與ISO27001相關(guān)的幾個重要的信息安全標準 

主要內(nèi)容如下：

BS7799系列（ISO/IEC 27000系列）

ISO/IEC TR 13335系列

SSE-CMM

ITIL和BS15000

CC

CoBIT

NIST SP800系列

1、ISO/IEC TR 13335

ISO/IEC TR 13335，早前被稱作“IT 安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版稱作“信息和通信技術(shù)安全管理”（Management of Information and Communications Technology Security，MICTS），是ISO/IEC JTC1 制定的技術(shù)報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施IT安全管理提供建議和支持。

ISO/IEC TR 13335系列標準（舊版）－ GMITS，由5部分標準組成：

ISO/IEC13335-1:1996《IT安全的概念與模型》

ISO/IEC13335-2:1997《IT安全管理與策劃》

ISO/IEC13335-3:1998《IT安全管理技術(shù)》

ISO/IEC13335-4:2000《防護措施的選擇》

ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》

目前，ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004（MICTS 第1部分：信息和通信技術(shù)安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2（MICTS 第2 部分：信息安全風險管理）取代。

ISO/IEC TR 13335 只是一個技術(shù)報告和指導性文件，并不是可依據(jù)的認證標準，信息安全體系建設(shè)參考BS 7799，具體實踐參考ISO TR 13335。 

2、SSE-CMM

SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局(NSA)領(lǐng)導開發(fā)的，是專門用于系統(tǒng)安全工程的能力成熟度模型。

SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應(yīng)評估方法2.0版發(fā)布。

系統(tǒng)安全工程過程一共有三個相關(guān)組織過程：

工程過程

風險過程

保證過程

共分5個能力級別，11個過程區(qū)域：

基本執(zhí)行級

計劃跟蹤級

充分定義級

量化控制級

持續(xù)改進級

2002年被國際標準化組織采納成為國際標準即ISO/IEC 21827:2002《信息技術(shù)系統(tǒng)安全工程－成熟度模型》。

SSE-CMM 和BS 7799 都提出了一系列最佳慣例，但BS 7799 是一個認證標準（第二部分），提出了一個可供認證的ISMS 體系，組織應(yīng)該將其作為目標，通過選擇適當?shù)目刂拼胧ǖ谝徊糠郑┤崿F(xiàn)。而SSE-CMM 則是一個評估標準， 適合作為評估工程實施組織能力與資質(zhì)的標準

3、通用標準（CC）

我們通常所稱的通用標準或通用準則（Common Criteria，簡稱CC）是指ISO/IEC15408:1999標準。目前CC標準的最新版本是2.2；CC2.1版在1999年成為國際標準ISO/IEC15408:1999；我國在2001年等同采用為國家標準GB/T 18336－2001。

CC標準由三個部分組成：

GB/T 18336.1－2001 idt ISO/IEC15408-1:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第1部分：簡介和一般模型

GB/T 18336.2－2001 idt ISO/IEC15408-2:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第2部分：安全功能要求

GB/T 18336.3－2001 idt ISO/IEC15408-3:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則第3部分：安全保證要求

與BS7799 標準相比，CC 的側(cè)重點放在系統(tǒng)和產(chǎn)品的技術(shù)指標評價上，BS7799 在闡述信息安全管理要求時，并沒有強調(diào)技術(shù)細節(jié)。因此，組織在依照BS7799 標準來實施ISMS 時，一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求，可以借鑒CC 標準。

4、ITIL和BS15000

ITIL的全稱是信息技術(shù)基礎(chǔ)設(shè)施庫（Information Technology Infrastructure Library）。ITIL針對一些重要的IT實踐，詳細描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。

IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付（Service Delivery）和服務(wù)支持（Service Support）

服務(wù)交付（Service Delivery）：

Service Level Management

Financial Management for IT Service

Capacity Management

IT Service Continuity Management

Availability Management

服務(wù)支持（Service Support）：

Service Desk

Incident Management

Problem Management

Configuration Management

Change Management

Release Management

有關(guān)ITIL，我之前也有一篇文章進行過簡單介紹。

2001年，英國標準協(xié)會在國際IT 服務(wù)管理論壇（itSMF）上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。

BS15000 有兩個部分，目前都已經(jīng)轉(zhuǎn)化成國際標準了。

ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范（Information technology service management. Specification for Service Management）

ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實踐（ Information technology service management. Code of Practice for Service Management）

與BS7799 相比，ITIL 關(guān)注面更為廣泛（信息技術(shù)），而且更側(cè)重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息安全方面的補充，同時引入ITIL 流程的方法，以此加強信息安全管理的實施能力。

5、CoBIT

CoBIT的全稱是信息和相關(guān)技術(shù)的控制目標（Control Objectives for Information and related Technology），是ITGI提出的IT治理模型（IT Governance)，是一個IT控制和IT治理的框架（framework）。CobiT是一個在更高的層面上指導管理層進行技術(shù)標準和信息系統(tǒng)管理的IT治理模型。

CoBIT的八個控制過程：

計劃和組織（Planning & Organisation）

采購和實施（Acquisition & Implementation）

交付和支持（Delivery & Support）

監(jiān)視和評估（Monitoring & evaluation）

CoBIT的七個控制目標：

機密性（Confidentiality）

完整性（Integrity）

可用性（Availability）

有效性（Effectiveness）

高效性（Efficiency）

可靠性（Reliability）

符合性（Compliance）

目前基本上存在著兩類控制模型，一類是類似COSO這樣的商業(yè)控制模式（business control model），另一類則是像BS7799這樣的更關(guān)注IT的控制模型（more focused on IT control model），而CoBIT的目標是在兩者之間架起一座橋梁。

6、NIST SP800系列

美國國家標準技術(shù)協(xié)會（National Institute of Standards and Technology，NIST）發(fā)布的Special Publication 800 文檔是一系列針對信息安全技術(shù)和管理領(lǐng)域的實踐參考指南，其中有多篇是有關(guān)信息安全管理的，包括：

SP 800-12：計算機安全介紹（An Introduction to Computer Security: The NIST Handbook）

SP 800-30 ： IT 系統(tǒng)風險管理指南（Risk Management Guide for Information Technology Systems）

SP 800-34：IT 系統(tǒng)應(yīng)急計劃指南（Contingency Planning Guide for Information Technology Systems）

SP 800-26 ： IT 系統(tǒng)安全自我評估指南（ Security Self-Assessment Guide for Information Technology Systems）

這些文件可以作為實施ISMS 過程中一些關(guān)鍵任務(wù)的指導和參照（例如風險評估、應(yīng)急計劃等），是對BS7799 標準很好的補充和細化。

7、BS7799系列（ISO/IEC 27000系列）

BS7799 Part 1:

BSBS7799 Part 1的全稱是Code of Practice for Information Security，也即為信息安全的實施細則。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。

ISO/IEC 17799:2005 通過層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個安全管理要素，還有39個主要執(zhí)行目標和133個具體控制措施（最佳實踐），供負責信息安全系統(tǒng)應(yīng)用和開發(fā)的人員作為參考使用，以規(guī)范化組織機構(gòu)信息安全管理建設(shè)的內(nèi)容。

ISO/IEC 17799:2005的內(nèi)容如下圖：（見附件）

BS7799 Part 2:

BS7799 Part 2的全稱是Information Security Management Specification，也即為信息安全管理體系規(guī)范，其最新修訂版在05年10月正式成為ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理體系（ISMS）的一套規(guī)范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關(guān)人員去應(yīng)用ISO/IEC 17799，其最終目的，在于建立適合企業(yè)需要的信息安全管理體系（ISMS）。

今天通過對《與ISO27001相關(guān)的幾個重要的信息安全標準》的學習，相信你對認證有更好的認識。如果要辦理相關(guān)認證，請聯(lián)系我們吧。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202012/ccaa_16030.html