15408标准和27001的区别

隆鑫摩托车2023-04-26  21

具体如下:

在tcsec中的研究中心是tcb,而在itsec、cc和iso/iec 15408信息技术安全评估准则中讨论的是toe(target of evaluation,评估对象)。iso/iec 15408评估准则中讨论的是toe的安全功能(toe security function,缩写为tsf),是安全的核心,类似tcsec的tcb。tsf安全功能执行的是toe的安全策略(toe security policy,缩写为tsp)。tsp是由多个安全功能策略(security function policies ,缩写为sfps)所组成,而每一个sfp是由安全功能(sf)实现的。实现tsf的机制与tcsec的相同,即“引用监控器”和其它安全功能实现机制。

信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则; BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

信息安全管理标准--ISO/IECl7799

信息安全管理的原则之一就是规范化、系统化,如何在信息安全管理实践中落实这一原则,需要相应的信息安全管理标准。BS7799标准是英国标准协会(BSI)制定的国际上具有代表性的信息安全管理体系标准。该标准包括两个部分:BS7799—1:1999《信息安全管理实施细则》和BS7799—2:1999《信息安全管理体系规范》,其中,BS7799—1标准目前已正式转换成ISO国际标准,即:IS017799信息安全管理体系实施指南,并于2000年12月1日颁布。该标准综合了信息安全管理方面优秀的控制措施,为组织在信息安全方面提供建议性指南。因此该标准不是认证标准,但组织在建立和实施信息安全管理体系时,可考虑采取该标准建议性的措施。BS7799—2标准目前正在转换成ISO国际标准的过程中。BS7799—2标准要求主要用于对组织进行信息安全管理体系的认证,因此组织在建立信息安全管理体系时,必须考虑满足BS7799—2的要求。ISO/IECl7799的目的并不是告诉用户有关“怎么做”的细节,它所阐述的主题是安全策略和优秀的、具有普遍意义的安全操作。该标准特别声明,它是“制定一个机构自己的标准时的出发点”,并不是说它所包含的所有方针和控制策略都是放之四海而皆准的,也不是其它未列出的便不再要求。标准主要讨论了如下的主题:建立机构的安全策略、机构的安全基础设施、资产分类和控制、人员安全、物理与环境安全、通讯与操作管理、访问控制、系统开发和维护、业务连续性管理、遵循性。采用ISO/IECl7799标准建立起来的信息安全管理体系(ISMS),是建立在系统、全面、科学的安全风险评估之上,是一个系统化、文件化、程序化、科学化的管理体系。它体现预防控制为主思想,强调遵守国家有关信息安全的法律、法规及其它要求,强调全过程和动态控制,本着成本费用与风险平衡的原则选择安全控制方式,保护组织所拥有的关键信息资产,确保信息的保密性、完整性、可用性,对网络环境下的信息安全管理无疑具有十分重要的意义。

ISOIEC27001体系认证咨询简介

标准的起源和发展

信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:

BS7799-1,信息安全管理实施规则

BS7799-2,信息安全管理体系规范。

第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。

2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。

标准的主要内容

ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。

标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。

信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。

ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:

1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性

以上就是关于15408标准和27001的区别全部的内容,包括:15408标准和27001的区别、IS017799标准是什么、iso27001是参照欧洲哪个国家的标准修改的等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!

转载请注明原文地址:https://juke.outofmemory.cn/read/3677991.html

最新回复(0)