Tập các tiêu chuẩn ISO/IEC 27000 (còn được gọi là 'Tập các tiêu chuẩn ISMS' hoặc 'ISO27k') bao gồm các tiêu chuẩn an toàn thông tin được công bố đồng tổ chức bởi Tổ chức Tiêu chuẩn quốc Tế (International Organization for Standardization - ISO) và Ủy ban Kỹ thuật Điện Quốc tế (International Electrotechnical Commission - IEC).
Các tiêu chuẩn cung cấp các khuyến nghị thực hành tốt nhất về quản lý, rủi ro và kiểm soát an toàn thông tin trong bối cảnh của một hệ thống quản lý an toàn thông tin tổng thể (ISMS), tương tự như trong thiết kế các hệ thống quản lý đảm bảo chất lượng (Bộ tiêu chuẩn ISO 9000) và bảo vệ môi trường (Bộ tiêu chuẩn ISO 14000).
Các tiêu chuẩn có quy mô lớn, không chỉ bao gồm tính riêng tư, bảo mật và CNTT hoặc các vấn đề an toàn kỹ thuật. Nó được áp dụng cho các tổ chức với tất cả các loại hình và quy mô. Tất cả các tổ chức được khuyến khích để đánh giá rủi ro an toàn thông tin của mình, sau đó thực hiện kiểm soát an toàn thông tin thích hợp theo nhu cầu của họ, bằng cách sử dụng hướng dẫn và đề nghị phù hợp. Do tính chất phát triển của an toàn thông tin, khái niệm ISMS kết hợp với các hoạt động phản hồi và cải thiện liên tục, tóm tắt bởi tiếp cận "Kế hoạch-Thực hiện - Kiểm tra - Hành động" của Deming để tìm cách giải quyết những thay đổi với các mối đe dọa, các lỗ hổng hoặc tác động của sự cố an toàn thông tin.
Các tiêu chuẩn là sản phẩm của ISO/IEC JTC1 (Ủy ban kỹ thuật kết hợp 1) SC27 (Tiểu ban 27), một cơ quan quốc tế họp hai lần một năm.
Hiện nay, hai mươi ba của tiêu chuẩn trong bộ tiêu chuẩn được công bố, trong khi một số khác vẫn đang được phát triển. Các tiêu chuẩn ISO/IEC ban đầu được bán trực tiếp bởi tổ chức ISO, trong khi các cửa hàng bán hàng kết hợp với các cơ quan tiêu chuẩn quốc gia khác nhau cũng bán các phiên bản khác nhau bao gồm cả bản dịch theo ngôn ngữ địa phương.
Các tiêu chuẩn đã công bố
• ISO/IEC 27000 – Các hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng
• ISO/IEC 27001 - Các hệ thống quản lý an toàn thông tin - Yêu cầu.
Tiêu chuẩn cũ ISO/IEC 27001:2005 dựa vào quy trìnhPlan-Do-Check-Act nhưng tiêu chuẩn mới hơn ISO/IEC 27001:2013 không áp dụng nhưng đã được cập nhật theo những cách khác để phản ánh những thay đổi trong công nghệ và cách thức các tổ chức quản lý thông tin.
• ISO/IEC 27002 - Quy phạm thực hành quản lý an toàn thông tin
• ISO/IEC 27003 - Hướng dẫn thực hiện hệ thống quản lý an toàn thông tin
• ISO/IEC 27004 - Quản lý an toàn thông tin - Đo lường
• ISO/IEC 27005 - Quản lý rủi ro an toàn thông tin
• ISO/IEC 27006 - Yêu cầu đối với các cơ quan cung cấp dịch vụ kiểm toán và chứng nhận hệ thống quản lý an toàn thông tin
• ISO/IEC 27007 - Hướng dẫn c kiểm toán các hệ thống quản lý an toàn thông tin (tập trung vào các hệ thống quản lý)
• ISO/IEC TR 27008 - Hướng dẫn kiểm toán viên về kiểm soát ISMS (tập trung vào kiểm soát an toàn thông tin)
• ISO/IEC 27010 - Công nghệ thông tin - Kỹ thuật an toàn – Quản lý an toàn thông tin cho truyền thông giữa các ngành và giữa các tổ chức
• ISO/IEC 27011 - Hướng dẫn quản lý an toàn thông tin cho các tổ chức viễn thông theo tiêu chuẩn ISO/IEC 27002
• ISO/IEC 27013 - Hướng dẫn thực hiện tích hợp tiêu chuẩn ISO/IEC 20000-1 và ISO/IEC 27001
• ISO/IEC 27014 - Quản trị an toàn thông tin
• ISO/IEC TR 27015 - Hướng dẫn quản lý an toàn thông tin cho các dịch vụ tài chính
• ISO/IEC 27031 - Hướng dẫn sẵn sàng công nghệ thông tin và truyền thông bảo đảm kinh doanh liên tục
• ISO/IEC 27032 - Hướng dẫn cho an toàn
• ISO/IEC 27033-1 - Tổng quan và các khái niệm về an toàn mạng
• ISO/IEC 27033-2 - Hướng dẫn cho việc thiết kế và thực hiện an toàn mạng
• ISO/IEC 27033-3:2010 - Tham khảo kịch bản mạng - Các mối đe dọa, kỹ thuật thiết kế và vấn đề kiểm soát
• ISO/IEC 27034 - Hướng dẫn bảo mật ứng dụng
• ISO/IEC 27035 - Quản lý sự cố an toàn
• ISO/IEC 27037 - Hướng dẫn xác định, thu thập và/hoặc mua lại và lưu trữ bằng chứng kỹ thuật số
• ISO 27799 - Qquản lý an toàn thông tin trong y tế sử dụng ISO/IEC 27002
Chuẩn bị ban hành
• ISO/IEC 27017 - Quản lý an toàn thông tin cho các hệ thống điện toán đám mây
• ISO/IEC 27018 - Bảo vệ dữ liệu cho các hệ thống điện toán đám mây
• ISO/IEC 27019 - Hướng dẫn quản lý an toàn thông tin dựa trên tiêu chuẩn ISO/IEC 27002 cho các hệ thống điều khiển quá trình cụ thể cho các ngành công nghiệp tiện ích năng lượng
• ISO/IEC 27033 - An toàn mạng CNTT, một tiêu chuẩn có nhiều phần dựa trên tiêu chuẩn ISO/IEC 18028:2006 (phần 1-3 đã được công bố)
• ISO/IEC 27036 - Hướng dẫn an toàn trong các mối quan hệ nhà cung cấp
• ISO/IEC 27038 - Đặc tả cho rút gọn các văn bản kỹ thuật số
• ISO/IEC 27039 - Hệ thống phát hiện và bảo vệ xâm nhập
• ISO/IEC 27040 - Hướng dẫn về bảo mật lưu trữ
• ISO/IEC 27041 - Bảo đảm cho các phương pháp điều tra bằng chứng kỹ thuật số
• ISO/IEC 27042 - Phân tích và giải thích các bằng chứng kỹ thuật số
• ISO/IEC 27043 - Nguyên tắc và quy trình điều tra bằng chứng kỹ thuật số
Thêm bình luận