标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或(huò)维护安全的人员使用。该标准为(wéi)开(kāi)发组织的安全(quán)标准和有(yǒu)效的安全管(guǎn)理(lǐ)做(zuò)法提(tí)供公(gōng)共(gòng)基础,并为组织之(zhī)间的交往提(tí)供信任。
标准指出“象其他(tā)重(chóng)要业务资产一样,信息(xī)也是一种资产”。它对一个组织(zhī)具有价值(zhí),因此需要(yào)加(jiā)以合(hé)适地保护。信息(xī)安全防止信息(xī)受到的各种威(wēi)胁,以确保(bǎo)业务连(lián)续(xù)性(xìng),使业务受到损害的风险减至**小,使********和业务机会****。
信(xìn)息安全是通过实(shí)现一组合适控制获得的。控制(zhì)可以是策略、惯例、规程、组织结构和软件功能(néng)。需要建立这些(xiē)控制,以(yǐ)确保满足该组织(zhī)的特定(dìng)安全目标。
内容章(zhāng)节(jiē)
ISO/IEC17799-2000包含(hán)了(le)127个安全(quán)控制(zhì)措施来帮助组织识别在(zài)运做过程中对信息安全有影响的元素,组织可以(yǐ)根据(jù)适(shì)用的法律法规和章程加以选(xuǎn)择和使用(yòng),或者(zhě)增加其他附加控制。国际标准化组织(ISO)在2005年对(duì)ISO 17799进(jìn)行了修(xiū)订,修(xiū)订后的标准作为(wéi)ISO 27000标准族的(de)****部(bù)分(fèn)——ISO/IEC 27001,新(xīn)标准去掉9点控制措施,新(xīn)增17点控(kòng)制措施,并重组部分(fèn)控制措施而新增一章,重组部分控(kòng)制措施,关联性(xìng)逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包(bāo)括11个章节:
1)安全(quán)策略。指定(dìng)信息安全方(fāng)针,为信(xìn)息安全提(tí)供管理指(zhǐ)引(yǐn)和(hé)支持,并定期评审。
2)信息安全的组(zǔ)织。建立信(xìn)息安全管理组织体系(xì),在内部(bù)开展(zhǎn)和(hé)控制信息安全的实施(shī)。
3)资产管理。核查所有信息(xī)资产,做好信息分类,确(què)保信息资产受到适当程度的保护。
4)人(rén)力资源安全(quán)。确保(bǎo)所有员工,合同方和第三方了解信息安全威胁(xié)和相关事宜以及(jí)各自的(de)责任,义务,以减少人为差错,盗窃,欺诈或(huò)误(wù)用设施的风险。
5)物(wù)理和环境安全。定(dìng)义安全区(qū)域,防止对办(bàn)公场(chǎng)所和信息的未授权访问,破坏和干扰;保(bǎo)护设备的安全,防止信(xìn)息资产的丢(diū)失,损坏或被盗,以及(jí)对企业业务的干扰(rǎo);同时(shí),还要做好一般控制,防止信息和信息处理设施的损坏(huài)和被盗。
6)通信(xìn)和操作管理。制定操作规程和职责,确保信息处理设施的正确和安全操作(zuò);建立系统规划(huá)和(hé)验收准则,将系统失效的风险降到****;防(fáng)范恶意代码和移动(dòng)代码,保护软件和信息的完整(zhěng)性;做好信(xìn)息备份和网络安全(quán)管理,确保信息在网络中(zhōng)的安全,确保(bǎo)其(qí)支持性(xìng)基础设施得到保护;建立媒体处置和安全(quán)的规程,防止资产损(sǔn)坏和业务活动的中断;防止信息和软件在组织之(zhī)间交换时丢(diū)失,修改或误(wù)用。
7)访问控制。制定访问(wèn)控制策略(luè),避免(miǎn)信息(xī)系统的非授权访问,并让用(yòng)户了解(jiě)其职责和义务,包括网络访问控制,操作系统(tǒng)访问控制(zhì),应用系统和信息访问控制(zhì),监视系统访问和使用,定期检测未授权(quán)的活动;当使用移(yí)动办公和远程控制时,也要确保信息安(ān)全。
8)系统采集、开发和(hé)维(wéi)护。标(biāo)示系统的安全要求,确保安(ān)全(quán)成(chéng)为信息(xī)系(xì)统的内置部分,控制应用系(xì)统的安全,防止应(yīng)用系统中用(yòng)户(hù)数据的丢失,被修改或(huò)误用;通过加密(mì)手段保(bǎo)护信息的保密性(xìng),真实性和完整性;控制对系统文件(jiàn)的访问,确(què)保系统文档,源程序代码的(de)安全(quán);严格控制开(kāi)发(fā)和支持过程,维(wéi)护应用(yòng)系统软件和(hé)信息安全。
9)信息安(ān)全(quán)事故(gù)管理(lǐ)。报告信息安全事件和弱(ruò)点,及(jí)时采取纠正措施,确保(bǎo)使用持续有效的方法(fǎ)管理信(xìn)息安全(quán)事(shì)故,并确保(bǎo)及时修复。
11)符合性(xìng)。信息系统的设计,操作(zuò),使用过程和(hé)管理要符(fú)合法(fǎ)律法规的要求,符(fú)合组织(zhī)安全方针(zhēn)和标准,还要控制系统审计,使信息审核(hé)过程的效力(lì)****化,干扰**小化。
ISO27001的效(xiào)益
1、通过定义、评估和控(kòng)制风险(xiǎn),确保经营的持续性和(hé)能力(lì)
2、减少(shǎo)由于合同违规行为(wéi)以及直接(jiē)触(chù)犯(fàn)法律法规要求所(suǒ)造成的责任(rèn)
3、通过遵守国际标准提高企(qǐ)业竞(jìng)争能力,提升企业形象
4、明确定义所(suǒ)有组织的内部和外部(bù)的信息(xī)接口(kǒu)目标:谨(jǐn)防(fáng)数(shù)据(jù)的误用和丢失
5、建立安全工具(jù)使用方针
6、谨(jǐn)防技术诀窍的丢失
7、在组织(zhī)内部增(zēng)强安全意识
8、可作为公(gōng)共会计审计的(de)证据(jù)
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国(guó)际标准究竟(jìng)是什么?它如何帮助一个(gè)组织更加有效地管理信息(xī)安(ān)全?BS7799/ISO27001和(hé)ISO9001之间有什么联系(xì)?初次(cì)涉猎信(xìn)息安全管理领域(yù)应(yīng)该掌握哪些内容(róng),以(yǐ)便(biàn)组织(zhī)发起信息(xī)安全管(guǎn)理项(xiàng)目?如何获得BS7799国际标准认证?
IT治理和(hé)信息安全
近(jìn)年来企业高层对内部治理(lǐ)需求越(yuè)来越实际而具体。随着信息技术普遍渗透到企业组织中的各(gè)个方面,企业越来越依赖IT系统来处理(lǐ)和储存各种(zhǒng)信息,以****业(yè)务正(zhèng)常(cháng)运营,由此(cǐ)IT系统在企业(yè)治理中的(de)作z用越来越明晰,IT治理(lǐ)也逐渐被大多(duō)数(shù)企业(yè)认(rèn)可(kě),成(chéng)为董事会和企业(yè)内部共同关注的领(lǐng)域(yù)。IT治理的(de)基础部分是信息安全保护——包括确保信息的可用性(xìng)、机密(mì)性(xìng)和完整(zhěng)性——这是(shì)其他IT治理环节实施的前提。
与此同时,和信息安全相(xiàng)关的国际标准已经出台,成为标准IT治理框架中(zhōng)的一大基石。
信息安全(quán)和法(fǎ)律(lǜ)法规
业(yè)内人士对ISO27001认证趋之若鹜,这其中有两(liǎng)个关键性(xìng)的驱动因素:一是日(rì)益严峻的(de)信(xìn)息安全威胁,二(èr)是不断(duàn)增长的信息(xī)保护相关法(fǎ)规的需求。
本质上说,信息(xī)安全威(wēi)胁是全球化的(de)。一般来说,它将毫无差别地辐(fú)射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中自动(dòng)生(shēng)成并(bìng)释放(fàng)。更严(yán)重的问题是,其他各(gè)种(zhǒng)形(xíng)式的危险也(yě)在整(zhěng)日威胁(xié)数据安(ān)全,包括(kuò)从外(wài)部攻击行为到内部破坏、偷盗等一系列危险。
过去的十(shí)年内,围绕(rào)信息和数据安(ān)全问题(tí)建(jiàn)立起来的法律法(fǎ)规体系从无到有(yǒu)、不断壮大,其中包括(kuò)专门针(zhēn)对个人数据保护问题的,也(yě)有针对企业(yè)财政、运营和风险管理体系建立(lì)的法规保障问题(tí)的。一套正式规范的信息安全管理体系(xì)应当可以提供****实践部署(shǔ)指导。目前,建立这样的管理体系逐渐(jiàn)成为(wéi)诸多(duō)合(hé)规项目的必(bì)要条件,与此同时,针对该管理体系的认(rèn)证(zhèng)逐渐成为各(gè)种(zhǒng)组织(包(bāo)括政府部门)的(de)热门需求(qiú),这份认(rèn)证可以为(wéi)他们带来重要的潜在商(shāng)业合同。
信息安全和技术
绝(jué)大多(duō)数人认为信息(xī)安(ān)全是一个纯粹的(de)有关技术的话题,只有那些技术人员(yuán),尤其是计算机安全技术人员,才(cái)能够处理任(rèn)何保(bǎo)障数据和计算机安全的相关事宜。这固然(rán)有一(yī)定道(dào)理(lǐ)。不过,实际上,恰恰是计算机用(yòng)户本(běn)身需(xū)要考虑这样的问(wèn)题(tí):避免(miǎn)哪些威胁?在(zài)信息(xī)安全(quán)和信息(xī)通畅中(zhōng)如(rú)何平衡取舍?的确如(rú)此,一旦用户给出答案,计算机安全(quán)专家**可以(yǐ)设计并(bìng)执行一个技术方(fāng)案以达(dá)成用户需求。
在组织内部,管理层应当负(fù)责决策,而不是IT部门。一(yī)个规(guī)范的信息(xī)安全管理体系必须明(míng)确指出(chū),组织机构董事会和管理层应(yīng)当负责(zé)相关信息(xī)安全管理体系(xì)的(de)决策,同(tóng)时,这个体系也应当能够反映这种(zhǒng)决策,并且在运行过程中能够(gòu)提供(gòng)证据证(zhèng)明其有效性。
所(suǒ)以机构组织内部的信息(xī)安全(quán)管理体系的建立(lì)项目不必(bì)由(yóu)一个(gè)技术专家来领导。事实上,技术专家在很多情况下起到相反(fǎn)的作用,可能会阻碍项目进程。因此,这(zhè)个(gè)项目应该由(yóu)质量管理(lǐ)经理、总经理或者(zhě)其他负责(zé)机构内部重(chóng)大职能(néng)的执行主管负责主(zhǔ)持。
信息安(ān)全标准
1995年,英(yīng)国标(biāo)准(zhǔn)协会(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨(zhǐ)在(zài)规范、引导信(xìn)息安全管(guǎn)理体系的发展过程和(hé)实施情况。BS7799标(biāo)准(zhǔn)被外(wài)界认为是一个不(bú)偏(piān)向任何技(jì)术、任何企业和(hé)产(chǎn)品供(gòng)应商的价值中立(lì)的管理体系。只要实施得当,BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方(fāng)案的有效(xiào)性。
从企业外部来看(kàn),BS7799关注信息的可用性、机密性和完整性,至今(jīn)这(zhè)仍然是这项标准****达到的目标。BS7799集中(zhōng)关注(zhù)企业组织层面(miàn)上的风险规(guī)避(一定程度(dù)上主要是(shì)商业和金融风险),而不(bú)包括避免每一个潜在风险的(de)保护措施——尽管(guǎn)它们至关重(chóng)要。
BS7799**初仅有一份(fèn)文档,且具有明显的实践指南性质。也**是说,它为组织提供(gòng)信息安全指引,但没有(yǒu)形成规(guī)范,不能为外(wài)部第三(sān)方审计(jì)和认证等提供依(yī)据。随着越来越多的企业开(kāi)始认识到来自信息安全的(de)威胁波及范围越来越广,影(yǐng)响程度越来越(yuè)大,并且关于数据和隐私权保(bǎo)护(hù)的法律法(fǎ)规(guī)不断出台,信息安(ān)全标准(zhǔn)认证的需求开始不断增加。
这种需求的增加**终(zhōng)促(cù)成(chéng)了该(gāi)项(xiàng)标准(zhǔn)****部分的(de)出台,即标准规范(fàn)。实践指南和标准(zhǔn)规范之间的关系是这样的:标准规范是认证方(fāng)案的(de)基础,同(tóng)时标准规范要求实(shí)践者遵从实践指南的指(zhǐ)引。
这(zhè)个实践指南**近被(bèi)修订为ISO/IEC 17799:2005,标(biāo)准(zhǔn)规范也被修订(dìng)为ISO/IEC 27001:2005,逐(zhú)步得到国际(jì)认同。
许多国家也已发(fā)布了自(zì)己(jǐ)的(de)相关标(biāo)准(zhǔn),比如AS/NZS7799。这些标准的国际化版(bǎn)本可以在世(shì)界任(rèn)何国家得到认(rèn)可(kě),这促(cù)使(shǐ)了(le)**粱曜嫉南耍ǔ嘶诹礁(jiāo)霰曜(yào)己怕牖∩系谋**粱(liáng)曜家酝猓(guǒ)
认证与遵从
一(yī)个组织(zhī)可以仅遵从ISO17799来建立和发展ISMS(信息(xī)安全管理体系),因为(wéi)实践指南中(zhōng)的(de)内容是普遍适用的(de)。然而,由于ISO17799并(bìng)非基于认证框(kuàng)架,它(tā)不具备关于通过认证(zhèng)所必需的信息安(ān)全管理体系的要(yào)求。而ISO/EC27001则包(bāo)含这(zhè)些具体详尽的管理体系认证要求。在技术层面来讲,这(zhè)**表明一个正在独立运用ISO17799的(de)机构组(zǔ)织,****符(fú)合(hé)实践(jiàn)指南的要求(qiú),但(dàn)是这并不(bú)足以(yǐ)让外界认可其已经达到认证(zhèng)框架所制(zhì)定的认(rèn)证要求(qiú)。不同的是(shì),一个(gè)正在同时运用ISO27001和ISO17799标准的机构组织,可以建立一个(gè)****符合认证具体要求的(de)ISMS,同(tóng)时这个ISMS体系也符合(hé)实践指南的要求(qiú),于(yú)是,这(zhè)一组织**可以(yǐ)获(huò)得外界的认同,即获得(dé)认(rèn)证。
ISO27001认(rèn)证要求(qiú)
ISO27001标准是(shì)为(wéi)了与其他管理标(biāo)准,比如ISO9000和(hé)ISO14001等相互兼容而设计(jì)的,这一标准中的编号系统和(hé)文件管理需求的设计初衷,**是为了提供(gòng)良好的兼容性,使得组织(zhī)可以建立起这样一套管(guǎn)理(lǐ)体系(xì):能够在****程度上融(róng)入(rù)这个组织正(zhèng)在使用的其他任何管理体系。一(yī)般来说(shuō),组织通常会使用为(wéi)其ISO9000认(rèn)证或者(zhě)其他管理体系认证(zhèng)提供认证(zhèng)服务的机构,来提(tí)供ISO27001认证服务。正是因为这个缘(yuán)故,在ISMS体系建立的过(guò)程(chéng)中,质量管理(lǐ)的经验举足轻重(chóng)。
但是有一点需要注(zhù)意,一个组(zǔ)织如果没有事先拥有并使用任何形式的管理体系,并不意味(wèi)着该组织(zhī)不能进行ISO27001认(rèn)证(zhèng)。这种情况(kuàng)下,该组织(zhī)**应当(dāng)从经济(jì)利益考(kǎo)虑,选(xuǎn)择一个合适的(de)管理体(tǐ)系(xì)的认证机构来提供(gòng)认证服务。认(rèn)证机构必须(xū)得到(dào)一个(gè)国家鉴定(dìng)机构(gòu)的委托授(shòu)权,才能为认证组织提供认证(zhèng)服务,并(bìng)发(fā)放认(rèn)证证书。大多数国家都有自己的国家鉴定机(jī)构(比如:英国UKAS),任何获得(dé)该机(jī)构授权(quán)进行ISMS认(rèn)证的机构均记录在案。
风险评估应对(duì)计划
任何一个ISMS体系的建(jiàn)立(lì)和开发都应当满(mǎn)足(zú)组织独特的需(xū)求。每个组织不(bú)仅都有自己独特的业务模式、运营目标(biāo)、形象特点和内部文(wén)化,他们对待风险的态度倾向也大相(xiàng)径庭。换句话(huà)说(shuō),同一个东(dōng)西,一个机构(gòu)组织(zhī)认(rèn)为是必须提(tí)防的威胁,在另一个组织看(kàn)来(lái)可能是一(yī)个必须抓住的机(jī)遇。同样地,各个(gè)机构组织对(duì)于既有风险防(fáng)护的投入也参差(chà)不齐。基于以上或(huò)者其他(tā)原因,每(měi)个运行ISMS的组织(zhī),其内部成员(yuán)必须对风险评估有一个共识,这个风险评估的方法论、结(jié)果发现和推荐(jiàn)解决(jué)方式都(dōu)必须得到董事(shì)会的首肯(kěn)。
ISMS项目和PDCA流程
ISMS项目(mù)很复杂,可能持续若干个月甚至若干年,涉(shè)及整个机构组织以及从管理层(céng)到收发部(bù)门的每个(gè)成(chéng)员。ISO27001认(rèn)证诞(dàn)生时间(jiān)短,成功的案例比较(jiào)少。从务(wù)实的角度考(kǎo)虑(lǜ),这表明在项目(mù)计划过程中(zhōng),必须尽早对这些(xiē)仅有的指导性的书籍和案例进行分(fèn)析和研究。
ISO27001标准指导一个企业如何着手开展(zhǎn)ISMS项目,并(bìng)且关注(zhù)整个(gè)项目进程中的(de)若干重要元(yuán)素。
1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(shēng)(Act)过程,意在说(shuō)明业(yè)务流程应当是不断改(gǎi)进的,该(gāi)方法使得职能部门经理可以识别出(chū)那些(xiē)需要修正的环节并(bìng)进行修正。这(zhè)个流程以及流程的改进,都必须(xū)遵循这样一个过程:先计(jì)划,再(zài)执行,而后对其运行结果进行评(píng)估,紧接着(zhe)按照计(jì)划的具体要(yào)求对(duì)该评估(gū)进行(háng)复查,而后寻找到任(rèn)何与计划不符的结果偏差(即潜在改进的(de)可(kě)能性),**后向管理层提出如何运行的**终报告。
ISO27001认证审核费用及(jí)周期
除了组织(zhī)自身投入之(zhī)外,ISO27001 认证审核费用(yòng)主要体现在(zài)聘请第三方认证机构及审核员方面了。在组织向认证机构(gòu)提(tí)出(chū)申请之后,认证机构会初(chū)步了解组织(zhī)现状,确定审核范围,提出(chū)审(shěn)核报价。认(rèn)证机构的报价通(tōng)常是根据其(qí)投入的(de)时间和人员来确定的,决定因素包括:
1、受审核组织(zhī)的(de)员工(gōng)数量;
2、纳(nà)入审核范围(wéi)的信息(xī)量;
3、场所数量;
4、组(zǔ)织与(yǔ)外界(jiè)的关联;
5、组织 IT 的(de)复杂性;
6、组(zǔ)织类型和业务性质(zhì)等(děng)。
除了费用问题,认(rèn)证审(shěn)核(hé)的周期通常(cháng)也是组织比较关心的。一般来(lái)说,从组织(zhī)启动(dòng) ISMS建设项目开始,到**终(zhōng)通过审核(hé),至少要有半年时间(jiān)(不包(bāo)括(kuò)获取证(zhèng)书的时间(jiān))。对于很多因为外部驱动力而决心(xīn)实施 ISO27001 认证项目的(de)组织来说,提早进行规(guī)划是必要的。[6] 
