ISO27001信息安全管理体系认证标准有哪些?

 

    信息安全管理体系（InformationSecurityManagementSystem,简称ISMS）的概念初来源于英国标准学会制定的BS7799标准,并伴随着其作为国际标准的发布和普及而被广泛地接受。ISO/IECJTC1SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会安全技术分委员会/工作组)是制定和修订ISMS标准的国际组织。

 

    ISO/IEC27001:2005（《信息安全管理体系要求》）是ISMS认证所采用的标准。目前我国已经将其等同转化为中国国家标准GB/T22080-2008/ISO/IEC27001:2005。

 

 

    ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的一系列相关标准的总称，其包含的成员标准有：

 

    1.ISO/IEC27000ISMS概述和术语IS

 

    2.ISO/IEC27001信息安全管理体系要求IS

 

    3.ISO/IEC27002信息安全管理体系实用规则IS

 

    4.ISO/IEC27003信息安全管理体系实施指南FDIS

 

    5.ISO/IEC27004信息安全管理度量FDIS

 

    6.ISO/IEC27005信息安全风险管理IS

 

    7.ISO/IEC27006ISMS认证机构的认可要求IS

 

    8.ISO/IEC27007信息安全管理体系审核指南CD

 

    9.ISO/IEC27008ISMS控制措施审核员指南WD

 

    10.ISO/IEC27010部门间通信的信息安全管理NP

 

    11.ISO/IEC27011电信业信息安全管理指南IS

 

    ……

 

    目前，国际标准化组织（即：ISO）正在不断地扩充和完善ISMS系列标准，使之成为由多个成员标准组成的标准族。

 

 

    根据《中华人民共和国认证认可条例》规定，在我国境内开展认证业务须经国家主管部门──国家认证认可监督管理委员会批准并颁发资质证明。

 

    中国信息安全认证中心是经国家认证认可监督管理委员会批准并颁发资质证明的可从事信息安全管理体系认证的正式机构。认证机构的信息安全管理体系认证资质可查询如下网址：

 

    同时，中国信息安全认证中心是国内通过中国合格评定国家认可委员会能力认可的ISMS认证机构。

 

 

    1.信息安全管理体系（ISMS）认证是一种自愿的、基于市场需求的第三方认证，其作用是通过认证向客户、合作伙伴等相关方证明组织在信息安全管理方面的水平和能力，以提供信任和信心。实现ISMS国际互认的前提和条件是统一认证标准。目前，各国认可机构均依据本国认证认可制度对申请认可的认证机构进行认可。在不同的国家认证认可制度下，通过认可的认证机构颁发的信息安全管理体系认证证书，由于认证标准都是依据ISO/IEC27001:2005国际标准，其证书具有相同的效力。

 

    2.国际认可论坛（IAF）作为有关国家认可机构（包括中国CNAS，英国UKAS，美国ANAB，荷兰RvA等）参加的多边合作组织，其主要目标是协调各国认证认可制度，通过统一规范各成员单位的审核员资格要求、认证标准及管理体系认证机构的评定和认证程序，使其在技术运作上保持一致，从而确保有效的国际互认。目前，我国已经在质量管理体系（QMS）、环境管理体系（EMS）两个管理体系的认证证书与IAF的成员单位签订了互认协议。但是信息安全管理体系（ISMS）涉及到安全等敏感问题，各国的认可机构都没有在ISMS领域加入IAF，因此还没有实现国际互认。严格说来，带有CNAS、UKAS、ANAB等标志的ISMS认证证书都不属于国际认证证书，均不具有国际互认性，获得任何一家认证机构颁发的证书都不能称为获得了国际认证。

 

    3.中国合格评定国家认可中心（CNAS）作为IAF17个发起成员单位之一，承担着众多责任。目前CNAS作为主要协调单位，正积极组织开展信息安全管理体系国际互认工作，但各国签署互认协议、加入IAF还有待时日。

 

    综上所述，只有IAF中的各成员单位就ISMS签署多边互认协议，同时相关认证机构被授权在所颁发的ISMS认证证书上加贴IAF标识后，该ISMS认证证书才具有国际互认性。

 

    五、ISO/IEC27000族标准中有哪些已转化为中国国家标准？

 

    ISO/IEC27001:2005

 

    已等同转化为中国国家标准GB/T22080-2008/ISO/IEC27001:2005

 

    《信息技术安全技术信息安全管理体系要求》（2008-06-19发布，2008-11-01实施）

 

    ISO/IEC27002:2005

 

    已等同转化为中国国家标准GB/T22081-2008/ISO/IEC27002:2005

 

    《信息技术安全技术信息安全管理实用规则》（2008-06-19发布，2008-11-01实施）

 

    目前，全国信息安全标准化技术委员会（TC260）信息安全管理工作组（WG7）正在不断推进信息安全管理体系国家标准的编制和转化工作。