IT和网络安全标准

英国中小型企业(SME)可以采用多种英国和国际标准,以更好地保护自己免受IT和网络安全相关风险的影响。此外,还有一些 公开可用规范 (PAS),这些规范是受客户组织的需求推动而发起的快速实施标准,并根据BSI制定的指南进行开发。BSI还为中小型企业出版了 多种书籍 ,对标准及其优势进行详细解读。

请使用列表访问以下部分:


涉及IT和网络安全的BSI标准

 

标准编号/名称
描述/优势

BS 10012:2009, Specification for a personal information management system

个人信息管理体系规范

本标准提供一个框架用来维护和改进对数据保护法规和良好实践的符合性。它旨在帮助企业建立和维护符合《数据保护法1998》的最佳实践个人信息管理体系。

BS ISO/IEC 18043:2006, Selection, deployment and operation of intrusion detection systems

入侵检测系统的选择、部署和操作

本标准提供帮助组织选择、部署和操作入侵检测系统(IDS)的指南,还提供有关IDS技术的背景信息。

BS ISO 22301:2012, Business continuity management systems requirements

业务连续性管理体系要求

本标准为各种企业(适用于各种类型和规模)建立和管理有效的业务连续性管理体系的要求。

BS ISO 22313:2012, Business continuity management systems guidance

业务连续性管理体系指南

本标准是 BS ISO 22301 的指南文件,针对寻求业务连续性最佳实践的组织提供一个更直观的框架。

BS ISO/IEC 27000:2014, Information security management systems – Overview and vocabulary

信息安全管理体系 —— 概述和词汇

本标准提供信息安全管理体系以及可作为 ISO/IEC 27000 系列组成部分的各种国际标准的概要,还定义了在这些标准中使用的术语和定义的通用词汇。

BS ISO/IEC 27001:2013, Information security management systems – Requirements

信息安全管理体系 —— 要求

本标准是全球领先的信息安全管理体系标准的最新版本,提供建立、实现、维护和持续改进信息安全管理体系的要求,适用于各种规模和类型的企业。


本标准遵循被所有主要管理体系标准采用的"通用高阶结构和相同通用文本"。BS ISO/IEC 27001:2013 的附录包含信息安全控制目标以及源自 BS ISO/IEC 27002:2013,信息安全控制实践指南 所列内容的控制。但是,可单独使用BS ISO/IEC 27001。


ISO/IEC 27001 在全球范围内被用作表示有效信息安全管理的衡量标准。它是唯一公认的信息和网络安全认证标准。

BS ISO/IEC 27002:2013, Code of practice for information security controls

信息安全控制实践指南

本标准是全球领先的信息安全控制规范标准的最新版本,可作为基于 ISO/IEC 27001 实现信息安全管理体系时选择控制的参考,也可作为寻找通用信息安全控制相关信息时的指南。制定行业或特定组织的信息安全管理指南时,也可将其作为控制来源。


尽管与BS ISO/IEC 27001信息安全管理体系 —— 要求 密切关联,但可单独使用BS ISO/IEC 27002。它提供一个包含可能的信息安全控制的目录,该目录可被用于确定基准、作为要求规范或者成为其他形式的安全管理体系的组成部分。


对于每个建议的控制,BS ISO/IEC 27002 均提供实施指南以及其他相关信息,包括在适当的情况下对包含其他详细信息的其他国际标准的参考。

BS ISO/IEC 27003:2010, Information security management system implementation guidance

信息安全管理体系实施指南

本标准提供按照 ISO/IEC 27001 设计信息安全管理体系 (ISMS) 的核心建议。它提供在所有行业的所有规模的企业中规划 ISMS 项目的清晰指引。ISO/IEC 27003 的当前版本与 2005 版 ISO/IEC 27001 保持一致。

目前正在对其进行更新,以与新的 2013 版保持一致。

BS ISO/IEC 27004:2009, Information security management measurements

信息安全管理测量

本标准提供措施和测量的开发及使用的指南,用来评估信息安全管理体系 (ISMS) 的有效性,适用于各种规模和类型的组织。ISO/IEC 27004 的当前版本与 2005 版 ISO/IEC 27001 保持一致。

目前正在对其进行更新,以与新的 2013 版保持一致。

BS ISO/IEC 27005:2011, Information security risk management

信息安全风险管理

本标准提供信息安全风险管理指南。它支持 ISO/IEC 27001 中规定的一般概念,旨在帮助基于风险管理方法实施信息安全。新版正在开发,将支持 2013 版 BS ISO/IEC 27001。但是,描述风险评估方法的 2011 版附录 E 已经与 27001的2013版保持一致。

BS ISO/IEC 27006:2011, Requirements for bodies providing audit and certification of information security management systems

信息安全管理体系审核和认证机构要求

本标准为提供信息安全管理体系 (ISMS) 审核和认证服务的认证机构规定了要求并提供了指南。为使其证书获得国际公认,认证机构需要获得符合 ISO/IEC 17021-1 要求的认可。这一国际标准规定提供 ISO/IEC 27001认证服务的机构所需要的其他要求和指南。ISO/IEC 27006 的当前版本与 2005 版 ISO/IEC 27001 保持一致。

目前正在对其进行更新,以与新的 2013 版保持一致。

BS ISO/IEC 27007:2011, Guidelines for information security management systems auditing

信息安全管理体系审核指南

本标准提供管理信息安全管理体系 (ISMS) 审核方案、进行 ISMS 审核以及 ISMS 审核员所需能力的指南。它以 ISO 19011 所包含的管理体系审核通用指南为基础构建而成。

PD ISO/IEC TR 27008:2011, Guidelines for auditors on information security controls

信息安全控制审核员指南

本标准为审核员提供评审安全控制实现和运行的指南,例如,ISO/IEC 27002 所定义的控制。它未提供对管理体系的信息安全方面进行审核的指南。

BS ISO/IEC 27031:2011, Guidelines for information and communication technology readiness for business continuity

信息和通信技术业务连续性的敏捷指南

本标准提供最佳实践只能,用来准备信息和通信技术以满足业务连续性要求,并且提供一个方法和流程框架以评估和改进能力。

BS ISO/IEC 27032:2012, Guidelines for cybersecurity

网络安全指南

本标准是一个国际标准,提供改进网络安全的指南,尤其提供针对解决通用网络安全风险的技术指南。该标准包含针对不同网络安全利益相关方的指南,包括消费者、服务提供商和风险管理者。还识别不同形式的网络安全威胁。但是,未涉及与互联网使用无关的网络问题。

BS ISO/IEC 27033-1:2009, Network security - Part 1: Overview and concepts

网络安全 —— 第一部分:概述和概念

本标准提供关于大部分网络安全问题的重要详细信息,并解答大部分小型企业所有者和管理者可能提出的关于网络安全战略和技术的问题。

BS ISO/IEC 27033-2:2012, Network security - Part 2: Guidelines for the design and implementation of network security

网络安全 —— 第二部分:网络安全设计和实施指南

本标准识别网络安全要求。还包括一个文件化模板作为附件,该模板提供一个检查表,用来确保网络设计涵盖所需的所有内容。它包含很少的网络设计和实施内容,因此,更适合管理网络设计和采购的人员而非真正的网络设计人员。

BS ISO/IEC 27033-3:2010, Network security - Part 3: Reference networking scenarios. Threats, design techniques and control issues

网络安全 —— 第三部分:参考网络场景;威胁、设计技术和控制问题

本标准是涉及安全网络设计的 27033 系列标准中的一员。它描述了使用网络的众多用户场景,然后识别与之相关的威胁,设计技术和控制问题。

BS ISO/IEC 27033-4:2014, Information technology. Security techniques. Network security. Securing communications between networks using security gateways

信息技术;安全技术;网络安全;使用安全网关确保网络间通信安全

ISO/IEC 27033 的这一部分内容提供使用安全网关确保网络间通信安全的详细技术指南。它描述不同类型的防火墙和其他网关安全设备,例如,路由器和入侵防护系统。

BS ISO/IEC 27033-5:2013, Information technology. Security techniques. Network security. Securing communications across networks using Virtual Private Networks (VPNs)

信息技术;安全技术;网络安全;使用虚拟专用网 (VPN) 确保跨网络通信安全

ISO/IEC 27033 的这一部分内容提供确保网络互联安全以及使用虚拟专用网将远程用户连接到网络的详细技术指南。

BS ISO/IEC 27035:2011, Information security incident management

信息安全事件管理

本标准描述一个架构化和计划内的方法,用来处理信息安全事件。尽管它是针对大型组织的,但中小型企业可以使用它来提取一套更基本的文件和适合他们需要的程序。BS ISO/IEC 27035 以前是作为 PD ISO/IEC TR 18044:2004 发布,目前正在改版。新版将是一个分为多个部分的标准,针对事件管理的不同方面有单独的部分。

BS ISO/IEC 27036-1:2014, Information technology. Security techniques. Information security for supplier relationships. Overview and concepts

信息技术;安全技术;供应商关系的信息安全;概述和概念

ISO/IEC 27036 的这一部分描述从采购方和供应方的角度确保供应商关系的关键概念。它还介绍 ISO/IEC 27036 的其他部分。请注意,27036-2(基本要求)将很快推出,27036-4(云服务的供应商关系)仍在开发。

BS ISO/IEC 27036-3:2013, Information technology. Security techniques. Information security for supplier relationships. Guidelines for information and communication technology supply chain security

信息技术;安全技术;供应商关系的信息安全;信息和通信技术供应链安全指南

ISO/IEC 27036 的这一部分提供指南,用来管理由物理分散和多层 ICT供应链导致的供应链信息安全风险;应对来自全球 ICT供应链的信息安全风险;以及将支持信息安全控制的流程和实践集成到更广泛的系统和软件生命周期流程中。

BS ISO/IEC 27037:2012, Guidelines for identification, collection, acquisition, and preservation of digital evidence

数字证据的识别、收集、获取和保存指南

本标准提供处理数字证据的指南,适用于所有形式的数字设备,而不仅仅是计算机。除了法院和法官主要感兴趣的通用原则,它还包含极其实用的建议,例如,何时使用胶带防止机器意外重启。

BS ISO 28000:2007, Specification for security management systems for the supply chain

供应链安全管理体系规范

本标准涉及影响供应链安全的活动管理,并使用与其他管理体系标准一致的方式。BS ISO/IEC 28000 由 28000 系列中的其他国际标准支持,该系列标准定义如何依据 ISO/IEC 28000 对组织进行审核和认证。

IT和网络安全公开可用规范

 

标准编号/名称
描述/优势

PAS 555:2013, Cyber security risk - Governance and management - Specification

网络安全风险 —— 治理与管理 —— 规范

本 PAS 详细描述网络安全风险治理和管理框架。本 PAS (公开可用规范)的要求定义了有效网络安全的结果,包括技术、物理、文化和行为措施,以及有效的领导和治理。它具有可扩展性,因此,适用于各种规模的企业。

涉及IT和网络安全的BSI书籍

 

标题
描述

Guidelines on Requirements and Preparation for ISMS Certification based on ISO/IEC 27001 Second Edition (BIP 0071)

基于 ISO/IEC 27001 第二版的 ISMS 认证的要求和准备指南

本书提供关于 ISMS 标准 ISO/IEC 27001:2013 中规定的要求以及 ISO/IEC 27002:2013 中介绍的最佳实践指南,用来支持这些标准的适当使用。它提供了关于 ISMS(信息安全管理体系)流程的完整"生命周期"以及建立、实现、监控和持续改进一组管理控制和流程以实现有效信息安全所需活动的指南。

Are you ready for an ISMS Audit based on ISO/IEC 27001? Second Edition (BIP 0072)

您是否为基于 ISO/IEC 27001 第二版的 ISMS 审核做好了准备

本书提供基于 ISO/IEC 27001:2013 的 ISMS认证审核做好准备的用户指南。对于那些即将开始进行第三方认证的组织,这是必读书籍。

Guide to the Implementation and Auditing of ISMS Controls based on ISO/IEC 27001 Second Edition (BIP 0073)

基于 ISO/IEC 27001 第二版实施和审核 ISMS 控制的指南

本书提供 ISMS控制要求实施的指南,用来审核现有控制实施,以帮助组织为根据 ISO/IEC 27001:2013 规定的要求进行认证做好准备。并提供控制实施、检查和审核的指南。

Information Security Risk Management (BIP 0076)

信息安全风险管理

ISO/IEC 27005 是一个支持 ISO/IEC 27001 实现的 ISMS风险管理标准。本书是关于 ISO/IEC 27005 使用和应用的实践手册。它提供指南和建议,用来专门支持实施这些 ISO/IEC 27001:2005 中规定的与风险管理流程和相关活动有关的要求。尽管本手册基于 ISO/IEC 27001 的作废版本,但是其大部分内容与版本无关,并且仍然有效。

Managing security in outsourced and off-shored environments (BIP 0116)

在外包和离岸环境中管理安全

本书描述在外包环境中管理安全的指南、最佳实践以及关键成功因素。在适当情况下,解决网络安全问题,其中有一章还谈到了云计算。

Cloud computing: a practical introduction to the legal issues (BIP 0117)

云计算:法律问题实践简介

本书提供针对与云计算相关的法律问题的建议。为此,提供云计算的不同形式以及相关信息安全和数据保护问题的技术描述。

An Introduction to ISO 27001:2013 (BIP 0139)

ISO 27001:2013 简介

本书是 ISO/IEC 27001:2013 的基本介绍以及简明实施指南。假设读者没有具备 ISO/IEC 27001 或者管理体系相关知识。本指南适用于小型企业或者大型组织都合适的广泛 ISMS 实施。该书还包括一种实际的,易于使用的风险评估和风险处置方法,可直接以有商业意义的术语表示的结果。

涉及IT和网络安全的ISO书籍

 

标题
描述

ISO/IEC 27001 for Small Businesses - Practical advice

面向小型企业的 ISO/IEC 27001 —— 实践建议

旨在揭开信息安全的神秘面纱,并为中小企业提供一种切实可行、解释清楚的逐步实施方法,用来实现基于ISO/IEC 27001:2005的信息安全管理体系。它采用问卷调查检查表的方法。本手册仅提供纸质版。由 ISO 和 IEC 出版,从 ISO网络商店 获得。BSI 不提供本书。

涉及IT和网络安全的英国政府标准

 

标准编号/名称 描述

Cyber Essentials Scheme, Summary (BIS/14/696)(PDF)

网络要素方案,摘要

本手册提供网络要素方案的概要以及关于其预期用途和优势的背景信息。

Cyber Essentials Scheme, Cyber Essentials Scheme: Requirements for basic technical protection from cyber attacks (BIS/14/696) (PDF)

网络要素方案,网络要素方案:防范网络攻击基本技术要求

本文件描述以网络要素方案为基础的五类技术控制。并将它们与 ISO/IEC 27002 及其他标准相关联。

Cyber Essentials Scheme, Assurance Framework (BIS/14/697) (PDF)

网络要素方案,保障框架

本文件描述支持网络要素的认证框架。它定义保障理念和强制测试。包括关于哪些系统和服务可以和不可以纳入方案范围的信息。

HMG IA Standard No. 1, Technical Risk Assessment(PDF)

HMG IA 标准 No. 1,技术风险评估

本标准是信息保障 (IA) 标准,适用于负责识别、评估和处置技术风险的风险管理者和IA从业者,风险来源于处理英国政府信息的网络系统和服务。对于控制、存储和处理带保护标记的政府信息或者关键业务数据的所有网络系统,或者与政府间网络或服务相互关联的网络系统,本标准的使用是强制要求。本文件的完整版未公开。