《信息安全法律法规与标准》课件-5.10信息安全国际标准

信息安全国际标准学习目的01了解信息安全国际标准组织的相关内涵。02掌握ISO/IEC信息安全相关国际标准的主要内容。1信息安全国际标准组织2ISO/IEC信息安全相关国际标准01信息安全国际标准组织信息安全国际标准组织

国际标准体系是一套被广泛接受和采用的标准组织结构，为各个行业和领域提供了一种共同的框架和基准，提高产品和服务的质量，促进技术创新和发展。国际标准体系主要的制定、领导和管理组织是ISO/IEC。。信息安全国际标准组织

ISO（国际标准化组织）成立于1947年2月23日，制定全世界工商业国际标准的国际标准建立机构。ISO总部设于瑞士日内瓦，现有165个会员国。1.ISO信息安全国际标准组织1.ISO该组织定义为非政府组织，官方语言是英语、法语和俄语。参加者包括各会员国的国家标准机构和主要公司。ISO与负责电子设备标准的IEC（国际电工委员会）密切合作。信息安全国际标准组织2.IEC

IEC（InternationalElectrotechnicalCommission，国际电工委员会）是世界上最早的国际标准化组织，于1906年成立，主要是负责有关电气工程和电子工程领域中的国际标准化工作。信息安全国际标准组织2.IEC01国际电工委员会在1906年6月26日由英国电气工程师协会（IEE）和美国电气电子工程师协会（IEEE）及其它相关组织共同举行了其成立会议。02超过130个国家参与国际电工委员会，其中67个国家是成员，另外69个国家则是非正式成员的身份加入其分支机构。03国际电工委员会的总部最初位于伦敦，1948年搬到了位于瑞士日内瓦的现总部处。信息安全国际标准组织3.IEEE

IEEE（InstituteofElectricalandElectronicsEngineers，电气电子工程师学会）是一个建立于1963年1月1日的国际性电子技术与电子工程师协会，亦是世界上最大的专业技术组织之一，拥有来自175个国家的42万会员。目前IEEE在工业界所定义的标准有着极大的影响。信息安全国际标准组织3.IEEE

除设立于美国纽约市的总部以外，亦在全球150多个国家拥有分会，有35个专业学会及2个联合会。每年均会发表多种杂志、学报、书籍，亦举办至少300次的专业会议。信息安全国际标准组织4.CEN

CEN（欧洲标准委员会）是一个公共标准组织，其使命为透过提供有效的基建予研发、维护和发表一致标准和规范的相关人员和机构，以促进环球贸易中欧洲单一巿场乃至整个欧洲大陆经济、并欧洲人民的福祉和环境。信息安全国际标准组织4.CEN

CEN成立于1961年，其34成员国共同在各范畴中制定欧洲标准（EN），以建立商品和服务的欧洲共同巿场，并使欧洲在全球经济中定位。信息安全国际标准组织4.CEN

CEN被欧盟，欧洲自由贸易联盟和英国正式认可为欧洲的标准机构。

其他欧洲的官方标准机构包括欧洲电工技术标准委员会（CENELEC）和欧洲电信标准协会（ETSI）。信息安全国际标准组织5.ANSIANSI

美国国家标准学会

负责制定美国国家标准的非营利组织美国国家标准学会授权标准起草机构按照一系列规范编写标准草案，产生的候选文献通过ANSI审核批准后成为美国国家标准。美国国家标准学会是国际标准化组织和国际电工委员会的成员信息安全国际标准组织5.ANSI

美国五家行业标准学会于1918年10月19日成立AESC（美国工程标准委员会），1928年改为ASA（美国标准协会）。1966年8月改组为USASI（美利坚合众国标准组织）。1969年10月6日改为ANSI（美国国家标准学会）。02ISO/IEC信息安全相关国际标准ISO/IEC信息安全相关国际标准

ISO/IEC是国际标准化组织（ISO）与国际电工委员会（IEC）的合作机构，致力于制定和推广各种标准，包括信息安全标准。

信息安全标准旨在帮助组织和个人确保其信息资产的机密性、完整性和可用性，以及确保信息处理活动的合法性、合规性和有效性。ISO/IEC信息安全相关国际标准

ISO/IEC27000系列标准（信息安全管理系统标准族）中有十几个标准。ISO/IEC27000提供了对标准如何配合的理解:包括它们的范围、角色、功能以及相互关系。ISO/IEC信息安全相关国际标准

ISO/IECJTC1（1号技术联合委员会）下属的SC27（27号委员会）委员会编制了一系列电子数据取证相关标准，并将该领域的系列标准归入了ISO/IEC27000系列标准。ISO/IEC信息安全相关国际标准国内部分企业也都通过相关标准认证例如：中国某信的小某管家已经通过ISO/IEC27018-2019、ISO/IEC27001:2013信息安全管理体系认证。

需要注意的是：ISO/IEC的国际标准以数字表示，例如:“ISO/IEC27002:2022”的“27002”是标准号码，“2022”是出版年份ISO/IEC信息安全相关国际标准

（1）ISO/IEC27000:2018InformationSecurityManagementSystemfundamentalsandvocabulary《信息安全管理体系基础和术语》ISO/IEC制定的常见信息安全标准

ISO/IEC27000:2018概述了信息安全管理体系(ISMS)以及ISO/IEC27001标准系列中常用的术语和定义。ISO/IEC信息安全相关国际标准ISO/IEC制定的常见信息安全标准01适用于从跨国企业到中小企业的所有类型和规模的组织，它于2018年2月发布，是现行标准，对政府机构或非盈利组织具有同样的价值。02ISO/IEC27000:2018，提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一，该标准用于协调ISMS标准族中不同标准之间术语的协调和统一。ISO/IEC信息安全相关国际标准

（2）ISO/IEC27001:2022Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritymanagementsystems—Requirements《信息安全、网络安全和隐私保护—信息安全管理体系—要求》ISO/IEC制定的常见信息安全标准

ISO/IEC27001:2022规定了在组织范围内建立、实施、维护和持续改进信息安全管理系统的要求，旨在帮助组织保护其信息资产的机密性、完整性和可用性。ISO/IEC信息安全相关国际标准ISO/IEC制定的常见信息安全标准0102

该标准提供了一个综合性框架，使组织能够根据其特定的信息安全需求和风险制定适当的措施和流程。

标准包括范围确定、风险评估和管理、控制措施、监控和持续改进、合规性等关键要素。ISO/IEC27001:2022标准的实施能够帮助组织建立一个系统化、持续改进的信息安全管理体系ISO/IEC信息安全相关国际标准

（3）ISO/IEC27002:2022Informationsecurity,cybersecurityandprivacyprotection—Informationsecuritycontrols《信息安全、网络安全和隐私保护—信息安全控制》ISO/IEC制定的常见信息安全标准

ISO/IEC27002:2022从信息安全的诸多方面，总结了一百多项信息安全控制措施，不仅提供一个全面的信息安全控制框架，还为组织提供实施信息安全管理体系的最佳实践和指南。ISO/IEC信息安全相关国际标准ISO/IEC制定的常见信息安全标准

ISO/IEC27002:2022从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，从11个方面提出了39个信息安全控制目标和133个控制措施。ISO/IEC信息安全相关国际标准

（4）ISO/IEC27005:2022Informationsecurity,cybersecurityandprivacyprotection—Guidanceonmanaginginformationsecurityrisks《信息安全、网络安全和隐私保护——管理信息安全风险的指南》ISO/IEC制定的常见信息安全标准

ISO/IEC27005:2022提供了一套指导原则和方法，用于帮助组织识别、评估和应对信息安全风险。。ISO/IEC信息安全相关国际标准ISO/IEC制定的常见信息安全标准01ISO/IEC27005:2022标准主要包括风险管理框架、风险评估、风险评估、风险应对、监控和审查等内容02ISO/IEC27005:2022标准的实施帮助组织建立一个系统化、持续改进的信息安全风险管理流程03通过有效的信息安全风险管理，组织可以更好地保护其信息资产，提高其抵御信息安全威胁的能力ISO/IEC信息安全相关国际标准

（5）ISO/IEC27018:2019Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessors《信息技术—安全技术—在执行PII处理的公共云中保护个人身份信息（PII）的行为准则》ISO/IEC制定的常见信息安全标准

ISO/IEC27018:2019又被称为云隐保护认证，是为实施保护个人识别信息（PII）的措施确立了公认的控制目标、控制措施和指南。ISO/IEC信息安全相关国际标准ISO/IEC制定的常见信息安全标准

ISO/IEC27018:2019针对云服务商对云中个人数据的安全防护的国际标准认证，旨在为云个人身份信息处理者提供一套实务守则，以保护公共云中的个人身份信息（PII）不受侵犯，是目前国际上最权威、最严格、最被广泛接受和应用的信息安全体系认证。思考练习问题：ISO/IEC27002:2022主要内容是什么？参考答案：

ISO/IEC27002:2022是一个通用的信息安全控制措施集，这些控制措施涵盖了信息安全的方方面面，是解决信息安全问题的最佳实践。

ISO/IEC27002:2022从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，循序渐进，从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施，ISO/IEC27002:20