0.1 概述
管理体系标准提供一个在建立和运行管理体系时可遵循的模型。专门为信息安全开发的管理体系
标准称为信息安全管理体系(Information Security Management System,简称ISMS)标准族。
通过使用 ISMS标准族,组织能够开发和实施管理其信息资产安全的框架,包括财务信息、知识产
权和员工详细资料,或者受客户或第三方委托的信息。这些标准还可用于对组织应用ISMS保护其信
息做独立评估准备。
0.2 信息安全管理体系标准族
信息安全管理体系(ISMS)标准族(见第4章)旨在帮助所有类型和规模的组织实施和运行1SMS.
在《信息技术 安全技术》通用标题下,ISMS标准族由下列标准组成(按标准号排序);
——ISO/IEC 27000 信息安全管理体系 概述和词汇(Information security management sys�
tems—Overview and vocabulary)
ISO/IEC 27001 信息安全管理体系 要求(Information security management systems一Re�
quifrements)
——ISO/IEC 27002 信息安全控制实践指南(Code of practice for information security controls)
ISO/IEC27003 信息安全管理体系实施指南(Information security management system im-
———]
plementation guidance)
ISO/IEC 27004 信息安全管理 测量(Information security management—Measurement)
—-]
——ISO/IEC 27005 信息安全风险管理(Information security risk management)
——ISO)/IEC 27006 信息安全管理体系审核认证机构的要求(Requirements for bodics providing
audit and certification of information security management systems)
ISO/IEC 27007 信息安全管理体系审核指南(Guidelines for information security manage-
,
ment systems auditing)
-ISO/IEC TR 27008 信息安全控制措施审核员指南(Guidelines for auditors on information
——
security controls)
ISO/IEC27009ISO)/IEC 27001 的行业特定应用 要求(Sector-specific application of ISO/
IEC 27001-Requirements)
ISO/IEC 27010 行业间和组织间通信的信息安全管理(Information security management
_--
or inter-sector and inter-organizational communications)
-ISO/IEC 27011 基于 ISO/IEC 27002的电信组织信息安全管理指南(Information security
—
management guidelines for telecommunications organizations based on ISO/IEC 27002)
-ISO/IEC 27013 ISO/IEC27001和ISO/IEC 2000-1综合实施指南(Guidance on the inte-
_
grated implementation of ISO/IEC 27001 and ISO/IEC 20000-1)
ISO/IEC 27014 信息安全治理(Governance of information security)
一
ISO/IEC TR 27015 金融服务信息安全管理指南(Information security management guide-
一
lines for financial services)
——-1ISO/IEC TR 27016 信息安全管理组织经济学(Information security management—Or�
NGB/'T 29246—2017/ISO/IEC 27000:2016
ganizntional conomics)
-ISO/IEC 27017 基于1SO/IEC 27002的云服务信息安全控制实践指南(Code of practice for
__
information security controls based on ISO/IEC 27002 for cloud services)
-ISO/IEC 27018 可识别个人信息(PI)处理者在公有云中保护 PII 的实践指南(Code of prac-
-—-
tice for protcction of personally identifiable information(PI1)in public clouds acting as PII
processors)
.m-ISO/IEC 27019 基于ISO/IEC 27002的能源供给行业过程控制系统信息安全管理指南(In�
formation security management guidelines based on ISO/IEC 27002 for process control sys�
tems specilfic to the energy utility industry)
注,通用标题《信息技术 安个技术》是指这些标准是由 ISO/IEC的信息技术委员会(JTC1)下属的安个技术分委
员会(SC27)制定的。
不在通用标题《信息技术 安全技术》之下,但也属于1SMS标准族的标准如下∶
——ISO27799 健康信息学 使用ISO/IEC 27002的健康信息安全管理(Hcalth informatics—
Information security management in health using ISO/IEC 27002)
0.3
