您的当前位置:首页正文

27000认证什么意思

2023-05-16 来源:小奈知识网

投稿:yangang

27000认证是信息安全管理系统认证。即:信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。

对于网络安全来说包括两个方面:一方面包括的是物理安全,指网络系统中各通信、计算机设备及相关设施等有形物品的保护,使他们不受到雨水淋湿等。另一方面还包括我们通常所说的逻辑安全。包含信息完整性、保密性以及可用性等等。物理安全和逻辑安全都非常的重要,任何一方面没有保护的情况下,网络安全就会受到影响,因此,在进行安全保护时必须合理安排,同时顾全这两个方面。

小编还为您整理了以下内容,可能对您也有帮助:

27000认证是信息安全管理系统认证。即:信四面肥准减渐销确息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针该条每极、原则、目标、方法、过程、核查表(Checklists)等要素的集合。

对于网络安全来说包括两个方面:一方面包括的是物理安全,指网络系统中各通信、计算机设备及相关设施等有形物品的保护,使他们不受到雨水淋湿等。另一方面还包括我们通常所说的逻辑来自安全。包含信息完整性、保密性以及可用性等等。物理安全和逻辑安全都非常的重要,任何一方面没有保护的情况下,网络安全就会受到影响,因此,在进行安全保护时必须合理安排,同时顾全这两个方面。

iso27000是什么

iso27000是安全管理体系标准认证,安全管理体系,顾名思义就是基于安全管理的一整套体系,体系包括硬件软件方面。软件方面涉及到思想,制度,教育,组织,管理;硬件包括安全投入,设备,设备技术,运行维护等等。构建安全管理体系的最终目的就是实现企业安全、高效运行。

  安全管理(SafetyManagement)是指国家或企事业单位安全部门的基本职能。它运用行政、法律、经济、教育和科学技术手段等,协调社会经济发展与安全生产的关系,处理国民经济各部门、各社会集团和个人有关安全问题的相互关系,使社会经济发展在满足人们的物质和文化生活需要的同时,满足社会和个人的安全方面的要求,保证社会经济活动和生产、科研活动顺利进行、有效发展。

企业为什么要认证iso/iec 27000

ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。

ISO/IEC27001:2005的名称是 “Information technology- Security techniques-Information security management systems-requirements”,可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。

前者针对整体的信息服务管理,后者针对信息安全管理。

认证费用则和企业规模,具体业务等有关。

什么是iso27000,怎么办理有什么用

与质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准类似,信息安全管理体系(Information Security Management System,ISMS)是ISO发展的-个信息安全管理标准族,预留了ISO/IEC 27000系列编号。

ISO 27001在其中具有核心作用,ISO 270000信息安全标准族其中最主要的几个标准图示如下:

更多标准罗列如下,从行业、技术、应用等角度涵盖了信息安全的方方面面:

ISO27000

信息技术—安全技术—信息安全管理体系—概况与术语

该标准对构成ISMS标准族的信息安全管理标准进行了概述,并规定了与ISMS系列标准相关的术语。

ISO27001

信息技术—安全技术—信息安全管理体系—要求

该标准源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式发布。

ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作第三方认证的依据。上海信息化培训中心提供IRCA认可ISO 27001LA信息安全管理体系主任审核师培训。

ISO27002

信息技术—安全技术—信息安全管理实用规则该标准取代了ISO /IEC 17799:2005,直接由ISO/IEC 17799:2005更改标准编号为ISO/IEC 27002,已于2007年4月实施。

本标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。

本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。

ISO27003

信息技术—安全技术—信息安全管理体系实施指南

该标准已于2010年2月正式发布。 该标准为按照ISO/IEC 27001建立信息安全管理体系(ISMS)实施计划提供应用指南。通常将ISMS作为一个项目实施。

ISO27004

信息技术—安全技术—信息安全管理—测量

该标准已于2009年12月正式发布。该标准旨在帮助组织测量、报告和系统性的改进其信息安全管理体系的有效性。该标准为制订测量项和实施测量提供指南,以评估信息安全管理体系和ISO/IEC 27001规定的控制措施的实施效果。

ISO27005

信息技术—安全技术—信息安全风险管理

该标准以BS7799-3和ISO13335为基础,已于2008年6月正式发布。本标准描述了信息安全风险管理的要求,可以用于风险评估,识别安全要求,支撑信息安全管理体系的建立和维持。

ISO27006

信息技术—安全技术—信息安全管理体系审核认证机构要求

该标准已于2007年2月正式发布。 该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。

ISO27007

信息技术—安全技术—信息安全管理体系审核指南

该标准为按照ISO/IEC 27001对信息安全管理体系进行审核的认证机构、内部审核员、外部/第三方审核员以及其它审核活动提供指南。

ISO27008

信息技术—安全技术—ISMS控制措施的审核员指南

该标准为所有的信息安全管理体系审核员提供关于“基于风险方法选择ISMS控制措施”指南。该标准通过阐明ISMS与所选择的控制之间的关系,为信息安全风险管理过程,以及内外部的ISMS审核提供支持。并为如何验证“ISMS控制措施”的实施程度提供指南。

ISO/IEC 27009:信息安全治理框架

ISO27010

信息技术—安全技术—组织间的信息安全管理

该标准将包含多个部分,为跨行业、跨领域、家间分享有关信息安全风险、控制措施、争议以及安全事件的信息提供指南。

ISO27011

信息技术—安全技术—电信机构基于ISO/IEC 27002的信息安全管理指南

该标准已于2008年12月正式发布。 该标准用于电信行业,由ITU-T 和 ISO/IEC JTC1/SC27共同制订,并联合发布ITU-T X.1051 和ISO/IEC 27011。

对电信机构而言,信息及其支撑流程、通信设施、网络和线路是重要的经营资产,信息安全对于电信机构恰当的管理其经营资产,正确并成功地保持其经营活动的连续性至关重要。本标准为电信机构的信息安全管理提供了要求,规定了电信企业在整体经营风险框架下建立、实施、运行、监视、评审、维持和改进其文件化的信息安全管理体系(ISMS)的要求。

ISO/IEC 27012:电子服务

ISO27013

IT技术—安全技术—ISO/IEC 20000-1 和 ISO/IEC 27001整合实施指南

该标准为整合实施ISO/IEC 27001(信息安全管理体系)和ISO/IEC 20000-1(IT服务管理规范)提供指南。

ISO27014

信息技术—安全技术—信息安全治理架构

该标准旨在帮助组织治理信息安全。信息安全治理将考虑:组织的经营战略、方针和目标;符合适用的、与治理相关的法律法规;符合组织对第三方的合同义务或其它法律义务,反之亦然;为向第三方提供保证所需的审核,以及证书需求。

ISO27015

信息技术—安全技术—金融保险行业信息安全管理体系指南

该标准旨在帮助金融服务行业的组织(如:银行、保险公司、信用卡公司等)使用ISO27000系列标准实施ISMS。虽然该行业已经有了一些风险和安全管理标准,如:ISO TR 13569—银行业信息安全指南,但由SC27开发的ISMS实施指南将会更直接的体现ISO/IEC 27001和ISO/IEC 27002。

ISO27031

信息技术—安全技术—业务连续性的ICT准备能力指南

ISO/IEC 27031将说明ICT(信息和通信技术)在确保业务连续性方面所起作用的概念和原则。该标准将:为所有类型的组织(私人、、非)提供框架(方法和流程);为改进作为组织ISMS一部分的ICT准备能力、保证业务连续性,识别和规定全部有关的内容,包括:绩效准则、实施细节等;使一个组织能够测量其持续性、安全性,从而具备以一种一致的、验证过的方法从灾难中恢复的准备能力。

ISO27032

信息技术—安全技术—网络空间安全指南

ISO/IEC 27032将阐述“网络空间”所面临的独特的安全问题。“网络空间”在标准中定义为:不以任何物理方式存在的,通过技术设施和网络互相联接的因特网中人员、软件、服务相互作用所导致的复杂环境。网络空间存在着目前信息安全、互联网安全、网络安全和ICT安全所不能涵盖的安全问题,原因是这些安全领域之间存在差距。网络空间安全将解决在网络空间中,由于不同的安全领域差距导致的安全问题。同时,网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。

ISO27033

信息技术—安全技术—网络安全

(其中的第一部分 ISO/IEC 27033-1已于2009年12月正式发布)。

ISO/IEC 27033将是一个包含多个部分的标准,来自于已经存在的网络安全标准ISO/IEC 18028的五个部分。现有的标准将不仅是改换名称,而是被大幅修改。

ISO/IEC 27033为实施ISO/IEC 27002所介绍的网络安全控制提供详细指南,包含以下部分:

ISO/IEC 27033-1:2009 Information technology -- Security techniques -- Network security -- Part 1: Overview and concepts

ISO/IEC 27033-2: Guidelines for the design and implementation of network security

ISO/IEC 27033-3: Reference networking scenarios -- threats, design techniques and control issues

ISO/IEC 27033-4: Securing communications between networks using security gateways -- threats, design techniques and control issues

ISO/IEC 27033-5: Securing Virtual Private Networks -- threats, design techniques and control issues

ISO/IEC 27033-6: IP convergence

ISO/IEC 27033-7: Guidelines for securing wireless networking -- Risks, design techniques and control issues

ISO/IEC 27033-8: Guidelines for securing [insert other network security aspects] -- Risks, design techniques and control issues

ISO27034

信息技术—安全技术—应用安全

ISO/IEC 27034将是一个包含多个部分的标准。该标准通过一组与组织的系统开发生命周期相整合的过程,为规化、设计、选择和实施信息安全控制措施提供指南。该标准包含如下部分:

ISO/IEC 27034-1 - Information technology — Security techniques — Application security overview and concepts

ISO/IEC 27034-2 - Organization Normative Framework

ISO/IEC 27034-3 - Application Security Management Process

ISO/IEC 27034-4 - Application security validation

ISO/IEC 27034-5 - Protocols and application security control data structure

ISO/IEC 27034-6 - Security guidance for specific applications

ISO27035

信息技术—安全技术—安全事件管理

ISO/IEC 27035将由ISO TR 18044升级而成。

ISO27036

IT安全—安全技术—外包安全管理指南

ISO/IEC 27036将指导组织评价和消除包含在采购、使用外包服务中的安全风险,支持对外包实施ISO/IEC 27002的安全控制措施。

ISO27037

IT安全—安全技术—数字证据的识别、收集、获取和保存指南

该标准将为电子证据的识别、收集、获取、标识、储存、搬运和保护提供详细的指南。

目前,该标准的名称和范围仍未确定。

ISO27799

医疗信息学—使用ISO/IEC 27002的医疗信息安全管理

该标准是由ISO负责医疗信息学的技术委员会TC215发布的,而不是由负责ISO27K的ISO IEC联合技术委员会JTC1/SC27发布。因此,ISO 27799是否是ISO/IEC 27000系列标准中的一个还存在争议。ISO 27799:2008为在医疗信息领域理解和实施ISO/IEC 27002提供支持,是ISO/IEC 27002的伴随标准。

什么是ISO27001信息安全管理体系

ISO27000认证简称ISMS,全名叫信息安全管理体系认证,现在新兴的认证,一般招投标的企业用到它的比较多,是强化员工的信息安全意识,在信息体系受到侵袭时候让其损失降到最低,避免自身信息安全上的缺陷,持续改进信息安全管理,另外也利用获得的证书提高企业市场竞争力,提高企业的形象

iso27000是什么体系

ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。

  安全管理体系,顾名思义就是基于安全管理的一整套体系,体系包括硬件软件方面。软件方面涉及到思想,制度,教育,组织,管理;硬件包括安全投入,设备,设备技术,运行维护等等。构建安全管理体系的最终目的就是实现企业安全、高效运行。

知识普及ISO27000信息安全管理认证标准族有多少

ISO27000信息安全管理认证标准族包括:

ISO 27000 原理与术语Principles and vocabulary。

ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)。

ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)。

ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines。

ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement。

ISO 27005 信息安全管理体系—风险管理ISMS Risk management。

ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification。

ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南。

Information technology_Security techniques_ISMS auditor guidelines。

扩展资料

ISO/IEC 27000:提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。

ISO/IEC27003:为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息,使用者主要为组织内负责实施ISMS的人员。

ISO/IEC27004:该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。

ISO/IEC27005:该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。

ISO/IEC27006:该标准的主要内容是对从事ISMS认证的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。

参考资料来源:百度百科-iso27000

什么是ISMS认证,ISO27001认证

ISO27000的中文名称是信息安全管理体系,翻译成英文是Information Security Management System,简称ISMS

GB/T后面27000是什么意思

GB/T后面27000是标准号,是顺序号。

国家标准的编号由国家标准的代号、国家标准发布的顺序号和国家标准发布的年号(发布年份)构成。

国家标准代号:

强制性国家标准 GB

推荐性国家标准 GB/T("T"是推荐的意思)

GB/T 27000-2006 合格评定 词汇和通用原则

27000是顺序号,没有任何含义。

2006是年份号,即2006年发布。

iso认证是什么意思有几种

iso认证是一个组织的英语简称。翻译成中文就是“国际标准化组织”。有九种:ISO9001、ISO14000、ISO14001、ISO13485、ISO27000、ISO14064、ISO22000、ISO20000、ISO/TS16949。ISO的主要功能是为人们制订国际标准达成一致意见提供一种机制。其主要机构及运作规则都在一本名为ISO/IEC技术工作导则的文件中予以规定,其技术结构在ISO是有800个技术委员会和分委员会,它们各有一个和一个秘书处,秘书处是由各成员国分别担任,承担秘书国工作的成员团体有30个,各秘书处与位于日内瓦的ISO秘书处保持直接联系。

ISO27000认证与ISMS认证区别

一个是标准,一个是体系。

ISMS是信息安全管理体系,任何公司都可以实施这个体系,但是怎么实施呢?要达到哪些要求呢?ISO27000就给出了详细的要求或标准。组织可以依据ISO27001的详细标准或要求去建立ISMS体系。

显示全文