• 设为首页
  • 加入收藏
  • 联系我们
    • 站内搜索论坛搜索百度搜索
       用户登录 
       培训中心在你身边


      ==全国审核员培训热线:
      ==
      0512-57479332
      18610888703 
      ===ISO客服热线:===
      0512-57479332
      18912674606
      传真:0512-57479332
      =====ISO培训网址:=====
      http://www.isolearn.com
      培训:isolearn@qq.com
      报名:isolearn@163.com
      合作:isolearn@sina.com

       在线咨询 
      点击这里给我发消息 在线客服
      点击这里给我发消息 培训顾问
      点击这里给我发消息 博乐老师
       证书查询
      证书查询系统
      请输入姓名:
      请输入证书编号:
      关于ISO27000和ISO20000的介绍
      http://www.isolearn.com  2011-04-20 报考审核员

       

       

          ISO27000/BS7799信息安全管理体系:

          ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号,类似于质量管理体系的IS9000系列和环境管理体系的ISO14000系列标准。

          规划的ISO27000系列包含下列标准
              ISO 27000  原理与术语 (Principles and vocabulary)
              ISO 27001  信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
              ISO 27002  信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
              ISO 27003  信息安全管理体系—风险管理 (ISMS Risk management)
              ISO 27004  信息安全管理体系—指标与测量 (ISMS Metrics and measurement)
              ISO 27005  信息安全管理体系—实施指南 (ISMS Implementation guidelines) 

              其中ISO27001:2005 的最终标准草案(FDIS)已经在2005年7月发布,预计在2005年底或2006年初作为正式国际标准发布。

              ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是BS7799-2:2002。当ISO27001正式发布后,BS7799-2:2002将被撤销。

              BS7799是英国标准协会(British Standards Institute,BSI)于1995年2月制定的信息安全标准,1999年5月,BSI对BS 7799进行了修订改版,发展成为后来最主要的一个版本,2000年12月,BS 7799内容中的第一部分被ISO采纳,正式成为ISO/IEC 17799标准。BS7799分两个部分:

        第一部分,也就是纳入到ISO/IEC 17799:2000标准的部分,是信息安全管理实施细则(Code of Practice for Information Security Management),主要供负责信息安全系统开发的人员作为参考使用,其中分十个标题,定义了127个安全控制。
          BS7799-1:1999(ISO/IEC 17799:2000)中的内容标题分别是:
              1.安全策略(Security policy)
              2.资产和资源的组织(Organization of assets and resources)
              3.人员安全(Personnel security)
              4.物理和环境安全(Physical and environmental security)
              5.通信和操作管理(Communication and operation management)
              6.访问控制(Access control)
              7.系统开发和维护(System development and maintenance)
              8.业务连续性管理(Business continuity management)
              9.符合性(Compliance)

        第二部分,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据BS7799-2建立的ISMS进行认证),还有一系列相应的注册认证过程。目前,BS 7799-2的2002年版本已经递交ISO组织,可望成为国际标准。

        BS7799标准要求基于PDCA管理模型来建立和维护信息安全管理体系(ISMS)。为了实现ISMS,组织应该在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。通过这样的过程周期,组织就能将确切的信息安全需求和期望转化为可管理的信息安全体系。
      ISO/IEC 20000 IT 服务管理
      IT 对于当今的业务交付是必不可少的。 然而,人们越来越担心 IT 服务(无论是内部还是外包)无法与业务需求和客户需求保持一致。

      这一问题的公认解决方案便是使用基于 IT 服务管理的国际标准——ISO/IEC 20000 的 IT 服务管理体系 (ITSMS)。 通过此标准的认证便可向客户证明您采用的是最佳做法。

      ISO/IEC 20000 建立在国际公认的英国标准 BS 15000 的基础之上并取而代之。

      ISO/IEC 20000 的发布分为两个部分:

      第一部分是服务管理规范,涵盖了 IT 服务管理。 认证机构根据此部分对您的组织进行审核,它规定了要通过认证须达到的最低要求。

      第二部分是服务管理的实施准则,描述了规范范围内服务管理流程的最佳做法。

      适用于哪些组织?

      任何依赖 IT 服务的组织,不论其规模大小、所属行业或地理位置如何,均可使用 ISO/IEC 20000。 该标准尤其适合于内部 IT 服务提供商(如 IT 部门)和外部 IT 服务提供商(如 IT 外包组织)。

      该标准已经对一些依赖 IT 的主要行业产生了积极影响,例如业务流程外包、电信、金融和公共部门。
      ISO/IEC 20000 认证主要可证明一家组织采用了充分的控制措施和程序,以不断提供成本低廉、质量上等的 IT 服务。

      以下列出了一些主要好处:

      IT 服务提供商能够更积极地响应以业务为主导、而非以技术为驱动的服务
      随着该认证逐渐成为一项合同要求,外部服务提供商可以将它用作一种脱颖而出,赢得新业务的手段
      让您能够更有效地选择和管理外部服务提供商
      获得更多机会,以提高影响成本与服务的 IT 服务的效率、可靠性和一致性
      认证审核可实现对服务管理流程的定期评估,从而有助于保持和提高效率
      认证过程可降低供应商审核量,从而降低成本
      ISO/IEC 20000 与为 ITSM 流程提供最佳做法指导的 ITIL(IT 基础设施库)框架完全兼容。

       

       

       

       

      友情链接
      关于我们 - 培训计划 - 付款方式 - 联系我们 - 网站留言
      电话:18610888703     报名QQ:3117484778    E-mail:isolearn@qq.com     ICP备案:苏ICP备11068421号-3
      Copyright © 2002- www.isolearn.com Inc. All Rights Reserved.