国际电工委员会(IEC)成立于1906年,是世界上最早成立的国际标准化机构。国际标准化组织(ISO)始建于1946年,次年春正式开始工作。ISO和IEC都是世界范围的标准化组织,世界各国的相关标准化组织都是它们的成员。?
国际标准化组织(ISO)下设180多个标准化技术委员会(TC),已制订标准万余项。1979年成立了质量管理和质量保证技术委员会ISO/TC176,它制订了23个标准,通称ISO 9000族标准。ISO 9000:2000版精简为15个标准,包括4个核心标准和11个支持性报告。?
ISO 9000:2000的4个核心标准是:ISO 9000质量管理体系基础和术语,包括8项质量管理原则、12个质量管理体系的理论基础和80个质量管理体系术语;ISO9001质量管理体系,采用PDCA循环的过程方法模式,把20个要素分别归类于质量管理体系、管理职责、资源管理、产品实现、测量分析和改进等5个模块;ISO9004质量管理体系业绩改进指南,为组织建立、实施和持续改进质量管理体系提供了指南和建议;ISO19011质量和环境审核指南,合并了质量审核标准和环境审核标准。?
ISO 9000:2000的11个支持性报告是:1个ISO10012测量设备的质量保证要求;7个技术报告ISO10005质量管理质量计划指南、ISO10006质量管理项目管理质量指南、 ISO10007质量管理技术状态管理指南、ISO10013质量手册编制指南、ISO10014质量管理经济性指南、ISO10015质量管理培训指南、ISO10017统计技术指南;3个小册子即质量管理原则、选择和使用指南、小型组织实施指南。?
在信息安全领域,ISO所制订的最著名的标准之一是开放系统互联(OSI)基本参考模型(ISO7498)。该模型建立了网络安全体系7层结构,即物理层、链路层、网络层、传输层、会话层、表示层和应用层。该模型提供了5种可选的安全服务,即对等实体认证和数据源认证、访问控制、数据保密、数据完整性、抗抵赖。为了实现这些服务功能,ISO7498?2提供了8项安全机制,即加密机制、数字签名机制、访问控制机制、数据完整性机制、认证交换机制、通信业务填充机制、路由控制机制、公证机制。此外,为了支持要求不同的系统安全级别,ISO7498?2还提供了可信功能、安全标记、事件检测、安全审计跟踪、安全恢复等5项安全机制。?
ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1,它是制订信息技术领域国际标准的机构,下设19个分技术委员会(SC)和功能标准化专门组(SGSF)等特别工作小组,还有一致性评定特别工作小组、信息技术任务组、注册机构特别任务组和业务分析与计划特别小组等4个管理机构。其中,SC27是负责信息技术和安全技术的分技术委员会。?
联合技术委员会ISO/IEC JTC 1以英国标准协会(BS)制定的信息安全标准BS 7799为蓝本,并对BS 7799?1 做了23处修改后,制定了信息安全的国际标准ISO/IEC17799草案。该草案得到了ISO和IEC成员国的批准,于2000年成为正式的国际标准。同年,ISO/IEC JTC 1推出了ISO/IEC17799第二部分和ISO/IEC17799工具箱。?
ISO/IEC17799是一套全面而复杂的信息安全管理标准,旨在帮助各种类型和规模的组织实施并运行有效的信息安全管理体系,从而增强该组织对信息安全风险的识别、防止、减少和控制的能力。?
ISO/IEC17799标准是由两部分构成的。第一部分是信息安全管理体系的实施指南,相当于BS 7799?1;第二部分是信息安全管理体系规范,相当于BS 7799?2。ISO/IEC17799标准的内容涉及了信息安全政策、安全组织、资产分类与管理、个人信息安全守则、设备及使用环境的信息安全管理、沟通和操作管理、系统访问控制、系统开发和维护、业务持续经营计划、合规性等10个领域,其中包含了36个管理目标和127个控制措施。ISO/IEC17799的另一重要方面是信息安全管理体系的实施。通过评估安全风险、设定安全要求和选择控制手段,达到其信息安全的管理目标来实施信息安全管理体系。
(责任编辑:adminadmin2008)
