未来之星 发表于 2018-8-9 16:06:53

最新安全标准发展研究

本帖最后由 adminlily 于 2018-8-25 10:45 编辑

今年其实安全管理方向的标准发展非常迅速,而且其内容也开始融合。

其中ISO/IEC JTC1 SC27的发展:
 ISO27002的改版,其2005年的第2版,即 ISO27002:2005正式发布。 ISO27002建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则。

 ISO/IEC 13335从原先的技术报告(TR)变动为正式的国际标准(IS)。ISO/IEC 13335是ISO/IEC JTC1 SC27中关于风险管理、IT安全管理的一个重要的标准系列,也是信息安全管理领域里的一个非常重要和广泛接受和讨论的标准。它最重要的一个变动是从原先的包含五部分的技术报告(TR),也就是我们非常熟悉的IT安全管理指南(GMITS- Guidelines for the management of IT security)系列标准,变动为现在重新立项的包含两部分的国际标准(IS),即信息和通信技术安全管理(MICTS-Management of information and communications technology security )标准。

 ISO/IEC将采用27000系列号码作为编号方案,并将原先所有的信息安全管理标准进行综合并进行进一步的开发,形成一整套包括信息安全管理系统要求、风险管理、度量和测量以及实施指南等的信息安全管理体系。

其中,有一个非常有意思的趋势是ISO/IEC将把其所有安全管理标准都一统天下融合,形成一个新的27000系列(包括17799等都要重新编号至这个系列),而且在27000系列中开始讨论管理的度量和测量了。



另外一个大家比较感兴趣的是 ISO27002的2005版,即第2版。个人感觉到了这个版本才开始象一个国际标准了,原先的标准感觉就是一个最佳实践,现在其管理控制无论从结构上还是内容上开始规范模块化、标准化了。这些就不多说了。

另外,我们自己写的标准的最新版已经完全将 ISO27002:2005、NIST 800-53、Cobit等进行了综合和完善。今天没空,改天再仔细讨论。



下面是信息安全管理标准中所提供的管理控制措施介绍:

ISO27002:2005年第2版的改版中,最主要的变动就是层次结构化地提供了安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节、39个主要安全类和133个具体控制措施,以规范化组织机构信息安全管理建设的内容。

美国NIST SP 800-53联邦信息系统推荐安全控制(2005年2月正式发布)。它提供了类—族—安全控制的层次化、结构化的安全控制措施要求,意识和培训,认证、认可和安全评估,配置管理,持续性规划,事件响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务采购,系统和信息完整性这13个安全管理和运营控制族以及106个具体控制措施。

Cobit中提供了规划和组织、采购和实施、交付和支持以及监控4个域,34个表达IT过程的高层控制目标,通过解决这34个高层控制目标,组织机构可以确保已为其IT环境提供了一个充分的控制系统,支持这些IT过程的是用于有效实施的300多个详细的控制目标。
关于这些标准,我一直在研究,而且包括最新的 ISO27002:2005版,我们也组织人力早翻成中文,只是由于是工作资料不便公开。希望跟大家多讨论吧。


東東 发表于 2020-11-25 09:47:28

超赞的资料,学习中
页: [1]
查看完整版本: 最新安全标准发展研究