标准的主(zhǔ)要内容
ISO/IEC17799-2000(BS7799-1)对信息安全(quán)管理(lǐ)给出建议,供负责在其组织启动、实施或维护安(ān)全的(de)人员使(shǐ)用。该标准为开(kāi)发(fā)组织的安全(quán)标准(zhǔn)和有效的(de)安全管理做法(fǎ)提供公共基础,并为组(zǔ)织之间的交往提供信任(rèn)。
标准指出“象其他重要业务资产一样,信(xìn)息也是一种资产(chǎn)”。它对一个组(zǔ)织具有价(jià)值,因(yīn)此需要加(jiā)以(yǐ)合适地保护。信(xìn)息安全防止信息受到的各种威胁,以确保业务(wù)连续性,使业务受(shòu)到损害(hài)的(de)风险减至**小,使********和业务机会****。
信息(xī)安全是通(tōng)过实现一组合(hé)适控制获得的。控制(zhì)可以是策略、惯例、规(guī)程、组织结构和软件功能。需(xū)要建立(lì)这些控制,以确保(bǎo)满足该组织的特定安全目标。
内(nèi)容章(zhāng)节
ISO/IEC17799-2000包(bāo)含了127个安全(quán)控制措施来(lái)帮助组织识别(bié)在运做过程中(zhōng)对信(xìn)息安全有影响的(de)元素,组织可以根(gēn)据适用的(de)法律法规和章程加以选择和使用,或(huò)者增加其他(tā)附(fù)加控制。国际标准化组织(ISO)在2005年(nián)对ISO 17799进行了修订(dìng),修订(dìng)后的标准作为ISO 27000标准族的(de)****部分——ISO/IEC 27001,新标(biāo)准去掉9点控制措施,新增(zēng)17点控制措施,并重组部分控制措施而(ér)新增(zēng)一章,重组部分控制措施,关联(lián)性逻辑性更好,更适合(hé)应用;并(bìng)修改了(le)部分控制措施措辞。修改后的标(biāo)准包括11个章节:
1)安全策略。指定(dìng)信息安全(quán)方针,为信息安全提(tí)供管理指引和支持,并定期评审。
2)信息安全(quán)的组织。建立信息安全管理组织体系,在内部开展和控制信息安全的实施(shī)。
3)资产管(guǎn)理(lǐ)。核(hé)查(chá)所有信息资产,做好信息(xī)分类,确保信息资产受到适当程度的保护。
4)人力资源安(ān)全。确(què)保所有员(yuán)工,合同方(fāng)和(hé)第三方(fāng)了解信(xìn)息安全威胁(xié)和(hé)相(xiàng)关事宜以(yǐ)及各自的责任,义务,以减(jiǎn)少人为差错,盗(dào)窃,欺诈或误用设施(shī)的(de)风险。
5)物理和环境(jìng)安全(quán)。定义安全区域,防止对办(bàn)公场所和信息(xī)的(de)未授权访问,破坏和干扰;保护设备的安全(quán),防止信息资产的丢失,损(sǔn)坏或被盗,以及对企业业务的干扰;同时,还要做好一(yī)般控(kòng)制,防止信(xìn)息和信息处理设(shè)施的损坏和被盗。
6)通信和操作管(guǎn)理(lǐ)。制定操作规程和职责,确保信息处理(lǐ)设施的正确和安全操(cāo)作;建立系统规划和(hé)验收准则,将系统失效的风险降到****;防范恶(è)意代码和移动(dòng)代码,保护软件和信息的完整性;做好信息备(bèi)份和网络安全管理(lǐ),确(què)保信息在(zài)网络中的安全(quán),确保其支持性基础设施得到保护;建立媒体处置和安全的(de)规程,防止资产(chǎn)损(sǔn)坏和业务活动(dòng)的中断;防止信息和软件在组(zǔ)织之(zhī)间交换时丢失,修(xiū)改或(huò)误用。
7)访问控制。制定访问控制策略,避免(miǎn)信息系统的非(fēi)授(shòu)权访问,并让用户了(le)解其职责(zé)和义务,包括网络访(fǎng)问控制(zhì),操作系(xì)统访(fǎng)问控制,应用系(xì)统和信息访问(wèn)控(kòng)制,监视系统(tǒng)访问和(hé)使用(yòng),定(dìng)期(qī)检(jiǎn)测未授权的活动;当使用移动办公(gōng)和远程控制时(shí),也要确保(bǎo)信息安全(quán)。
8)系统采集(jí)、开发和维护(hù)。标示系(xì)统的安(ān)全要(yào)求(qiú),确(què)保安全成为信息(xī)系统的内置部分,控制应用系统的安全,防止应用系统中用户数据(jù)的(de)丢失,被修改(gǎi)或误用;通过(guò)加密手段保(bǎo)护信息的保(bǎo)密性,真实性和完整性;控制对系统文件(jiàn)的访问(wèn),确(què)保(bǎo)系(xì)统文档,源程序代码的安全;严格控制开发和支持(chí)过程,维护应用(yòng)系统软件和信息安全。
9)信息安全事故管理。报告信息安全事件和(hé)弱(ruò)点,及时采取纠正措施,确保使用持(chí)续有效的方法(fǎ)管(guǎn)理信息安全事故,并确(què)保及时修(xiū)复。
10)业务连续(xù)性管理。目的是为减少业务活动的中(zhōng)断(duàn),是关键(jiàn)业务过程(chéng)免受(shòu)主要故(gù)障或天灾(zāi)的影响,并确保及(jí)时恢复。
11)符合性。信息系(xì)统的设计(jì),操(cāo)作,使用过程和管理要符合(hé)法律(lǜ)法规的要求,符(fú)合组织安全方针和标准,还要(yào)控制系统审计,使信息(xī)审核过(guò)程的效力(lì)****化,干扰**小化。
ISO27001的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力
2、减(jiǎn)少(shǎo)由于合(hé)同违规(guī)行为以及直接(jiē)触犯法律法规要求所造(zào)成的责任
3、通(tōng)过遵守国际标准提高企业竞争能力,提升企(qǐ)业(yè)形象
4、明确定义所有(yǒu)组织的内部和外(wài)部的信息接口目标:谨防数据的(de)误用和丢(diū)失
5、建(jiàn)立安全(quán)工具(jù)使用方针
6、谨防技术诀(jué)窍(qiào)的丢(diū)失
7、在组织内部增(zēng)强安全意识
8、可作为公(gōng)共会(huì)计审计的证(zhèng)据
认(rèn)识ISO27001国际标准
ISO27001(BS7799/ISO17799)国际(jì)标准究竟是什(shí)么?它如何(hé)帮助一个组织更加有效(xiào)地管理(lǐ)信息安全?BS7799/ISO27001和ISO9001之(zhī)间有什么联系?初次涉猎信息安全管理领域应该掌握哪些内容(róng),以(yǐ)便组织发起信息安全管理项目?如(rú)何获得BS7799国际(jì)标准认证?
IT治理和(hé)信(xìn)息安全
近年来企业高层对内部治理需求越来越实际而具体(tǐ)。随着信息技术普遍渗透到(dào)企业组织中的(de)各个(gè)方面,企业越来越依赖(lài)IT系(xì)统来处理和储(chǔ)存各种(zhǒng)信(xìn)息,以(yǐ)****业务正常运营,由此(cǐ)IT系统在企业治理中的作z用越来越明晰(xī),IT治理也(yě)逐渐被大多(duō)数企业认(rèn)可,成为(wéi)董事(shì)会和企业内部共同关注的领域(yù)。IT治理的(de)基础部分是(shì)信息安全保护——包括确保信息的可用性、机密性和完整性——这是其(qí)他IT治理环节实施的前提。
与(yǔ)此同时(shí),和信息(xī)安全相关的国(guó)际标准已(yǐ)经出台,成为标准IT治理框架中的(de)一大基石。
信息安全和(hé)法律法规
业内人士对(duì)ISO27001认证(zhèng)趋之若鹜,这其中有(yǒu)两个关键性的驱动(dòng)因素:一是日益严峻的信息安全威胁,二(èr)是不断增长的信息保护相关法规的需求。
本(běn)质上(shàng)说,信息安全威胁(xié)是全球化的。一(yī)般(bān)来说,它将毫无差别地辐射(shè)到每(měi)一个拥有、使用电子信息的机(jī)构和个人。这种威胁在因特网的环境中(zhōng)自动生(shēng)成并释放。更(gèng)严重的问题是,其他(tā)各种形式的危险也(yě)在整日威胁数据(jù)安(ān)全(quán),包括从外部攻击(jī)行为到内部破坏、偷盗等一系列(liè)危险。
过去的十年(nián)内,围(wéi)绕信息和(hé)数据安全问题建立起(qǐ)来的法(fǎ)律法规体(tǐ)系从无到有(yǒu)、不断壮(zhuàng)大,其(qí)中包括(kuò)专门针对个人数据保护问题的,也有(yǒu)针对企业财政、运营和(hé)风险管理体系建立的法规保障(zhàng)问题的。一套正式规范的(de)信息安全管理(lǐ)体系应当(dāng)可(kě)以提供****实践部署(shǔ)指导(dǎo)。目前,建立这样的管理体系逐渐成为诸多(duō)合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组(zǔ)织(包括(kuò)政府部门)的(de)热(rè)门需求,这(zhè)份认证可以(yǐ)为他们带来重要的潜在(zài)商业合同。
信息安全和(hé)技术
绝大(dà)多数人认为信息安(ān)全是一个纯粹的有关技术的话题,只有那些技术人员,尤其是(shì)计算机安全技术人员,才能(néng)够处理任(rèn)何保(bǎo)障数据(jù)和计算机安全的相关(guān)事宜。这固然有一(yī)定(dìng)道理。不过,实际上,恰(qià)恰是计(jì)算机用户本(běn)身需(xū)要考虑这样的(de)问题:避免哪些威胁?在信息安全和信息通(tōng)畅中如何平(píng)衡(héng)取舍(shě)?的确如(rú)此,一(yī)旦用户(hù)给出答案,计算机安(ān)全专家**可(kě)以设计并执行一个技术方案以(yǐ)达成用户需求。
在组织内部(bù),管理层应当(dāng)负责(zé)决策,而不是IT部门。一个规范(fàn)的信息安全管理体系必须明确指出,组织机构董事会(huì)和管理层应当负责(zé)相关信息安全管理(lǐ)体(tǐ)系的决策,同时(shí),这个体系也(yě)应当(dāng)能够反映(yìng)这种决策,并(bìng)且在运行过程中(zhōng)能(néng)够提供(gòng)证据证明其有效性。
所以机构(gòu)组织(zhī)内部(bù)的信息安全(quán)管理体系的建立项目不必由一(yī)个技术专家来(lái)领(lǐng)导。事实上,技术专家在很(hěn)多(duō)情(qíng)况(kuàng)下起到相(xiàng)反的作用,可能会阻碍项目进程。因此,这个项(xiàng)目应该由质量管(guǎn)理经理、总经理(lǐ)或者其他负责机构(gòu)内部重大职(zhí)能的执行主(zhǔ)管负(fù)责主持。
信息安(ān)全标准
1995年,英国标准协会(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨(zhǐ)在规范、引导信息安全(quán)管理体(tǐ)系的(de)发(fā)展过(guò)程(chéng)和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任(rèn)何企业和产(chǎn)品供应商的价值中立的管理体系。只要实施得当,BS7799标准将(jiāng)帮助(zhù)企业检查(chá)并确(què)认其(qí)信息安全管(guǎn)理(lǐ)手段和实施(shī)方案的有效性(xìng)。
从企业外部来看(kàn),BS7799关注信息(xī)的(de)可用性、机密性和(hé)完整性,至(zhì)今(jīn)这仍然是这(zhè)项标准****达到的目标。BS7799集中关注企业组织(zhī)层(céng)面(miàn)上的风险规避(一定程度上主要是商业和金融风险),而不包括避免每一个潜在风险的保护措(cuò)施(shī)——尽管它们至关重要。
BS7799**初仅有一份文档(dàng),且具(jù)有明显的实践指(zhǐ)南性质。也**是说,它为(wéi)组织提供信(xìn)息(xī)安全指引(yǐn),但没(méi)有形成(chéng)规范,不能为外(wài)部第(dì)三方审计和认证等提供依据。随着越来(lái)越多的(de)企业开(kāi)始认识到来(lái)自信(xìn)息安(ān)全的威胁波及范(fàn)围越来越广(guǎng),影响程度越来越大,并(bìng)且关于数(shù)据和隐私权(quán)保护的法律法规(guī)不断(duàn)出台(tái),信息安全标准认证(zhèng)的需求开始(shǐ)不(bú)断增加(jiā)。
这种需求的增加**终促(cù)成了该项标(biāo)准(zhǔn)****部分的出台,即标准规范。实(shí)践(jiàn)指(zhǐ)南和标准规范之(zhī)间(jiān)的关系是这样的(de):标准(zhǔn)规(guī)范是认(rèn)证方案的(de)基础,同时标准规范要求实践(jiàn)者(zhě)遵从实践指南的指引(yǐn)。
这个实践(jiàn)指南**近被修订为ISO/IEC 17799:2005,标准规范也(yě)被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许(xǔ)多国家也(yě)已发布(bù)了自己的相关标准,比如AS/NZS7799。这些标准的国(guó)际化(huà)版本可以在世界任何国家得到认(rèn)可,这促使(shǐ)了**粱曜(yào)嫉南耍ǔ嘶诹礁霰曜己怕牖∩系(xì)谋(móu)**粱曜家酝猓
认证与遵从
一个组织可以仅遵(zūn)从ISO17799来建立和发展(zhǎn)ISMS(信息安(ān)全管理体系),因为实践指南中的内容是普遍适(shì)用(yòng)的。然而,由于(yú)ISO17799并非基于认证框(kuàng)架,它不具备(bèi)关于通过认证所必需(xū)的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层(céng)面来讲,这(zhè)**表明一个正在独立运用ISO17799的机构组织,****符合实(shí)践指(zhǐ)南的要求,但是这并不足(zú)以让外界(jiè)认可(kě)其已经达到认证框架(jià)所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个(gè)****符合认证具体要求的ISMS,同(tóng)时这个(gè)ISMS体(tǐ)系也符合实践指南的要(yào)求(qiú),于(yú)是,这一组织(zhī)**可以获得外界(jiè)的认同,即获得认证。
ISO27001认证(zhèng)要(yào)求
ISO27001标准是(shì)为了与其他管理标准,比如ISO9000和ISO14001等相(xiàng)互(hù)兼容而设(shè)计(jì)的,这一标准中的编号系统和文件管理需(xū)求的设计初衷,**是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在(zài)****程度上融入这个组织正(zhèng)在使用的其(qí)他(tā)任何管理体系。一般来说(shuō),组织(zhī)通常会使(shǐ)用为其ISO9000认证或者其他管理体(tǐ)系认证提供(gòng)认证服(fú)务的机构,来提供ISO27001认证(zhèng)服务。正是因为(wéi)这(zhè)个缘故,在ISMS体系建立的过程(chéng)中(zhōng),质量管(guǎn)理的经验举足轻重(chóng)。
但是有一点需要注意,一(yī)个(gè)组织如果没有事先拥有并使用(yòng)任何形式的管理体(tǐ)系,并不意味着该组织不能进行(háng)ISO27001认证。这种情况下(xià),该组织**应当从经(jīng)济利益考虑,选择一个(gè)合适的管理体系(xì)的认(rèn)证(zhèng)机构来提供认(rèn)证服务(wù)。认证机构(gòu)必须得到一个国家鉴定机构的委托授权,才能为认(rèn)证组织提供认证(zhèng)服务(wù),并(bìng)发放认证证书。大多数国家都(dōu)有自己的国家鉴定机构(gòu)(比如:英(yīng)国(guó)UKAS),任何获得(dé)该机构授权进行ISMS认证的机构均记录在案。
风险评估应对(duì)计划
任何一个ISMS体(tǐ)系的建立(lì)和(hé)开发都应当满足组织独特的需求。每个组(zǔ)织(zhī)不仅都有自己(jǐ)独特(tè)的业务模式、运营目(mù)标、形象特点和内部文(wén)化,他们(men)对待风险(xiǎn)的态度倾向(xiàng)也大相径庭。换句话说,同一个东西,一(yī)个机(jī)构(gòu)组织认为是必须提防的(de)威胁(xié),在另(lìng)一个组(zǔ)织看来可能是一(yī)个必须抓住的机遇。同样地,各个机构组织对于既有风险防护的(de)投入也参差不齐。基于以上或(huò)者其他原因(yīn),每个运行ISMS的组(zǔ)织,其内部成(chéng)员必须(xū)对风险评(píng)估有(yǒu)一个共识,这个风险评估的(de)方法(fǎ)论、结果发现和推荐解(jiě)决方(fāng)式(shì)都必须(xū)得到董(dǒng)事(shì)会的(de)首(shǒu)肯(kěn)。
ISMS项目(mù)和PDCA流程
ISMS项目很复杂,可能(néng)持续(xù)若干个月(yuè)甚至若干年(nián),涉及整个机(jī)构(gòu)组织以及从管(guǎn)理层到(dào)收发(fā)部门的(de)每个成员。ISO27001认证诞生(shēng)时间短,成功(gōng)的案例比较少。从务实(shí)的角度考虑,这表明在项目计划过(guò)程中,必须尽早对这些(xiē)仅有(yǒu)的指导性的书籍和案例进行分析和研究。
ISO27001标准指导一个企业(yè)如(rú)何着手开展ISMS项目,并且(qiě)关注整个项目进(jìn)程中的若(ruò)干(gàn)重要元素(sù)。
1950年(nián)W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检(jiǎn)查(Check)-提升(shēng)(Act)过程,意在说明业务流程应当是不(bú)断改进的(de),该方法使得(dé)职(zhí)能部门(mén)经(jīng)理可以识别出那(nà)些需要修正的环(huán)节并(bìng)进行修(xiū)正。这个流程以及流程的改进,都必须遵循这样一个过程:先计划(huá),再执行(háng),而后(hòu)对其运行结果进行(háng)评(píng)估,紧接着按照计划(huá)的具体要求对该评估进(jìn)行复(fù)查(chá),而后寻找到任何与(yǔ)计划不符的结果偏差(即潜在改(gǎi)进的可(kě)能性(xìng)),**后向管(guǎn)理层提出如(rú)何(hé)运行的**终报(bào)告。
ISO27001认证审(shěn)核费用及(jí)周期
除了组织自(zì)身(shēn)投(tóu)入之(zhī)外,ISO27001 认(rèn)证审核费用主要体现在(zài)聘请(qǐng)第三(sān)方认证机构及审核员方(fāng)面(miàn)了(le)。在组(zǔ)织向认证(zhèng)机(jī)构提出申请之后,认(rèn)证机(jī)构(gòu)会初步了(le)解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的员工数量;
2、纳(nà)入(rù)审核范(fàn)围的(de)信息量(liàng);
3、场所数量;
4、组(zǔ)织与外界的(de)关联;
5、组织(zhī) IT 的复杂性;
6、组织类型和业务性质等。
除(chú)了费用问题,认证(zhèng)审核的周期通常也是组织比较关心的。一般来说(shuō),从组织启动 ISMS建设(shè)项目(mù)开始,到**终通过审核,至少要有半年(nián)时间(不包(bāo)括获取证(zhèng)书的时间(jiān))。对(duì)于很多因为外部驱动力(lì)而决心实(shí)施(shī) ISO27001 认证项目的组(zǔ)织来说,提(tí)早进行(háng)规划是必(bì)要(yào)的。[6] 
