什么是**o27000，怎么办理有什么用

与质量管理体系的**o9000系列和环境管理体系的**o14000系列标准类似，信息安全管理体系(**rmation security management system，**ms)是**o发展的-个信息安全管理标准族，预留了**o/iec 27000系列编号。**o 27001在其中具有核心作用，**o 270000信息安全标准族其中最主要的几个标准图示如下：更多标准罗列如下，从行业、技术、应用等角度涵盖了信息安全的方方面面：**o27000信息技术—安全技术—信息安全管理体系—概况与术语该标准对构成**ms标准族的信息安全管理标准进行了概述，并规定了与**ms系列标准相关的术语。**o27001信息技术—安全技术—信息安全管理体系—要求该标准源于bs7799-2，主要提出**ms的基本要求，已于2005年10月正式发布。**o27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（**rmation security management system，简称**ms）提供模型。采用**ms应当是一个组织的一项战略性决策。一个组织的**ms的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的**ms解决方案。**o27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。上海信息化培训中心提供irca认可**o 27001la信息安全管理体系主任审核师培训。**o27002信息技术—安全技术—信息安全管理实用规则该标准取代了**o /iec 17799：2005，直接由**o/iec 17799：2005更改标准编号为**o/iec 27002，已于2007年4月实施。本标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践，帮助构建组织间活动的信心。本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且，可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时，包括对本标准适用的条款进行交叉引用可能是有用的，该交叉引用便于审核员和商业伙伴进行符合性核查。**o27003信息技术—安全技术—信息安全管理体系实施指南该标准已于2010年2月正式发布。 该标准为按照**o/iec 27001建立信息安全管理体系（**ms）实施计划提供应用指南。通常将**ms作为一个项目实施。**o27004信息技术—安全技术—信息安全管理—测量该标准已于2009年12月正式发布。该标准旨在帮助组织测量、报告和系统性的改进其信息安全管理体系的有效性。该标准为制订测量项和实施测量提供指南，以评估信息安全管理体系和**o/iec 27001规定的控制措施的实施效果。**o27005信息技术—安全技术—信息安全风险管理该标准以bs7799-3和**o13335为基础，已于2008年6月正式发布。本标准描述了信息安全风险管理的要求，可以用于风险评估，识别安全要求，支撑信息安全管理体系的建立和维持。**o27006信息技术—安全技术—信息安全管理体系审核认证机构要求该标准已于2007年2月正式发布。 该标准对提供**ms认证的机构提出要求，所有提供**ms认证服务的机构需要按照该标准的要求证明其能力和可靠性。**o27007信息技术—安全技术—信息安全管理体系审核指南该标准为按照**o/iec 27001对信息安全管理体系进行审核的认证机构、内部审核员、外部/第三方审核员以及其它审核活动提供指南。**o27008信息技术—安全技术—**ms控制措施的审核员指南该标准为所有的信息安全管理体系审核员提供关于“基于风险方法选择**ms控制措施”指南。该标准通过阐明**ms与所选择的控制之间的关系，为信息安全风险管理过程，以及内外部的**ms审核提供支持。并为如何验证“**ms控制措施”的实施程度提供指南。**o/iec 27009：信息安全治理框架**o27010信息技术—安全技术—组织间的信息安全管理该标准将包含多个部分，为跨行业、跨领域、跨**间分享有关信息安全风险、控制措施、争议以及安全事件的信息提供指南。**o27011信息技术—安全技术—电信机构基于**o/iec 27002的信息安全管理指南该标准已于2008年12月正式发布。 该标准用于电信行业，由itu-t 和 **o/iec jtc1/sc27共同制订，并联合发布itu-t x.1051 和**o/iec 27011。对电信机构而言，信息及其支撑流程、通信设施、网络和线路是重要的经营资产，信息安全对于电信机构恰当的管理其经营资产，正确并成功地保持其经营活动的连续性至关重要。本标准为电信机构的信息安全管理提供了要求，规定了电信企业在整体经营风险框架下建立、实施、运行、监视、评审、维持和改进其文件化的信息安全管理体系(**ms)的要求。**o/iec 27012：电子**服务**o27013it技术—安全技术—**o/iec 20000-1 和 **o/iec 27001整合实施指南该标准为整合实施**o/iec 27001(信息安全管理体系)和**o/iec 20000-1(it服务管理规范)提供指南。**o27014信息技术—安全技术—信息安全治理架构该标准旨在帮助组织治理信息安全。信息安全治理将考虑：组织的经营战略、方针和目标；符合适用的、与治理相关的法律法规；符合组织对第三方的合同义务或其它法律义务，反之亦然；为向第三方提供保证所需的审核，以及证书需求。**o27015信息技术—安全技术—金融保险行业信息安全管理体系指南该标准旨在帮助金融服务行业的组织（如：银行、保险公司、**公司等）使用**o27000系列标准实施**ms。虽然该行业已经有了一些风险和安全管理标准，如：**o tr 13569—银行业信息安全指南，但由sc27开发的**ms实施指南将会更直接的体现**o/iec 27001和**o/iec 27002。**o27031信息技术—安全技术—业务连续性的ict准备能力指南**o/iec 27031将说明ict(信息和通信技术)在确保业务连续性方面所起作用的概念和原则。该标准将：为所有类型的组织（私人、**、非**）提供框架（方法和流程）；为改进作为组织**ms一部分的ict准备能力、保证业务连续性，识别和规定全部有关的内容，包括：绩效准则、实施细节等；使一个组织能够测量其持续性、安全性，从而具备以一种一致的、验证过的方法从灾难中恢复的准备能力。**o27032信息技术—安全技术—网络空间安全指南**o/iec 27032将阐述“网络空间”所面临的独特的安全问题。“网络空间”在标准中定义为：不以任何物理方式存在的，通过技术设施和网络互相联接的因特网中人员、软件、服务相互作用所导致的复杂环境。网络空间存在着目前信息安全、互联网安全、网络安全和ict安全所不能涵盖的安全问题，原因是这些安全领域之间存在差距。网络空间安全将解决在网络空间中，由于不同的安全领域差距导致的安全问题。同时，网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。**o27033信息技术—安全技术—网络安全（其中的第一部分 **o/iec 27033-1已于2009年12月正式发布）。**o/iec 27033将是一个包含多个部分的标准，来自于已经存在的网络安全标准**o/iec 18028的五个部分。现有的标准将不仅是改换名称，而是被大幅修改。**o/iec 27033为实施**o/iec 27002所介绍的网络安全控制提供详细指南，包含以下部分：**o/iec 27033-1:2009 **rmation technology -- security techniques -- network security -- part 1: overview and concepts**o/iec 27033-2: guidelines for the design and implementation of network security**o/iec 27033-3: reference netwo**ng scenarios -- threats, design techniques and control **sues**o/iec 27033-4: securing communications between networks using security gateways -- threats, design techniques and control **sues**o/iec 27033-5: securing virtual private networks -- threats, design techniques and control **sues**o/iec 27033-6: ip convergence**o/iec 27033-7: guidelines for securing wireless netwo**ng -- r**ks, design techniques and control **sues**o/iec 27033-8: guidelines for securing [insert other network security aspects] -- r**ks, design techniques and control **sues**o27034信息技术—安全技术—应用安全**o/iec 27034将是一个包含多个部分的标准。该标准通过一组与组织的系统开发生命周期相整合的过程，为规化、设计、选择和实施信息安全控制措施提供指南。该标准包含如下部分：**o/iec 27034-1 - **rmation technology — security techniques — application security overview and concepts**o/iec 27034-2 - organization normative framewo**so/iec 27034-3 - application security management process**o/iec 27034-4 - application security validation**o/iec 27034-5 - protocols and application security control data structure**o/iec 27034-6 - security guidance for specific applications**o27035信息技术—安全技术—安全事件管理**o/iec 27035将由**o tr 18044升级而成。**o27036it安全—安全技术—外包安全管理指南**o/iec 27036将指导组织评价和消除包含在采购、使用外包服务中的安全风险，支持对外包实施**o/iec 27002的安全控制措施。**o27037it安全—安全技术—数字证据的识别、收集、获取和保存指南该标准将为电子证据的识别、收集、获取、标识、储存、搬运和保护提供详细的指南。目前，该标准的名称和范围仍未确定。**o27799医疗信息学—使用**o/iec 27002的医疗信息安全管理该标准是由**o负责医疗信息学的技术委员会tc215发布的，而不是由负责**o27k的**o iec联合技术委员会jtc1/sc27发布。因此，**o 27799是否是**o/iec 27000系列标准中的一个还存在争议。**o 27799:2008为在医疗信息领域理解和实施**o/iec 27002提供支持，是**o/iec 27002的伴随标准。 20210311