)類似,有助於公司同時符合這些標準。27001:2005版中的附錄B,C,在新版已經刪除了。

控制 编辑

ISO/IEC 27001的6.1.3有描述組織如何用風險處置計畫來因應風險,其中很重要的一部份是選擇適當的風險控制方式。ISO/IEC 27001:2013中很重要的一項調整是不強制要求一定要用附錄A中所列的風險控制方式來管控風險。以往的版本要求(應)要從附錄A的控制方式中選擇一到數個方式來控管風險。舊版本下幾乎每一個風險評估都是用附錄A的控制方式完成的,但在新版本下,越來越多的風險評估沒有用附錄A中的控制方式來控管風險。此作法的目的是讓風險評估更簡單,也對組織更有意義,有助組織建議有關風險以及控管的正確所有權概念。

附錄中有114個控制,分為14群,35個控制分類。2005年的版本有133個控制,分為11個群。

A.5:資訊安全政策(2個控制方式)
A.6:資訊安全組織(7個控制方式)
A.7:人力資源安全:在僱用前、中後共有6個控制方式
A.8:資產管理(10個控制方式)
A.9:訪問控管(14個控制方式)
A.10:加密(2個控制方式)
A.11:物理性及環境的安全(15個控制方式)
A.12:運作安全(14個控制方式)
A.13:通訊安全(7個控制方式)
A.14:系統購置,開發和維護(13個控制方式)
A.15:供應商關係(5個控制方式)
A.16:資訊安全事件管理(7個控制方式)
A.17:業務連續性計劃的資訊安全層面(4個控制方式)
A.18:合規,有關內部(例如政策)要求及外部(例如法令)要求(8個控制方式)

控制方式反映了許多組織相關技術的變化,例如雲端運算,不過如上所述,仍有可能在不使用上述控制方式的情形下通過ISO/IEC 27001:2013認證。

相關條目 编辑

參考資料 编辑

  1. ^ . bsigroup.com. BSI. [21 August 2020]. (原始内容存档于2022-01-29). 
  2. ^ Bird, Katie. NEW VERSION OF ISO/IEC 27001 TO BETTER TACKLE IT SECURITY RISKS. iso.org. ISO. [21 August 2020]. (原始内容于2019-09-20). 
  3. ^ ISO/IEC 27001:2013. ISO. ISO. [9 July 2020]. (原始内容于2020-11-15). 
  4. ^ BS EN ISO/IEC 27001:2017 – what has changed?. www.bsigroup.com. BSI Group. [29 March 2018]. (原始内容于2019-12-22). 
  5. ^ . [2020-12-07]. (原始内容存档于2022-01-24). 
  6. ^ . [2020-12-07]. (原始内容存档于2022-01-24). 
  7. ^ Facts and figures. bsigroup.com. [2020-12-06]. (原始内容于2012-10-20). 
  8. ^ Ferreira, Lindemberg Naffah; da Silva Constante, Silvana Maria; de Moraes Zebral, Alessandro Marcio; Braga, Rogerio Zupo; Alvarenga, Helenice; Ferreira, Soraya Naffah. ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais. 2013 47th International Carnahan Conference on Security Technology (ICCST) (Medellin: IEEE). October 2013: 1–4 [2020-12-06]. ISBN 978-1-4799-0889-9. doi:10.1109/CCST.2013.6922072. (原始内容于2020-03-27). 

外部連結 编辑

十月 21, 2023
27001, 此條目需要补充更多来源, 2020年12月4日, 请协助補充多方面可靠来源以改善这篇条目, 无法查证的内容可能會因為异议提出而被移除, 致使用者, 请搜索一下条目的标题, 来源搜索, 网页, 新闻, 书籍, 学术, 图像, 以检查网络上是否存在该主题的更多可靠来源, 判定指引, 其名稱是, 資訊科技, 安全技術, 資訊安全管理系統, 要求, information, technology, security, techniques, information, security, management,. 此條目需要补充更多来源 2020年12月4日 请协助補充多方面可靠来源以改善这篇条目 无法查证的内容可能會因為异议提出而被移除 致使用者 请搜索一下条目的标题 来源搜索 ISO IEC 27001 网页 新闻 书籍 学术 图像 以检查网络上是否存在该主题的更多可靠来源 判定指引 ISO IEC 27001 其名稱是 資訊科技 安全技術 資訊安全管理系統 要求 Information technology Security techniques Information security management systems Requirements 是資訊安全管理的國際標準 此標準一開始是由國際標準化組織 ISO 及国际电工委员会 IEC 在2005年聯合發佈 1 在2013年改版 2 其中有列出有關資訊安全管理系統 information security management system ISMS 架構 實施 維護以及持續改善上的要求 目的是幫助組織可以使其保管的資訊資產更加安全 3 2017年時 歐洲有更新此標準 並且出版 4 組織若要符合此標準的要求 在成功完成一次內部審計後 可申請由合格的認證單位進行認證 ISO IEC 27001設計包括的範例不只是IT部門而已 ISO IEC 27001會要求進行以下的管理 系統性地檢驗組織的資訊安全風險 考慮其威脅 弱點以及影響 設計 實現連貫而且全面的資訊安全控管套件 並且 或者其他的風險管理方案 例如風險避免或風險轉移 來處理無法接受的風險 用總體管理的流程 在現有的基礎上 確認資訊安全管理控管可以持續的符合組織的資訊安全需求 管理層為了認證的考量 會決定資訊安全管理系統 ISMS 的範圍 例如限制在單一的事業單位或是單一地區 ISO IEC 27001可以針對個別部門的認證 也可以針對全公司的認證 5 6 ISO IEC 27000系列中的標準中可以提供設計 實現資訊安全管理系統以及其運作相關的指引 例如在有關資訊安全風險管理的ISO IEC 27005 英语 ISO IEC 27005 目录 1 標準歷史 2 認證 3 結構 4 控制 5 相關條目 6 參考資料 7 外部連結標準歷史 编辑ISO IEC 27001中有許多內容是源自英國標準BS 7799 英语 BS 7799 BS 7799是由BSI集團提出的標準 7 由英國貿易和工業部 英语 Department of Trade and Industry United Kingdom 在1995年時改寫 分為幾個部份 BS7799的第一部份包括資訊安全管理的最佳實務 在1998年修訂 各國的標準機構針對其內容進行長期的討論 最後由ISO在2000年修訂為ISO IEC 17799 資訊科技 資訊安全管理實務準則 Information Technology Code of practice for information security management 在2005年6月再次修訂 最後在2007年7月整合在ISO 27000的系列標準中 ISO IEC 27002 BS7799的第二部份最早是由BSI在1999年發佈 稱為BS 7799第二部 資訊安全管理系統 規範及使用指引 Information Security Management Systems Specification with guidance for use BS 7799 2注重如何實現資訊安全管理系統 ISMS 在BS 7799 2中稱為資訊管理結構及控制 這部份後來成為ISO IEC 27001 2005 BS 7799第二部份後來在2005年11月被ISO修改為ISO IEC 27001 BS 7799第三部份是在2005年後發佈 包括了風險分析及管理 後來變成ISO IEC 27001 2005 BS標準中 很少內容有引用ISO IEC 27001 認證 编辑許多認可註冊商 英语 Accredited Registrar 可以認證資訊安全管理系統是否符合ISO IEC 27001 8 若是針對ISO IEC 27001各國版本 例如日本的JIS Q 27001 的認證 在功能上等效於針對ISO IEC 27001的認證 有些國家會將認證管理系統的組織稱為 認證機構 certification bodies 有些則稱為 登記機構 registration bodies 評估及登記機構 assessment and registration bodies 認證 登記機構 certification registration bodies 等 結構 编辑ISO IEC 27001 2013分為以下10章 以及一個很長的附錄 1 此標準範圍 2 如何參考此文件 3 重新使用ISO IEC 27000中的詞語及定義 4 組織環境及利益相關者 5 資訊安全領導及高層的政策支持 6 資訊安全管理系統的計劃 風險評估 風險處置 7 資訊安全管理系統的相關支持 8 如何讓資訊安全管理系統可以正常運作 9 審核系統的性能 10 矯正措施 附錄A 控制方式列表以及其目的此標準的結構和其他管理標準 例如有闗業務連續性計劃的ISO 22301 英语 ISO 22301 類似 有助於公司同時符合這些標準 27001 2005版中的附錄B C 在新版已經刪除了 控制 编辑ISO IEC 27001的6 1 3有描述組織如何用風險處置計畫來因應風險 其中很重要的一部份是選擇適當的風險控制方式 ISO IEC 27001 2013中很重要的一項調整是不強制要求一定要用附錄A中所列的風險控制方式來管控風險 以往的版本要求 應 要從附錄A的控制方式中選擇一到數個方式來控管風險 舊版本下幾乎每一個風險評估都是用附錄A的控制方式完成的 但在新版本下 越來越多的風險評估沒有用附錄A中的控制方式來控管風險 此作法的目的是讓風險評估更簡單 也對組織更有意義 有助組織建議有關風險以及控管的正確所有權概念 附錄中有114個控制 分為14群 35個控制分類 2005年的版本有133個控制 分為11個群 A 5 資訊安全政策 2個控制方式 A 6 資訊安全組織 7個控制方式 A 7 人力資源安全 在僱用前 中後共有6個控制方式 A 8 資產管理 10個控制方式 A 9 訪問控管 14個控制方式 A 10 加密 2個控制方式 A 11 物理性及環境的安全 15個控制方式 A 12 運作安全 14個控制方式 A 13 通訊安全 7個控制方式 A 14 系統購置 開發和維護 13個控制方式 A 15 供應商關係 5個控制方式 A 16 資訊安全事件管理 7個控制方式 A 17 業務連續性計劃的資訊安全層面 4個控制方式 A 18 合規 有關內部 例如政策 要求及外部 例如法令 要求 8個控制方式 控制方式反映了許多組織相關技術的變化 例如雲端運算 不過如上所述 仍有可能在不使用上述控制方式的情形下通過ISO IEC 27001 2013認證 相關條目 编辑ISO JTC 1 SC 27 英语 ISO JTC 1 SC 27 資訊技術安全技術 ISO IEC 27000系列 ISO 9000 BS 7799 英语 BS 7799 網路安全標準 國際標準化組織 ISO標準列表 英语 List of ISO standards 數據安全 可信資訊安全評估交換參考資料 编辑 ISO IEC 27001 International Information Security Standard published bsigroup com BSI 21 August 2020 原始内容存档于2022 01 29 Bird Katie NEW VERSION OF ISO IEC 27001 TO BETTER TACKLE IT SECURITY RISKS iso org ISO 21 August 2020 原始内容存档于2019 09 20 ISO IEC 27001 2013 ISO ISO 9 July 2020 原始内容存档于2020 11 15 BS EN ISO IEC 27001 2017 what has changed www bsigroup com BSI Group 29 March 2018 原始内容存档于2019 12 22 臺灣第四個全公司通過ISO 27001認證案例出爐 2020 12 07 原始内容存档于2022 01 24 花錢就能拿證書 台灣資安玩假的 2020 12 07 原始内容存档于2022 01 24 Facts and figures bsigroup com 2020 12 06 原始内容存档于2012 10 20 Ferreira Lindemberg Naffah da Silva Constante Silvana Maria de Moraes Zebral Alessandro Marcio Braga Rogerio Zupo Alvarenga Helenice Ferreira Soraya Naffah ISO 27001 certification process of Electronic Invoice in the State of Minas Gerais 2013 47th International Carnahan Conference on Security Technology ICCST Medellin IEEE October 2013 1 4 2020 12 06 ISBN 978 1 4799 0889 9 doi 10 1109 CCST 2013 6922072 原始内容存档于2020 03 27 外部連結 编辑ISO website 页面存档备份 存于互联网档案馆 取自 https zh wikipedia org w index php title ISO IEC 27001 amp oldid 77653436, 维基百科,wiki,书籍,书籍,图书馆,

文章

,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。