联系人 黄小姐(微信同号)
本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。
本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。
ISO/IEC 27003
Information technology -- Security techniques -- Information security management systems implementation guidance
信息技术—安全技术—信息安全管理体系实施指南
标准介绍:
该标准为按照ISO/IEC 27001建立、实施、运作、监控、评审、维持和改进信息安全管理体系提供应用实施指南。
该标准适用于所有类型、所有规模和所有业务形式的机构。各类组织可以利用本标准,实施符合ISO/IEC 27001的信息安全管理体系。
ISO/IEC 27004
Information technology -- Security techniques -- Information security management —Measurements
信息技术—安全技术—信息安全管理—测量
该标准阐述信息安全管理的测量和指标,用于测量信息安全管理的实施效果,预计2008年5月发布。 该标准目前处于委员会草案状态。
标准介绍:
本标准提供指南和建议,用于评估按照ISO/IEC 27001建立的ISMS、控制目标以及控制措施的有效性。
管理者可以使用本标准作为有效的测量方法,判断信息安全管理体系的有效性。测量结果可以作为评审现有控制有效性的输入,以决定是否需要更改或改进。
ISO/IEC 27005
Information technology -- Security techniques --Information security risk management
信息技术—安全技术—信息安全风险管理
该标准以BS7799-3和ISO13335为基础,预计2007年11月发布。该标准目前处于最终委员会状态。
标准介绍:
本标准描述了信息安全风险管理的要求,可以用于风险评估,识别安全要求,支撑信息安全管理体系的建立和维持。
ISO/IEC 27006
Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems
信息技术—安全技术—信息安全管理体系审核认证机构要求
标准介绍:
该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。
ISO/IEC 27007
Information technology -- Security techniques – ISMS auditor guidelines
信息技术—安全技术—信息安全管理体系审核员指南