與ISO27001相關的幾個重要的信息安全標準

主要內容如下：
BS7799系列（ISO/IEC 27000系列）
ISO/IEC TR 13335系列
SSE-CMM
ITIL和BS15000
CC
CoBIT
NIST SP800系列
1、ISO/IEC TR 13335
ISO/IEC TR 13335，早前被稱作“IT 安全管理指南”（Guidelines for the Management of IT Security，GMITS），新版稱作“信息和通信技術安全管理”（Management of Information and Communications Technology Security，MICTS），是ISO/IEC JTC1 制定的技術報告，是一個信息安全管理方面的指導性標準，其目的是為有效實施IT安全管理提供建議和支持。
ISO/IEC TR 13335系列標準（舊版）－ GMITS，由5部分標準組成：
ISO/IEC13335-1:1996《IT安全的概念與模型》
ISO/IEC13335-2:1997《IT安全管理與策劃》
ISO/IEC13335-3:1998《IT安全管理技術》
ISO/IEC13335-4:2000《防護措施的選擇》
ISO/IEC13335-5:2001《網絡安全管理指南》
目前，ISO/IEC 13335-1:1996 已經被新的ISO/IEC 13335-1:2004（MICTS 第1部分：信息和通信技術安全管理的概念和模型）所取代，ISO/IEC 13335-2:1997也將被正在開發的ISO/IEC 13335-2（MICTS 第2 部分：信息安全風險管理）取代。
ISO/IEC TR 13335 只是一個技術報告和指導性文件，并不是可依據的認證標準，信息安全體系建設參考BS 7799，具體實踐參考ISO TR 13335。

2、SSE-CMM
SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統安全工程這個具體領域應用而產生的一個分支，是美國國家安全局(NSA)領導開發的，是專門用于系統安全工程的能力成熟度模型。
SSE-CMM第一版于1996年10月出版，1999年4月，SSE-CMM模型和相應評估方法2.0版發布。
系統安全工程過程一共有三個相關組織過程：
工程過程
風險過程
保證過程
共分5個能力級別，11個過程區域：
基本執行級
計劃跟蹤級
充分定義級
量化控制級
持續改進級
2002年被國際標準化組織采納成為國際標準即ISO/IEC 21827:2002《信息技術系統安全工程－成熟度模型》。
SSE-CMM 和BS 7799 都提出了一系列最佳慣例，但BS 7799 是一個認證標準（第二部分），提出了一個可供認證的ISMS 體系，組織應該將其作為目標，通過選擇適當的控制措施（第一部分）去實現。而SSE-CMM 則是一個評估標準， 適合作為評估工程實施組織能力與資質的標準

3、通用標準（CC）
我們通常所稱的通用標準或通用準則（Common Criteria，簡稱CC）是指ISO/IEC15408:1999標準。目前CC標準的最新版本是2.2；CC2.1版在1999年成為國際標準ISO/IEC15408:1999；我國在2001年等同采用為國家標準GB/T 18336－2001。
CC標準由三個部分組成：
GB/T 18336.1－2001 idt ISO/IEC15408-1:1999 信息技術安全技術信息技術安全性評估準則第1部分：簡介和一般模型
GB/T 18336.2－2001 idt ISO/IEC15408-2:1999 信息技術安全技術信息技術安全性評估準則第2部分：安全功能要求
GB/T 18336.3－2001 idt ISO/IEC15408-3:1999 信息技術安全技術信息技術安全性評估準則第3部分：安全保證要求
與BS7799 標準相比，CC 的側重點放在系統和產品的技術指標評價上，BS7799 在闡述信息安全管理要求時，并沒有強調技術細節。因此，組織在依照BS7799 標準來實施ISMS 時，一些牽涉系統和產品安全的技術要求，可以借鑒CC 標準。

4、ITIL和BS15000
ITIL的全稱是信息技術基礎設施庫（Information Technology Infrastructure Library）。ITIL針對一些重要的IT實踐，詳細描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。
IT服務管理中最主要的內容就是服務交付（Service Delivery）和服務支持（Service Support）
服務交付（Service Delivery）：
Service Level Management
Financial Management for IT Service
Capacity Management
IT Service Continuity Management
Availability Management
服務支持（Service Support）：
Service Desk
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
有關ITIL，我之前也有一篇文章進行過簡單介紹。
2001年，英國標準協會在國際IT 服務管理論壇（itSMF）上正式發布了以ITIL為核心的英國國家標準BS15000。這成為IT 服務管理領域具有歷史意義的重大事件。
BS15000 有兩個部分，目前都已經轉化成國際標準了。
ISO/IEC 20000-1:2005 信息技術服務管理-服務管理規范（Information technology service management. Specification for Service Management）
ISO/IEC 20000-2:2005 信息技術服務管理- 服務管理最佳實踐（ Information technology service management. Code of Practice for Service Management）
與BS7799 相比，ITIL 關注面更為廣泛（信息技術），而且更側重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息安全方面的補充，同時引入ITIL 流程的方法，以此加強信息安全管理的實施能力。

5、CoBIT
CoBIT的全稱是信息和相關技術的控制目標（Control Objectives for Information and related Technology），是ITGI提出的IT治理模型（IT Governance)，是一個IT控制和IT治理的框架（Framework）。CobiT是一個在更高的層面上指導管理層進行技術標準和信息系統管理的IT治理模型。
CoBIT的八個控制過程：
計劃和組織（Planning & Organisation）
采購和實施（Acquisition & Implementation）
交付和支持（Delivery & Support）
監視和評估（Monitoring & Evaluation）
CoBIT的七個控制目標：
機密性（Confidentiality）
完整性（Integrity）
可用性（Availability）
有效性（Effectiveness）
高效性（Efficiency）
可靠性（Reliability）
符合性（Compliance）
目前基本上存在著兩類控制模型，一類是類似COSO這樣的商業控制模式（business control model），另一類則是像BS7799這樣的更關注IT的控制模型（more focused on IT control model），而CoBIT的目標是在兩者之間架起一座橋梁。

6、NIST SP800系列
美國國家標準技術協會（National Institute of Standards and Technology，NIST）發布的Special Publication 800 文檔是一系列針對信息安全技術和管理領域的實踐參考指南，其中有多篇是有關信息安全管理的，包括：
SP 800-12：計算機安全介紹（An Introduction to Computer Security: The NIST Handbook）
SP 800-30 ： IT 系統風險管理指南（Risk Management Guide for Information Technology Systems）
SP 800-34：IT 系統應急計劃指南（Contingency Planning Guide for Information Technology Systems）
SP 800-26 ： IT 系統安全自我評估指南（ Security Self-Assessment Guide for Information Technology Systems）
這些文件可以作為實施ISMS 過程中一些關鍵任務的指導和參照（例如風險評估、應急計劃等），是對BS7799 標準很好的補充和細化。

7、BS7799系列（ISO/IEC 27000系列）
BS7799 Part 1:
BSBS7799 Part 1的全稱是Code of Practice for Information Security，也即為信息安全的實施細則。2000年被采納為ISO/IEC 17799，目前其最新版本為2005版，也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通過層次結構化形式提供安全策略、信息安全的組織結構、資產管理、人力資源安全等11個安全管理要素，還有39個主要執行目標和133個具體控制措施（最佳實踐），供負責信息安全系統應用和開發的人員作為參考使用，以規范化組織機構信息安全管理建設的內容。
ISO/IEC 17799:2005的內容如下圖：（見附件）
BS7799 Part 2:
BS7799 Part 2的全稱是Information Security Management Specification，也即為信息安全管理體系規范，其最新修訂版在05年10月正式成為ISO/IEC 27001:2005，ISO/IEC 27001是建立信息安全管理體系（ISMS）的一套規范，其中詳細說明了建立、實施和維護信息安全管理體系的要求，可用來指導相關人員去應用ISO/IEC 17799，其最終目的，在于建立適合企業需要的信息安全管理體系（ISMS）。