ISO/IEC 27000系列

ISO/IEC 27000 系列标准 （又名ISO/IEC 27000 标准系列，及“资讯安全管理系统标准族”，简称“ISO27K”） 是由国际标准化组织（ISO）及国际电工委员会（IEC）联合定制。

该标准系列由最佳实践所得并提出对于资讯安全管理的建议，并在资讯安全管理系统领域中的风险及相关管控，该标准系列与质量管理保证系统的标准（ISO 9000系列）和环境保护标准系列（ISO 14000系列）有类似的架构^[1]。

该系列故意扩大了在资讯安全领域的范围，不仅仅包含隐私，保密以及资讯科技层面，更包含了包括法律，人员管理，物资管理等诸多方面，从而可以使其可以适合各种大小的组织。根据ISO/IEC 27000标准中推荐，每个与资讯相关的组织都应该根基本系列进行相关的资讯安全风险评估，并借由相关的指导和建议实施适当的资讯安全管控。鉴于资讯安全的动态本质，针对事态的反应，回馈以及教训，并由此改进资讯安全措施是非常合适的。总的来说也就是通过戴明的PDCA法，寻找资讯安全相关威胁，弱点，影响并进行资讯安全措施改进。

该标准系列中的标准是由ISO/IEC JTC1 (1号技术联合委员会) SC27 (下属27号委员会)委员会制定，该委员会每两年进行一次实体会议。

目前该标准系列中共有22个标准批准发布，另有一部分仍然在制定之中。标准文本由国际标准化组织直接销售，本土化及译本标准则有相关国家标准组织销售。

已发布的标准

• ISO/IEC 27000 — 资讯安全管理系统 - 综述及词汇
• ISO/IEC 27001 — 资讯安全管理系统 - 要求
• ISO/IEC 27002 — 资讯安全管理实践准则
• ISO/IEC 27003 — 资讯安全管理系统实施指导
• ISO/IEC 27004 — 资讯安全管理系统 - 测评
• ISO/IEC 27005 — 资讯安全风险管理
• ISO/IEC 27006 — 针对审查及认证资讯安全管理系统的实体之要求
• ISO/IEC 27007 — 资讯安全管理系统审查指导 （本标准专注于管理系统）
• ISO/IEC TR 27008 — 资讯安全管理系统审查者指导 （本标准专注于资讯安全控制）
• ISO/IEC 27010 — 对于跨领域，跨组织间通讯的资讯科技，安全技巧及资讯安全管理
• ISO/IEC 27011 — 对于电信组织根据ISO/IEC 27002标准的资讯安全管理指导
• ISO/IEC 27013 — ISO/IEC 20000-1 和 ISO/IEC 27001 集成实施的指导
• ISO/IEC 27014 — 资讯安全的治理
• ISO/IEC TR 27015 — 对于金融服务的资讯安全管理指导
• ISO/IEC 27021 — 资讯安全管理系统专业人员的能力要求 - 技术
• ISO/IEC 27031 — 对于配备资讯及通讯技术的业务连续性的知道
• ISO/IEC 27032 — 网络安全的指导（本质上讲的是如何做一个“因特网上的好邻居”）
• ISO/IEC 27033-1 — 网络安全的综述及概念
• ISO/IEC 27033-2 — 设计和实施网络安全的指导
• ISO/IEC 27033-3:2010 — 网络情况的参考 - 威胁，设计应对方式及管控
• ISO/IEC 27034 — 应用程式安全的指导
• ISO/IEC 27035 — 安全事件管理
• ISO/IEC 27037 — 鉴别，收集并且（或者）获得并保存电子证物的指导
• ISO/IEC 27102 — 网络保险指南
• ISO/IEC 27701 — 隐私资讯管理
• ISO 27799 — 健保业实施ISO/IEC 27002的资讯安全管理

仍然在制定中的标准

• ISO/IEC 27014 — 资讯安全统治框架
• ISO/IEC 27017 — 云端系统的资讯安全管理
• ISO/IEC 27018 — 云端系统的数据保护
• ISO/IEC 27033 — 资讯科技网络安全
• ISO/IEC 27036 — 供应关系的安全指导
• ISO/IEC 27038 — 数码文件编译的规格
• ISO/IEC 27039 — 入侵发现及保护系统
• ISO/IEC 27040 — 贮存安全指导
• ISO/IEC 27041 — 确保数码证据调查方式
• ISO/IEC 27042 — 分析和解释数码证据
• ISO/IEC 27043 — 数码证据的调查原理和工序

相关条目

• BS 7799，英国标准，ISO/IEC 17799和 ISO/IEC 27002的部分内容为其派生
• 文件管理系统
• 萨班斯-奥克斯利法案，根据安然有限公司（Enron）、世界通讯公司（Worldcom）等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规
• Standard of Good Practice （优等实践标准） 由资讯安全论坛发表的关于资讯安全的优秀实践

参考资料

1. ISO/IEC 27001：常见问题. atsec. [2013-05-02]. （原始内容存档于2013-06-28）.

外部链接

• The ISO 17799 Newsletter（页面存档备份，存于互联网档案馆）
• Opensource software to support ISO 27000 processes（页面存档备份，存于互联网档案馆）
• ISO IEC 27000,2009 version（页面存档备份，存于互联网档案馆）
• The ISO 27000 Directory（页面存档备份，存于互联网档案馆）
• ISO/IEC 27000:2009 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary（页面存档备份，存于互联网档案馆）