标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建(jiàn)议,供负责在(zài)其组织启动(dòng)、实施或维护安(ān)全的(de)人员使用。该标准为开发组(zǔ)织的安全标准和有(yǒu)效的安全管理(lǐ)做法提供公共基础,并(bìng)为组织之间的交往提供(gòng)信任。
标准指出“象其他重要业务(wù)资产(chǎn)一样,信息(xī)也是一种资(zī)产(chǎn)”。它对(duì)一个组织具有价(jià)值,因(yīn)此需要加以合适地保护。信息安全(quán)防止信息受(shòu)到的各种威胁,以确保业务连(lián)续性,使业务受到损害的风险减至**小,使(shǐ)********和业务机会****。
信息安全是通(tōng)过实现一组合适控制获得(dé)的。控制可(kě)以是(shì)策略、惯例、规程、组(zǔ)织结构和软件功能。需要(yào)建立这些控制,以确保满(mǎn)足该(gāi)组织(zhī)的特定安全目标(biāo)。
内容章(zhāng)节
ISO/IEC17799-2000包含(hán)了127个安全控(kòng)制措施来帮助组(zǔ)织识(shí)别在运做过程中对信息安(ān)全有影(yǐng)响(xiǎng)的元(yuán)素,组织可以根据适用的法律(lǜ)法规和章程加以(yǐ)选择和使(shǐ)用,或者增加其他(tā)附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了(le)修(xiū)订(dìng),修订后(hòu)的标准(zhǔn)作为ISO 27000标准(zhǔn)族的****部分——ISO/IEC 27001,新标(biāo)准去掉(diào)9点(diǎn)控制措施,新增17点(diǎn)控制措(cuò)施,并重(chóng)组部(bù)分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更(gèng)适合应(yīng)用;并修(xiū)改了部分控制措施措(cuò)辞。修改后(hòu)的标准包括11个章节:
1)安全(quán)策略。指定信(xìn)息安全方针,为信息安全提供管(guǎn)理指引和支持,并定期评审。
2)信(xìn)息安全的组(zǔ)织。建立信(xìn)息(xī)安全(quán)管(guǎn)理组织体(tǐ)系,在内(nèi)部(bù)开展和控制信息安全的实施。
3)资产管理(lǐ)。核(hé)查所有信息资产,做好信息分类,确(què)保信息资产受到适当(dāng)程度的(de)保护(hù)。
4)人力资源安(ān)全。确保所(suǒ)有员工,合(hé)同方(fāng)和第(dì)三方了解信息安全威胁和相关(guān)事(shì)宜以(yǐ)及各自的责任,义(yì)务,以减少人为差(chà)错,盗窃,欺诈或误(wù)用设施的(de)风险(xiǎn)。
5)物(wù)理和环境安全。定义安全区域,防止对办公场所和信息的未(wèi)授(shòu)权访(fǎng)问,破坏和干扰;保(bǎo)护设备的安全,防(fáng)止信(xìn)息资产的丢失,损(sǔn)坏或被盗(dào),以及对(duì)企业(yè)业务的(de)干扰(rǎo);同时,还要(yào)做好(hǎo)一般控制,防止信息和(hé)信息处理设施的损坏和被(bèi)盗。
6)通信和操作管理。制定操作(zuò)规程(chéng)和职责,确保(bǎo)信息处理设施(shī)的正(zhèng)确和(hé)安全操作;建立系统规划(huá)和验收准则,将系统失效(xiào)的(de)风险降到(dào)****;防范恶意代码(mǎ)和移动代码,保护软件和信息的完整性;做好信(xìn)息备(bèi)份和网络安全管理(lǐ),确保信息在(zài)网(wǎng)络中的安全,确保其支持性基础设施(shī)得到保护;建立媒体处置和安全(quán)的规程,防止资产损坏和业务(wù)活动(dòng)的中断;防止信息和软件在组(zǔ)织之间交(jiāo)换时丢失,修改或(huò)误用。
7)访问(wèn)控制。制定访问控(kòng)制(zhì)策略,避免(miǎn)信(xìn)息系统(tǒng)的非授权访问(wèn),并让用户了解其职责和义务,包括网络访问控制,操(cāo)作系统访问控制,应用系(xì)统(tǒng)和信息访问控制,监视系(xì)统访(fǎng)问和使用,定(dìng)期(qī)检测未授权(quán)的活动;当使用移动办(bàn)公和远(yuǎn)程控制时,也要确(què)保信息安全。
8)系(xì)统采集、开(kāi)发和维护。标示系统(tǒng)的安全要求,确保(bǎo)安全成(chéng)为信息(xī)系统的(de)内置部分(fèn),控制应用系统(tǒng)的安全,防止(zhǐ)应用系(xì)统中用户数据的丢失,被修改或误(wù)用;通过(guò)加(jiā)密手段保护信息的保密性,真实性和(hé)完整性;控制对系统(tǒng)文(wén)件的访问,确保系(xì)统文档(dàng),源程序代(dài)码的安全;严格控制开发和支持过程,维护应(yīng)用系统(tǒng)软件和信息安全。
9)信息安全事(shì)故管理(lǐ)。报告信(xìn)息安(ān)全事件(jiàn)和弱点,及时采取纠正措(cuò)施,确保(bǎo)使用持续有效的方法管(guǎn)理信息(xī)安全事(shì)故,并(bìng)确保及时修复。
10)业务连续性管理。目的是为(wéi)减少业务活动的中(zhōng)断(duàn),是关键业务过程(chéng)免受主要(yào)故(gù)障或天灾的影响(xiǎng),并确保及(jí)时恢(huī)复。
11)符合性(xìng)。信息系统(tǒng)的设计,操作,使用过程和管理要符合(hé)法(fǎ)律法规的要求,符合组织安全方针和标准,还(hái)要控制系统审计(jì),使信息(xī)审核过程的(de)效力(lì)****化,干扰**小化。
ISO27001的效益
1、通过定义、评估和(hé)控制(zhì)风险,确保经营的持续性和能力
2、减少由于合(hé)同违规(guī)行(háng)为以及直(zhí)接触犯法律法(fǎ)规要求(qiú)所(suǒ)造成的责任
3、通过遵守国际标准(zhǔn)提高企业竞争能力,提升(shēng)企业形象
4、明(míng)确定义所有组织的内部(bù)和外部的信息接口目标:谨防数据的误用和丢失(shī)
5、建立安全工具使用方针(zhēn)
6、谨防技(jì)术(shù)诀(jué)窍的丢失
7、在组织内部增强安全意识
8、可作为(wéi)公共会(huì)计审(shěn)计的证据
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国际标准究(jiū)竟是什么?它(tā)如何帮助(zhù)一个组织更(gèng)加有效地管理(lǐ)信息安(ān)全?BS7799/ISO27001和(hé)ISO9001之间有什(shí)么联系(xì)?初次涉猎信(xìn)息安全管理领域应该掌握哪些内容(róng),以便(biàn)组(zǔ)织发起信息安(ān)全管理项目?如何获得BS7799国(guó)际(jì)标准认证?
IT治理和(hé)信息安全(quán)
近年来企(qǐ)业(yè)高层对(duì)内部治(zhì)理需求越来(lái)越实际而具体。随(suí)着信息技术普遍渗透到企业组织(zhī)中的各个方面,企业越来(lái)越依赖(lài)IT系统(tǒng)来处理和储存各种(zhǒng)信息,以****业务正常运营(yíng),由此IT系统在(zài)企(qǐ)业治理中(zhōng)的(de)作z用越来(lái)越明晰,IT治理(lǐ)也逐渐被大多(duō)数企业认可(kě),成为董事会和(hé)企业(yè)内部共同关注的(de)领域。IT治理(lǐ)的基础部分是信息安全保护——包括确保(bǎo)信息的(de)可用性、机密性和完整性——这是(shì)其他(tā)IT治理环节(jiē)实(shí)施的(de)前提。
与此同时(shí),和信息安全相关的国际标准已经出(chū)台(tái),成(chéng)为标准(zhǔn)IT治(zhì)理框架中的一大基石。
信(xìn)息安全(quán)和法律法(fǎ)规(guī)
业内人士对ISO27001认证趋之若鹜(wù),这其(qí)中有(yǒu)两个关键性的驱动(dòng)因素:一(yī)是日(rì)益严峻的(de)信息安全(quán)威(wēi)胁,二是不断增长的信息(xī)保护相(xiàng)关(guān)法规的需求。
本质上(shàng)说,信(xìn)息安全威(wēi)胁(xié)是(shì)全球化的。一般来说,它(tā)将(jiāng)毫无(wú)差别地辐射到每一个拥有、使用电子信息的机构和个人。这种(zhǒng)威(wēi)胁在因特网的环境中(zhōng)自动生(shēng)成并(bìng)释放。更严重的问题是,其他各种形式的危险也在整日威(wēi)胁(xié)数据安全,包括从外部攻击行(háng)为到内部破坏、偷盗等一系(xì)列危险。
过(guò)去(qù)的(de)十年内,围绕信息和(hé)数据安全问题建立起来的法(fǎ)律法规体系从(cóng)无到(dào)有、不(bú)断壮大(dà),其中包括专门针对个人(rén)数据(jù)保护问(wèn)题的,也有(yǒu)针对(duì)企业财政、运营和风险管理体系建立(lì)的法规保障问题的。一套正(zhèng)式规范的信息安全管理体系应当可以(yǐ)提供****实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规(guī)项目的必要条件,与(yǔ)此同时,针对(duì)该管理(lǐ)体(tǐ)系的认证逐渐成为(wéi)各种(zhǒng)组织(包括政府部门)的热门需求(qiú),这份认证可(kě)以为他们带来重(chóng)要(yào)的潜在商业合(hé)同。
信息(xī)安全和技术
绝(jué)大多数人(rén)认(rèn)为信息安全是(shì)一个纯粹(cuì)的有关(guān)技术(shù)的话题,只(zhī)有那些技术人员,尤其是计算机(jī)安全技术人员,才能够处理任何保(bǎo)障数(shù)据和计(jì)算机安全的相关事宜。这(zhè)固然有一(yī)定道理。不(bú)过,实际上(shàng),恰恰是(shì)计(jì)算机用(yòng)户本(běn)身需(xū)要考(kǎo)虑这(zhè)样(yàng)的问(wèn)题:避免哪些威胁?在信息安(ān)全(quán)和信息通畅中(zhōng)如(rú)何平衡取舍?的确如此,一旦用户给出答案,计算机安全专家(jiā)**可以设计并执行一个技术方(fāng)案(àn)以(yǐ)达成用(yòng)户需求(qiú)。
在(zài)组织内部,管理层应当负责决(jué)策,而不是IT部门。一个规(guī)范的信息(xī)安全管理体系(xì)必须明确指出,组织(zhī)机构董事会和管理层应当(dāng)负责相关信息安全管理体系的决策,同时,这个体(tǐ)系也(yě)应当(dāng)能够(gòu)反映这(zhè)种决策,并且在运(yùn)行过程中能够提供证据证明其有效性。
所以机构(gòu)组织内部(bù)的信息安全管理体系的建立项目不必由一个(gè)技术(shù)专(zhuān)家来领导。事实上,技术专家在(zài)很多(duō)情况下起到(dào)相反的作用,可能会阻碍项目进程。因此,这个项目应该由质量(liàng)管理经理、总(zǒng)经理或者其(qí)他负责机构(gòu)内部重大职能的执行主管负责主(zhǔ)持(chí)。
信息安全(quán)标准(zhǔn)
1995年,英国标准协会(BSI)发布BS7799标准(zhǔn),即ISMS(信息安全管理体系),旨在(zài)规范、引导信息安全管理体系的发展过(guò)程和实施情况(kuàng)。BS7799标准被(bèi)外界(jiè)认(rèn)为是(shì)一个不偏向(xiàng)任(rèn)何技术(shù)、任何企业和(hé)产品供应商(shāng)的价(jià)值中立的(de)管理体系。只要实施得当(dāng),BS7799标准将帮助企业(yè)检查(chá)并确(què)认其信息安全管理手段(duàn)和实施(shī)方案的有效(xiào)性(xìng)。
从企(qǐ)业(yè)外部来看,BS7799关注信息的可(kě)用性、机密性和完整性,至今这仍然是这项标准****达(dá)到的(de)目标。BS7799集中关注企业组织层面上的(de)风险规避(一(yī)定程度上主要(yào)是商业和金融风险),而不包(bāo)括避免每(měi)一个潜(qián)在风(fēng)险的保护措(cuò)施——尽管它们至关重(chóng)要。
BS7799**初仅有一份文(wén)档,且具有明显的(de)实践指南性(xìng)质。也**是说,它为组织提供信息安全指引,但没有形成规范,不(bú)能为外部(bù)第三方审计和(hé)认证等提供依据(jù)。随(suí)着越来越多(duō)的企(qǐ)业(yè)开始认识到来自信息安全的威胁(xié)波及范围越来(lái)越广,影响程度越来越大,并(bìng)且(qiě)关于(yú)数据和隐私权保护的法律(lǜ)法规不断出台,信息安全标准认证的需求(qiú)开始(shǐ)不(bú)断增加。
这种需求(qiú)的增加**终促成了(le)该项标(biāo)准****部分的出台,即标准规范(fàn)。实(shí)践指(zhǐ)南和标准规范之(zhī)间的关系是(shì)这(zhè)样的:标(biāo)准规(guī)范是认证方案的(de)基(jī)础,同时标准规范要求实践者遵从实(shí)践指南的指引。
这个实践(jiàn)指(zhǐ)南**近被修订(dìng)为ISO/IEC 17799:2005,标(biāo)准规(guī)范也被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家(jiā)也已发布了(le)自己的(de)相(xiàng)关标(biāo)准,比如AS/NZS7799。这些标准(zhǔn)的(de)国(guó)际化(huà)版本可以(yǐ)在(zài)世界任何国家得到认可(kě),这促使了**粱(liáng)曜嫉南(nán)耍ǔ嘶诹(zōu)礁(jiāo)霰曜(yào)己怕(pà)牖∩系谋**粱曜家酝猓
认证与遵从
一(yī)个组织可(kě)以仅遵从ISO17799来建立和发(fā)展ISMS(信息安全管理体系),因为实(shí)践(jiàn)指南(nán)中的(de)内容是普遍适用的(de)。然(rán)而,由于ISO17799并非基于认证框架,它不具备关于通过(guò)认证所必需的信息安(ān)全管(guǎn)理体系(xì)的要求。而ISO/EC27001则(zé)包(bāo)含这些具体详尽的管理体系认证要求。在技术层面(miàn)来讲,这**表明一个(gè)正在(zài)独立运(yùn)用ISO17799的(de)机构组织,****符合实(shí)践指南的要求,但(dàn)是这并(bìng)不足(zú)以让(ràng)外界认可其(qí)已经达到认证框架(jià)所制定的认证要(yào)求。不(bú)同的是(shì),一(yī)个(gè)正在同时运用(yòng)ISO27001和ISO17799标准的机构组织,可以(yǐ)建立一个****符合认证具体要求的(de)ISMS,同(tóng)时这个(gè)ISMS体系也符合实践(jiàn)指南的要求,于是,这(zhè)一组织**可(kě)以获得(dé)外界(jiè)的认同,即获(huò)得认(rèn)证(zhèng)。
ISO27001认证要求
ISO27001标准是为(wéi)了与其他(tā)管(guǎn)理(lǐ)标准,比如ISO9000和ISO14001等相互兼容而设(shè)计的,这一标准中的(de)编号系统和文件管理需求的设计初(chū)衷,**是(shì)为了提供良好的兼容(róng)性(xìng),使得组织可以建立起这样一(yī)套管理体系:能够在(zài)****程度上(shàng)融入这(zhè)个组(zǔ)织(zhī)正在使用的其(qí)他(tā)任何管理体系。一般来(lái)说,组织(zhī)通(tōng)常会(huì)使(shǐ)用为其(qí)ISO9000认证或(huò)者其他管理(lǐ)体系认(rèn)证提(tí)供(gòng)认证服(fú)务的机构(gòu),来(lái)提供ISO27001认证服务。正是因为(wéi)这个缘故,在(zài)ISMS体(tǐ)系建立的过程中,质量管理的经验举足(zú)轻重。
但是有一点需要注(zhù)意,一个组织如果没有事先拥有(yǒu)并使(shǐ)用任何形(xíng)式的管理体系,并不意味着该组织不能进行ISO27001认(rèn)证。这(zhè)种情(qíng)况下,该组织**应当从(cóng)经济利益考虑(lǜ),选择一个合适的管理体系(xì)的(de)认证机构(gòu)来提(tí)供认证服(fú)务。认证机构必(bì)须得(dé)到一个国家鉴定机(jī)构的委托授权,才能为(wéi)认(rèn)证(zhèng)组织提供认证服务(wù),并(bìng)发放认证证书(shū)。大多(duō)数国家都有自己的(de)国(guó)家鉴定机构(比如:英国UKAS),任何获得(dé)该机构(gòu)授权进行ISMS认证的机构均记录在案。
风险评估应对计划
任何一个ISMS体系的建立和(hé)开发(fā)都(dōu)应当满足组织(zhī)独特的需(xū)求。每个组织不仅都有自己独特(tè)的业务(wù)模式、运营目标、形象特(tè)点和内部文化,他们对待风险的态度(dù)倾向(xiàng)也大相径庭。换句(jù)话说,同一个东西,一个机构组(zǔ)织认为是(shì)必须提防的威胁,在另一个组织看来(lái)可能是一个必(bì)须抓住的机(jī)遇。同样地(dì),各个机构(gòu)组织对于既有风险防(fáng)护的投入也参差不齐。基于以上或(huò)者其他(tā)原因,每个(gè)运行ISMS的组织,其内部成员必须对风险评(píng)估有一个(gè)共识,这(zhè)个风险(xiǎn)评估的方(fāng)法论、结果发(fā)现和推(tuī)荐解决(jué)方式都必须得到董事会的首肯。
ISMS项目和PDCA流程
ISMS项目很复(fù)杂,可能持续(xù)若(ruò)干个月甚至若(ruò)干(gàn)年,涉及整个机构(gòu)组织以(yǐ)及从管理层到收发部门的(de)每个成员。ISO27001认证诞(dàn)生时间短,成功的(de)案例比较少。从(cóng)务(wù)实的角度考虑(lǜ),这表明在项目计划过程中,必须尽早对这些仅有的指导性(xìng)的书籍(jí)和案例进行分析(xī)和研究。
ISO27001标准指导一(yī)个企业如何着手开展ISMS项目,并且关(guān)注整(zhěng)个项目(mù)进程(chéng)中的若(ruò)干重(chóng)要元素。
1950年W. Edwards Deming提出PDCA流程,即计(jì)划(huá)(Plan)-执行(háng)(Do)-检(jiǎn)查(chá)(Check)-提升(Act)过程,意在(zài)说明(míng)业务流程应当是不断改(gǎi)进的,该方法使(shǐ)得职能部门经理可以识别出那些(xiē)需要修正的环节并(bìng)进行修正。这个流程以(yǐ)及流程的改进,都必须遵循这(zhè)样一个过程:先计划,再(zài)执行,而后对其运(yùn)行(háng)结果进行(háng)评估,紧接着按照计划的具体要求对该(gāi)评估(gū)进行复查,而后寻找到任何与计划(huá)不符的结果偏差(即潜在改进的可能性),**后向管理层提出如何运行(háng)的**终报告。
ISO27001认证审(shěn)核费用及周期(qī)
除了组织自身投入(rù)之外,ISO27001 认证审核费用主要体(tǐ)现在聘请第三方(fāng)认证机构(gòu)及审核员方(fāng)面了。在组织(zhī)向认证机构提出申请之后,认证机构(gòu)会初步了(le)解组织现状,确定审核范围,提出审核报价(jià)。认(rèn)证机(jī)构的(de)报(bào)价通常是根据其(qí)投入的(de)时间和(hé)人员来确定的,决定(dìng)因素包括:
1、受审核组织的(de)员(yuán)工数量(liàng);
2、纳入审核范围的信(xìn)息(xī)量;
3、场所数量;
4、组织与外界(jiè)的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质(zhì)等。
除了费(fèi)用问题,认证审核的周期通常(cháng)也是组织比较关(guān)心的。一(yī)般来(lái)说,从组(zǔ)织启动 ISMS建设项目开始,到**终通过(guò)审核,至少要有半年时(shí)间(不包(bāo)括(kuò)获取证书的时间)。对于很多因为外部驱动力(lì)而决心实施(shī) ISO27001 认证项目的(de)组(zǔ)织(zhī)来说,提早(zǎo)进(jìn)行规划是必要的。[6] 
