ISO27000系列认证标准的流程是什么？

ISO27000系列认证标准

截至2006年5月18日，ISO/IEC JTC1/SC27/WG1正在制定中的标准包括5个，分别是：

ISO/IEC 27000

ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语），属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。

ISO/IEC 27000目前处于WD（工作组草案）阶段，正在SC27内研究并征求意见。

ISO/IE 27003

ISO/IEC27003（Information security management system implementation guidance 信息安全管理体系实施指南），属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施ISMS的人员。

该标准给出了ISMS实施的关键成功因素，实施过程依照ISO/IEC27001要求的PDCA模型进行，并进一步介绍了各个阶段的活动内容及详细实施指南。

ISO/IEC 27003也处在WD阶段，正在SC27内研究并征求意见。

ISO/IEC 27004

ISO/IEC27004（Information security management measurements 信息安全管理测量），属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。

该标准将测量分为两个类别：有效性测量和过程测量，列出了多种测量方法，例如调查问卷、观察、知识评估、检查、二次执行、测试（包括设计测试和运行测试）以及抽样等。

该标准定义了ISMS的测量过程：首先要实施ISMS的测量，应定义选择测量措施，同时确定测量的对象和验证准则，形成测量计划；实施ISMS测量的过程中，应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展；在ISMS的检查和处置阶段，也应对测量措施加以改进，这就要求首先定义测量过程的评价准则，对测量过程加以监控，并定期实施评审。

该标准已经处于CD（委员会草案）阶段，预计将于2008年完成。

ISO/IEC 27005

ISO/IEC27005（Information security risk management 信息安全风险管理），属于C类标准。该标准给出了信息安全风险管理的指南，其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。

该标准介绍了一般性的风险管理过程，并重点阐述了风险评估的几个重要环节，包括风险评估、风险处理、风险接受等。在标准的附录中，给出了资产、影响、脆弱性以及风险评估的方法，并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。

目前该标准处于Final CD（最终委员会草案）阶段。

ISO/IEC 27006

ISO/IEC27005（Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理体系认证机构的认可要求），属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范，或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。

目前该标准处于Final CD（最终委员会草案）阶段。　

信息是一种非常重要的资产,它能够贯穿并支持组织的整个经营活动,从一般交易至公司合并,不管是从大项目还是到员工的资料管理,如果组织没有ISO27000信息管理体系,一些内部敏感的信息就非常容易泄漏,从而组织的信息质量?数据及沟通环节受到攻击,使得组织处于一个极大的风险中,为了确保组织的信息安全并持续保持,就需要通过建立建全的ISO27000信息安全管理体系(ISMS)。

ISO27000认证流程：

第一阶段：现状调研

公司的日常运行，管理机制以及系统配置等等一些方面会对公司的信息安全管理安全现状进行一定的调研，还有就是通过培训使公司内部相关的人员能够了解一些有关信息安全管理的基本知识。

第二阶段：风险评估

会对公司的信息资产进行资产价值、威胁因素、脆弱性进行一定的分析，从而去评估公司是否存在信息安全风险，然后选择适当的措施、方法实现管理风险。

第三阶段：管理策划

根据公司对信息安全风险的一些相应的策略，制定相应的信息安全整体规划、管理规划、技术规划等等，然后形成完整的信息安全管理系统。

第四阶段：体系实施

ISMS建立起来（体系文件正式发布实施）之后，是要通过一定的时间来试运行来检验其它的有效性和稳定性。

第五阶段：认证审核

如果经过一定时间的运行之后，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。