标准(zhǔn)的主要内(nèi)容
ISO/IEC17799-2000(BS7799-1)对信(xìn)息安全管理给出建议,供负责在其组织启(qǐ)动、实施或维护安全的人(rén)员使用(yòng)。该标准为开发组织的(de)安全(quán)标(biāo)准(zhǔn)和有效的安全(quán)管理做法(fǎ)提供(gòng)公共基础,并为(wéi)组织之(zhī)间的交往提供信任。
标准指出(chū)“象其他(tā)重要业务资产一样,信息也是(shì)一种资(zī)产”。它对一个组织具有(yǒu)价值,因此需要(yào)加以(yǐ)合适地保护。信息安(ān)全防(fáng)止信息受到的各(gè)种威胁,以确保业务连续性,使业务受(shòu)到损害的风险减至**小,使********和业(yè)务机会****。
信息安全是通过实现一组合适控制获得的。控制可(kě)以是(shì)策(cè)略、惯例(lì)、规程、组织结构(gòu)和(hé)软(ruǎn)件功能。需要建立这些控制,以确保(bǎo)满足该(gāi)组织的特定(dìng)安全目标。
内容章节
ISO/IEC17799-2000包含了127个安(ān)全控制措(cuò)施来帮助(zhù)组织识别(bié)在运(yùn)做过(guò)程(chéng)中对(duì)信息安全有影响的元(yuán)素,组织可以根据适用的法律(lǜ)法规和章程加以选择和使(shǐ)用,或者增加其他(tā)附加控(kòng)制。国际标准(zhǔn)化组织(ISO)在2005年对ISO 17799进行了修(xiū)订,修订后的标准作为ISO 27000标准族的****部分——ISO/IEC 27001,新标准去掉9点(diǎn)控(kòng)制措施,新增17点控制措施,并(bìng)重(chóng)组部分控制措施(shī)而新增一章,重组部(bù)分控制措(cuò)施,关(guān)联性(xìng)逻(luó)辑性更好,更适合(hé)应(yīng)用;并修改(gǎi)了部分控(kòng)制措施措(cuò)辞。修改后(hòu)的标准包括11个章节:
1)安全(quán)策略。指定信(xìn)息安全方针,为信息安全提供管理指引和支(zhī)持,并(bìng)定期评审。
2)信息安全的组织。建立信息安全管理组(zǔ)织(zhī)体系,在内部开(kāi)展(zhǎn)和控制信(xìn)息安全的实施。
3)资(zī)产管理(lǐ)。核查所有(yǒu)信(xìn)息(xī)资产(chǎn),做好信(xìn)息分类,确保信(xìn)息资产受(shòu)到适(shì)当程度的保护(hù)。
4)人(rén)力资源(yuán)安全(quán)。确(què)保(bǎo)所有员工,合(hé)同方和第三方了解(jiě)信(xìn)息安全威胁和相关事宜以及各自的责任(rèn),义务(wù),以减少人为差错,盗窃,欺诈或误(wù)用设(shè)施的风险。
5)物理和环(huán)境安全。定义安全区域,防止(zhǐ)对办公场所和信(xìn)息的未授权访问(wèn),破坏和(hé)干扰;保护(hù)设备的安全,防止信(xìn)息资(zī)产的丢失,损坏或(huò)被(bèi)盗,以及对企业业务的干扰(rǎo);同时,还要做(zuò)好一般控制(zhì),防止信(xìn)息和信(xìn)息处理设施的损坏和被盗。
6)通信和操作(zuò)管理。制定操作规程和职责,确保信息(xī)处理设(shè)施的正确和安全操作;建(jiàn)立系统规划和验收准则,将系统失效的风险降到****;防范恶(è)意代码和移动代码,保(bǎo)护软件和信息的完整性;做好信(xìn)息备份和(hé)网络安全管理,确保信息(xī)在网络中的安全,确保其支持(chí)性基础设施(shī)得(dé)到保护;建立媒体(tǐ)处置(zhì)和安全的规程,防止资产损坏和业务(wù)活动(dòng)的中断;防止信息和软件在组织之间交换时丢失(shī),修改或误用。
7)访问控制。制(zhì)定(dìng)访问控制策略,避免信息系统的非授权访问,并让(ràng)用户(hù)了解其职责(zé)和义(yì)务,包括网络访(fǎng)问控制,操作系统访问控制(zhì),应用系统和信息(xī)访(fǎng)问控制,监视系统访(fǎng)问和使(shǐ)用,定期检测未授权的活(huó)动;当(dāng)使用移动(dòng)办公和远程控(kòng)制时,也要确保信(xìn)息安全(quán)。
8)系统(tǒng)采集(jí)、开(kāi)发和维护。标示(shì)系统的安全(quán)要求,确保安全成(chéng)为信息系(xì)统的(de)内置部分,控制应(yīng)用系统的安全,防止(zhǐ)应用系(xì)统中用户数据(jù)的丢失,被修改(gǎi)或误用;通过(guò)加密手段保(bǎo)护信(xìn)息的保密性(xìng),真(zhēn)实性和完整性;控(kòng)制对系统文件的(de)访问,确保系(xì)统文(wén)档,源程序代码(mǎ)的安全;严格控(kòng)制开发和支持过程,维护应用系统软件(jiàn)和信息安全。
9)信息安全事故(gù)管理。报告信息安全事件和弱点,及时采取纠正措施(shī),确保使用持续有效的方法管理信息安(ān)全事故(gù),并确保及(jí)时修复。
10)业务连续性管理(lǐ)。目的是(shì)为减少业务(wù)活动的(de)中断,是关键业务过程免受主要故障或天灾的影响,并确(què)保及时恢复。
11)符合性(xìng)。信息系统的设计,操作(zuò),使用(yòng)过程(chéng)和管理要(yào)符合(hé)法律法规(guī)的要求,符合组织(zhī)安全(quán)方针(zhēn)和标准,还要控制系(xì)统审计,使信(xìn)息审(shěn)核(hé)过(guò)程的(de)效力****化,干扰**小化。
ISO27001的效益(yì)
1、通过定义、评(píng)估和(hé)控(kòng)制(zhì)风险(xiǎn),确(què)保经营(yíng)的持续(xù)性和能力
2、减(jiǎn)少由于合同违规(guī)行(háng)为(wéi)以(yǐ)及直接触犯法律法规要(yào)求(qiú)所造成的(de)责任
3、通过遵守国际标(biāo)准提高(gāo)企业竞争能力,提升(shēng)企业形象
4、明确定义所有组织的(de)内部(bù)和外(wài)部的信息接口目标:谨(jǐn)防数据的误用和丢失(shī)
5、建立(lì)安全工具使(shǐ)用(yòng)方针
6、谨防技术(shù)诀窍的(de)丢失
7、在组织内部增强安全意识
8、可作(zuò)为公共会(huì)计审计(jì)的证据
认识ISO27001国际标(biāo)准
ISO27001(BS7799/ISO17799)国际标准究竟是什么(me)?它(tā)如(rú)何帮助(zhù)一个组织(zhī)更加有效(xiào)地(dì)管(guǎn)理信(xìn)息安全?BS7799/ISO27001和ISO9001之间(jiān)有什么联系?初次(cì)涉猎信息安(ān)全管(guǎn)理领域(yù)应该掌握哪些内容,以便组(zǔ)织发(fā)起信息安全(quán)管理项目?如何(hé)获得(dé)BS7799国际标准认证?
IT治理和信(xìn)息(xī)安全
近年来企业高层对内部(bù)治理需求越来越实际而具体。随着信息技术(shù)普遍渗透到企业(yè)组织中的各个方面(miàn),企业越来越依赖IT系统来处理和储存各种信息,以****业务正常运营,由此IT系统在企业治(zhì)理(lǐ)中的作z用越来越明晰,IT治理也(yě)逐渐被大多数企业(yè)认可,成为董事会和企业内部共(gòng)同关注的领域。IT治(zhì)理的基础部分是信(xìn)息安全保护——包括确保(bǎo)信息的可用性、机密性和完整性——这(zhè)是其(qí)他IT治理环节(jiē)实施的前(qián)提。
与(yǔ)此同时,和信息安全相(xiàng)关的国际标准已经出(chū)台,成为标准IT治理框架中(zhōng)的一大基石。
信息安全和法律法(fǎ)规(guī)
业内(nèi)人士对(duì)ISO27001认证趋之(zhī)若鹜,这其中有两个关键(jiàn)性的驱动因素:一是日益严(yán)峻(jun4)的信息安全威胁(xié),二是不断增长的信息保护相关法规的需求。
本质上说,信息安全威胁是全球化的。一般来说,它将毫无差别地辐射(shè)到每一个拥有(yǒu)、使用电子信息(xī)的机构和个(gè)人。这种威胁在因特网的(de)环境(jìng)中自动生成并释放。更严重的问题是(shì),其他(tā)各种形式的危险也(yě)在整日(rì)威胁数据安全,包括从外部攻击行(háng)为到(dào)内部破坏、偷盗等一系列危(wēi)险。
过去的十(shí)年内,围绕信息和数据安全问题建立起(qǐ)来的法(fǎ)律法规体系从无到有、不断(duàn)壮(zhuàng)大(dà),其中(zhōng)包括专门针对个人数据(jù)保护问题的,也有针对企业财政、运营和风险管理(lǐ)体系建立(lì)的法规保障问题的(de)。一套(tào)正式规范的信(xìn)息安全管(guǎn)理体系应当(dāng)可以(yǐ)提供****实践部署指(zhǐ)导。目前,建立这样的管理体系逐(zhú)渐(jiàn)成为诸多合规项目的(de)必要条件,与此(cǐ)同时,针对该管(guǎn)理(lǐ)体系的认(rèn)证逐渐成为各种组织(包括政(zhèng)府部门(mén))的热门需求,这份认证可以为(wéi)他(tā)们带来重要的潜在商业(yè)合同。
信(xìn)息安全和技术
绝(jué)大多数人认为信息安全是一个纯粹的有关技术的话题,只有那些技术(shù)人(rén)员,尤(yóu)其是计算机安全技术人员(yuán),才能够(gòu)处理任何(hé)保障数据和计算机安全的相关(guān)事宜。这(zhè)固然有一定道理。不过,实(shí)际上,恰恰是计算(suàn)机用户(hù)本身需要考虑这(zhè)样的(de)问题:避免哪些威胁?在信息安全和信息通畅(chàng)中如何平衡(héng)取舍?的确如(rú)此,一旦用户(hù)给出答案,计算机安全专家**可以(yǐ)设计并(bìng)执行一(yī)个技术方案以达成用户(hù)需求。
在组(zǔ)织(zhī)内(nèi)部,管理层应当负(fù)责决策,而不是IT部门。一个规范的信(xìn)息安全(quán)管理体系必须明确指出(chū),组织机构董事会和管理层应当负责相关信(xìn)息安全(quán)管理体系的决策,同时,这(zhè)个体(tǐ)系也应当能(néng)够反映这种决策,并且(qiě)在运行(háng)过(guò)程中能够提供证据证明其有(yǒu)效性。
所以(yǐ)机构组(zǔ)织内部的信息安全管理体系的(de)建立(lì)项目不必由一个技术专家来领导。事实上,技术(shù)专家(jiā)在很(hěn)多情(qíng)况(kuàng)下起(qǐ)到相反的作用,可能会阻(zǔ)碍项目进程。因此,这个(gè)项目应该(gāi)由(yóu)质量管理经理、总经理或(huò)者其他(tā)负(fù)责机构内部(bù)重大职(zhí)能(néng)的执行主(zhǔ)管负(fù)责主持(chí)。
信息安(ān)全标准
1995年,英国标准协会(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在(zài)规范、引导信息安全管理体系的发展过程和(hé)实施情(qíng)况。BS7799标(biāo)准被外界(jiè)认为是一个不偏向任何(hé)技术、任何企业和产品供(gòng)应商(shāng)的价值(zhí)中立(lì)的管理体系。只要实施得当(dāng),BS7799标准将帮助企业检查并(bìng)确(què)认其(qí)信息安全(quán)管理手段和实施方案的有效性。
从企业外部来看,BS7799关注信息的可用性、机密性(xìng)和完整(zhěng)性,至今这(zhè)仍然是这项标准****达到的(de)目标(biāo)。BS7799集中关(guān)注(zhù)企业组织(zhī)层面上的风险规(guī)避(一定程度(dù)上主要(yào)是商业和金融风险),而(ér)不包括避(bì)免(miǎn)每一个潜在风(fēng)险的保护措施——尽管它(tā)们(men)至关重要。
BS7799**初仅有一份文(wén)档,且(qiě)具(jù)有明显(xiǎn)的实践指南性质。也**是说(shuō),它为(wéi)组(zǔ)织(zhī)提供信息安全指引(yǐn),但没有形成规范,不能为外部(bù)第三方审计和认证等提供依据。随着越来越多的企业开始认识到来自信息(xī)安全(quán)的威胁波(bō)及范围(wéi)越来越广,影响程度越来越大,并且关于(yú)数据和(hé)隐(yǐn)私(sī)权(quán)保护的法律法规不断出台,信息安全标准认证的需求开始不断增加。
这种需求的(de)增加**终促成了该项标(biāo)准****部分(fèn)的出(chū)台,即标准规范。实践指南和(hé)标准规范之间(jiān)的关系是这样的:标准规范是认证方案的基础,同时标(biāo)准规范(fàn)要求实(shí)践者遵从实践指南的指引。
这个实(shí)践指南**近被(bèi)修订(dìng)为ISO/IEC 17799:2005,标(biāo)准规范也被修订为ISO/IEC 27001:2005,逐步(bù)得到国际(jì)认(rèn)同(tóng)。
许多国家也已发布了自(zì)己(jǐ)的相关标(biāo)准,比如AS/NZS7799。这些标准的国际化版本可(kě)以在世界(jiè)任何国(guó)家得到认可(kě),这促使了**粱曜(yào)嫉南耍ǔ嘶诹礁霰曜己怕牖∩系谋**粱曜家(jiā)酝猓
认证与遵从
一个组织可以仅遵从(cóng)ISO17799来建立和发展ISMS(信息安全管理体系),因为实践指南中的内容是普遍适用(yòng)的(de)。然而,由于ISO17799并非(fēi)基于(yú)认证(zhèng)框架,它不具备关(guān)于通过认证所必需的信(xìn)息安全管理体系的要求。而ISO/EC27001则包含(hán)这些具体详尽(jìn)的管理体系认证要求。在技术层面来讲,这**表明一个正在独立运用ISO17799的机构组织,****符合实践指南的要求(qiú),但是这并不足以让(ràng)外(wài)界认可(kě)其已(yǐ)经(jīng)达到认证(zhèng)框架所制定的认证要求。不同(tóng)的是,一个正在同时运用ISO27001和(hé)ISO17799标准(zhǔn)的机构组织,可以建立一个****符合认证具体要(yào)求的ISMS,同时这个(gè)ISMS体(tǐ)系也符合实践指南的要求,于是,这一组(zǔ)织**可以获得外界的认同,即获得认证。
ISO27001认证要求
ISO27001标准(zhǔn)是为了与其他管理标准,比如ISO9000和ISO14001等相(xiàng)互(hù)兼容而设计的,这一标准中的编号系统和文件管(guǎn)理需求的设计初衷,**是为(wéi)了提供良好的(de)兼容性,使得(dé)组织可以建立(lì)起这样一套管理体系:能够在****程度上融入这个组织正在(zài)使用的其他(tā)任何管理体系。一般来说(shuō),组织通常会使用为其ISO9000认(rèn)证或者其他管理体(tǐ)系认证提供认(rèn)证服务的(de)机构,来提供ISO27001认证服务。正是因(yīn)为这个缘故,在(zài)ISMS体系建立(lì)的过(guò)程中,质量管理的经验(yàn)举(jǔ)足轻(qīng)重。
但是有一点需(xū)要注意,一个组(zǔ)织如果没有事先拥有(yǒu)并使用(yòng)任何形式的管理体系(xì),并不意味着该组(zǔ)织不(bú)能(néng)进行ISO27001认(rèn)证。这种情况下,该组织**应当从经济利益考虑,选择一个(gè)合适的管理体(tǐ)系的认(rèn)证机构来提供认证服务。认证机构必须(xū)得到一个国家(jiā)鉴定机构的委托(tuō)授权,才能为认证组(zǔ)织提供认证服务,并发放认证证书。大多数国(guó)家都有自(zì)己的国(guó)家鉴定(dìng)机构(比如:英国(guó)UKAS),任何获得该机构授权进行ISMS认证的(de)机构均记(jì)录在(zài)案。
风险评估应对计划
任何一个ISMS体系的建立和开发都(dōu)应当满足组织独特的需求。每个组织不仅都有自己(jǐ)独(dú)特的业务模式、运营目(mù)标、形(xíng)象特点和内部(bù)文化,他们对待风险的态度(dù)倾向也(yě)大相径庭。换句话说,同(tóng)一个东西,一个机构组织认为是必须(xū)提(tí)防的(de)威胁(xié),在另一(yī)个组织看来可能(néng)是(shì)一个必(bì)须抓(zhuā)住的机遇。同样地,各个机构(gòu)组(zǔ)织对于既有风险防护的(de)投入也参差不齐(qí)。基于以上或(huò)者其他(tā)原因,每个运行(háng)ISMS的(de)组(zǔ)织,其内部成员必须对风险评估有一个共识(shí),这个风(fēng)险评(píng)估(gū)的方法论、结果发现(xiàn)和推荐解决方式(shì)都必须得到(dào)董事(shì)会(huì)的首(shǒu)肯。
ISMS项目(mù)和PDCA流程
ISMS项(xiàng)目(mù)很复杂,可(kě)能持续(xù)若干个(gè)月(yuè)甚(shèn)至(zhì)若干年,涉及整个机(jī)构组(zǔ)织以(yǐ)及从管理层到收(shōu)发部门(mén)的每个成员。ISO27001认证诞生时间短(duǎn),成功的案例比较少(shǎo)。从务实的(de)角(jiǎo)度考虑,这表明在项目(mù)计划过程中,必须尽早对这(zhè)些仅有的(de)指导性的书籍(jí)和案例(lì)进行分析和研究。
ISO27001标准指导一(yī)个企(qǐ)业如何着手开展ISMS项目,并且关(guān)注整个项目进(jìn)程中的若干(gàn)重要元(yuán)素。
1950年W. Edwards Deming提(tí)出PDCA流程,即计划(Plan)-执行(Do)-检(jiǎn)查(Check)-提升(Act)过程,意在说明业务流程应当是(shì)不断改进的(de),该方法(fǎ)使得(dé)职能部门经理可以识别(bié)出那些需要修正(zhèng)的(de)环节(jiē)并进行修正。这个流(liú)程以及流程的改进,都必须遵循这样一个(gè)过程(chéng):先计划,再(zài)执行,而后对其运行结果进行评估,紧接着(zhe)按照计划的具(jù)体要求对该评估(gū)进行复(fù)查,而后(hòu)寻找(zhǎo)到任何与(yǔ)计划不符(fú)的结果(guǒ)偏(piān)差(即潜在改(gǎi)进(jìn)的可(kě)能性),**后向管理层提出如何运行的**终报告。
ISO27001认证审(shěn)核(hé)费用及周期
除了组(zǔ)织自身投入之外,ISO27001 认(rèn)证审核费(fèi)用主要(yào)体现在聘(pìn)请第(dì)三方认证(zhèng)机构及审核员方面了。在(zài)组织向认(rèn)证机构提出申请之后(hòu),认证机构(gòu)会初步(bù)了解(jiě)组织现状,确定审核(hé)范围,提出(chū)审核(hé)报价。认证机构的报价通常是(shì)根据其投入的时间和人员来确定的,决(jué)定因素包括(kuò):
1、受审核(hé)组织的员工数量;
2、纳(nà)入审核范围的信息量;
3、场所(suǒ)数(shù)量;
4、组织与外界的关联;
5、组织 IT 的复(fù)杂性;
6、组织类型和业(yè)务性质等。
除了费用问(wèn)题,认(rèn)证审核的周期通常也是组(zǔ)织比较关(guān)心的。一般来说,从组织启动 ISMS建设(shè)项目开始,到**终通过审(shěn)核,至少要有半年时(shí)间(不包括(kuò)获取证书的时(shí)间(jiān))。对(duì)于很多因为外(wài)部驱动力而决心实施(shī) ISO27001 认证项目的组(zǔ)织来说,提早(zǎo)进行规划是必要的(de)。[6] 
