Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27000:2018 — 信息安全管理体系 — 概述与词汇
信息技术 — 安全技术 — 信息安全管理体系 — 概述和词汇
理解信息安全管理体系(ISMS)框架
ISO/IEC 27000:2018是整个ISO/IEC 27000信息安全管理体系(ISMS)标准系列的基础标准。它全面概述了ISMS基本原理,定义了该系列使用的核心词汇,并介绍了支撑所有ISMS实施和运作的”计划-执行-检查-改进”(PDCA)循环。理解该标准对于任何参与信息安全管理的人来说都是必不可少的,因为它建立了其他所有系列标准所依据的概念框架。
将ISO/IEC 27000视为整个27000系列的词典和路线图。如果没有扎实掌握这里定义的术语和概念,理解27001、27002和其他系列标准中更详细的要求将变得困难得多。
该标准将ISMS定义为”建立、实施、运作、监控、审查、维护和改进组织信息安全以实现业务目标的系统化方法”。这一定义强调,信息安全不仅仅是技术问题,而是需要像财务管理、质量管理和环境管理一样进行系统化管理的业务治理问题。ISMS方法基于风险管理方法论,以结构化和可重复的方式识别、分析、评估和处理信息安全风险。
| ISMS组成部分 | 描述 | 关键输出 |
|---|---|---|
| ISMS方针 | 信息安全的总体意图和方向 | 经最高管理层批准的方针文件 |
| 风险评估 | 系统化识别和评估信息安全风险 | 风险评估报告、风险处置计划 |
| 控制措施和处置 | 用于修改、避免或接受风险的选定措施 | 适用性声明(SoA)、控制实施 |
| 监控和审查 | 持续评估ISMS绩效和有效性 | 内部审计报告、管理评审记录 |
| 改进 | 基于发现结果的纠正和预防措施 | 纠正措施记录、改进计划 |
ISMS框架中体现的过程方法与ISO 9001(质量)和ISO 14001(环境)等其他管理体系标准保持一致,使组织能够高效地整合其管理体系。这减少了重复工作,并为组织治理提供了统一的方法。
关键术语和概念
ISO/IEC 27000:2018定义了100多个对理解和实施信息安全管理体系至关重要的术语。这些术语建立了一种超越组织边界、国界和语言差异的共同语言,确保全球社区对安全概念的一致理解。关键术语包括”信息安全”(保护信息的机密性、完整性和可用性)、”风险”(不确定性对目标的影响)、”风险评估”(风险识别、风险分析和风险评价的整个过程)和”适用性声明”(描述与ISMS相关的控制措施的文件)。
| 术语 | 定义 | 实际意义 |
|---|---|---|
| 机密性 | 信息不被未授权个人获取的特性 | 访问控制、加密、保密协议 |
| 完整性 | 信息和处理方法的准确性和完备性 | 变更管理、版本控制、哈希验证 |
| 可用性 | 被授权实体按需访问和使用的特性 | 冗余、备份、灾难恢复、SLA管理 |
| 风险责任人 | 对风险管理决策负责的人员或实体 | 管理层对安全风险的明确责任 |
| 控制措施 | 修改风险的测量手段 | 方针、程序、技术措施、组织结构 |
| 信息安全事件 | 损害信息安全的不良事件或系列事件 | 事件响应、取证分析、经验教训 |
一个常见的误解是将”信息安全”等同于”IT安全”或”网络安全”。ISO/IEC 27000明确指出,信息安全涵盖所有形式的信息——数字、物理和口头信息——并保护机密性、完整性和可用性三者。相比之下,网络安全特指数字领域的网络威胁。因此,ISMS的范围比纯粹的技术安全计划更广泛。
该标准还介绍了”信息安全管理体系”本身作为一个系统化框架的概念。它解释了ISMS与更广泛组织背景之间的关系,强调信息安全要求必须来自业务需求、法律和法规义务以及利益相关方的期望。这种情境化方法确保安全投资与业务战略保持一致,并提供可衡量的价值,而不是由恐惧、合规检查表或技术趋势驱动。
ISO/IEC 27000系列标准体系
ISO/IEC 27000:2018提供了整个27000系列的概述,将每个标准置于综合框架中的适当位置。该系列自2005年第一版以来已显著增长,现在包括涵盖要求(27001)、实践准则(27002)、行业特定指南(金融服务的27003、电信的27011、能源的27019)、云安全(27017)以及许多其他专业主题的标准。了解27000系列的版图有助于组织识别哪些标准与其特定需求相关以及它们之间的关系。
| 标准 | 重点 | 与27000的关系 |
|---|---|---|
| ISO/IEC 27001 | ISMS要求(可认证) | 规定ISMS的强制性要求 |
| ISO/IEC 27002 | 安全控制实践准则 | 为27001中的控制措施提供实施指南 |
| ISO/IEC 27003 | ISMS实施指南 | 实施27001要求的实用指南 |
| ISO/IEC 27004 | ISMS监控和测量 | ISMS有效性的指标和测量技术 |
| ISO/IEC 27005 | 信息安全风险管理 | 与ISMS框架一致的风险管理方法论 |
| ISO/IEC 27007 | ISMS审计指南 | 实施ISMS审计的指南 |
| ISO/IEC 27017 | 云安全控制 | 基于27002的云特定控制 |
| ISO/IEC 27018 | 云隐私——PII保护 | 公共云服务中个人数据的保护 |
截至2018版,27000系列包括超过60个已发布的标准和技术报告,使其成为最全面的信息安全标准化框架。组织可以从这个广泛的工具箱中选择,构建针对其特定风险状况、监管环境和业务目标量身定制的信息安全计划。
与早期版本相比,ISO/IEC 27000的2018版引入了若干重要更新。术语经过修订,以按照附件SL框架(现为ISO/IEC指令第1部分综合ISO补充)提高与其他管理体系标准的一致性。这种一致性意味着实施多个管理体系标准的组织可以采用统一的高级结构,共享通用文本、术语和定义,大大减少了整合工作量。
常见问题
问1:ISO/IEC 27000是否可以像ISO/IEC 27001一样进行认证?
不可以,ISO/IEC 27000不是可认证的标准。它是一个提供概述、概念和词汇的基础标准。寻求认证的组织必须实施ISO/IEC 27001中的要求,并接受由认可认证机构进行的正式审计。ISO/IEC 27000作为理解整个系列的基本参考文件。
不可以,ISO/IEC 27000不是可认证的标准。它是一个提供概述、概念和词汇的基础标准。寻求认证的组织必须实施ISO/IEC 27001中的要求,并接受由认可认证机构进行的正式审计。ISO/IEC 27000作为理解整个系列的基本参考文件。
问2:ISO/IEC 27000的2016版和2018版有何区别?
2018版更新了术语以符合附件SL管理体系标准框架,提高了与ISO 9001、ISO 14001和其他管理体系标准的一致性。主要变化包括对”风险”、”最高管理层”和”利益相关方”等术语的修订定义,确保所有ISO管理体系标准使用通用术语。该标准还更新了27000系列的概述以反映新发布的标准。
2018版更新了术语以符合附件SL管理体系标准框架,提高了与ISO 9001、ISO 14001和其他管理体系标准的一致性。主要变化包括对”风险”、”最高管理层”和”利益相关方”等术语的修订定义,确保所有ISO管理体系标准使用通用术语。该标准还更新了27000系列的概述以反映新发布的标准。
问3:在实施ISO/IEC 27001之前是否需要阅读ISO/IEC 27000?
虽然在技术上可以不阅读27000就实施ISO/IEC 27001,但强烈建议先阅读27000。27000中定义的词汇和概念贯穿于27001和其他系列标准中,清晰理解这些基础要素将显著简化实施工作。许多审核员期望ISMS实施者熟悉27000中定义的术语。
虽然在技术上可以不阅读27000就实施ISO/IEC 27001,但强烈建议先阅读27000。27000中定义的词汇和概念贯穿于27001和其他系列标准中,清晰理解这些基础要素将显著简化实施工作。许多审核员期望ISMS实施者熟悉27000中定义的术语。
问4:ISO/IEC 27000与欧盟GDPR或其他隐私法规有何关系?
ISO/IEC 27000不直接涉及隐私或个人数据保护——这些由专用标准如ISO/IEC 27701(隐私信息管理)和ISO/IEC 27018(云隐私)涵盖。然而,27000中定义的ISMS框架提供了构建隐私特定管理体系的基础管理体系结构。ISMS的基于风险的方法与GDPR的问责原则非常契合。
ISO/IEC 27000不直接涉及隐私或个人数据保护——这些由专用标准如ISO/IEC 27701(隐私信息管理)和ISO/IEC 27018(云隐私)涵盖。然而,27000中定义的ISMS框架提供了构建隐私特定管理体系的基础管理体系结构。ISMS的基于风险的方法与GDPR的问责原则非常契合。
