Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
信息管理体系—概况与术语
该标准目前已完成委员会草案，计划2007年11月完成标准草案，2008年5月发布。
标准介绍：
该标准对应用于信息安 全管理体系的ISO/IEC27000系列标准的概况、状态和关系提供说明，并规定了与ISO/IEC 27000 ISMS系列标准相关的术语。
ISO/IEC 27000标准有三个章节，一章是标准的范围说明，二章对ISO27000系列的各个标准进行了介绍，说明了各个标准之间的关系，包括:ISO27000，ISO27001，ISO27002，ISO27003，ISO27004，ISO27005，ISO27006。三章给出了与ISO27000系列标准相关的术语和定义，共63个。
ISO/IEC 27001
Information technology -- Security techniques -- Information security management systems --Requirements
信息管理体系—要求
该标准源于BS7799-2，主要提出ISMS的基本要求，已于2005年10月正式发布。
标准介绍：
ISO27001用于为建立、实施、运行、评审、保持和改进信息安 全管理体系（Information Security Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安 全需求、用的过程以及组织的规模和结构的影响。上述因素及其支持过程会发生变化。期望信息安 全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决方案。
ISO27001标准可以作为评估组织顾客、组织本身及法律法规的信息要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作三方认 证的依据。
ISO/IEC 27002
Information technology -- Security techniques -- Code of practice for information security management
信息管理实践规则
该标准将取代 ISO /IEC 17799：2005 ，直接由ISO/IEC 17799：2005改标准编号为ISO/IEC 27002，计划2007年4月实施。
标准介绍：
本标准为在组织内启动、实施、保持和改进信息管理提供指南和通用的原则。本标准概述的目标提供了有关信息管理通常的目标的通用指南。
本标准的控制目标和控制措施预期被实施以由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的标准管理实践，帮助构建组织间活动的信心。
本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全/都是适用的。而且，可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时，包括对本标准适用的条款进行交叉引用可能是有用的，该交叉引用便于审核员和商业伙伴进行符合性核查。
ISO/IEC 27003
Information technology -- Security techniques -- Information security management systems implementation guidance
信息信息管理体系实施指南
标准介绍：
该标准为按照ISO/IEC 27001建立、实施、运作、监控、评审、维持和改进信息管理体系提供应用实施指南。
该标准适用于类型、规模和业务形式。各组织可以利用本标准，实施符合ISO/IEC 27001的信息管理体系。
ISO/IEC 27004
Information technology -- Security techniques -- Information security management —Measurements
信息管理—测量
该标准阐述信息管理的测量和指标，用于测量信息管理的实施，预计2008年5月发布。 该标准目前处于委员会草案状态。
标准介绍：
本标准提供指南和建议，用于评估按照ISO/IEC 27001建立的ISMS、控制目标以及控制措施的。
管理者可以使用本标准作为的测量方法，判断信息管理体系的。测量结果可以作为评审现有控制的输入，以决定是否需要改或改进。
ISO/IEC 27005
Information technology -- Security techniques --Information security risk management
信息风险管理
该标准以BS7799-3和ISO13335为基础，预计2007年11月发布。该标准目前处于委员会状态。
标准介绍：
本标准描述了信息风险管理的要求，可以用于风险评估，识别要求，支撑信息管理体系的建立和维持。
ISO/IEC 27006
Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems
信息管理体系审核认 证要求
标准介绍：
该标准对提供ISMS认 证的提出要求，提供ISMS认 证服务的需要按照该标准的要求证明其能力。
ISO/IEC 27007
Information technology -- Security techniques – ISMS auditor guidelines
信息管理体系审核员指南