标准的(de)主要(yào)内容(róng)
ISO/IEC17799-2000(BS7799-1)对信(xìn)息安全(quán)管理给出建议,供负责在其(qí)组织启(qǐ)动、实施或(huò)维护(hù)安全的人员(yuán)使用。该标准为开发组织的安全标准和有效的安全管理做(zuò)法提供(gòng)公共基(jī)础,并为组织(zhī)之间的交往提(tí)供信任。
标准指(zhǐ)出“象其他重要业务资产(chǎn)一样,信息也是一种(zhǒng)资产”。它对一(yī)个组(zǔ)织具(jù)有价值,因(yīn)此(cǐ)需要(yào)加以合适地保护(hù)。信息安全(quán)防止信息受到的各(gè)种威(wēi)胁,以确保业务连续性,使(shǐ)业务(wù)受(shòu)到损害(hài)的风险减至**小(xiǎo),使********和业务机会****。
信息(xī)安全是通过实现一组合适控制获得的(de)。控(kòng)制可以是策略、惯例、规程、组织结构(gòu)和软(ruǎn)件功(gōng)能。需要建立这些控制,以确(què)保(bǎo)满足该组织的特定(dìng)安全目标(biāo)。
内容章(zhāng)节
ISO/IEC17799-2000包含了127个安全控制措施来(lái)帮助组织识别在(zài)运做过程中对信息(xī)安全有影(yǐng)响(xiǎng)的元素,组织可以(yǐ)根(gēn)据适用的法(fǎ)律法规和(hé)章程加以选择和使(shǐ)用,或者(zhě)增(zēng)加(jiā)其他附加控(kòng)制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订(dìng),修订后(hòu)的标准作为ISO 27000标(biāo)准族(zú)的(de)****部分——ISO/IEC 27001,新标准(zhǔn)去(qù)掉9点控制措施(shī),新增17点控制(zhì)措施,并重组部分控制措施而新增一章,重组(zǔ)部分(fèn)控制措(cuò)施,关联性逻(luó)辑性(xìng)更好,更适(shì)合(hé)应用;并修改了部分控制措施措辞。修改后的标准(zhǔn)包括11个(gè)章(zhāng)节:
1)安全策略(luè)。指定信息安全方针,为(wéi)信息安全提供管(guǎn)理(lǐ)指引和支持(chí),并定期评(píng)审。
2)信息安全的组织。建立信息安全管理组(zǔ)织体(tǐ)系,在内部开(kāi)展和控制信(xìn)息安全的实施。
3)资(zī)产管理。核查所(suǒ)有信息资产,做好信息分类,确保(bǎo)信息资产受(shòu)到(dào)适当程度的保护(hù)。
4)人力(lì)资源安全。确保所(suǒ)有员工(gōng),合同方和(hé)第三方了解信(xìn)息安(ān)全(quán)威胁和相关事(shì)宜(yí)以及(jí)各(gè)自的责任(rèn),义务,以(yǐ)减(jiǎn)少(shǎo)人为差错,盗(dào)窃,欺诈(zhà)或(huò)误用设施的风(fēng)险。
5)物理和环境安全。定义安全区(qū)域,防止(zhǐ)对办公场所和(hé)信息的未(wèi)授权访问(wèn),破坏和干扰(rǎo);保护设备(bèi)的安全,防止信息资产的(de)丢(diū)失(shī),损(sǔn)坏或被盗,以(yǐ)及对企业业(yè)务的干扰;同时,还要做好一般控制,防(fáng)止(zhǐ)信(xìn)息(xī)和信(xìn)息处理(lǐ)设施(shī)的损坏和被盗。
6)通信和操作管理(lǐ)。制(zhì)定操作规程(chéng)和职责(zé),确(què)保信息处理设施(shī)的正确(què)和安全操(cāo)作;建立系(xì)统规划(huá)和验收(shōu)准则,将系统失效的风险降到****;防范恶意(yì)代码(mǎ)和移动(dòng)代码,保(bǎo)护软件和信息的完(wán)整性;做好信息备份和网(wǎng)络安全管理,确保(bǎo)信息在网络中的安全(quán),确保其支持性(xìng)基础设施得到保护;建立媒(méi)体处置和(hé)安全的规程,防止(zhǐ)资产(chǎn)损坏和业务活动(dòng)的中断;防止信息(xī)和软件在组织之(zhī)间交换时丢失,修改(gǎi)或误用。
7)访问控制。制定访问控制策略(luè),避免信息系统的非授(shòu)权访问,并让用户了解其职责和(hé)义务,包(bāo)括(kuò)网络访问(wèn)控制,操作系统(tǒng)访(fǎng)问控(kòng)制,应用(yòng)系统和信息(xī)访问(wèn)控制(zhì),监(jiān)视系统访问和使用,定期检测未授权的(de)活(huó)动(dòng);当使用移动办公和远程控制时,也要确保信息安全。
8)系统(tǒng)采集(jí)、开发和维护。标(biāo)示系统的安全(quán)要求,确保安全成为信息系统(tǒng)的(de)内置(zhì)部分,控制应用系统的安全,防止应用系(xì)统中用户数据的丢失,被修改或误用;通过(guò)加密(mì)手(shǒu)段保护信息的保密性,真实性和完(wán)整性(xìng);控制对系统文件的访问,确保系统文档,源程序代码的安全;严格控(kòng)制(zhì)开发和支持过程,维护(hù)应用系统(tǒng)软(ruǎn)件和信息安全(quán)。
9)信息(xī)安全事(shì)故管理。报告信息安全事件和弱(ruò)点,及时采取纠正措(cuò)施,确保使用(yòng)持续有效的(de)方法管理信息安全事故,并确保及时(shí)修复。
10)业务连续性管理(lǐ)。目的是为减少(shǎo)业务(wù)活动的中断(duàn),是关键业务(wù)过程免(miǎn)受主要故障(zhàng)或天灾的(de)影响,并确保及时恢复。
11)符合性。信(xìn)息系统的设计,操作,使用过程和管(guǎn)理要符合法律法规的要求,符合组织(zhī)安(ān)全(quán)方针和标准,还(hái)要控制系(xì)统审计,使(shǐ)信息审核过程的(de)效(xiào)力****化,干扰**小化。
ISO27001的效益
1、通过定义、评估和控(kòng)制风险,确保经营的持续性和能(néng)力
2、减少由于合同(tóng)违规行为以(yǐ)及直(zhí)接触犯法律法规要求(qiú)所造成的责任
3、通过遵守(shǒu)国际标准(zhǔn)提高企业(yè)竞争能力,提(tí)升企业(yè)形象
4、明确定义所(suǒ)有组织的内部(bù)和(hé)外部(bù)的信息接口目标:谨防数据的误用和丢失
5、建立安(ān)全工具(jù)使(shǐ)用方针
6、谨防技(jì)术诀窍的丢(diū)失
7、在组织内部增强安全意识
8、可作为公共会计(jì)审计的证(zhèng)据
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国际(jì)标准(zhǔn)究竟是什么?它如何帮助(zhù)一个组(zǔ)织更加(jiā)有效地管理(lǐ)信息(xī)安(ān)全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息(xī)安全管(guǎn)理领域应该掌(zhǎng)握哪些内容,以便组织发起信息安全管理项目(mù)?如何(hé)获(huò)得BS7799国际标(biāo)准认证?
IT治理和(hé)信息(xī)安(ān)全
近年来企业高层对内(nèi)部治理需求越来越实(shí)际而具(jù)体。随着信息(xī)技术普遍(biàn)渗(shèn)透到企业组织中的各个方面,企业越(yuè)来越依赖(lài)IT系统(tǒng)来处理和储存各种信息,以****业务正(zhèng)常运(yùn)营,由此IT系统在企业(yè)治理中(zhōng)的作z用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事会和企业(yè)内部(bù)共(gòng)同(tóng)关注的(de)领域。IT治理(lǐ)的(de)基(jī)础部分是(shì)信(xìn)息安(ān)全保护——包括(kuò)确保信息的可用性、机密(mì)性和完整性——这是其他IT治理(lǐ)环节(jiē)实(shí)施的前提(tí)。
与此同时,和信息安全相关的国际(jì)标准(zhǔn)已经出台,成为标准(zhǔn)IT治理框架(jià)中的一大基石(shí)。
信(xìn)息(xī)安(ān)全和法律法规
业内人(rén)士对ISO27001认证趋(qū)之若(ruò)鹜(wù),这其中有两(liǎng)个(gè)关键性的驱动因素:一是日益严峻的信息(xī)安(ān)全威胁,二是不(bú)断增长的信息保护相关法规(guī)的(de)需求。
本(běn)质上说,信(xìn)息安全威胁是全球化的。一般来(lái)说,它(tā)将毫无差别地辐射(shè)到每一个拥有、使用电子信息的机构(gòu)和个(gè)人。这种威胁在(zài)因特网的环(huán)境中自动生(shēng)成并释放。更严重的问题是,其他各种形(xíng)式的危险也在整(zhěng)日(rì)威(wēi)胁数据安全,包括从外部攻(gōng)击行为(wéi)到(dào)内部破坏、偷(tōu)盗等(děng)一系列危险(xiǎn)。
过去的十年内,围绕(rào)信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人数据保护问题的,也(yě)有(yǒu)针对企业财政、运营和风险(xiǎn)管理体(tǐ)系建立的法规保障问题的(de)。一套正式规范的信息安全管理体系应当可以提供****实践部署指导。目(mù)前,建(jiàn)立这样的管理体(tǐ)系逐(zhú)渐(jiàn)成为诸(zhū)多(duō)合规项目的必要条(tiáo)件,与此同(tóng)时,针对该管理体系的认(rèn)证逐(zhú)渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带(dài)来(lái)重要的(de)潜在商业合同。
信息(xī)安(ān)全和技术
绝大多(duō)数(shù)人认为信息安全是一个纯粹的有关技术的话题,只有那些技术人(rén)员,尤其是计(jì)算机安全(quán)技术人员,才能够处理任何保(bǎo)障(zhàng)数据和计算(suàn)机安全的相关事宜。这固然有一定(dìng)道(dào)理。不过,实际上,恰恰(qià)是计算机用户本身(shēn)需(xū)要(yào)考(kǎo)虑这样的问题:避免(miǎn)哪些(xiē)威胁?在信息安全和信息通畅(chàng)中如何平衡取舍?的确如此,一旦用户给出答案,计算机(jī)安全(quán)专家**可以(yǐ)设计并执行一个技术方案(àn)以达成用户需求。
在(zài)组(zǔ)织内部,管理层应当负责决策,而不是IT部门。一个(gè)规范的信(xìn)息安(ān)全管理体系必(bì)须明(míng)确指出,组织机构董事会和管理(lǐ)层应当负责相(xiàng)关信息安全管理体(tǐ)系的决策,同时(shí),这(zhè)个体系也应当能够反映(yìng)这种决策,并且在运行过程中能够提供证据证明其(qí)有效(xiào)性(xìng)。
所以机构组织内部的信息(xī)安(ān)全管理体(tǐ)系(xì)的(de)建(jiàn)立(lì)项目不必由一个技术专家(jiā)来领导。事实上(shàng),技术专家在很多情况下起到相反的(de)作(zuò)用,可能会阻碍项(xiàng)目进程。因此(cǐ),这个(gè)项(xiàng)目应该由质量管理经理、总经理或(huò)者其他负责机构(gòu)内部重大职能的执行主管负责主持。
信息(xī)安(ān)全标准
1995年(nián),英国标准协会(BSI)发布BS7799标准,即(jí)ISMS(信息安全管(guǎn)理体系),旨在规范、引导信息(xī)安全管理体系的(de)发展过(guò)程和(hé)实施情况。BS7799标准被外界认为是一(yī)个不偏向任(rèn)何技术、任何企(qǐ)业和产(chǎn)品供应商的价值中立的管理体(tǐ)系。只要实施(shī)得当,BS7799标准将帮助企(qǐ)业检查并确认其信息(xī)安全管理手段和实施(shī)方案的有效(xiào)性。
从企(qǐ)业外(wài)部来看,BS7799关注信(xìn)息的可用性、机(jī)密性和(hé)完整性,至今这(zhè)仍然是这项标准(zhǔn)****达到的目(mù)标。BS7799集中关注企业组织层面上的风(fēng)险规避(一定程度上主要是(shì)商业(yè)和金(jīn)融风险),而不包括避免每(měi)一(yī)个潜在风险的保(bǎo)护措施——尽管它们至关重(chóng)要。
BS7799**初仅有(yǒu)一份文(wén)档,且具有明显的实践指(zhǐ)南性质。也(yě)**是(shì)说,它为组织提供信息安全指引,但没有形成规范,不能(néng)为外部第三方审计和认证等提供依(yī)据(jù)。随(suí)着越来越多的企业(yè)开始认识到来自信息安全的威胁波及范围(wéi)越来越广,影(yǐng)响程度(dù)越来越大,并且关于数据和(hé)隐私(sī)权保护的法律法规不断出台,信(xìn)息安全标准认证(zhèng)的需求开始不断增(zēng)加。
这种需求的增加(jiā)**终(zhōng)促(cù)成了该项标准****部(bù)分的出(chū)台,即标准规范(fàn)。实(shí)践指南和标准规范之(zhī)间的关(guān)系是这样的:标准规范是(shì)认证方案的基础,同时标准规范要求实践者遵从实践指南的指引。
这个实践指南(nán)**近被修订为ISO/IEC 17799:2005,标准规范(fàn)也被修(xiū)订为ISO/IEC 27001:2005,逐(zhú)步得到国际认同。
许多国家也已发布了(le)自己的(de)相关标准,比如AS/NZS7799。这些标准的国际化(huà)版本可以在世(shì)界任何国家得到(dào)认(rèn)可,这促使(shǐ)了**粱曜嫉南耍ǔ嘶诹礁霰曜己(jǐ)怕牖∩系谋**粱曜家酝猓
认证(zhèng)与遵(zūn)从
一个组织可以仅遵从(cóng)ISO17799来建立和发展ISMS(信息安全管理体系),因为(wéi)实践(jiàn)指南中的内容(róng)是(shì)普遍适用的。然(rán)而,由于ISO17799并(bìng)非基于认(rèn)证(zhèng)框架,它不具备关于通过认证(zhèng)所必需的信(xìn)息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的(de)管理体(tǐ)系(xì)认证要(yào)求。在技(jì)术层面来讲,这**表明一个正在(zài)独立运(yùn)用ISO17799的机构组织,****符合实践指(zhǐ)南(nán)的要求,但是这(zhè)并不足以让外界认可其已经达到认(rèn)证框架(jià)所(suǒ)制定的认证要(yào)求。不同的是,一个(gè)正在同(tóng)时运用ISO27001和ISO17799标准的机(jī)构组织,可以(yǐ)建立(lì)一个****符合认(rèn)证(zhèng)具(jù)体要求的ISMS,同时这(zhè)个ISMS体系也符合实践指(zhǐ)南的要求,于(yú)是,这一组织**可以获得外(wài)界(jiè)的认同,即获得认证。
ISO27001认证要求
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相(xiàng)互(hù)兼(jiān)容(róng)而设计的(de),这一标(biāo)准中的(de)编号系统(tǒng)和文件管理(lǐ)需求的设计初(chū)衷,**是为(wéi)了提供(gòng)良好(hǎo)的(de)兼容性,使得组织可以建(jiàn)立起这(zhè)样一套管理体(tǐ)系:能够在****程度上融入这个组织(zhī)正在使用的其(qí)他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他(tā)管理体(tǐ)系认证提供(gòng)认证服务的(de)机构,来(lái)提供(gòng)ISO27001认证服务。正(zhèng)是(shì)因为这个缘故,在ISMS体系建(jiàn)立的(de)过程(chéng)中(zhōng),质(zhì)量管理(lǐ)的经验举足轻重。
但(dàn)是有一点需要注意,一个组织如果没有事(shì)先拥有并使用任何形式的管理体系,并不意味着该(gāi)组织不能进行ISO27001认证。这种(zhǒng)情(qíng)况下,该组织**应当从经济利益考虑,选择一个合适的管理体(tǐ)系的认证机构来提供认证服(fú)务。认证机构必须得到一(yī)个国(guó)家鉴定机构的委托授权,才(cái)能为认证组织提供认证服务,并发放认证(zhèng)证书。大多数国家都(dōu)有自己的国家鉴定机构(比如(rú):英国UKAS),任何获得该机构授权进(jìn)行ISMS认证的(de)机构均记录在(zài)案。
风(fēng)险评估应对计划
任何一个ISMS体系的建立和开发都应(yīng)当满足组织(zhī)独特的需求。每个组织不仅都有自己独特的业务模式、运营目(mù)标、形象特点和内(nèi)部文化,他们对待(dài)风(fēng)险的态度倾向(xiàng)也大相径庭(tíng)。换(huàn)句话说,同一个(gè)东西,一个机构组织认为是必须提防(fáng)的威胁(xié),在另一个组织看来可能(néng)是一个必须抓(zhuā)住的机遇。同样地,各个机构组(zǔ)织对于既有风(fēng)险防护的投入(rù)也(yě)参差(chà)不(bú)齐。基于以上(shàng)或者其他(tā)原因,每个运行ISMS的组织,其内(nèi)部成员必(bì)须对风险评估有一个共识,这个(gè)风险(xiǎn)评估的方法论、结(jié)果发现和推(tuī)荐解决(jué)方(fāng)式都(dōu)必须得(dé)到董事会的首肯。
ISMS项目和PDCA流(liú)程(chéng)
ISMS项目很复杂,可能持(chí)续若(ruò)干(gàn)个(gè)月甚至若干年,涉(shè)及整个机构组织以及从管(guǎn)理层到收发(fā)部门的每(měi)个成(chéng)员。ISO27001认证诞生时间短,成功(gōng)的案(àn)例比较少。从务实的角度考虑,这表明在项目计划(huá)过(guò)程中,必须尽早对这些(xiē)仅有(yǒu)的指导性的书籍和案(àn)例(lì)进行分(fèn)析和研究。
ISO27001标(biāo)准(zhǔn)指导一个(gè)企业如何着手开展ISMS项目,并且(qiě)关注整个项目进程中的(de)若干(gàn)重要元素(sù)。
1950年W. Edwards Deming提出PDCA流(liú)程,即计(jì)划(Plan)-执行(Do)-检(jiǎn)查(Check)-提升(Act)过程(chéng),意在(zài)说明业务流程应当(dāng)是不断改进的,该方法使得职能部(bù)门经(jīng)理可(kě)以识(shí)别出那些(xiē)需要修正的环节(jiē)并进行(háng)修正。这个流程以及流(liú)程的改进,都(dōu)必须遵循这样一(yī)个过程:先计划,再执行,而后(hòu)对(duì)其运行(háng)结果进行评估,紧接着按照计(jì)划的(de)具(jù)体要(yào)求对该(gāi)评估进行复查,而后寻找到任(rèn)何与计划不符的结(jié)果偏(piān)差(chà)(即潜(qián)在改进的可能(néng)性),**后向管理层提出如何运行的**终报(bào)告(gào)。
ISO27001认(rèn)证审核(hé)费(fèi)用及周期
除了(le)组织自身投入(rù)之外,ISO27001 认证(zhèng)审核费用主要体现在聘请第(dì)三方认(rèn)证机(jī)构及审核员方面了。在组织向认证机构提出申(shēn)请之后,认证机构会初(chū)步了(le)解组织(zhī)现状,确定审核范围,提出审核报价。认证机构的报价通常是(shì)根据(jù)其投入(rù)的时(shí)间和(hé)人员来确定的,决定因(yīn)素包(bāo)括(kuò):
1、受(shòu)审核组织的员(yuán)工数量;
2、纳入审核范围的(de)信息量;
3、场所数量;
4、组织与外界的(de)关(guān)联;
5、组织 IT 的复(fù)杂性(xìng);
6、组织类型和业务性质等。
除了费用问题(tí),认证审核的周期(qī)通常也是组织比较关心(xīn)的。一(yī)般来说,从(cóng)组织(zhī)启动 ISMS建设项目开始,到**终通过(guò)审核,至少(shǎo)要有半年时间(不包括获取证书的时间)。对于很多因为外部(bù)驱(qū)动力而决心实施(shī) ISO27001 认证项(xiàng)目(mù)的组织来说(shuō),提(tí)早进行(háng)规划是(shì)必要的(de)。[6] 
