标准的主要内(nèi)容
ISO/IEC17799-2000(BS7799-1)对信息安(ān)全(quán)管理给出建议(yì),供负责在其组织启动、实施或(huò)维护(hù)安全的人(rén)员使用(yòng)。该标准为开发组织(zhī)的安(ān)全标准和有效的安全(quán)管理做法(fǎ)提(tí)供公共基础,并(bìng)为组(zǔ)织之间的交往(wǎng)提供(gòng)信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它(tā)对(duì)一个组织具有价值,因(yīn)此需要加(jiā)以合(hé)适地保护。信息(xī)安全防止信(xìn)息受到的各(gè)种(zhǒng)威胁,以确保业务连(lián)续性,使业(yè)务受到损害的风(fēng)险减至(zhì)**小(xiǎo),使(shǐ)********和业务机会****。
信息安全是通过实现(xiàn)一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件(jiàn)功能。需要建立(lì)这(zhè)些控制,以确保满足该(gāi)组(zǔ)织的特定安全目标。
内容章节(jiē)
ISO/IEC17799-2000包(bāo)含了(le)127个安(ān)全控制(zhì)措(cuò)施来帮助组织识(shí)别在运做过程中对信息安全有影响的元素,组织可(kě)以根据适(shì)用的法律(lǜ)法规(guī)和章程(chéng)加以选择(zé)和使用,或者增(zēng)加(jiā)其他附加控制(zhì)。国际标准化(huà)组织(ISO)在2005年对ISO 17799进(jìn)行(háng)了修订,修订后(hòu)的标准作(zuò)为(wéi)ISO 27000标准族(zú)的****部分——ISO/IEC 27001,新(xīn)标准去掉9点控(kòng)制措施,新增17点控制措施,并重组(zǔ)部分(fèn)控制措施(shī)而新增一章,重组部分控制措施,关联(lián)性逻辑(jí)性(xìng)更好,更适合应用;并(bìng)修改了(le)部分控(kòng)制措施(shī)措辞。修改后的(de)标准包括11个章节:
1)安(ān)全策略。指定(dìng)信息(xī)安全方针,为信息安(ān)全提供(gòng)管理指引和支持,并定期(qī)评审。
2)信息安全(quán)的组织(zhī)。建立信(xìn)息(xī)安全管理组织体(tǐ)系(xì),在内部开展和控制信息安全的实施。
3)资产管理。核(hé)查所有信息(xī)资产(chǎn),做好信息分(fèn)类,确保信(xìn)息资产受到适当程度的保(bǎo)护。
4)人力资源安全。确(què)保所有(yǒu)员工,合(hé)同方和第三方了(le)解信息(xī)安全威胁和相关事宜(yí)以及(jí)各自的(de)责任,义(yì)务,以减少人(rén)为差错,盗窃(qiè),欺(qī)诈或误(wù)用设施(shī)的风险。
5)物理和环境安全。定义安全区域,防止对办公场所和信(xìn)息的未授权访问,破(pò)坏(huài)和干扰;保护设(shè)备的安全,防止信息资产的丢失,损坏或被盗,以(yǐ)及对企业业务的干扰(rǎo);同时(shí),还要做好一般控(kòng)制,防止信息和信息处理设(shè)施的损坏(huài)和(hé)被盗。
6)通信和操(cāo)作管理。制(zhì)定操作规程和(hé)职责(zé),确保信(xìn)息处理(lǐ)设施的(de)正确和安(ān)全(quán)操作;建立系统规划和验收准则(zé),将(jiāng)系(xì)统失效的(de)风(fēng)险降到****;防范恶意(yì)代码和移动(dòng)代码,保护软件和信息的(de)完整性;做好信息(xī)备份和网(wǎng)络安全管(guǎn)理,确保信息在网络中的安全,确保其支持性基础(chǔ)设施(shī)得到(dào)保护(hù);建(jiàn)立媒体处置(zhì)和(hé)安全的规程,防止资产损坏和业务活动的中(zhōng)断;防止信息和软(ruǎn)件在组(zǔ)织之间交换时(shí)丢失,修改或误用。
7)访问(wèn)控制。制定访问(wèn)控制策略,避免(miǎn)信(xìn)息系统的非授权访问,并(bìng)让用(yòng)户了解其(qí)职责和(hé)义务,包(bāo)括(kuò)网络访问控制,操作(zuò)系(xì)统访问控(kòng)制(zhì),应用系统和信息访问(wèn)控制(zhì),监视系统访问和使用,定期检测未授权的活动;当(dāng)使用移动办公和远程控制时(shí),也要确保(bǎo)信息安全。
8)系统(tǒng)采集、开发和维护。标(biāo)示系统的(de)安(ān)全要求,确保安全成为信息系统(tǒng)的内置部分,控制应(yīng)用(yòng)系统的(de)安(ān)全,防(fáng)止应用系统中用户数据的丢失(shī),被修改或误(wù)用;通过加密手段保护信息的保(bǎo)密性,真实(shí)性和完整性;控制对系统文件的(de)访问,确保系(xì)统文档,源程序代码(mǎ)的安全;严(yán)格控(kòng)制开发和支持过程,维护应用系统软件(jiàn)和信息安全。
9)信(xìn)息安全事故管理。报告信息安全事件和弱点(diǎn),及(jí)时采取(qǔ)纠正措施,确保使用持续有效(xiào)的方法管(guǎn)理信息安全事故,并确保及时(shí)修复。
10)业务连(lián)续性管理。目的是为减少业务活动的中断,是关键业(yè)务过程免(miǎn)受主要故障(zhàng)或天灾的(de)影(yǐng)响,并确(què)保及时恢复。
11)符合性(xìng)。信息系统的设计(jì),操作(zuò),使用过(guò)程和(hé)管(guǎn)理要符合法律法规的(de)要求,符合组织安全方针和标(biāo)准,还要控制系统审计,使信(xìn)息审核过程的效(xiào)力****化,干扰**小化(huà)。
ISO27001的效(xiào)益(yì)
1、通过定义、评估和控制风险,确保经营的持续性和能(néng)力
2、减(jiǎn)少由于合同(tóng)违规行为以及直(zhí)接触犯法律法规(guī)要(yào)求所(suǒ)造成的(de)责任
3、通过遵守国际标准(zhǔn)提高企业竞(jìng)争能力,提升企业形象(xiàng)
4、明确(què)定(dìng)义所有组织的(de)内部和外部的信息接口目标:谨(jǐn)防数据的(de)误用和(hé)丢失
5、建立安全(quán)工具(jù)使用方针(zhēn)
6、谨防技术诀窍的(de)丢(diū)失
7、在组织(zhī)内部增强安全意(yì)识
8、可作为(wéi)公共(gòng)会计审计的证据
认识(shí)ISO27001国际标准(zhǔn)
ISO27001(BS7799/ISO17799)国际标(biāo)准究(jiū)竟是什么?它如何帮(bāng)助一(yī)个组织更加(jiā)有效(xiào)地(dì)管(guǎn)理信息安全?BS7799/ISO27001和(hé)ISO9001之间(jiān)有什么联系(xì)?初次涉猎信息安全管理领域(yù)应该掌握哪些内容,以便组(zǔ)织发起信(xìn)息安全管理(lǐ)项目?如(rú)何获得BS7799国际标(biāo)准认证(zhèng)?
IT治理(lǐ)和(hé)信息安(ān)全
近年来企业(yè)高(gāo)层对(duì)内部治理需求(qiú)越来越实(shí)际而(ér)具体(tǐ)。随(suí)着信息技(jì)术普遍渗透到企业组织中(zhōng)的各个方面,企业越(yuè)来越依赖IT系统来处(chù)理和储(chǔ)存各(gè)种信息,以****业务正常运(yùn)营,由此IT系统在企(qǐ)业治理(lǐ)中的(de)作z用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事(shì)会(huì)和(hé)企业内部共同关注的(de)领域。IT治(zhì)理的(de)基(jī)础部分是信息安全保(bǎo)护(hù)——包括确保(bǎo)信息的可用(yòng)性、机密性(xìng)和完整(zhěng)性——这是其(qí)他IT治(zhì)理(lǐ)环节实施的前提。
与(yǔ)此同时,和(hé)信(xìn)息(xī)安全相关的国际标准已经出台,成为标准(zhǔn)IT治理框架中(zhōng)的一大基石(shí)。
信息安全和法律法(fǎ)规
业内人士(shì)对ISO27001认证(zhèng)趋之若鹜,这其中有两(liǎng)个关键性(xìng)的驱动因素:一是日益严峻(jun4)的信(xìn)息安(ān)全威胁,二是不(bú)断增长(zhǎng)的信息保(bǎo)护(hù)相关(guān)法规的需求。
本质上说,信息安全(quán)威胁是(shì)全球化(huà)的。一般来(lái)说,它将毫无差别地辐射到每一个拥有、使用电(diàn)子信息的机构和个人。这种威胁在因特(tè)网的环境中自动生成并(bìng)释放。更严重的问题是,其(qí)他各种形式的危险也(yě)在(zài)整日(rì)威胁数据安全,包括从外(wài)部攻击行为(wéi)到内部(bù)破(pò)坏、偷盗等一系列(liè)危险。
过去的(de)十年内,围(wéi)绕信息和数据安全问题(tí)建立起来的(de)法(fǎ)律法规体系从无到有、不断壮大,其中包括专门(mén)针对个人数据保(bǎo)护问(wèn)题(tí)的,也(yě)有针对(duì)企业财(cái)政、运(yùn)营和风险管(guǎn)理体系建立(lì)的法规保障问(wèn)题的。一套正式规范的信(xìn)息安全管理体系应当可以(yǐ)提(tí)供(gòng)****实践部署指导。目前,建(jiàn)立这样的管理体系逐渐成(chéng)为(wéi)诸多合规项目的必要条(tiáo)件,与此同(tóng)时,针对(duì)该管理体系的认证逐渐成为各种组织(包(bāo)括(kuò)政府(fǔ)部门)的(de)热(rè)门需求,这份认证可(kě)以为他(tā)们带来(lái)重要的潜在商(shāng)业合同(tóng)。
信息安全和技术
绝大多数(shù)人(rén)认为信息安全是一个纯粹的(de)有关技术的话题(tí),只(zhī)有那(nà)些技术人(rén)员,尤其是计算机(jī)安全技术(shù)人员,才能(néng)够处理任何保障数据和计算机安(ān)全的相关事宜(yí)。这固然有一(yī)定道理(lǐ)。不过,实际(jì)上,恰恰是计算机用(yòng)户本身(shēn)需要考虑(lǜ)这样的(de)问题:避(bì)免哪些威胁?在信息安全和信息通畅中(zhōng)如何平衡(héng)取舍?的确如此,一旦用户给(gěi)出答案(àn),计算机安全(quán)专家**可以设(shè)计并执行一个(gè)技术方案以达成(chéng)用户需求。
在组织内部,管理层应当负责决策,而不是IT部(bù)门。一(yī)个规范(fàn)的信息安全管理体系必(bì)须明确(què)指(zhǐ)出,组(zǔ)织机构董事会和管理层应当(dāng)负(fù)责相关信(xìn)息安全管理体系的决(jué)策,同(tóng)时,这个(gè)体系(xì)也应当能够(gòu)反(fǎn)映这种(zhǒng)决策,并且在运行(háng)过(guò)程中能够提供证据证(zhèng)明其有效性。
所以机构组织(zhī)内(nèi)部的信息安全管(guǎn)理体系的建立项(xiàng)目不必由一个技术专家来领导。事实上,技术专(zhuān)家在很多情况(kuàng)下起到相反(fǎn)的作用,可能会阻碍项目进程。因此(cǐ),这个项目应该由质量管理经理、总经理或者其他(tā)负(fù)责机构内部重大职能的(de)执行主(zhǔ)管负责主(zhǔ)持。
信息安全标准
1995年,英国标准协会(huì)(BSI)发布BS7799标准,即ISMS(信(xìn)息安全(quán)管理(lǐ)体系),旨在规范(fàn)、引导信息安全管理体系的发展过程和实施(shī)情况。BS7799标(biāo)准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理(lǐ)体系。只要实施(shī)得当,BS7799标准将帮(bāng)助企业检查并确认其信(xìn)息安全管理手段(duàn)和实施方案的有效(xiào)性。
从(cóng)企(qǐ)业外(wài)部来看(kàn),BS7799关注信息(xī)的可用性(xìng)、机(jī)密性和完整性,至今这(zhè)仍然是这项标准****达(dá)到的目标。BS7799集中(zhōng)关注企业(yè)组织层面上(shàng)的(de)风险规避(一定(dìng)程度上主要是商业和金融风险),而不包括(kuò)避免每一个潜在风险(xiǎn)的保护(hù)措施——尽管它们至关重要(yào)。
BS7799**初仅有一份文档,且具(jù)有明显的实践指南性质。也**是(shì)说,它(tā)为组织(zhī)提供信息安(ān)全指引,但没有(yǒu)形成规范,不能为外部第三方审计和(hé)认(rèn)证(zhèng)等提供依(yī)据。随着越来越多的企业(yè)开始认识到(dào)来自信息安全的威胁波(bō)及范围(wéi)越来越广,影(yǐng)响程度越(yuè)来越(yuè)大,并且关于数据和隐私权保(bǎo)护的(de)法律法(fǎ)规不断出台,信息安全标准认证的需求开始不断(duàn)增加。
这种需(xū)求的增加**终促成(chéng)了该项标准****部(bù)分的出台,即标准规范(fàn)。实践(jiàn)指(zhǐ)南和标准规范之(zhī)间的关系是(shì)这样的:标准(zhǔn)规范是认(rèn)证(zhèng)方案的基础,同(tóng)时标准规范(fàn)要求实践(jiàn)者遵从(cóng)实践指南的指引(yǐn)。
这(zhè)个实践指南**近被(bèi)修订为ISO/IEC 17799:2005,标准规范也被修订(dìng)为(wéi)ISO/IEC 27001:2005,逐步得到国际认同(tóng)。
许多国家(jiā)也已发布了自己的相关标准(zhǔn),比如AS/NZS7799。这些标准的国际化版本可以(yǐ)在世界任(rèn)何(hé)国家(jiā)得到认可,这(zhè)促使(shǐ)了(le)**粱曜嫉南耍ǔ嘶诹礁霰曜己怕牖∩系谋**粱曜家酝猓
认证与遵(zūn)从
一个组织可以仅遵从ISO17799来(lái)建立(lì)和发展ISMS(信息安全(quán)管理体系),因为实践(jiàn)指南中(zhōng)的内容(róng)是普遍(biàn)适用的。然(rán)而,由于ISO17799并非基于认证框架,它不具备(bèi)关于通过认证所必需的信(xìn)息安全管理体(tǐ)系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲,这**表(biǎo)明一个正(zhèng)在独立运用ISO17799的机构组织(zhī),****符合(hé)实践(jiàn)指南的要求,但(dàn)是这并(bìng)不足以让(ràng)外界认可其已(yǐ)经达到认证框架所制定的认证(zhèng)要求。不(bú)同的是,一(yī)个正在同时运用ISO27001和ISO17799标准的机构组织(zhī),可以建立一个****符合认证具体要(yào)求的ISMS,同时这个(gè)ISMS体系也符合(hé)实践指南(nán)的要求,于(yú)是,这一组(zǔ)织(zhī)**可(kě)以获(huò)得外界的认(rèn)同,即获得认证。
ISO27001认(rèn)证要求(qiú)
ISO27001标准是(shì)为了(le)与(yǔ)其(qí)他管理标(biāo)准,比如ISO9000和ISO14001等相互兼容(róng)而设计的,这一标(biāo)准中的编号(hào)系统(tǒng)和文件管理需求的设计初衷,**是(shì)为了提供良好的兼容性(xìng),使得组(zǔ)织可以建立起(qǐ)这样一套管理体系:能够在****程度上融入(rù)这个组织正(zhèng)在使用的其他任何管理体系。一般来说,组织通常(cháng)会使用(yòng)为(wéi)其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务(wù)。正是因为这(zhè)个(gè)缘故,在(zài)ISMS体系建立的过程中,质量管理(lǐ)的(de)经验举足轻重(chóng)。
但是有一(yī)点需要注意,一个(gè)组织如果没有事先拥有(yǒu)并使(shǐ)用任何形式的管理体系,并不意味着该(gāi)组织不能进(jìn)行ISO27001认证。这种情(qíng)况下,该组织**应当从经济利益考虑,选择一个合适的(de)管理体系的认(rèn)证机构来(lái)提供认证服(fú)务。认证机构(gòu)必(bì)须得到一个国家鉴定机构的委(wěi)托授权,才能为认证组(zǔ)织提供认证服务,并发放认证证书。大多数国家都有(yǒu)自己的(de)国家鉴定机构(比如:英国UKAS),任何获(huò)得(dé)该机构授权(quán)进行(háng)ISMS认证的机构均记录在(zài)案。
风险评估应对(duì)计划
任何一(yī)个ISMS体系的建立和开发都应当满足组(zǔ)织独特的需求。每个组织不仅都有自己独特的业(yè)务模式、运营目标、形象(xiàng)特点和内部文化,他们(men)对待风险的态度倾向也大相径(jìng)庭。换句话说,同一个东西,一个机构组织认为是必须提防的威胁,在另(lìng)一个组织看(kàn)来可能是一(yī)个必须抓住的机(jī)遇。同(tóng)样地,各个机构组织对于既有风险防(fáng)护的投(tóu)入也参差不齐。基于以上或者其他原因,每(měi)个运行ISMS的组(zǔ)织,其内部(bù)成员必须对(duì)风险评估有一个(gè)共(gòng)识,这个风险评估的方法论、结(jié)果发现(xiàn)和推荐(jiàn)解决方式都必须得到董事会的首肯(kěn)。
ISMS项(xiàng)目和PDCA流程
ISMS项目很复杂(zá),可(kě)能(néng)持续若干(gàn)个月甚(shèn)至若干年,涉(shè)及整个(gè)机构组织以及从管理层到(dào)收发部(bù)门(mén)的(de)每个成员(yuán)。ISO27001认证诞生时间短,成功的案例比较少。从务实的角(jiǎo)度考(kǎo)虑,这表明在项目计划过程中,必须尽(jìn)早对这些仅(jǐn)有的(de)指导性的书籍和案例进行分析和研究。
ISO27001标准指导一个企业如何着手开展ISMS项目,并且(qiě)关注(zhù)整个(gè)项(xiàng)目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检(jiǎn)查(Check)-提升(Act)过程,意(yì)在说明业(yè)务(wù)流程应当(dāng)是(shì)不断改进的(de),该方(fāng)法使得职(zhí)能部门经理可(kě)以(yǐ)识别出(chū)那些需要(yào)修正的环节(jiē)并(bìng)进行修正。这(zhè)个流程(chéng)以及流程(chéng)的改进,都必须(xū)遵循这样(yàng)一个过程:先计划(huá),再执(zhí)行,而后对其运行结果(guǒ)进行评(píng)估,紧(jǐn)接着(zhe)按照计划的具体要(yào)求对该评估进行复查,而后寻找到任何(hé)与计划不符的结果偏差(即(jí)潜在改(gǎi)进的可能性),**后向管理(lǐ)层提出(chū)如何运行的(de)**终报告。
ISO27001认证审核费用及周期
除了组织自身投入(rù)之外,ISO27001 认(rèn)证审核费用(yòng)主要(yào)体现在聘请第三方认证机构及审核(hé)员方面了。在(zài)组织向认(rèn)证机构提出申请之(zhī)后,认(rèn)证机构会初步了解组织现状(zhuàng),确定审核范(fàn)围,提出审核(hé)报(bào)价。认证机构的报(bào)价通常(cháng)是根据其投入(rù)的时(shí)间(jiān)和人员(yuán)来确定的,决定(dìng)因素包(bāo)括:
1、受审核组(zǔ)织的员工数量;
2、纳入(rù)审核范围的信息量;
3、场所数量;
4、组织与(yǔ)外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性(xìng)质等。
除了费用问题,认(rèn)证审核的周期通常也是组织比较关心的。一(yī)般来说,从组织启动 ISMS建(jiàn)设(shè)项目开始(shǐ),到**终通过审核,至少要有半年时间(不包括获(huò)取证书(shū)的(de)时间(jiān))。对于很(hěn)多因为外(wài)部驱动力而决心实施 ISO27001 认证项目的(de)组织来(lái)说(shuō),提早进行规划是必要的。[6] 
