截至2006年5月18日,ISO/IECJTC1/SC27/WG1正在制定中的标准包括5个,分别是:
ISO/IEC 27000
ISO/IEC 27000(Informationsecurity management system fundamentals and vocabulary信息安全管理体系基础和术语),属于A类标准。ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中Zui基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。
ISO/IEC27000目前处于WD(工作组草案)阶段,正在SC27内研究并征求意见。
ISO/IE 27003
ISO/IEC27003(Information securitymanagement system implementation guidance信息安全管理体系实施指南),属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和的信息,使用者主要为组织内负责实施ISMS的人员。
该标准给出了ISMS实施的关键成功因素,实施过程依照ISO/IEC27001要求的PDCA模型进行,并介绍了各个阶段的活动内容及详细实施指南。
ISO/IEC27003也处在WD阶段,正在SC27内研究并征求意见。
ISO/IEC 27004
ISO/IEC27004(Information securitymanagement measurements信息安全管理测量),属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。
该标准将测量分为两个类别:有效性测量和过程测量,列出了多种测量方法,例如调查问卷、观察、知识评估、检查、二次执行、测试(包括设计测试和运行测试)以及抽样等。
该标准定义了ISMS的测量过程:要实施ISMS的测量,应定义选择测量措施,确定测量的对象和验证准则,形成测量计划;实施ISMS测量的过程中,应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展;在ISMS的检查和处置阶段,也应对测量措施加以改进,这就要求定义测量过程的评价准则,对测量过程加以监控,并定期实施评审。
该标准已经处于CD(委员会草案)阶段,预计将于2008年完成。
ISO/IEC 27005
ISO/IEC27005(Information securityrisk management信息安全风险管理),属于C类标准。该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。
该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱性以及风险评估的方法,并列出了常见的威胁和脆弱性。Zui后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。
目前该标准处于FinalCD(Zui终委员会草案)阶段。
ISO/IEC 27006
ISO/IEC27005(Requirements for theaccreditation of bodies providing certification of informationsecurity management systems信息安全管理体系认证机构的认可要求),属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。
目前该标准处于FinalCD(Zui终委员会草案)阶段。
