ISO/IEC27002：计算机网络安全管理

ISO/IEC 27002《信息安全实用规则》即BS 7799.1的ISO版本,也是ISO17799：2005的更新版本,已于2007年正式发布。

ISO/IEC 17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799：2005,原来版本同时废止。ISO/IEC 17799的2005年版本比2000年版本在结构和内容上都有较大的变化。

ISO/IEC 17799：2005从11个方面,提出了39个控制目标和133个控制措施,这些控制目标和控制措施是信息安全管理的最佳实践。从ISO/IEC 17799的应用上看,它既专用,又通用。说它专用,是因为它作为ISMS标准族的一个成员,是配合ISO/IEC 27001使用的；说它通用,是因为ISO/IEC17799中提出的信息安全控制目标和控制措施是从信息安全工作实践中总结出来的,不管组织是否建立和实施ISMS,均可从中选择适合自己使用的控制措施来实现组织的信息安全目标。

在诸多信息安全管理体系标准中,ISO/IEC 17799和ISO/IEC 27001是ISMS标准簇中的核心标准,这两个标准之间联系非常紧密,有如下的特点。

（1）ISO/IEC 17799从11个方面提出了39个信息控制目标和133项控制措施,全面地覆盖了信息安全实践中所涉及的保护域,从最基本的安全方针到具体的技术细节。组织可以按照标准的条目来对照“在实践中漏掉了哪些方面”。

（2）ISO/IEC 2700l对ISMS的审核给出了一系列的要求,其附录A是ISO/IEC 17799第5～15章的最佳实践的陈述。如果组织通过ISO/IEC 27001的符合性审核,就是解决了“向合作伙伴证明组织信息安全”的问题。虽然类似于ISO/IEC 17799关于最佳实践和实用规则的标准很多,但是专门关于ISMS要求的标准,ISO/IEC 27001目前是国际上唯一的。ISO/IEC 27001的出现,使不同组织之间的信息安全有了可比较性。(www.xing528.com)

（3）在多数情况下,组织的内部员工可能是信息系统的最大威胁。两个标准中虽然没有明确提出培育信息安全文化的问题,但是在信息安全意识的培训与组织信启、安全计划的结合、人力资源安全等方面都有规定。

（4）持续改进是ISMS的基本原则之一。ISO/IEC 27001中对有效性的测量和被测量的控制措施的有效性的改进等提出了明确的要求。

根据第18届SC27全体会议决议,2007年4月已将ISO/IEC 17799的标准序号更改为

ISO/IEC 27002。