ISO/IEC 27002
ISO/IEC 27002 是由國際標準化組織(ISO)及國際電工委員會(IEC)所發表的一個資訊安全標準,其標題為《資訊科技 - 安全技術 - 資訊安全管理作業法規》(Information technology – Security techniques – Code of practice for information security controls)。
ISO/IEC 27002:2005 是由發表於西元 1990 年代中期的英國標準 BS7799 所延續發展而來。這個英國標準被 ISO/IEC 所採用,成為 ISO/IEC 17799:2000,並在西元 2005 年的時候有過更新。西元 2007 年時被重新編號以便與其他ISO/IEC 27000系列一致。
ISO/IEC 27002 提供了一種最佳實踐方式用來初始化、實作、及管理的一套資訊安全系統。資訊安全的定義在C-I-A 三原則可找到。
所謂的 C-I-A 三原則是指必須保護C-機密性(確保只有被授權存取的使用者能存取資訊)、I-完整性(保護資訊與處理程序的準確性與完整性)、及A-可用性(確保被授權的使用者在他需要存取資訊的時候一定能存取得到) |
Outline
在簡介章節之後,這個標準包含以下十二個主要章節:
- 風險管理
- 安全政策 - 管理方向
- 資訊安全組織 - 資訊安全的管理
- 資產管理 - 資訊資產的清單與分類
- 人力資源安全 - 以安全的角度來看員工對於組織的任用、調職、及離職
- 實體於環境安全 - 電腦設備的保護
- 通訊與作業管理 - 安全控管技術於系統與網路的管理
- 存取控制 - 限制網路、系統、應用程式、功能、及資料的存取權限
- 資訊系統的取得、開發、與維護 - 將安全內建到應用程式中
- 資訊安全事故管理- 對於資訊危安的預防與反應對策
- 事業營運計畫 - 保護、管理、及復元企業重要的流程及系統
- 相容性 - 確保對於資訊安全的政策、標準、法律及規範的遵守
在各章節中, 資訊安全控管及它們的目標被明確的指出並描述。這些資訊安全控制一般被認為是實踐那些目標的最佳手段。 對於每一個控制都有提供實作的指引。特殊的控制並非強制,如:
- 每一個組織都被要求去做一個有架構的資訊安全風險評估程序以用來在決定它的特殊需求之前去選擇對於它的環境的適當的控制。在簡介章節中有略述一個險評估程序雖然有其他的標準涵蓋了這個領域如 ISO/IEC 27005。使用資訊安全風險分析去驅使實做資訊安全控制的撰擇是 ISO/IEC 27000 系列的一個重要的特性:意思是在這個標準中一般好的實作建議會被客制化成對於不同使用者組織的特定的內容,而不是死硬的強制執行。
並不是所有的 39 個控制目標都是被每個不同的組織或個體所適切的需要,因此整個控制的類別也不一定就被認為是需要的。 這個標準是個開放的結尾因為資訊安全控制是 '建議', 留了一些空間讓使用者去採用其他的需要的控制,只要關鍵的控制目標對於相關的減少資訊安全風險能夠被滿足就好。這使得標準可以對日新月異演變進化的資訊威脅、弱點與衝擊、及特定資訊安全控制的趨勢有所關聯。
- 在實務上要列出所有想得到的控制在一個通用的標準中是不太可能的。工業規範實作指引 ISO/IEC 27001 及 ISO/IEC 27002 提供了對於通信產業的客製化建議 (請看 ISO/IEC 27011) 及 對於醫療產業 (請看 ISO 27799), 以及附加的指引用於金融服務級其他工業。
相對應的國家標準
ISO/IEC 27002 在很多國家都有對應該國的國家標準。 翻譯及國內發佈常導致比 ISO/IEC 國際標準延遲數個月晚更新或發佈,但國家標準的主體通常會加長使得翻譯的內容能準確的確保與 ISO/IEC 27002 內容完整及意思一致。
國家 | 相對應國家標準 |
---|---|
澳大利亚 | AS/NZS ISO/IEC 27002:2006 |
巴西 | ISO/IEC NBR 17799/2007 - 27002 |
智利 | NCH2777 ISO/IEC 17799/2000 |
中國 | GB/T 22081-2008 |
捷克 | |
丹麥 | DS484:2005 |
爱沙尼亚 | EVS-ISO/IEC 17799:2003, 2005 version in translation |
日本 | JIS Q 27002 |
立陶宛 | LST ISO/IEC 27002:2009 (adopted ISO/IEC 27002:2005, ISO/IEC 17799:2005) |
荷蘭 | NEN-ISO/IEC 27002:2005 |
秘魯 | NTP-ISO/IEC 17799:2007 |
波蘭 | PN-ISO/IEC 17799:2007, based on ISO/IEC 17799:2005 |
中華民國 | CNS27002 |
俄羅斯 | |
斯洛伐克 | STN ISO/IEC 27002:2006 |
南非 | SANS 17799:2005 |
西班牙 | UNE 71501 |
瑞典 | SS 627799 |
土耳其 | TS ISO/IEC 27002 |
烏克蘭 | |
英國 | BS ISO/IEC 27002:2005 |
乌拉圭 | UNIT/ISO 17799:2005 |
認證
ISO/IEC 27002 僅是一個諮詢用的標準。也就是說它是用於解釋與應用到任何種類任何大小的組織上,依據其面對不同的資訊安全風險。實務上, 這種靈活性給了使用者非常大的範圍去調整那些只對他們有意義的資訊安全控制, 但也使得這個標準無法被直覺的做測試認證相對於那些正式的認證系統。
ISO/IEC 27001(資訊科技 - 安全技術 - 資訊安全管理系統 - 要求)是一個可被認證的標準。 ISO/IEC 27001 特別訂了一組嚴格的需求對於建立, 實作, 管理 及 加強 ISMS, 並且在附註 A 中提供一組 133 個資訊安全控制讓組織能被鼓勵應用在他們適當的 ISMS 中。這些在附註 A 中的控制是由 ISO/IEC 27002 衍生而來。
未來發展
不論 ISO/IEC 27001 還是 ISO/IEC 27002 目前都正在更新為 ISO/IEC JTC1/SC27。 這是一個每幾年就會有的例行公事用來確保 ISO/IEC 標準符合趨勢潮流。舉例來說, 它也會被其他相關的安全標準所引用改進 (如 ISO/IEC 27000, ISO/IEC 27004 及 ISO/IEC 27005) 及其他良好的安全實作也都可能引入部份的領域。 因為已經很多組織已經導入 ISO/IEC 27002, 特別在有關資訊安全控制支援在相容 ISO/IEC 27001 的 ISMS 系統上, 任何改變都必須被調整。 也因此最好讓標準慢慢演進, 而不是革命性的改變。更新的標準預計在西元 2013 年發表。
相關條目
- BS 7799, 最早的英國標準。之後被 ISO/IEC 17799 衍生。然後 ISO/IEC 27002 又再次衍生。
- Information security professionalism
- ISO/IEC 27000-series
- IT baseline protection
- IT risk management
- List of ISO standards
- 薩班斯-奧克斯利法案
- Standard of Good Practice 由 Information Security Forum 所發佈