ISO27000系列標準介紹

ISO已為信息安全管理體系標準預留了ISO/IEC 27000系列編號，類似于質量管理體系的ISO 9000系列和環境管理體系的ISO 14000系列標準。
                 　　規劃的ISO 27000系列包含下列標準:
                 　　ISO 27000——《信息安全管理體系原理和術語》《Information security management system fundamentals and vocabulary》該標準主要用于闡述ISMS的基本原理和術語，預計2008年發布。
                 　　ISO 27001——《信息安全管理體系要求》《Information security management system requirements》該標準源于BS7799-2，主要提出ISMS的基本要求，已于2005年10月正式發布。
                 　　ISO 27002——《信息安全管理實踐規則》《Code of practice for information security management》                  該標準將取代 ISO /IEC 17799：2005，計劃2007年發布。
                             　　ISO 27003——《信息安全管理體系實施指南》《Information security management systems implementation guidance》該標準將為ISMS的建立、實施、維持、改進提供指導，目前還在開發中，預計2007年發布。
                             　　ISO 27004——《信息安全管理測量與指標》《Information security management measurements and metrics》該標準闡述信息安全管理的測量和指標，用于測量信息安全管理的實施效果，預計2007年底或2008年發布。
                             　　ISO 27005——《信息安全風險管理》《Information security risk management》該標準以BS7799-3和ISO13335為基礎，預計2007年發布。
                             　　ISO 27006——《信息安全管理體系審核認證機構要求》《Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems》該標準對提供ISMS認證的機構提出要求，所有提供ISMS認證服務的機構需要按照該標準的要求證明其能力和可靠性。
                             　　上述標準中， ISO27001是ISO27000系列的主標準，類似于ISO 9000系列中的ISO9001，各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系（ISMS），并通過認證。目前的有效版本是ISO/IEC 27001：2005。
                             　　ISO27001 信息安全在企業風險管理中極為重要，強調對一個組織運行所必需的IT系統和信息的保密性、完整性、可用性的保護，提高投資回報率，降低由信息安全事故造成 的損失及業務中斷的風險。ISO27001體系已由國際標準組織頒布為國際標準ISO 27001:2005，是目前世界上唯一的“信息安全管理標準”，成為“信息安全管理”之國際通用語言，并被全球五千多家政府機構和知名企業所采用。其方 法是通過“風險評估”、“風險管理”切入企業的信息安全需求，有效降低企業面臨的風險。建立信息安全管理體系（ISMS）已成為各種組織，特別是高科技產 業、金融機構等管理運營風險不可缺少的重要機制。在某些行業，如軟件外包，ISO27001認證已經成為客戶要求必備條件。