信息安全管理体系换版解析--解读《ISO/IEC27001-2013信息安全管理体系要求》

本文结合ISO/IEC27001-2013新版标准,在信息安全管理体系国家标准即将正式颁布之前,将2013版对照2005版予以解析,以期加深对新版信息安全管理体系标准的理解,从而提出在信息安全管理换版方面的重点建议。     

ISO／IEC致力于强化信息安全管理体系

为了更好地指导ISO／IEC27001：2005《信息安全管理体系-基本要求》的设计和实施,新的标准ISO／IEC27003：2010《信息技术——安全技术——信息安全管理体系实施指南》于近日发布实施。该标准广泛适用于各类具有安全意识的组织机构,不论其规模、复杂程度和风险大小。     

聚焦ISO／IEC27001：2013

一、ISO／IEC27001：2013正式实施 ISO组织在现行ISO／IEC27001：2005标准使用8年后,在众多组织的呼声中,将新版20l3版的颁布时间提前,于2013年9月26日推出正式版本ISO／IEC27001：     

ISO/IEC 27001：2013概述与改版分析

本文简要介绍了ISO/IEC 27001：2013,并分别按正文和附录A与ISO/IEC 27001：2005进行了对比,总结了其主要的变化之处,可以作为已经部署信息安全管理体系（ISMS）的用户作为升级参考。     

国际

ISO／IEC TS 17021-4发布 ISO／IEC TS 17021—4：2013《合格评定——对提供管理体系审核和认证服务机构的要求——第4部分：活动可持续性管理体系审核和认证的能力要求》,已于2013年10月1日正式出版。     

国际

新版ISO 27001预计10月公布现行的信息安全管理体系ISO 27001:2005标准已经使用了8年,日前ISO组织(国际标准化组织)发布了新版ISO 27001:2013 DIS版(国际标准草案Draft International Standard)草稿并征求意见,预计在今年6至7月发布DIS最终版。目前,ISO组织公     

ISO和IEC联手强化信息安全

ISO与IEC曾合作发布过一个有关信息安全的标准ISO／IEC27001：2005。在该领域,不久前两家标准化机构又联合发布了新的标准ISO／IEC27003：2010《信息技术,安全措施,信息安全管理系统实施指南》。     

国际

ISO市场调查——认证数量增长6%国际标准化组织(ISO)于2011年底发布了2010年ISO认证调查结果。2010年,全球认证证书数已达到1457912张,认证总数增长6.23%,认证用户遍布178个国家。ISO现有约18600项国际标准,在质量管理体系(ISO9001)、环境管理体系(ISO14001)、医疗器械行业质量管理体系(ISO13485)、食品安全管理体系(ISO22000)、信息安全管理体系(ISO/IEC27001)和汽车行业质量管理体系(ISO/TS16949)等方面的成绩最为突出。     

国际

国际标准ISO/IEC 27013：2012发布 由于信息安全与服务管理之间关系密切,许多组织已经认识到同时采用ISO/IEC 27001和ISO/IEC 20000-1的好处,在此背景下,ISO和IEC发布了国际标准ISO/IEC 27013：2012《信息技术-安全技术ISO/IEC 27001和ISO/IEC 20000-1整合执行指南》。     

建立综合管理体系，追求体现大质量观的卓越绩效

国际标准化组织自发布质量管理体系标准（ISO9001）以来,陆续发布了许多其他管理体系标准,例如环境管理体系标准（ISO14001）、供应链安全管理体系标准（ISO28000）、船运循环管理体系标准（ISO30000）、食品安全管理体系标准（ISO22000）、信息安全管理体系标准（ISO27001）、医疗器械质量管理体系标准ISO13485）、汽车行业质量管理体系标准（ISO／TS16949）等。许多组织依据上述管理体系标准通过了相关认证,因此,ISO发布的管理体系标准对众多组织产生了巨大的影响。     

2009年ISO杂志封面文章摘要

ISO／IEC27001联合标准：中小企业的信息安全管理系统 大企业很快就能从ISO／IEC27001：2005的实施中受益,但中小企业却不然,他们显然需要更多的帮助。ISO为此编写了技术手册,年内即可出版。     

国际

新版ISO／IEC17021发布2月1日,国际标准化组织（ISO）发布了《ISO／IEC17021：2011合格评定——对提供管理体系审核和认证的机构的要求》,该版标准为第二版。2006年出版的是第一版,确定了六项原则,即公正性、能力、责任、公开性、保密性和处理投诉。新版本保留了这些原则和要求,并在第一版的基础上增加了开发利用市场反馈信息的新要求。     

解读标准ISO27000

ISO/IEC 27000标准是国际标准化组织专门为信息安全管理体系建立的一系列相关标准的总称,已经预留了ISO/IEC 27000到ISO/IEC 27059共60个标准号,到目前为止,正式发布的信息安全管理体系(ISMS)标准有8个,其中两个已经转化成国家标准.全部标准从ISO/IEC 27000到ISO/IEC 27037,以及ISO 27799和其他,基本可以分为以下四部分.     

基于ISO/IEC 27001:2013的集团企业信息安全管控设计

本文设计了一个大型集团企业的信息安全管控模式,该模式以ISO/IEC 27001:2013为基础,建立了一个四级文件架构的信息安全管理体系(ISMS)。本文可以为大型集团企业部署信息安全管理体系(ISMS)提供指导。     

ISO／IEC27005：2011标准帮助各类组织更好地管理信息安全风险

为帮助各类组织更好地管理信息安全风险,ISO颁布了ISO／IEC27005：2011《信息技术一安全技术一信息安全风险管理》标准。该标准描述了信息安全风险管理的过程和相关的行动,并支持ISO／IEC27001：2005《信息技术一安全技术一信息安全管理系统一要求》中规定的一般概念。     

GB/T 22080—2008《信息安全管理体系 要求》解析 解析系列一:GB/T 22080—2008信息安全的起源、发展和内容结构

随着信息化技术的发展,信息安全也越来越得到社会各界的关注,为了维护信息安全,适应信息高速发展的需要,ISO组织于2005年发布ISO27000系列标准,中国电子技术标准化研究院等单位负责起草,国家质检总局和国家标准化管理委员会于2008年6月19日发布了GB/T22080—2008《信息安全管理体系要求》。本标准等同采用ISO/IEC27001:2005《信息技术安全技术信息安全管理体系要求》。本文对该标准的解析系列共五部分:解析系列一:GB/T22080—2008信息安全的起源、发展和内容结构解析系列二:GB/T22080—2008信息安全管理体系要求1-3章解析解析系列三:GB/T22080—2008信息安全管理体系要求4-8章解析解析系列四:GB/T22080—2008信息安全管理体系要求附录A5-A10解析解析系列五:GB/T22080—2008信息安全管理体系要求附录A11-A15解析     

对GB/T 22080-2008的几点理解

2008年,国家发布GB/T22080《信息技术安全技术信息安全管理体系要求》(等同采用ISO/IEC27001-2005)以来,国内已有15家认证机构,为近千家组织颁发了认证证书,信息安全认证业务的发展潜力很大,这就需要加强信息安全管理体系认证工作实践的同时,持续加深对标准GB/T22080-2008要求的学习与理解。一、0.1总则——标准的期望和目的     

信息安全管理体系标准化概述

信息安全管理体系简称(ISMS),ISMS认证所依据的ISO/IEC27001:2005现在已等同转化为国家标准。本文将介绍ISMS标准的发展历程、标准族的框架结构以及在我国各行业的实施情况。一、信息安全管理体系标准化发展过程     

从运动到运行——信达实施信息安全管理体系历程

2007年,信达资产成为中国信息安全认证中心(ISCCC)的第一个管理体系认证客户,通过了IT服务管理体系(ISO 20000)和信息安全管理体系(ISO 27001)双认证,同时也是国内金融行业第一家同时获得这两项认证的机构。四年过去了,国有四大资产管理公司均已通过了ISO 27001认证。而信达     

ISO热点工作

ISO与IEC于2006年共同发布了“ISO／IEC17021合格评定——提供审核和认证管理体系认证的机构要求”标准，该标准对进行ISO9001：2000（质量管理）和ISO14001：2004（环境管理）的审核和认证机构的能力和公证性提出了严格的规定，该标准的发布旨在提高人们对管理体系认证的信心。