请选择 进入手机版 | 继续访问电脑版

IT运维管理,ITIL,ITSS,ITSM,ISO20000-ITIL先锋论坛

 找回密码
 点击获取邀请码 - 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

艾拓先锋
搜索
查看: 52|回复: 0

[ISO27001管理体系实践] 最新安全标准发展研究

[复制链接]
来自- 广东广州

参加活动:0

组织活动:0

发表于 2018-8-9 16:06:53 | 显示全部楼层 |阅读模式 来自- 广东广州
今年其实安全管理方向的标准发展非常迅速,而且其内容也开始融合。

其中ISO/IEC JTC1 SC27的发展:
 ISO27002的改版,其2005年的第2版,即 ISO27002:2005正式发布。 ISO27002建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则。
 ISO/IEC 13335从原先的技术报告(TR)变动为正式的国际标准(IS)。ISO/IEC 13335是ISO/IEC JTC1 SC27中关于风险管理、IT安全管理的一个重要的标准系列,也是信息安全管理领域里的一个非常重要和广泛接受和讨论的标准。它最重要的一个变动是从原先的包含五部分的技术报告(TR),也就是我们非常熟悉的IT安全管理指南(GMITS- Guidelines for the management of IT security)系列标准,变动为现在重新立项的包含两部分的国际标准(IS),即信息和通信技术安全管理(MICTS-Management of information and communications technology security )标准。
 ISO/IEC将采用27000系列号码作为编号方案,并将原先所有的信息安全管理标准进行综合并进行进一步的开发,形成一整套包括信息安全管理系统要求、风险管理、度量和测量以及实施指南等的信息安全管理体系。
其中,有一个非常有意思的趋势是ISO/IEC将把其所有安全管理标准都一统天下融合,形成一个新的27000系列(包括17799等都要重新编号至这个系列),而且在27000系列中开始讨论管理的度量和测量了。
另外一个大家比较感兴趣的是 ISO27002的2005版,即第2版。个人感觉到了这个版本才开始象一个国际标准了,原先的标准感觉就是一个最佳实践,现在其管理控制无论从结构上还是内容上开始规范模块化、标准化了。这些就不多说了。

另外,我们自己写的标准的最新版已经完全将 ISO27002:2005、NIST 800-53、Cobit等进行了综合和完善。今天没空,改天再仔细讨论。

下面是信息安全管理标准中所提供的管理控制措施介绍:
  ISO27002:2005年第2版的改版中,最主要的变动就是层次结构化地提供了安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节、39个主要安全类和133个具体控制措施,以规范化组织机构信息安全管理建设的内容。
 美国NIST SP 800-53联邦信息系统推荐安全控制(2005年2月正式发布)。它提供了类—族—安全控制的层次化、结构化的安全控制措施要求,意识和培训,认证、认可和安全评估,配置管理,持续性规划,事件响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务采购,系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。
 Cobit中提供了规划和组织、采购和实施、交付和支持以及监控4个域,34个表达IT过程的高层控制目标,通过解决这34个高层控制目标,组织机构可以确保已为其IT环境提供了一个充分的控制系统,支持这些IT过程的是用于有效实施的300多个详细的控制目标。
关于这些标准,我一直在研究,而且包括最新的 ISO27002:2005版,我们也组织人力早翻成中文,只是由于是工作资料不便公开。希望跟大家多讨论吧。

本版积分规则

QQ|小黑屋|手机版|Archiver|ITIL先锋论坛五万运维人社区 ( 粤ICP备17056641号|网站地图

Baidu

GMT+8, 2018-8-18 16:08 , Processed in 0.204292 second(s), 34 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表