一�、信息安全管理體系認(rèn)證的標(biāo)準(zhǔn)是什么�����?
信息安全管理體系(InformationSecurityManagementSystem,簡稱ISMS)的概念初來源于英國標(biāo)準(zhǔn)學(xué)會制定的BS7799標(biāo)準(zhǔn),并伴隨著其作為國際標(biāo)準(zhǔn)的發(fā)布和普及而被廣泛地接受���。ISO/IECJTC1SC27/WG1(國際標(biāo)準(zhǔn)化組織/國際電工委員會信息技術(shù)委員會安全技術(shù)分委員會/工作組)是制定和修訂ISMS標(biāo)準(zhǔn)的國際組織����。
ISO/IEC27001:2005(《信息安全管理體系要求》)是ISMS認(rèn)證所采用的標(biāo)準(zhǔn)��。目前我國已經(jīng)將其等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GB/T22080-2008/ISO/IEC27001:2005�����。
二、ISO/IEC27000族的成員標(biāo)準(zhǔn)主要有哪些�?
ISO/IEC27000族是國際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來的一系列相關(guān)標(biāo)準(zhǔn)的總稱�,其包含的成員標(biāo)準(zhǔn)有:
1.ISO/IEC27000ISMS概述和術(shù)語IS
2.ISO/IEC27001信息安全管理體系要求IS
3.ISO/IEC27002信息安全管理體系實(shí)用規(guī)則IS
4.ISO/IEC27003信息安全管理體系實(shí)施指南FDIS
5.ISO/IEC27004信息安全管理度量FDIS
6.ISO/IEC27005信息安全風(fēng)險管理IS
7.ISO/IEC27006ISMS認(rèn)證機(jī)構(gòu)的認(rèn)可要求IS
8.ISO/IEC27007信息安全管理體系審核指南CD
9.ISO/IEC27008ISMS控制措施審核員指南WD
10.ISO/IEC27010部門間通信的信息安全管理NP
11.ISO/IEC27011電信業(yè)信息安全管理指南IS
……
目前�,國際標(biāo)準(zhǔn)化組織(即:ISO)正在不斷地?cái)U(kuò)充和完善ISMS系列標(biāo)準(zhǔn),使之成為由多個成員標(biāo)準(zhǔn)組成的標(biāo)準(zhǔn)族����。
三、中國信息安全認(rèn)證中心開展ISMS認(rèn)證的資質(zhì)有哪些��?
根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》規(guī)定��,在我國境內(nèi)開展認(rèn)證業(yè)務(wù)須經(jīng)國家主管部門──國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)并頒發(fā)資質(zhì)證明�����。
中國信息安全認(rèn)證中心是經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)并頒發(fā)資質(zhì)證明的可從事信息安全管理體系認(rèn)證的正式機(jī)構(gòu)��。認(rèn)證機(jī)構(gòu)的信息安全管理體系認(rèn)證資質(zhì)可查詢?nèi)缦戮W(wǎng)址:
同時���,中國信息安全認(rèn)證中心是國內(nèi)通過中國合格評定國家認(rèn)可委員會能力認(rèn)可的ISMS認(rèn)證機(jī)構(gòu)���。
四、信息安全管理體系證書是否實(shí)現(xiàn)了國際互認(rèn)���?
1.信息安全管理體系(ISMS)認(rèn)證是一種自愿的���、基于市場需求的第三方認(rèn)證,其作用是通過認(rèn)證向客戶���、合作伙伴等相關(guān)方證明組織在信息安全管理方面的水平和能力���,以提供信任和信心����。實(shí)現(xiàn)ISMS國際互認(rèn)的前提和條件是統(tǒng)一認(rèn)證標(biāo)準(zhǔn)。目前�����,各國認(rèn)可機(jī)構(gòu)均依據(jù)本國認(rèn)證認(rèn)可制度對申請認(rèn)可的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)可��。在不同的國家認(rèn)證認(rèn)可制度下���,通過認(rèn)可的認(rèn)證機(jī)構(gòu)頒發(fā)的信息安全管理體系認(rèn)證證書���,由于認(rèn)證標(biāo)準(zhǔn)都是依據(jù)ISO/IEC27001:2005國際標(biāo)準(zhǔn)���,其證書具有相同的效力。
2.國際認(rèn)可論壇(IAF)作為有關(guān)國家認(rèn)可機(jī)構(gòu)(包括中國CNAS�����,英國UKAS�,美國ANAB,荷蘭RvA等)參加的多邊合作組織�,其主要目標(biāo)是協(xié)調(diào)各國認(rèn)證認(rèn)可制度,通過統(tǒng)一規(guī)范各成員單位的審核員資格要求����、認(rèn)證標(biāo)準(zhǔn)及管理體系認(rèn)證機(jī)構(gòu)的評定和認(rèn)證程序,使其在技術(shù)運(yùn)作上保持一致�����,從而確保有效的國際互認(rèn)�����。目前,我國已經(jīng)在質(zhì)量管理體系(QMS)��、環(huán)境管理體系(EMS)兩個管理體系的認(rèn)證證書與IAF的成員單位簽訂了互認(rèn)協(xié)議�����。但是信息安全管理體系(ISMS)涉及到安全等敏感問題�,各國的認(rèn)可機(jī)構(gòu)都沒有在ISMS領(lǐng)域加入IAF,因此還沒有實(shí)現(xiàn)國際互認(rèn)�����。嚴(yán)格說來���,帶有CNAS��、UKAS、ANAB等標(biāo)志的ISMS認(rèn)證證書都不屬于國際認(rèn)證證書�����,均不具有國際互認(rèn)性����,獲得任何一家認(rèn)證機(jī)構(gòu)頒發(fā)的證書都不能稱為獲得了國際認(rèn)證�。
3.中國合格評定國家認(rèn)可中心(CNAS)作為IAF17個發(fā)起成員單位之一,承擔(dān)著眾多責(zé)任。目前CNAS作為主要協(xié)調(diào)單位��,正積極組織開展信息安全管理體系國際互認(rèn)工作�����,但各國簽署互認(rèn)協(xié)議�����、加入IAF還有待時日����。
綜上所述����,只有IAF中的各成員單位就ISMS簽署多邊互認(rèn)協(xié)議,同時相關(guān)認(rèn)證機(jī)構(gòu)被授權(quán)在所頒發(fā)的ISMS認(rèn)證證書上加貼IAF標(biāo)識后�,該ISMS認(rèn)證證書才具有國際互認(rèn)性。
五���、ISO/IEC27000族標(biāo)準(zhǔn)中有哪些已轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)�����?
ISO/IEC27001:2005
已等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GB/T22080-2008/ISO/IEC27001:2005
《信息技術(shù)安全技術(shù)信息安全管理體系要求》(2008-06-19發(fā)布���,2008-11-01實(shí)施)
ISO/IEC27002:2005
已等同轉(zhuǎn)化為中國國家標(biāo)準(zhǔn)GB/T22081-2008/ISO/IEC27002:2005
《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》(2008-06-19發(fā)布�,2008-11-01實(shí)施)
目前��,全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)信息安全管理工作組(WG7)正在不斷推進(jìn)信息安全管理體系國家標(biāo)準(zhǔn)的編制和轉(zhuǎn)化工作����。
