标准(zhǔn)的主要内容
ISO/IEC17799-2000(BS7799-1)对(duì)信(xìn)息安全(quán)管理给(gěi)出建议,供负责在其组(zǔ)织启动、实(shí)施或维护安全(quán)的人员使用。该标准(zhǔn)为开发组(zǔ)织的安全标准(zhǔn)和有效的安全管理(lǐ)做法提供公共基础(chǔ),并为组织之(zhī)间的交往提供(gòng)信(xìn)任(rèn)。
标准(zhǔn)指出“象其他重(chóng)要业务资(zī)产一样,信息(xī)也是一种资产”。它对一个组织(zhī)具有价值,因此(cǐ)需要加以合适地保护。信息(xī)安(ān)全防止信息(xī)受到的各种威胁,以确保(bǎo)业(yè)务(wù)连续性,使业务(wù)受到损害(hài)的风险减至**小,使********和业务机会****。
信息安全是(shì)通过实现一组合(hé)适控制获得的。控制可以是策略、惯(guàn)例、规(guī)程、组织结构和软件功能。需(xū)要建立(lì)这些控制,以确保满足该(gāi)组织的特定安全目标。
内容章节
ISO/IEC17799-2000包(bāo)含了(le)127个安全控制(zhì)措施(shī)来帮助组织识别在运做(zuò)过程中对信息(xī)安全有影(yǐng)响(xiǎng)的元素,组织(zhī)可(kě)以根据适用的法律法规和章(zhāng)程(chéng)加以选择和使用,或者增加其他附加控制。国际(jì)标准化组织(zhī)(ISO)在2005年对ISO 17799进行(háng)了(le)修订,修(xiū)订后的(de)标准作为ISO 27000标准族的****部分——ISO/IEC 27001,新标准去掉9点控制措(cuò)施(shī),新增17点(diǎn)控制措施(shī),并重(chóng)组部分控制措施而新增(zēng)一章,重组(zǔ)部分控制措(cuò)施,关联性逻辑性更(gèng)好,更适(shì)合应用;并修改(gǎi)了部分控制措施措辞(cí)。修改后的(de)标准包括11个章节(jiē):
1)安全策(cè)略。指定信息(xī)安全(quán)方针,为信(xìn)息安(ān)全提供管理指引和支持,并定期评(píng)审。
2)信息安全的组织。建立(lì)信息(xī)安全(quán)管理组织(zhī)体系,在内部开展和控制信息安全(quán)的(de)实(shí)施。
3)资(zī)产管(guǎn)理。核查所有信息资产,做好信息分类,确保信(xìn)息资产受到适当程度的保护。
4)人力资源安全。确保所有员工,合同(tóng)方(fāng)和第三方了解信息安(ān)全威胁(xié)和(hé)相关事宜以及各自的(de)责任,义务,以减少(shǎo)人为差(chà)错(cuò),盗窃,欺诈或误用设施的(de)风险。
5)物理和(hé)环境(jìng)安(ān)全。定义安全区域,防止对办公场所和信息的未授(shòu)权(quán)访问,破坏和干扰;保护设备的安全,防止信息资(zī)产的丢失,损坏或(huò)被盗,以及对企业业务的干扰;同时,还要做好一(yī)般控制,防止信(xìn)息和信息处理设施的损坏和被盗。
6)通信和操作(zuò)管理。制(zhì)定操作规程和职责,确(què)保信息处理设施的正确和安(ān)全(quán)操作;建立系统规划和验收准则,将系统失效(xiào)的风险降到****;防范恶意代码和移动代码,保护软件和信息(xī)的(de)完整性(xìng);做(zuò)好信息备份和(hé)网络(luò)安全管(guǎn)理,确保信息(xī)在网络中(zhōng)的(de)安全,确保其支(zhī)持(chí)性基础设施(shī)得到保护;建立媒体(tǐ)处置(zhì)和安全的规程,防(fáng)止资产损坏和业务活动的(de)中断;防止(zhǐ)信(xìn)息和(hé)软(ruǎn)件在组织(zhī)之(zhī)间(jiān)交换时丢失,修改或误用。
7)访问(wèn)控制。制定(dìng)访问控制策略,避免信息系统的(de)非授权访问,并让用户了解其职责和义务(wù),包括网络访问控制(zhì),操作(zuò)系统访问控制,应用系统和信息访问控制,监视系统(tǒng)访问和使(shǐ)用(yòng),定期检(jiǎn)测(cè)未(wèi)授权的活动;当使(shǐ)用移动办公和远程(chéng)控制(zhì)时,也要确保信息安全(quán)。
8)系统采集、开发和维护。标示系统(tǒng)的安全要求,确保(bǎo)安全成为信息(xī)系统(tǒng)的内置部分,控制(zhì)应(yīng)用系统的安全,防止应用系统中用户数据的丢失,被修改(gǎi)或误用;通过加(jiā)密(mì)手段(duàn)保护(hù)信息的(de)保(bǎo)密性,真实性和完整性;控制对(duì)系统文件的访问,确保(bǎo)系统文档,源程(chéng)序(xù)代码的安全;严格(gé)控制开发和支持过程,维护应用系统软件和(hé)信(xìn)息安全。
9)信息安全事故管理。报告信息安全事件和弱点(diǎn),及时(shí)采(cǎi)取纠正措施,确保使用持续(xù)有(yǒu)效的方(fāng)法管理信(xìn)息安(ān)全事故,并确保及时修(xiū)复。
10)业务连续性管理(lǐ)。目的是为减(jiǎn)少业务活动(dòng)的(de)中断(duàn),是关键业务过程免受主要(yào)故障或天灾的影(yǐng)响,并(bìng)确保及时恢复。
11)符合性(xìng)。信(xìn)息系统的(de)设计,操(cāo)作,使(shǐ)用过程和管理要(yào)符合法(fǎ)律法(fǎ)规的要求,符合(hé)组织安全(quán)方针和(hé)标准,还要(yào)控制系统审(shěn)计,使信(xìn)息审(shěn)核过程的(de)效力****化,干扰**小化。
ISO27001的效益
1、通过定义、评估和控制风险,确(què)保经(jīng)营的(de)持续性(xìng)和能力
2、减少由于合同违规行为以及直接(jiē)触犯法律法规要求所造成的责任
3、通(tōng)过遵守(shǒu)国际标准提高企业竞争能(néng)力(lì),提(tí)升企业形象
4、明确(què)定(dìng)义所有(yǒu)组(zǔ)织的内部和外部的(de)信息接口目标:谨(jǐn)防(fáng)数据(jù)的误用和丢失
5、建立(lì)安全(quán)工具使用方针
6、谨防技(jì)术诀窍的丢失(shī)
7、在组织内(nèi)部增强安全(quán)意识
8、可作为公共会计审计的证据
认识ISO27001国际标(biāo)准(zhǔn)
ISO27001(BS7799/ISO17799)国际标准究竟是什么?它(tā)如(rú)何帮助一(yī)个组织更加有(yǒu)效(xiào)地管理(lǐ)信息安全(quán)?BS7799/ISO27001和ISO9001之(zhī)间(jiān)有(yǒu)什么联系?初次涉猎信息安全管理领域应该掌握哪些内(nèi)容,以便组(zǔ)织发起信息安全(quán)管理项目?如何获得BS7799国际标准认证?
IT治理和(hé)信息安全
近年来企业高(gāo)层对内部治理需求越来越实际(jì)而具体。随着(zhe)信息技术(shù)普遍渗(shèn)透到企业组(zǔ)织(zhī)中的各个方面(miàn),企业越来越(yuè)依赖IT系统(tǒng)来处理和储存各种信息,以****业务正常运(yùn)营(yíng),由此IT系统在企(qǐ)业治理中的作z用越(yuè)来(lái)越明晰,IT治理也逐渐被大多数企(qǐ)业认(rèn)可,成为董事会和企业(yè)内部共同(tóng)关注的领域。IT治理(lǐ)的(de)基础部分是(shì)信息(xī)安全保护——包(bāo)括确保信(xìn)息的可用性、机(jī)密(mì)性和完整性——这是其他IT治理环节实施的前提。
与此同时(shí),和信息安全相关的国(guó)际(jì)标准已(yǐ)经出台,成为标(biāo)准IT治理框(kuàng)架中的一大基(jī)石。
信息(xī)安全和法律法规
业内人士对ISO27001认证趋之(zhī)若鹜,这其中有(yǒu)两个关键性的驱动因素(sù):一是日益严峻(jun4)的信息安全威胁(xié),二是不断增(zēng)长(zhǎng)的(de)信息(xī)保(bǎo)护相(xiàng)关法规(guī)的(de)需求。
本(běn)质(zhì)上说,信(xìn)息安全威胁是(shì)全球(qiú)化(huà)的。一般来说,它将毫无差别地辐射到每一个拥(yōng)有、使用电子信息(xī)的机构和个人。这种威胁(xié)在因(yīn)特网的环(huán)境中自动生成并释放。更严重的问题是(shì),其他(tā)各种形式的危险也在(zài)整日威胁数据安全,包括从外部攻击行为到(dào)内部破坏、偷盗等一系列危险。
过(guò)去的十年内,围绕信息和数(shù)据安全问题建立起来的法律法(fǎ)规体系从(cóng)无到有、不断壮大,其中包括专门针对(duì)个人数据保护(hù)问题的,也有(yǒu)针(zhēn)对(duì)企(qǐ)业财政、运营和风险管理(lǐ)体系建(jiàn)立的法(fǎ)规保障问题的。一套正式规范的信息安全管理体系应当可以提供****实(shí)践部署指导。目前,建立这样的管理(lǐ)体系逐渐成为诸多合规项目的必要(yào)条件,与此同时(shí),针对该管理(lǐ)体系(xì)的认证(zhèng)逐渐成为各种组织(包括(kuò)政府部门)的热门(mén)需求,这份认证可以为他们带来重要的潜(qián)在商业合同。
信(xìn)息安全和(hé)技术
绝大多(duō)数人认为信息安(ān)全是一个纯(chún)粹(cuì)的有关(guān)技术的话题(tí),只有那些技术(shù)人(rén)员,尤其是计算机安全技术(shù)人员,才能(néng)够处(chù)理任何保障数据和计算机安全的(de)相关事宜。这(zhè)固(gù)然有一定(dìng)道(dào)理(lǐ)。不过,实(shí)际上,恰恰(qià)是计算机用户本身需要考虑这样的问题:避(bì)免哪(nǎ)些(xiē)威胁(xié)?在信息安全和信息通畅中如(rú)何(hé)平衡取舍?的确如(rú)此,一(yī)旦用户给(gěi)出(chū)答(dá)案,计算机安全专家**可以设计并执(zhí)行(háng)一个技术方案以达成用(yòng)户需求。
在(zài)组织内(nèi)部(bù),管理(lǐ)层应当负责决策,而不(bú)是IT部门。一个规范的信息安全管理体系必须(xū)明确指出,组织机构(gòu)董事会和管理(lǐ)层应当负责相关信息安全管理(lǐ)体系的决策,同时,这个体系也应当能够反(fǎn)映这种决策,并且在运行过程中能够提供证据证明(míng)其有效性。
所以(yǐ)机构组织内部的信息安全管理体系的建(jiàn)立项目不必(bì)由一个技术专家来领导。事实上,技术专家在很多情况下起到(dào)相反的作用,可能会(huì)阻碍项目(mù)进程。因此,这个项目应该由质量管理经(jīng)理、总经(jīng)理或者其他(tā)负责(zé)机构内部重(chóng)大(dà)职能的执行(háng)主管负责主持。
信息安全(quán)标准
1995年(nián),英(yīng)国(guó)标准协会(BSI)发布BS7799标准,即ISMS(信(xìn)息安全管理(lǐ)体系),旨在(zài)规范、引导信息安全管理体系(xì)的发展过程和实施情况。BS7799标准被外界认为是一(yī)个不(bú)偏向任何技术、任何企业和产品供(gòng)应(yīng)商的(de)价值中立的管理体系。只要实施得当,BS7799标准将帮(bāng)助企业检查并(bìng)确认其信息安(ān)全管(guǎn)理手段和实施方案的(de)有效性。
从企业外部来看,BS7799关注(zhù)信息的可(kě)用性、机密(mì)性和完整性(xìng),至今这仍(réng)然是这项标(biāo)准****达(dá)到(dào)的目标。BS7799集中关注企业(yè)组(zǔ)织层面上的(de)风(fēng)险规避(一定程度上主(zhǔ)要(yào)是商业和金融(róng)风险),而(ér)不包括(kuò)避免(miǎn)每一个潜(qián)在(zài)风(fēng)险(xiǎn)的保护措施——尽(jìn)管它们至关重要(yào)。
BS7799**初仅(jǐn)有一份文档,且具有明显的实践指南性质。也**是说,它为组织提供信(xìn)息安全指引,但没(méi)有形成规范,不能为外(wài)部第三方审(shěn)计和认证等提供依据。随着越来越多的企业开始(shǐ)认识到来自信息安全的威(wēi)胁波(bō)及范围越来越广(guǎng),影响程度越来越大,并且关于(yú)数据和隐私(sī)权保护的法律法(fǎ)规不断出(chū)台,信息安全(quán)标准认证(zhèng)的需(xū)求开始不断(duàn)增加(jiā)。
这种需(xū)求的增加(jiā)**终(zhōng)促成了(le)该项标准****部分的出台,即标准规范。实践指南和(hé)标准规范之(zhī)间的关系是这样的:标准规范是认证方案的基础,同时标准规范要求实践者遵(zūn)从实(shí)践指南的(de)指(zhǐ)引。
这个实践指南**近被(bèi)修订为ISO/IEC 17799:2005,标准(zhǔn)规范也被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家也已发布了自己的相关标准(zhǔn),比如AS/NZS7799。这些标准的国际化版本可以在世界任何国(guó)家得到认可,这促使了**粱曜嫉南耍ǔ嘶诹礁霰曜(yào)己怕牖∩系(xì)谋**粱(liáng)曜家酝猓
认证与(yǔ)遵从
一个组织可以仅遵从ISO17799来建立和发展ISMS(信息安全管理体(tǐ)系(xì)),因为实践指(zhǐ)南中的内容是普(pǔ)遍适(shì)用的。然而,由于ISO17799并非基(jī)于认证框架,它不(bú)具备关于通过认(rèn)证所必需的(de)信息安全管(guǎn)理体系的要(yào)求。而ISO/EC27001则包含这些具(jù)体详(xiáng)尽的管理(lǐ)体系认证要(yào)求。在技术层面(miàn)来讲,这**表明一个正在独(dú)立运用ISO17799的机(jī)构组织,****符(fú)合实践指(zhǐ)南的要求,但是这并不足以(yǐ)让(ràng)外界(jiè)认可(kě)其已经达到认证框架所(suǒ)制定的认证要求(qiú)。不同的是,一个正在同时运(yùn)用(yòng)ISO27001和ISO17799标准的机构组织,可以建立一个****符(fú)合认证(zhèng)具体(tǐ)要求(qiú)的(de)ISMS,同时(shí)这(zhè)个ISMS体(tǐ)系也(yě)符合实践指南(nán)的要求(qiú),于是,这一组织**可(kě)以获得外界的认同,即(jí)获得(dé)认(rèn)证。
ISO27001认证(zhèng)要求
ISO27001标准是为了(le)与其他(tā)管理标(biāo)准,比如ISO9000和ISO14001等相互兼容而设计(jì)的,这一标准中的编号系统(tǒng)和文件管理需求(qiú)的设计初衷,**是为了(le)提供良好的兼容性,使得(dé)组织可以建立起这样一套管理体系:能够在(zài)****程度上融入这个组织(zhī)正在使用(yòng)的其他任何管理体系。一般来说,组织(zhī)通常会使(shǐ)用为其ISO9000认(rèn)证或者其他(tā)管理体系认证提供认证服务的机(jī)构,来(lái)提供ISO27001认证服务。正是因为这个缘故,在ISMS体(tǐ)系建立的(de)过(guò)程中,质量管理(lǐ)的经验举足轻重。
但是有一(yī)点需(xū)要注意,一个组织如(rú)果没有(yǒu)事先(xiān)拥有并使用任(rèn)何形式的(de)管理体系,并不意味着该组(zǔ)织不能进行ISO27001认证。这种情况下,该组织**应当从经济利益(yì)考(kǎo)虑,选择一个合适的管理体系的认证机(jī)构(gòu)来提供认证(zhèng)服务。认证机构必须(xū)得(dé)到一(yī)个国家鉴定机(jī)构的委(wěi)托授权,才能为认(rèn)证组织提供(gòng)认证服务,并发放认证(zhèng)证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何(hé)获(huò)得该机构授权进行(háng)ISMS认(rèn)证(zhèng)的机构均记录在案。
风险(xiǎn)评估应(yīng)对计划
任何一个ISMS体系的建立和开发都应(yīng)当满足组织独(dú)特的需求(qiú)。每个组织(zhī)不仅都有自己独(dú)特的(de)业务模式、运(yùn)营目标、形象特点和内部(bù)文化,他们(men)对待风险的态度(dù)倾向也大相径(jìng)庭。换句话说,同(tóng)一个(gè)东西(xī),一个机构组织认为是必须(xū)提防的威胁,在(zài)另(lìng)一个组(zǔ)织看(kàn)来(lái)可能是(shì)一个必须抓住的机遇。同样地,各(gè)个机构(gòu)组织对于既有(yǒu)风(fēng)险防护的投入(rù)也参差不齐。基于以(yǐ)上或者(zhě)其他原因(yīn),每个(gè)运行ISMS的组(zǔ)织,其内部成员必须对风险评估有一个共识,这个风(fēng)险(xiǎn)评估的方(fāng)法论、结果(guǒ)发现和推荐解(jiě)决方式都必须得到董事(shì)会的首肯(kěn)。
ISMS项目和PDCA流程
ISMS项目(mù)很复杂,可能持续若干个月(yuè)甚至(zhì)若干年,涉及(jí)整个机(jī)构组织以(yǐ)及从管理(lǐ)层到(dào)收发部门的每个(gè)成员。ISO27001认证(zhèng)诞生时间短,成功(gōng)的案(àn)例比较少。从务(wù)实的角度考(kǎo)虑,这表明在项目计划过(guò)程中,必(bì)须尽早对这些(xiē)仅有的指导(dǎo)性的(de)书籍(jí)和(hé)案(àn)例进行分析和(hé)研究(jiū)。
ISO27001标准指导一个企业如何(hé)着手开展ISMS项目,并(bìng)且关注整(zhěng)个项(xiàng)目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流(liú)程,即计划(Plan)-执行(Do)-检查(Check)-提升(shēng)(Act)过程,意在说明业务流程应当是(shì)不断(duàn)改进的,该方(fāng)法(fǎ)使得职能部(bù)门(mén)经理可以(yǐ)识别出(chū)那些需(xū)要修正的(de)环节并进行修正。这个流程以及流(liú)程的(de)改进,都必须(xū)遵循(xún)这样一个过程:先计(jì)划(huá),再(zài)执行,而后对其(qí)运行(háng)结(jié)果(guǒ)进(jìn)行评(píng)估,紧接着(zhe)按照计划的具体要(yào)求对该评估进行(háng)复查,而后寻找到任何与计划(huá)不符的结(jié)果(guǒ)偏差(即潜在改进的可能性),**后向管理层提出如(rú)何运行的**终报(bào)告。
ISO27001认证(zhèng)审核(hé)费(fèi)用及(jí)周期(qī)
除了组织自身投入之(zhī)外,ISO27001 认证审核(hé)费用主要体现在聘请第三方认证机构及审核员方(fāng)面(miàn)了(le)。在组织向(xiàng)认证机构提出申(shēn)请之后,认证机(jī)构(gòu)会初步了解组织现状,确定(dìng)审核(hé)范围,提出(chū)审(shěn)核报价(jià)。认(rèn)证机构的(de)报价(jià)通常是根据其(qí)投入(rù)的时间(jiān)和人(rén)员来确定的,决(jué)定因素(sù)包括:
1、受审核组(zǔ)织(zhī)的员工(gōng)数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外(wài)界的关联(lián);
5、组织(zhī) IT 的复杂性;
6、组织类型和业务性(xìng)质(zhì)等。
除了费用问题,认证审核的(de)周期通常也是组(zǔ)织比较关心的。一般来说,从组织(zhī)启动 ISMS建设项(xiàng)目(mù)开始,到(dào)**终通过审核,至少要有半(bàn)年时间(不包括(kuò)获取证书的时间)。对于很多因为(wéi)外部驱动力而决心实施 ISO27001 认(rèn)证项目的组织来(lái)说,提早进行(háng)规划是必要的。[6] 
