The ISO / Серия IEC 27000 (также известная как «Семейство стандартов СМИБ» или сокращенно «ISO27K») включает стандарты информационной безопасности, опубликованные совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC).
В серии представлены передовые практики в отношении благодарности за управление информационной безопасностью - управление информационными рисками посредством средств управления информационной безопасностью - в контексте общей системы менеджмента информационной безопасности (СМИБ), аналогичной по конструкции системам управления для обеспечения качества (серия ISO 9000), охрана окружающей среды (серия ISO 14000) и другие системы менеджмента.
Серия преднамеренно широкая по своему охвату, охватывающая не только вопросы конфиденциальности, конфиденциальности и ИТ / технических / кибербезопасности. Это применимо к организациям всех форм и размеров. Всем организациям рекомендуется оценивать свои информационные риски, а затем обрабатывать их (обычно с использованием средств управления информационной безопасностью) в соответствии со своими потребностями, используя руководства и предложения, где это необходимо. Учитывая динамический характер информационного риска и безопасности, концепция СМИБ включает в себя непрерывную обратную связь и действия по усовершенствованию для реагирования на изменения в угрозах, уязвимостях или воздействиях инцидентов.
Стандарты являются продуктом ISO / IEC JTC1 (Объединенный технический комитет 1) SC27 (Подкомитет 27), международной организации, которая встречается лично два раза в год..
Стандарты ISO / IEC продаются напрямую ISO, в основном на английском, французском и китайском языках. Торговые точки, связанные с различными национальными органами по стандартизации, также продают версии с прямым переводом на другие языки.
Содержание
- 1 Ранняя история
- 2 Опубликованные стандарты
- 3 В стадии подготовки
- 4 См. Также
- 5 Ссылки
- 6 Внешние ссылки
Ранняя история
Многие люди и организации участвуют в разработке и поддержании стандартов ISO27K. Первым стандартом в этой серии был ISO / IEC 17799: 2000; это было ускорение существующего британского стандарта BS 7799 часть 1: 1999. Первоначальный выпуск BS 7799 был частично основан на руководстве по политике информационной безопасности, разработанном Royal Dutch / Shell Group в конце 1980-х - начале 1990-х годов. В 1993 г. то, что тогда называлось Министерством торговли и промышленности (Соединенное Королевство), созвало команду для анализа существующей практики в области информационной безопасности с целью создания документа по стандартам. В 1995 году BSI Group опубликовала первую версию BS 7799. Один из основных авторов BS 7799 вспоминает, что в начале 1993 года «DTI решило быстро собрать группу представителей отрасли из семи различных секторов: Shell ([Дэвид Лейси] и Les Riley), BOC Group (Нил Твист.), BT (Деннис Виллетс), Marks Spencer (Стив Джонс), Midland Bank (Ричард Хакворт), Nationwide (Джон Боулз) и Unilever (Рольф Моултон) ». Дэвид Лейси считает, что Донн Б. Паркер обладал «первоначальной идеей создания набора средств контроля информационной безопасности» и подготовил к концу 1980-х годов документ, содержащий «набор из примерно сотни базовых средств контроля». «кружок информационной безопасности I-4, который он задумал и основал».
Опубликованные стандарты
Опубликованные стандарты ISO27K, относящиеся к «информационным технологиям - методы безопасности»:
- ISO / IEC 27000 - Системы менеджмента информационной безопасности - Обзор и словарь
- ISO / IEC 27001 - Информационные технологии - Методы безопасности - Системы менеджмента информационной безопасности - Требования. Выпуск стандарта 2013 г. определяет систему менеджмента информационной безопасности в той же формализованной, структурированной и сжатой форме, что и другие стандарты ISO, определяющие другие виды систем менеджмента.
- ISO / IEC 27002 - Свод правил для контроля информационной безопасности - по сути, подробный каталог средств управления информационной безопасностью, которыми можно управлять с помощью СМИБ
- ISO / IEC 27003 - Руководство по внедрению системы менеджмента информационной безопасности
- ISO / IEC 27004 - Менеджмент информационной безопасности - Мониторинг, измерение, анализ и оценка
- ISO / IEC 27005 - Менеджмент риска информационной безопасности
- ISO / IEC 27006 - Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента информационной безопасности
- ISO / IEC 27007 - Руководство по аудиту систем менеджмента информационной безопасности (сфокусировано на аудите системы менеджмента)
- ISO / IEC TR 27008 - Руководство для аудиторов по средствам контроля СМИБ (сосредоточено на аудите информационной безопасности y контролирует)
- ISO / IEC 27009 - По сути, внутренний документ комитета, разрабатывающий отраслевые / отраслевые варианты или руководящие принципы внедрения стандартов ISO27K
- ISO / IEC 27010 - Менеджмент информационной безопасности для межсекторальные и межорганизационные коммуникации
- ISO / IEC 27011 - Руководство по менеджменту информационной безопасности для телекоммуникационных организаций на основе ISO / IEC 27002
- ISO / IEC 27013 - Руководство по интегрированному внедрению ISO / IEC 27001 и ISO / IEC 20000-1 (на основе ITIL)
- ISO / IEC 27014 - Управление информационной безопасностью. Манке оценил этот стандарт в контексте австралийского электронного здравоохранения.
- ISO / IEC TR 27015 - Руководящие принципы управления информационной безопасностью для финансовых услуг - Сейчас отозвано
- ISO / IEC TR 27016 - Экономика информационной безопасности
- ISO / IEC 27017 - Свод правил для средств управления информационной безопасностью на основе ISO / IEC 27002 для облачных сервисов
- ISO / IEC 27018 - Практический кодекс по защите информации, позволяющей установить личность (PII) в публичных облаках, выступающих в качестве процессоров PII
- ISO / IEC 27019 - Информационная безопасность для управления процессами в энергетической отрасли
- ISO / IEC 27031 - Руководящие указания по готовности информационных и коммуникационных технологий для обеспечения непрерывности бизнеса
- ISO / IEC 27032 - Руководство по кибербезопасности
- ISO / IEC 27033 - Безопасность ИТ-сети
- ISO / IEC 27033-1 - Сетевая безопасность - Часть 1: Обзор и концепции
- ИСО / МЭК 27033-2 - Сетевая безопасность - Часть 2: Руководящие указания по разработке и реализации сетевой безопасности
- ИСО / МЭК 27033-3 - Сеть безопасность ork - Часть 3: Эталонные сетевые сценарии - Угрозы, методы проектирования и проблемы управления
- ISO / IEC 27033-4 - Сетевая безопасность - Часть 4: Защита связи между сетями с помощью шлюзов безопасности
- ISO / IEC 27033-5 - Сетевая безопасность - Часть 5: Защита связи в сетях с использованием виртуальных частных сетей (VPN)
- ISO / IEC 27033-6 - Сетевая безопасность - Часть 6: Защита доступа к беспроводной IP-сети
- ISO / IEC 27034-1 - Безопасность приложений - Часть 1: Руководство по безопасности приложений
- ISO / IEC 27034-2 - Безопасность приложений - Часть 2: Нормативные рамки организации
- ISO / IEC 27034-3 - Безопасность приложений - Часть 3: Процесс управления безопасностью приложений
- ISO / IEC 27034-6 - Безопасность приложений - Часть 6: Примеры из практики
- ISO / IEC 27035-1 - Информация Управление инцидентами безопасности - Часть 1: Принципы управления инцидентами
- ИСО / МЭК 27035-2 - Управление инцидентами информационной безопасности - Часть 2: Руководящие указания по планированию и подготовке к инцидентам nt response
- ISO / IEC 27036-1 - Информационная безопасность для отношений с поставщиками - Часть 1: Обзор и концепции
- ISO / IEC 27036-2 - Информационная безопасность для отношений с поставщиками - Часть 2: Требования
- ISO / IEC 27036-3 - Информационная безопасность для взаимоотношений с поставщиками - Часть 3: Руководящие указания по информационным и коммуникационным технологиям Безопасность цепочки поставок
- ISO / IEC 27036-4 - Информационная безопасность для взаимоотношений с поставщиками - Часть 4: Руководство по безопасности облачных сервисов
- ISO / IEC 27037 - Руководство по идентификации, сбору, получению и сохранению цифровых доказательств
- ISO / IEC 27038 - Спецификация цифрового редактирования цифровых документов
- ISO / IEC 27039 - Предотвращение вторжений
- ISO / IEC 27040 - Безопасность хранения
- ISO / IEC 27041 - Обеспечение расследования
- ISO / IEC 27042 - Анализ цифровых доказательств
- ISO / IEC 27043 - Расследование инцидентов
- ISO / IEC 27050-1 - Электронное обнаружение - Часть 1: Обзор и концепции
- ISO / IEC 27050-2 - Электронное обнаружение - Часть 2: Руководство по руководству и управлению электронным обнаружением
- ISO / IEC 27050-3 - Электронное обнаружение - Часть 3: Свод правил для электронного обнаружения
- ИСО / МЭК 27701 - Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Система управления конфиденциальной информацией (PIMS).
- ISO 27799 - Управление информационной безопасностью в здравоохранении с использованием ISO / IEC 27002 - руководит организациями отрасли здравоохранения относительно того, как для защиты личной информации о здоровье с помощью ISO / IEC 27002.
В стадии подготовки
- В стадии подготовки находятся другие стандарты ISO27K, охватывающие такие аспекты, как цифровая криминалистика и кибербезопасность, а выпущенные стандарты ISO27K регулярно пересматриваются и обновляются с циклом ~ 5 лет.
См. также
Ссылки
Внешние ссылки