datenschutz-it-blog-dqs-mensch bewegt digitale anzeige

信息安全的标准--概述

Krüger Gert

DQS的信息安全和数据保护专家
11月 12 , 2022
# 信息安全与IT安全

在数据和信息像商品一样被交易的时代,保护它们是至关重要的。做到这一点的方法之一是在ISO/IEC 2700x系列信息安全标准的基础上实施信息安全管理。这是一个针对私营、公共或非营利组织的IT安全和信息安全的国际标准系列。在ISO 27001的基础上,可以实施信息安全管理系统(ISMS),各组织和公共机构可以建立、运行并获得认证,以保护自己。

内容

信息安全的标准。ISO 2700X系列标准

ISO 2700x系列中的各个信息安全标准涉及到信息安全领域的不同主题。例如,该国际标准规定了 ISO 27001一个信息安全管理系统(ISMS)。 ISO 27701数据保护管理系统,ISO 27017为云计算的信息安全措施提供指导,而ISO 27005为信息安全风险管理提供指导。

所有行业的公司都可以从这些信息安全标准的系统结构化方法中受益。它使机密数据得到保护,防止丢失和滥用,并有助于可靠地识别和减少(潜在)威胁。该方法有助于确保企业IT系统的可用性,从而有助于优化业务流程,降低IT和流程成本,并将商业和责任风险降至最低。

认证是一种竞争优势

ISO 27001的认证,例如DQS的认证,需要一定的准备和努力。然而,该公司提供文件证明,它符合信息安全要求,并实施了保护公司敏感数据的措施。这是一个明显的竞争优势。

你应该熟悉的十个ISO信息安全标准

下面的清单提供了一个关于信息安全方面的ISO 2700x系列标准的现状的信息概述。所有标准都可以从ISO网站上购买。

ISO 27001 - 信息安全管理系统的要求

在数据和信息像稀有商品一样被交易的时代,对它们的保护是至关重要的。一个符合标准的结构良好的信息安全管理系统(ISMS)为有效实施整体安全战略提供了一个最佳基础。 ISO 27001.这是一个国际公认的私营、公共或非营利组织的信息安全标准,它不仅涵盖了IT安全的各个方面。

ISO 27001 ISMS定义了要求、规则和方法,以确保组织中需要保护的信息的安全。ISO标准提供了一个建立、实施、监测和改善保护水平的模型。其目的是识别公司的潜在风险,对其进行分析,并通过适当的措施使其可控。ISO 27001制定了这种管理系统的要求,作为外部认证过程 的一部分进行审核

你可以通过该标准实现这一点。

  • 使敏感信息的安全成为企业流程的一个组成部分。
  • 对信息的保密性、可用性和完整性的保护目标进行预防性保障
  • 通过不断提高安全水平来保持业务的连续性
  • 对员工进行宣传,大幅提高公司各级的安全意识
  • 与有关各方建立信任
  • 建立一个有效的风险管理过程

ISO/IEC 27001:2013信息技术 - 安全技术 - 信息安全管理系统 - 要求

ISO 27019 - 能源供应的信息安全措施。

ISO 27019信息安全标准制定了能源行业部门的补充措施。

ISO/IEC 27019:2017信息技术--安全技术--能源公用事业行业的信息安全控制

它可以帮助你保护你的电子过程控制系统,用于控制和监测电能、天然气、石油和热能的生产、传输、存储和分配,以及控制相关的支持过程。

你可以利用该标准做什么。

  • 系统地确保信息的保密性、可用性和完整性的保护目标。
  • 不断提高安全水平和对未授权访问的抵抗力
  • 实现更大的行动安全和法律确定性,提高对相关合规要求的遵守程度
  • 提高员工和管理人员的安全意识
  • 在所有相关方中实现高水平的信任和忠诚度
  • 向当局展示您安全措施有效性的公认证明,如德国联邦网络局(BNetzA)。

ISO 27006 - 对认证机构的要求

ISO 27006针对的是像DQS这样对信息安全管理系统进行认证的机构。ISO 27006认证标准描述了认证机构在根据ISO 27001对其客户的管理系统进行评估以获得认证时必须遵循的要求。

ISO/IEC 27006:2015信息技术-安全技术-对提供信息安全管理体系审计和认证的机构的要求

这包括例如指定的审计工作的证明或关于审计人员资格的规范。该标准中概述的认证程序保证了由经认可的认证机构颁发的ISO 27001证书具有国际有效性。

你可以通过这个标准实现什么。

  • 统一的认证、监督和再认证审核程序标准
  • 确保ISO 27001证书的有效性
  • 确保对计算和执行认证程序的人员的审计工作和资格的最低要求

ISO 27002 - 信息安全控制的指南

根据ISO 27001,信息安全管理系统(ISMS)包含一个规范性附件A:参考措施目标和控制。

ISO/IEC 27002:2022 信息安全、网络安全和隐私保护 - 信息安全控制

该附件包含了与组织相关的、作为管理体系的一部分而实施的具体措施。ISO 27002是一份指南,其中包含对实施ISO 27001中的措施的建议。

你可以用标准来做这件事。

  • 支持ISO 27001的实施
  • 实施ISO 27001附件A中的措施建议

ISO 27000 - 信息安全管理体系的概述和词汇

ISO 27000包含在ISO 2700X系列标准中使用的术语和定义。ISO 27000提供了信息安全管理系统的概述和ISO 2700x系列标准及其信息安全标准。

ISO/IEC 27000:2018信息技术 - 安全技术 - 信息安全管理系统 - 概述和词汇

在词汇表中,对(技术)术语进行了明确和正式的定义。

你可以用这个标准做什么。

  • 词汇表:涵盖了信息安全领域的ISO2700x系列标准中使用的大部分技术术语。
  • 术语的明确性
  • 评审员和评估员之间对词汇的清晰理解("共同语言")。
  • 信息安全管理系统概述:介绍信息安全、风险和安全管理以及管理系统

ISO 27701 - 数据保护管理指南

特别是与数据隐私有关的信息安全标准 ISO 27701规定了基于ISO 27001、ISO 27002(信息安全控制)和ISO 29100(数据隐私框架)的数据保护管理系统 ,以适当处理个人数据的处理和信息安全。这同时适用于个人数据的控制者和处理者。

ISO/IEC 27701:2019-08 安全技术--针对隐私信息管理的ISO/IEC 27001和ISO/IEC 27002扩展--要求和指南

你如何能通过这个标准取得成功。

  • 更好地管理个人数据和信息安全
  • 对个人数据更容易应用共同的信息风险管理原则
  • 统一并扩展ISO 27001以及相关的ISO 27002中的控制措施

ISO 27017 - 云服务中的信息安全措施指南

ISO 27017标准在信息安全标准中对云计算中的信息安全措施提供了指导。

ISO/IEC 27017:2015信息技术--安全技术--基于ISO/IEC 27002的云服务信息安全控制实践准则

它推荐、支持并提供了实施云端特定信息安全控制的额外措施。

通过该标准你可以实现什么。

  • 了解云计算的信息安全问题。
  • 设计和实施针对云计算的信息安全控制措施
  • 对选择、实施和管理云计算的信息安全的选项进行控制

ISO 27018 - 云服务中的数据保护指南。

ISO 27018标准提供了指导,以确保云服务提供商提供适当的信息安全控制,通过确保委托给他们的个人数据安全来保护其客户的隐私。

ISO/IEC 27018:2019信息技术--技术--在作为PII处理器的公共云中保护个人身份信息(PII)的实践准则

该标准之后是ISO 27017(云服务中的信息安全措施),它涵盖了云计算的其他信息安全方面,而不仅仅是数据保护。

以下是你可以利用该标准做的事情。

  • 选择PII保护控制作为实施基于ISO 27001的云计算信息安全管理系统的一部分。
  • 实施普遍接受的PII保护控制。
  • 深化知识,因为该标准以ISO 27002为基础,并在某些方面扩展了其一般建议
  • 将经合组织的隐私原则体现在一些数据保护法律和法规中联系起来

ISO 27005 - 关于信息安全风险管理的指导意见。

ISO 27005标准提供了关于信息安全风险管理的指导,并支持ISO 27001中规定的关于这方面的一般概念。

ISO/IEC 27005:2018-07信息技术 - IT安全技术 - 信息安全风险管理。

ISO 27005还旨在支持基于风险管理概念的信息安全的实施。

你可以通过该标准做到这一点。

  • 基于风险管理方法实施信息安全。
  • 风险管理背景的定义
  • 对相关的信息风险进行定量或定性评估(即识别、分析和评价)。
  • 对风险、风险处理、要求和标准的持续监测和审查
  • 对风险进行适当的处理
  • 所有利益相关者的持续沟通
newsletter-dqs-frau schaut auf ihr smartphone

Never miss a thing...

我们的免费通讯让您了解有关审计、管理系统和认证的最新情况。阅读我们的最佳实践案例,为您的日程安排获得提示。

Subscribe me!

ISO 27007 - ISMS审核指南

ISO 27007是一份进行审核的指南,适用于根据ISO/IEC 27001评估ISMS的内部和外部审核员。

ISO/IEC 27007:2020信息安全、网络安全和隐私保护--信息安全管理体系审核指南

该指南在很大程度上基于管理体系审计指南(ISO 19011),并为信息安全管理体系(ISMS)提供额外的指导。

以下是你如何在标准中取得成功。

  • 专门针对ISO 27001 ISMS审计的指南
  • 整合自ISO 19011的关于计划和进行审计的指导意见
  • 关于ISMS审核员能力的重要信息
  • 了解和执行ISMS审计

DQS - 我们能为您做什么

自1985年以来,DQS一直是管理体系和流程认证方面的领先专家。从那时起,DQS的历史就与ISO 9001的历史紧密相连。在每年约30,000个审核日中,我们为客户带来了我们在世界范围内的专业知识和对标准的广泛理解。因此,您可以看到您的选择是什么。

信任和专业知识

我们的文本和白皮书完全由我们的标准专家或长期的审计人员撰写。信息安全标准的概述也是如此。如果您对文本内容或我们对作者的服务有任何疑问,请随时联系我们。

信息安全标准。ISO 2700X系列标准中的其他主题

ISO 27003 - ISMS的开发和实施指南

ISO/IEC 27003:2017

信息技术 - 安全技术 - 信息安全管理系统 - 指南。

ISO 27004 - 信息安全管理测量方法指南

iso/iec 27004:2016

信息技术-安全技术-信息安全管理-监测、测量、分析和评价。

ISO 27008 - 信息安全措施的评估指南

ISO/IEC TS 27008:2019

信息技术-安全技术-信息安全控制的评估指南

ISO 27009 - 信息管理系统的特定部门应用指南

ISO/IEC 27009:2020

信息安全、网络安全和隐私保护--ISO/IEC 27001的特定部门应用--要求

ISO 27010 - 部门间和组织间通信的信息安全管理指南

ISO/IEC 27010:2015

信息技术-安全技术-部门间和组织间通信的信息安全管理

ISO 27011 - 电信部门的信息安全管理指南

ISO/IEC 27011:2016

信息技术-安全技术-基于ISO/IEC 27002的电信组织信息安全控制实践准则

ISO 27013 - ISMS和IT服务管理的综合实施指南

ISO/IEC 27013:2021

信息安全、网络安全和隐私保护--ISO/IEC 27001和ISO/IEC 20000-1的综合实施指南

ISO 27014 - 信息安全的 "治理

ISO/IEC DIS 27014:2020

信息安全、网络安全和隐私保护 - 信息安全的治理

ISO 27016 - 信息安全管理的经济学

ISO/IEC TR 27016:2014

信息技术 - 安全技术 - 信息安全管理 - 组织经济学

ISO 27021 - ISMS专业人员的能力要求

ISO/IEC 27021:2017/AMD 1:2021

技术 - 信息安全管理系统专业人员的能力要求 - 修正案1:在能力要求中增加ISO/IEC 27001:2013的条款或子条款

ISO 27031 - 业务连续性指南

ISO/IEC 27031:2011

信息技术--安全技术--信息和通信技术为业务连续性做好准备的指南

提示:阅读我们关于业务连续性管理的博文,了解ISO 22301标准的建议,以确保公司在特殊情况下的持续存在。

ISO 27032 - 网络安全指南

ISO/IEC 27032:2012

信息技术 - 安全技术 - 网络安全指南

ISO 27033 - 网络安全指南

ISO/IEC 27033

信息技术-安全技术-网络安全
第1部分。概述和概念,第2部分:网络安全设计和实施指南,第3部分:参考网络方案-威胁、设计技术和控制问题,第4部分:使用安全网关确保网络之间的通信安全,第5部分:使用虚拟专用网络(VPN)确保跨网络通信安全,第6部分:确保无线IP网络访问安全

ISO 27034 - 关于应用安全的指导意见

ISO/IEC 27034

信息技术 - 安全技术 - 应用安全
第1部分。概述和概念,第2部分:组织规范框架,第3部分:应用安全管理过程,第4部分:验证和核实,第5部分:协议和应用安全控制数据结构,第6部分:铸造研究,第7部分:保证预测框架

ISO 27035 - 信息安全事件管理指南

ISO/IEC 27035

信息技术 - IT安全实践 - 信息安全事件管理
第1部分。事件管理的基本原理,第2部分:事件响应规划和准备指南,第3部分:信息和通信技术事件响应指南(草案)。

ISO 27036 - 关于供应商关系的指南

ISO/IEC 27036

信息技术 - 安全技术 - 供应商关系的信息安全
第1部分。概述和概念,第二部分:要求,第三部分:信息和通信技术供应链安全指南,第四部分:云服务安全指南

ISO 27037 - 处理数字证据的准则。

ISO/IEC 27037:2012

信息技术-安全技术-数字证据的识别、收集、获取和保存指南

ISO 27038 - 数字编辑的规范

ISO/IEC 27038:2014

信息技术-安全技术-数字编辑的规范

ISO 27039 - 入侵检测系统(IDPS)的指南

ISO/IEC 27039:2015

信息技术-安全技术-入侵检测和防御系统(IDPS)的选择、部署和操作

ISO 27040 - 存储安全指南

ISO/IEC 27040:2015

信息技术 - 安全技术 - 存储安全

ISO 27041 - 事件调查方法指南

ISO/IEC 27041:2015

信息技术-安全技术-保证事件调查方法的适宜性和充分性的指导意见

ISO 27042 - 数字证据的分析和解释指南。

ISO/IEC 27042:2015

信息技术-安全技术-数字证据的分析和解释指南

ISO 27043 - 事件调查过程指南。

ISO/IEC 27043:2015

信息技术-安全技术-事件调查原则和流程

ISO 27050 - 电子检测指南

ISO/IEC 27050

信息技术--电子发现
第1部分。概述和概念,第2部分:电子发现的治理和管理指导,第3部分:电子发现的实践准则

ISO 27102 - 网络保险指南

ISO/IEC 27102:2019

信息安全管理-网络保险指南

ISO 27103 - 网络安全和ISO/IEC标准指南

ISO/IEC TR 27103:2018

信息技术-安全技术-网络安全与ISO和IEC标准

ISO 27550 - 系统生命周期过程的隐私工程

ISO/IEC TR 27550:2019-09

信息技术-安全技术-系统生命周期过程的隐私工程

ISO 27799 - 医疗卫生领域的信息安全管理

ISO 27799:2016

健康信息学 - 使用ISO/IEC 27002的健康信息安全管理

作者
Krüger Gert

DQS的信息安全、BSI-KritisV和数据保护的专家和项目经理。此外,他还是质量和环境管理方面的长期审计师。

DQS在线服务

即刻与我们联络
联系我们