标准的主要内(nèi)容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组(zǔ)织启动、实施或维护安全的人员使用。该(gāi)标准为开发组织的(de)安全标准和有效的安全管理做法提供公共基础(chǔ),并为组(zǔ)织(zhī)之间的(de)交往提供信任。
标准指出“象其他重(chóng)要业务(wù)资产一样,信息(xī)也是一种资产”。它对一个(gè)组织具有价值,因此需要加以合适地保护。信息安(ān)全(quán)防止信息受到的各种威胁,以确保业务连续性,使业务受到损(sǔn)害的(de)风险减(jiǎn)至**小,使********和(hé)业务机(jī)会****。
信息安全是通(tōng)过实现(xiàn)一组(zǔ)合适控制获得的。控制可(kě)以是策略、惯例(lì)、规程(chéng)、组织结构和软件功能(néng)。需要建立这些控制,以确保满足(zú)该组织的特定安全目标。
内容章节
ISO/IEC17799-2000包含(hán)了127个安全(quán)控制措施来帮助组(zǔ)织识别(bié)在运做过程中(zhōng)对信(xìn)息安全有影响的元素,组(zǔ)织(zhī)可以根据适用的法律法(fǎ)规和章(zhāng)程加以选(xuǎn)择(zé)和使(shǐ)用(yòng),或者增加其他附(fù)加控(kòng)制。国际标准化组(zǔ)织(ISO)在2005年对(duì)ISO 17799进(jìn)行了修订(dìng),修订后的标准作为ISO 27000标准族的****部分——ISO/IEC 27001,新标准去掉9点(diǎn)控制措施(shī),新增17点控制(zhì)措施,并重组部分控制措(cuò)施而(ér)新增一章,重(chóng)组(zǔ)部分(fèn)控制(zhì)措施,关联(lián)性逻辑(jí)性更(gèng)好(hǎo),更适合应(yīng)用;并修改(gǎi)了(le)部分控制措(cuò)施措辞(cí)。修改后的标准包括11个章(zhāng)节(jiē):
1)安全策略。指定信息安(ān)全方针,为信息安全提供管理指引和支持,并定期评审。
2)信息安全的组(zǔ)织。建立信息(xī)安全管理组织体系(xì),在内(nèi)部(bù)开展和控制信息安全的实(shí)施。
3)资产(chǎn)管理。核查所有信息资产,做好(hǎo)信息(xī)分类(lèi),确保信息(xī)资产受到适当(dāng)程(chéng)度的保(bǎo)护。
4)人力资源(yuán)安全。确保所有员工(gōng),合同方和第(dì)三方了解信(xìn)息安(ān)全威胁和相关事宜以及(jí)各自的责任,义务,以减(jiǎn)少人为差错(cuò),盗窃,欺诈或(huò)误(wù)用设施的风险。
5)物(wù)理和(hé)环境安全(quán)。定(dìng)义(yì)安全区域,防(fáng)止对办公场所和信息的(de)未授权访问(wèn),破坏和干(gàn)扰(rǎo);保护设(shè)备(bèi)的(de)安全(quán),防止信息资产的丢失(shī),损(sǔn)坏或被盗,以(yǐ)及对企业业(yè)务的干扰;同时(shí),还要(yào)做好一般(bān)控制,防止信息和信(xìn)息处理设施的损坏和被盗。
6)通(tōng)信和操作管理。制定操(cāo)作(zuò)规程(chéng)和职(zhí)责,确保信息处(chù)理设(shè)施的正确(què)和安全(quán)操作;建立系统规划和验收准则,将系统失效的(de)风险降到****;防(fáng)范(fàn)恶(è)意代码和(hé)移动代码,保护软件(jiàn)和信息(xī)的完整(zhěng)性;做好信息备份和网络安全管理,确保信息在网络中的安全,确保其(qí)支持性基础设施(shī)得到保护;建立媒体处置和(hé)安全的规程,防止资产损坏(huài)和(hé)业务活动的(de)中断;防止(zhǐ)信息和软(ruǎn)件在组织(zhī)之间交(jiāo)换(huàn)时(shí)丢失(shī),修改或误用。
7)访问(wèn)控制。制定访问控制策略,避免信息系统的非授权访(fǎng)问,并让(ràng)用户了解其职(zhí)责和义务(wù),包(bāo)括网络(luò)访问控制(zhì),操作系统访问(wèn)控制,应(yīng)用系统和信(xìn)息访问控制,监视系统访问和使用,定(dìng)期检(jiǎn)测(cè)未授权(quán)的活动(dòng);当使用移动办公和远程控制时,也要确保信息安全(quán)。
8)系统采集、开发和(hé)维护。标示系统的安全要求(qiú),确(què)保安(ān)全成为信息系统的内置部分,控(kòng)制应用系统的(de)安(ān)全,防止应用系(xì)统中用户数据的丢失,被修(xiū)改或(huò)误用;通过加密手段保护信息的保(bǎo)密性,真实(shí)性(xìng)和完整性;控制对系统文件的访问,确(què)保(bǎo)系统(tǒng)文档(dàng),源(yuán)程序(xù)代码的安全;严格控(kòng)制开发和支持过程,维护应用系统软件和(hé)信息安全。
9)信息安全事故管(guǎn)理。报告信息安全事件和弱点,及时采(cǎi)取纠正措施,确保使用持续有(yǒu)效的方法管理信息安全事故,并确保及时修复。
10)业务连续性管理。目的是为减少业务活动的中断,是(shì)关键业务过程免受(shòu)主要故障或天灾的影响,并确保及时(shí)恢复(fù)。
11)符合性。信息系(xì)统的设计,操(cāo)作,使用过程和管理要符合法律法规的要求,符(fú)合(hé)组织安全方针(zhēn)和标准,还要控制系统审计(jì),使信息审核过(guò)程的效力****化,干扰**小化。
ISO27001的(de)效益(yì)
1、通过定义(yì)、评估和(hé)控制(zhì)风险,确(què)保(bǎo)经营的持续性和能力(lì)
2、减少由于合同违规(guī)行为(wéi)以及直接触(chù)犯(fàn)法律法规要(yào)求(qiú)所(suǒ)造成(chéng)的责任
3、通过遵守(shǒu)国(guó)际标准提高企业竞争能力,提升企业形象(xiàng)
4、明确定义所有组(zǔ)织的(de)内部和外部的信息接口(kǒu)目标:谨防数据的误用和丢失
5、建立安全工(gōng)具(jù)使用方(fāng)针
6、谨防技(jì)术(shù)诀窍的(de)丢失
7、在组织内部增强安全意识(shí)
8、可作为公共会计(jì)审计的证(zhèng)据
认识ISO27001国际标准(zhǔn)
ISO27001(BS7799/ISO17799)国(guó)际标准究竟是(shì)什么?它如(rú)何帮助一个组织更(gèng)加有(yǒu)效地管理信息安(ān)全?BS7799/ISO27001和ISO9001之间有(yǒu)什么联系?初(chū)次(cì)涉猎信息安全(quán)管理领域应该掌握哪些内容,以便(biàn)组织发起信息(xī)安全管理项目(mù)?如何获得BS7799国际标准认证?
IT治理和信息安(ān)全(quán)
近年来企业高层对内部治理需求(qiú)越来(lái)越实际而(ér)具体。随着(zhe)信(xìn)息技术普遍(biàn)渗透到(dào)企业(yè)组织中的(de)各个方面,企(qǐ)业越来越依赖(lài)IT系统来(lái)处理和(hé)储(chǔ)存各种信息(xī),以****业务正常运营,由此IT系统(tǒng)在企业治理(lǐ)中的作(zuò)z用越(yuè)来越明晰,IT治(zhì)理也逐渐被大(dà)多数企业认(rèn)可(kě),成为董事(shì)会和企(qǐ)业内部共同关注的领域。IT治(zhì)理的基础部分是信息安(ān)全保护——包括确保信息的(de)可用性、机密性(xìng)和完整性——这是其他IT治理环节实施的前提。
与此同时(shí),和信(xìn)息安(ān)全相关的国际(jì)标准(zhǔn)已经出台,成(chéng)为标准IT治理(lǐ)框架中的一大基石(shí)。
信息安全和(hé)法律法规
业内人士(shì)对ISO27001认证趋之若鹜,这其中有(yǒu)两个关(guān)键(jiàn)性(xìng)的驱(qū)动(dòng)因素:一是(shì)日益严(yán)峻的信息安全威胁,二是不断增(zēng)长的(de)信息保护(hù)相关法规的需求。
本质上说,信息安全威胁是全球化的。一(yī)般来说,它将毫(háo)无(wú)差(chà)别地辐射到每一个(gè)拥有(yǒu)、使(shǐ)用电子信息的机构和个(gè)人(rén)。这种威胁在因特网(wǎng)的环(huán)境中自动生成并释(shì)放。更严重的问题是,其他各(gè)种形式的危险也在整日威胁(xié)数(shù)据安(ān)全,包括从外部攻击行为到内部破坏、偷盗等一系列(liè)危险(xiǎn)。
过去的十年内,围(wéi)绕(rào)信息和数据安全问(wèn)题建立起(qǐ)来的法律(lǜ)法规体系从无到有、不(bú)断壮大,其中包括专门针(zhēn)对个人数据保护(hù)问题的,也有针对企业财政、运(yùn)营和风(fēng)险管理体系建立的法(fǎ)规保障问题的(de)。一套正式规(guī)范的(de)信息安全管理体系应当可(kě)以提供****实践(jiàn)部署指导。目前,建(jiàn)立(lì)这样的管理体(tǐ)系逐渐成为(wéi)诸多合规项目的必要条件,与此同时(shí),针对(duì)该管理体(tǐ)系的(de)认证逐渐成(chéng)为各(gè)种组织(包括政府部门)的热门需求,这份认证可以为他们带来(lái)重要的潜在商业合同。
信(xìn)息安全和技术(shù)
绝(jué)大多数人认为信息安全是一(yī)个(gè)纯粹的有关技术的话题,只有(yǒu)那些技(jì)术人员(yuán),尤其是(shì)计算机安(ān)全技术人员(yuán),才能够处理任何(hé)保障数据和(hé)计算(suàn)机安全的(de)相(xiàng)关事宜(yí)。这(zhè)固然有一定(dìng)道理。不过,实际(jì)上(shàng),恰恰是计算机(jī)用户本身(shēn)需要考虑这样的问题:避(bì)免哪些(xiē)威(wēi)胁?在信息安(ān)全和信(xìn)息通畅中如何平衡取舍?的(de)确(què)如此,一旦用户(hù)给出答案,计算(suàn)机安全专家(jiā)**可以(yǐ)设计并执行一个技术方案以达(dá)成(chéng)用户需求。
在组织内(nèi)部,管理层应当负责决策,而不是IT部门。一个规范的信(xìn)息安全(quán)管理体(tǐ)系必须明确指出(chū),组织(zhī)机构董事会和管理层(céng)应当(dāng)负责相关信息安全管(guǎn)理体系(xì)的决策,同时,这个体系也(yě)应当能(néng)够反映(yìng)这(zhè)种决策,并且在(zài)运行过程中能够提供证据(jù)证明其有效性。
所以(yǐ)机构组织内部的(de)信息安(ān)全管理体(tǐ)系的建(jiàn)立项目不必由一个技术(shù)专家来领导。事实上,技术专家在(zài)很多情(qíng)况下(xià)起(qǐ)到相反的作用,可(kě)能会阻碍项(xiàng)目进程。因(yīn)此,这个(gè)项(xiàng)目应该由质量(liàng)管理(lǐ)经理、总经理或者其他负责机构内部(bù)重大职能的执(zhí)行(háng)主管负责主持。
信息安全标准
1995年,英(yīng)国标准(zhǔn)协会(BSI)发布BS7799标准,即(jí)ISMS(信息(xī)安全管理体(tǐ)系),旨在规范、引导信息安全(quán)管理(lǐ)体系的发(fā)展过程(chéng)和实施(shī)情况。BS7799标准(zhǔn)被(bèi)外(wài)界(jiè)认为是一个不偏向任何(hé)技(jì)术、任何企业和产(chǎn)品供应商的(de)价值中立的(de)管理体系。只要实施得当,BS7799标准将帮助企业检查并确认其信息安全管理手段和(hé)实施方案的有效(xiào)性。
从企业外部来看,BS7799关注(zhù)信息的(de)可用性(xìng)、机密性和完整性,至今这仍然是这项标准****达(dá)到的目标。BS7799集(jí)中(zhōng)关(guān)注企(qǐ)业(yè)组(zǔ)织层面上的风险(xiǎn)规避(一定程度上主要是商(shāng)业和金融(róng)风险),而不包括避免(miǎn)每(měi)一个潜在风险的保护措施——尽管(guǎn)它们至关重要。
BS7799**初仅有一份文档,且具有明显的实(shí)践指(zhǐ)南性质。也**是(shì)说,它(tā)为(wéi)组织提供信息安全指引,但没有形成(chéng)规范,不能为(wéi)外部第(dì)三方审计和认证(zhèng)等提供依据。随着越(yuè)来越多的企(qǐ)业开始认识到(dào)来自信息(xī)安全的威胁波及范(fàn)围越来越广,影响程度越(yuè)来越大,并且(qiě)关于数据(jù)和隐(yǐn)私权保护(hù)的法律法规不断出台(tái),信息安全标准(zhǔn)认(rèn)证的需求开始不断增加。
这种需求的增加(jiā)**终促成(chéng)了该项标准(zhǔn)****部分的出台,即标准规(guī)范。实(shí)践(jiàn)指南和标准规范(fàn)之间的(de)关系是这样的:标准规范是认证方案的(de)基(jī)础,同时标准规范要求(qiú)实践者遵(zūn)从实践指南的指引。
这个实践(jiàn)指南**近(jìn)被修订为ISO/IEC 17799:2005,标准规(guī)范也被修订为ISO/IEC 27001:2005,逐步得(dé)到国际(jì)认同。
许多国家也已发布了(le)自己的相关标准,比如AS/NZS7799。这些标准的(de)国际(jì)化(huà)版(bǎn)本可以在世界(jiè)任何国家得到认可,这促使(shǐ)了(le)**粱曜嫉南耍ǔ嘶诹礁霰曜己(jǐ)怕牖(yǒu)∩系谋**粱曜家酝猓
认证与遵从(cóng)
一个(gè)组织可以仅遵从ISO17799来(lái)建立和发(fā)展ISMS(信息安全管理体系),因(yīn)为实践指南中(zhōng)的内容是(shì)普(pǔ)遍适用的。然而,由于ISO17799并非基于认证框架,它(tā)不具备(bèi)关于通过认证所必需的信息安全(quán)管理体系的要求。而ISO/EC27001则包(bāo)含这些具体详(xiáng)尽的管理(lǐ)体(tǐ)系认证(zhèng)要(yào)求。在技术层面来讲,这**表明一(yī)个正在(zài)独立运用ISO17799的机构组织(zhī),****符(fú)合实践指南(nán)的要求,但是这(zhè)并不足以(yǐ)让外界认可其已经达到认证(zhèng)框架所制定的(de)认证要求(qiú)。不(bú)同的是,一个正在(zài)同时运用ISO27001和ISO17799标(biāo)准的机构组织(zhī),可以建立一个****符合认证具(jù)体要求的ISMS,同时这个ISMS体(tǐ)系也符合实践指南的要求,于是,这一组织**可以获(huò)得外界的认同(tóng),即获得认证。
ISO27001认证要求
ISO27001标准是为了(le)与其他管理标准,比如ISO9000和ISO14001等(děng)相互兼容而设计的,这一标准中的编(biān)号系统和文件管理需求的设计初衷,**是为(wéi)了提供良(liáng)好的兼容性,使得组织可以建立起这样一套管(guǎn)理体系:能够在(zài)****程度上(shàng)融入这(zhè)个组织正在使用的其他任何管理体(tǐ)系(xì)。一般来说,组(zǔ)织通常会使用为其ISO9000认证(zhèng)或者其他管理体系认证提供认证服务的机(jī)构,来提供(gòng)ISO27001认证服务(wù)。正是因(yīn)为这个缘故(gù),在ISMS体系建立(lì)的过(guò)程中,质量管理的经验举足轻重。
但是有一点需要(yào)注意,一个组织如果没有事先拥有并使用任何形(xíng)式的管理体系,并不意味着该组织(zhī)不能(néng)进(jìn)行(háng)ISO27001认证(zhèng)。这种情况下,该组织**应当(dāng)从经(jīng)济利益考虑,选择一个合适的管理体系的认证机构来提供认证(zhèng)服务(wù)。认证机构必须得到一个国家鉴定机构的委托授(shòu)权,才(cái)能为(wéi)认(rèn)证组织提(tí)供认证服务,并发放认证证(zhèng)书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获(huò)得该(gāi)机构(gòu)授权(quán)进行ISMS认证的机构均记录(lù)在(zài)案。
风险评估应对计(jì)划
任何一个(gè)ISMS体系的建立和(hé)开(kāi)发都(dōu)应当满足组织独(dú)特的需求。每个组织不仅都有自己独(dú)特的(de)业务模式、运营目(mù)标、形象特点和(hé)内部(bù)文化,他们对待风险的态(tài)度倾向也大相(xiàng)径庭。换(huàn)句话说(shuō),同一个东西(xī),一个机构组织认为是必(bì)须提(tí)防的威(wēi)胁,在另一个组(zǔ)织看来可能是一(yī)个必须抓住的机遇。同样地,各个机构组织对于既有风险防护的投入也参差不齐(qí)。基于以上(shàng)或者其他原因(yīn),每个运行(háng)ISMS的组织(zhī),其内部(bù)成员必(bì)须对风险(xiǎn)评估有一个共(gòng)识,这个风险评估(gū)的方(fāng)法论、结果发现和推荐解决方(fāng)式都必须得到董事(shì)会的(de)首肯。
ISMS项目和PDCA流程
ISMS项目很复杂(zá),可能持续(xù)若干个月甚至若干年,涉及整个机构组织(zhī)以及从管理层到收发部门(mén)的每(měi)个成员。ISO27001认证诞(dàn)生时间短,成功的案(àn)例比(bǐ)较少。从务实的(de)角度考虑,这表明在(zài)项(xiàng)目计划过程(chéng)中(zhōng),必须尽早对这(zhè)些仅有的(de)指(zhǐ)导性的(de)书(shū)籍和案例进行分析和研究。
ISO27001标(biāo)准指(zhǐ)导(dǎo)一个企业如何(hé)着手(shǒu)开展ISMS项目,并且关注整(zhěng)个项目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意(yì)在说(shuō)明业务流程应当是不断(duàn)改进的,该方法使得职能部门经(jīng)理可以识别出那些(xiē)需要修正的(de)环(huán)节并进行修正(zhèng)。这个流程以及流程的改进,都(dōu)必须遵循这样一(yī)个过程:先计划,再执行,而(ér)后对其运(yùn)行结果进行评估,紧(jǐn)接着按照计划的具体要求对该评估(gū)进行复(fù)查,而后寻找到任何与计划不符的结果偏(piān)差(chà)(即潜(qián)在改(gǎi)进的可能(néng)性),**后向管理层提出如何运(yùn)行的**终报告。
ISO27001认证(zhèng)审核费用(yòng)及周期
除(chú)了(le)组织(zhī)自身(shēn)投入之外(wài),ISO27001 认证审(shěn)核费用主要体现在聘请第(dì)三(sān)方认证机构及(jí)审核员方面了。在组织向认(rèn)证(zhèng)机构提出(chū)申请之后,认证机构会初步(bù)了解组织现(xiàn)状,确定审核范围,提出审核报(bào)价。认证(zhèng)机构的报价通常是根(gēn)据其投入的时间和人员(yuán)来确定的,决定因(yīn)素包括:
1、受审核组织的员(yuán)工数量;
2、纳入审核范围的信(xìn)息量;
3、场所数量;
4、组织与外界的关联;
5、组织(zhī) IT 的复杂性;
6、组织类型和(hé)业务性质(zhì)等。
除了费(fèi)用问(wèn)题,认证(zhèng)审核的周期(qī)通常也是(shì)组(zǔ)织比较关心(xīn)的。一般来说,从组织启(qǐ)动 ISMS建设项目开始,到**终通过(guò)审核(hé),至(zhì)少要有半年(nián)时间(不包(bāo)括(kuò)获(huò)取证书的(de)时(shí)间)。对于很多因为外部驱动力而(ér)决(jué)心实(shí)施 ISO27001 认证(zhèng)项目的组织(zhī)来说,提早进行规划是必要的(de)。[6] 
