ISO/IEC 27001 and 27002
ISO / IEC 27001 ، بخشی از خانواده های در حال رشد استاندارد ISO / IEC 27000 ، یک استاندارد سیستم مدیریت امنیت اطلاعات (ISMS) است که آخرین نسخه در اکتبر 2013 توسط سازمان بین المللی استاندارد (ISO) و بین المللی منتشر شده است. کمیسیون الکتروتکنیک (IEC). نام کامل آن ISO / IEC 27001: 2013 – فناوری اطلاعات – تکنیک های امنیتی – سیستم های مدیریت امنیت اطلاعات – الزامات است.
ISO / IEC 27001 رسماً یک سیستم مدیریتی را مشخص می کند که قصد دارد امنیت اطلاعات را تحت کنترل صریح مدیریت قرار دهد.
ISO / IEC 27002 عمدتاً قسمت 1 از استاندارد عملکرد مدیریت امنیتی خوب BS 7799 را شامل می شود. آخرین نسخه های BS 7799 BS 7799-3 است. از این رو گاهی به ISO / IEC 27002 به عنوان ISO 17799 یا BS 7799 قسمت 1 گفته می شود و بعضی اوقات به قسمت 1 و قسمت 7 نیز اشاره می شود. در حالی که BS 7799 قسمت 2 و ISO / IEC 27001 هنجاری هستند و بنابراین چارچوبی برای صدور گواهینامه ارائه می دهند. ISO / IEC 27002 راهنمای سطح بالایی برای امنیت سایبر است. به عنوان راهنمایی توضیحی برای مدیریت یک سازمان برای اخذ گواهینامه استاندارد ISO / IEC 27001 سودمند است. گواهینامه یک بار به دست آمده سه سال طول می کشد. بسته به سازمان حسابرسی ، ممکن است در طی سه سال هیچ حسابرسی یا واسطه ای انجام نشده باشد.
ISO / IEC 27001 (ISMS) جایگزین BS 7799 قسمت 2 می شود ، اما از آنجا که به عقب سازگار است ، هر سازمانی که به سمت قسمت BS 7799 قسمت 2 کار کند می تواند به راحتی به فرآیند صدور گواهینامه ISO / IEC 27001 انتقال یابد. یک سازمان حسابرسی انتقالی نیز وجود دارد که بتواند پس از صدور مجوز سازمان BS 7799 قسمت 2 دارای گواهینامه برای تبدیل شدن به سازمان ، دارای گواهینامه ISO / IEC 27001 شود. ISO / IEC 27002 بهترین توصیه های عملی را در مورد مدیریت امنیت اطلاعات برای استفاده توسط مسئولین شروع ، پیاده سازی یا حفظ سیستم های مدیریت امنیت اطلاعات (ISMS) ارائه می دهد. این سیستم های امنیتی اطلاعات را که برای اجرای اهداف کنترل ISO / IEC 27002 مورد نیاز هستند ، بیان می کند. بدون ISO / IEC 27001 ، اهداف کنترل ISO / IEC 27002 ناکارآمد هستند. اهداف کنترل ISO / IEC 27002 در ضمیمه A در ISO 27001 گنجانیده شده است.
ISO / IEC 21827 (SSE-CMM – ISO / IEC 21827) یک استاندارد بین المللی است که مبتنی بر مدل بلوغ قابلیت مهندسی امنیت سیستم ها (SSE-CMM) است که می تواند بلوغ اهداف کنترل ISO را اندازه گیری کند.