BS7799, ISOIEC 17799, ISO IEC 27001容易混淆 下载本文

BS7799, ISO/IEC 17799, ISO/IEC 27001容易混淆

BS7799, ISO/IEC 17799, ISO/IEC 27001容易混淆,但愿这个帖能有一些帮助。

1. 标准组织 BSI,英国标准协会 ISO,被国际标准化组织 IEC,国际电工委员会

2. 标准之间的关系

BS7799 是BSI针对信息安全管理而制定的一个标准,其最早始于1995 年.BS 7799分为两个部分: 第一部分,名为(Code of Practice for Information Security Management),于2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是常说的ISO 17799:2005。

第二部分(for Information Security Managemenet Specification ),其最新修订版在05年10月正式成为ISO27001,

3. 标准简介

第一部分,已于2000年被采纳为ISO/IEC 17799,是信息安全管理实施细则Code of Practice for Information Security Management)。其05年最新版本涉及信息安全管理的各个方面: 安全策略(Security Policy)

信息安全的组织结构(Organization of information security) 资产管理(Asset Management)

人力资源安全(Human resources security)

物理和环境安全(Physical and environmental security) 通信和操作管理(Communication and operations management) 访问控制(Access control)

系统采购、开发和维护(Information systems acquisition, development and maintenance) 信息安全事件管理(Information security incident management) 业务连续性管理(Business continuity management) 符合性(Compliance)

BS 7799通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全控制章节,还有39个主要安全类和133个具体控制措施(最佳实践),供负责信息安全系统开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。

第二部分内容,05年10月正式成为ISO27001,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO 17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。

4.发展方向

BS 7799-3:2005 - information security management systems - guidelines for information security risk management” is a new British Standard due for release in December 2005 将来新的ISO27000系列安全标准将有5个部分组成:

ISO 27000 will formally define the specific technical vocabulary used in these standards; ISO 27001 will be the ISO version of BS 7799-2, the certification standard (due for full release in November 2005, already available as a final draft);

ISO 27002 will be the renamed and updated version of ISO 17799:2005 (to be released in 2006 or 2007);

ISO 27003 will contain guidance for those implementing the ISO 27000-series standards; ISO 27004 will be a new Information Security Management Metrics and Measurement standard to help measure the effectiveness of information security management system implementations (currently in draft);

ISO 27005 will be the ISO version of BS 7799-3