最近打算系统地归纳一下 ISO 27000 中信息安全管理制度(ISMS)系列标准(以下简称 ISMS 系列标准)。这个系列是欧洲的信息安全管理标准,其中 27000 是这个系列的综述(或者前导),里面包含了对系列中各个标准的介绍和对信息安全管理(ISM)中术语的定义;27001 (还有 27006,27009)是这个系列的主要标准,即 requirement standards,可以理解为必须要遵循的标准;27002 ~ 27005 等标准属于 guideline standards,即对一些安全管理方面流程的指导准则;其他就是一些针对特定方面的指导标准。我会主要关注 ISO 27001,27002 和 27005,其他的标准如果以后涉及会再做补充。
作为 ISMS 系列的综述,我认为 ISO 27000 是需要首先阅读的。ISO 27000 虽然只是一个总体概述,但通过它我们能对整个 ISMS 系列标准有一个全局的认知,对于我们了解整个安全管理体系、建立安全管理体系框架有较好的帮助。
ISO 27000 的名称很清晰地总结了它的内容:Information technology - Security techniques - Information security management systems - Overview and vocabulary,信息技术、安全技术、信息安全管理系统的概述和词汇,即 ISO/IEC 27000 的目的是对 ISMS 做一个概述,并定义其相关术语。其中 “ Information technology - Security techniques ” 是大部分 ISMS 标准共同的标题,之后的介绍中会省略它。
根据目录,ISO 27000 主要可以分为 5 个部分:总体的介绍(Introduction,包括对 27000 这个标准和对整个 ISMS 系列的介绍),范围(Scope,ISMS 系列标准的适用范围),术语定义(Defining Terms),对信息安全管理制度(ISMS)的介绍,和对 ISMS 系列中各个标准的介绍。
我认为第一章介绍是需要在学习其他标准之前阅读的,其他比如术语定义可以在之后学习中进行参照,并不需要现在就完全理解和掌握。
第一章阐述了整个 ISMS 系列标准的用途,即组织机构可以根据这些标准构建和实施一个维护组织的信息资产安全的框架,或者用这些标准检查他们现有的安全管理体系。这里组织中的信息资产包括其经济资产、知识产权、雇工信息,或由第三方机构(或个人)委托给该组织的信息。
我们需要知道,ISMS 系列标准
- 定义了一个安全管理制度和验证一个已有的安全管理制度的需求;
- 为建立、实施、维护和改善一个安全管理制度的过程提供了详细的指导和解释;
- 针对具体部门提供指导方针;
- 为安全管理制度提供合格评定标准。
它旨在帮助_各种规模和类型_的组织建立实施安全管理制度(这表明其适用性非常广泛,任何机构和组织都可以使用)。
ISO 27000 中对 ISMS 系列中的术语进行了定义,但第一章的介绍中也提到,这里定义的术语并不代表全部,系列中其他标准也会定义新的术语。
之后在 ISO 27000 中对 ISMS 和其他标准的介绍会在学习其他标准时看到,这里就不重复了。
除正文以外,27000 的附录部分有一些需要注意的内容。
附录 A 中对于 ISMS 系列标准中条例的表述(shall,should,may,can 之类)的规定:
- shall 和 shall not 表示需要严格执行;
- should 和 should not 表示推荐这样做,但并不强求;
- may 和 need not 表示允许这样做;
- can 和 cannot 表示可能发生。