ISO27001
该认证前身为英国的BS7799标准,该标准由英国标准协会(BSI)提出.
BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前,在信息安全管理方面,英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。
参考资料(延伸阅读):
1. ISO27001 http://baike.baidu.com/view/128995.html
2.BS7799 http://baike.baidu.com/view/108286.htm
3.BS7799标准 http://baike.baidu.com/view/1315192.htm
4.BS7799认证 http://baike.baidu.com/view/4025713.htm
5.IEC:IEC与ISO的关系: http://baike.baidu.com/view/264590.htm#5
6.BSI: http://baike.baidu.com/view/978304.htm
7.ISO : http://baike.baidu.com/view/1007.htm
8.ISO13335 : http://media.ccidnet.com/media/ciw/989/b4102.htm
9.ISO13335下载(非常详尽)
10.ISO15408中文版: http://www.cncisa.com/simple/?t1543.html
------------------------------------------------------------------------------------------------------------------
ISO20000
该标准着重于通过“IT服务标准化”来管理IT问题,即将IT问题规类,识别问题的内在联系,然后依据服务水准协议进行计划、推行和监控,并强调与客户的沟通。该标准同时关注体系的能力,体系变更时所要求的管理水平、财务预算、软件控制和分配。
与ITIL关系密切。
参考:
1.ISO20000 http://baike.baidu.com/view/953381.htm
2.ISO20000认证 http://baike.baidu.com/view/2825098.htm
3.ISO20000标准 http://baike.baidu.com/view/3613019.htm
------------------------------------------------------------------------------------------------------------------
BS25999
业务持续性管理标准.
指一种整体管理流程。该流程的目标在于及早确定可能发生的冲击对企业运作造成的威胁,并提供合理的架构有效阻止或抵消不确定事件造成的威胁,保证企业日常业务运行的平稳有序。业务连续性管理是比灾难恢复更高一层面的概念。
BSI公司在2007年正式发布了业务连续性管理的标准BS25999,目的就是使业务连续性管理有章可循。作为一套整体的管理标准和管理流程,BS25999标准协助企业进行业务冲击分析及风险分析,并将其量化,继而开发制定各种相应应急及恢复计划、方法和流程,减轻灾难事件对企业造成的不利影响。
BS25999这样描述业务连续性管理“业务连续管理是一个整体的管理过程,它能鉴别威胁组织潜在的影响,并且提供构建弹性机制的管理架构,以及确保有效反应的能力;以保护它的关键利益相关方的利益、声誉、品牌以及创造价值的活动”。
参考:
1. BS25999 http://baike.baidu.com/view/1982601.htm
2.BSI http://baike.baidu.com/view/978304.htm
------------------------------------------------------------------------------------------------------------------
COBIT
COBIT(Control Objectives for Information and related Technology) 是目前国际上通用的信息系统审计的标准.
参考:
http://baike.baidu.com/view/953380.htm
------------------------------------------------------------------------------------------------------------------
ITIL
ITIL即IT基础架构库(Information Technology Infrastructure Library, ITIL,信息技术基础架构库)由英国政府部门CCTA(Central Computing and Telecommunications Agency)在20世纪80年代末制订,现由英国商务部OGC(Office of Government Commerce)负责管理,主要适用于IT服务管理(ITSM)。ITIL为企业的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。
东方瑞通的祝文斌是通过ITIL v3的中国第一人。
与ISO20000关系密切。
参考:
http://baike.baidu.com/view/599342.htm
------------------------------------------------------------------------------------------------------------------
coso
COSO是全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。 1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》,简称COSO报告,1994年进行了增补。
参考:
http://baike.baidu.com/view/1050747.htm
------------------------------------------------------------------------------------------------------------------
sox
SOX即《萨班斯法案》(Sarbanes-Oxley Act)的简称。 萨班斯法案是美国政府出台的一部涉及会计职业监管、公司治理、证券市场监管等方面改革的重要法律。萨班斯法案为公众公司的外部审计师创建了一个新的监督体制,并把对财务报告的内部控制作为关注的具体内容,不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。但其法案过于严厉,导致上市公司费用过高,致使部分海外公司退市或在其他国家上市。
参考:
http://baike.baidu.com/view/362861.htm
------------------------------------------------------------------------------------------------------------------
OCTAVE
方法着眼于组织自身并识别出组织所需保护的对象,明确它为什么存在风险,然后开发出技术与实践相结合的解决方案。
延伸阅读:
1.OCTAVE风险评估方法 http://wenku.baidu.com/view/230033bdc77da26925c5b0cf.html 包含具体案例
2.风险评估应引入OCTAVE方法 http://www.ccw.com.cn/cso/htm2005/20051121_15mda.htm
