标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安(ān)全管理(lǐ)给(gěi)出建议,供负责在其组织(zhī)启(qǐ)动、实(shí)施或(huò)维护安全的人(rén)员使用(yòng)。该标准为开发组织的安全标准和有(yǒu)效(xiào)的安全管理做法提供公(gōng)共基础,并为组织之间的交(jiāo)往提供信任。
标(biāo)准指出“象其他(tā)重要业(yè)务资(zī)产一样,信息也(yě)是一种资产(chǎn)”。它对一个组织具有价值(zhí),因此需要加以合适地保护。信息安全防(fáng)止(zhǐ)信(xìn)息受到的各种威胁,以确保业务连续性,使业务受到损害的(de)风险减(jiǎn)至**小(xiǎo),使********和业务(wù)机会****。
信息安全是通过实现一组合(hé)适(shì)控制获得的。控制可以是策略、惯例(lì)、规程、组织(zhī)结构(gòu)和软(ruǎn)件功(gōng)能。需要建立(lì)这些(xiē)控制,以确保满足该(gāi)组织(zhī)的特定安全目标。
内容章(zhāng)节
ISO/IEC17799-2000包(bāo)含了127个安全控制(zhì)措(cuò)施来帮助(zhù)组织识别在运做过(guò)程中对信息安全有(yǒu)影响的元(yuán)素,组织可(kě)以根(gēn)据适用(yòng)的法(fǎ)律法规和章程加以选择(zé)和使用,或者增(zēng)加(jiā)其(qí)他附加控制。国际标准(zhǔn)化组(zǔ)织(ISO)在2005年对ISO 17799进行了(le)修订,修订后的标(biāo)准作为ISO 27000标准族的****部分——ISO/IEC 27001,新(xīn)标准去掉(diào)9点控制措施(shī),新增17点控制措施(shī),并重组部分控制(zhì)措施而新增一(yī)章(zhāng),重组部分控制(zhì)措施,关联性逻辑性更好,更适合应用;并修改了部(bù)分控制措施措辞。修改后的(de)标准包括11个章节(jiē):
1)安全策略(luè)。指定信息安全(quán)方(fāng)针,为信息安全提供(gòng)管(guǎn)理指(zhǐ)引和支持,并定期评审(shěn)。
2)信息安全的组织。建立(lì)信息安(ān)全管理组织体系,在内部(bù)开(kāi)展和(hé)控制信(xìn)息(xī)安全的实施。
3)资产管(guǎn)理。核(hé)查所有信息资产,做(zuò)好(hǎo)信(xìn)息分(fèn)类,确保(bǎo)信息资产受(shòu)到适当(dāng)程(chéng)度的(de)保护。
4)人力(lì)资源安全。确保所有员工(gōng),合同方和(hé)第三方了解(jiě)信(xìn)息(xī)安全威胁(xié)和相(xiàng)关事宜以及各自的责任,义务,以减(jiǎn)少人为差错,盗窃,欺诈或误用设施的风险。
5)物理(lǐ)和环境安全。定义安全(quán)区域,防(fáng)止对(duì)办公场所和信息的(de)未授权访(fǎng)问,破(pò)坏和干扰;保(bǎo)护设备的安全,防止信(xìn)息资产的丢失,损坏或(huò)被(bèi)盗,以及对企业(yè)业务的干(gàn)扰(rǎo);同(tóng)时(shí),还要做好一般控制,防止信(xìn)息和信息处理设施的损(sǔn)坏和被盗。
6)通信和操作管理(lǐ)。制定操作规程和职责,确保信(xìn)息(xī)处理设施的(de)正确和安全(quán)操作;建立系统规划和验收准则(zé),将系统(tǒng)失效的风险降到****;防范恶(è)意代码和移动代(dài)码,保(bǎo)护软件和信息(xī)的完整(zhěng)性;做好信息(xī)备份和(hé)网络安全管理,确保信息在网(wǎng)络中的安全,确保其(qí)支持性基础设施得到保护;建立媒体处置(zhì)和(hé)安全(quán)的规程,防止资产损坏和业务活(huó)动的中(zhōng)断;防(fáng)止信息和软件在组织(zhī)之(zhī)间交换时丢失,修改或误用。
7)访问控制。制定访问控(kòng)制策略,避免(miǎn)信息系统的非授权(quán)访问,并让用户了解其职(zhí)责和(hé)义务,包括网(wǎng)络访问控(kòng)制,操作系统访(fǎng)问(wèn)控制,应用系统和信(xìn)息(xī)访(fǎng)问控制,监视系统访问和使(shǐ)用,定期检测未授(shòu)权的活动;当使用移动办公和远程控制时,也(yě)要确保信息安(ān)全。
8)系统采(cǎi)集、开发(fā)和维护。标示系统的安全要求,确(què)保安全成为信(xìn)息系统的内置部分(fèn),控(kòng)制应(yīng)用系(xì)统的安全,防(fáng)止应用(yòng)系统中用户数(shù)据的丢失,被修(xiū)改或误用;通过加密手段保护信息的保密性,真(zhēn)实性和完整性;控制对系统文件的访问,确保(bǎo)系统文档,源(yuán)程(chéng)序代码的安全;严格(gé)控制开发和支(zhī)持过程,维(wéi)护应用系统软件和信息安全。
9)信息安(ān)全事故管(guǎn)理。报告信息安全事(shì)件(jiàn)和(hé)弱(ruò)点,及时(shí)采取纠(jiū)正措施,确保使(shǐ)用(yòng)持续(xù)有效的方(fāng)法管(guǎn)理信息安全事故(gù),并确保及时修(xiū)复。
10)业务连续性(xìng)管理。目的是为减少业务(wù)活动的中断,是关键业务过程免受(shòu)主要故障或天(tiān)灾的影响,并确保及(jí)时恢复。
11)符合性。信息系统的(de)设计(jì),操作,使用(yòng)过程(chéng)和管理(lǐ)要符合法律法规的(de)要求,符(fú)合组织安全(quán)方针和标准,还要控制(zhì)系(xì)统审计(jì),使信息审核过程的效力****化,干(gàn)扰**小(xiǎo)化。
ISO27001的效益
1、通(tōng)过定义、评(píng)估和(hé)控制风(fēng)险,确保经营的(de)持续性和能力(lì)
2、减少(shǎo)由于合(hé)同违规行为(wéi)以及直接(jiē)触犯法(fǎ)律法规要求所(suǒ)造成的责任
3、通(tōng)过遵守国际标准提高企业竞争能力(lì),提升企业形象
4、明确定义所有组(zǔ)织(zhī)的内部和外(wài)部的信息接口(kǒu)目标(biāo):谨防数(shù)据的(de)误用和丢失
5、建立安(ān)全工具使(shǐ)用(yòng)方针
6、谨(jǐn)防技术诀(jué)窍的丢失
7、在组织内(nèi)部增强安全意识
8、可作为公共会计审计的(de)证据
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国际标(biāo)准(zhǔn)究竟是什么?它如何(hé)帮助一个组织更加有效地管理信息(xī)安(ān)全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全管(guǎn)理领域应该掌握哪些内容,以便组织发起信息安全管理(lǐ)项目?如何获得BS7799国际标准认证?
IT治理和信(xìn)息安全
近年来企业高(gāo)层对内部治理需求越来越实(shí)际而具体。随(suí)着(zhe)信息技(jì)术普遍渗透到企业组织中的各个(gè)方面,企业越来越依赖(lài)IT系统来处理和储(chǔ)存(cún)各种信息,以****业务正(zhèng)常运营,由此IT系统(tǒng)在企业治理中的作z用越来越(yuè)明晰,IT治理(lǐ)也逐渐被大多数企(qǐ)业认可,成为董事会和(hé)企业内(nèi)部共同关注的领(lǐng)域。IT治理的基(jī)础部分是信息安全(quán)保护——包括确保(bǎo)信息的可(kě)用性(xìng)、机(jī)密性和完整(zhěng)性(xìng)——这是其他IT治理环节(jiē)实施的前提。
与(yǔ)此同时,和信息(xī)安全相关的国际标准已经(jīng)出(chū)台,成(chéng)为标准IT治(zhì)理框架(jià)中的(de)一大基(jī)石。
信息安(ān)全(quán)和法律法规
业(yè)内(nèi)人士对ISO27001认证趋之(zhī)若鹜(wù),这(zhè)其(qí)中有两个(gè)关(guān)键(jiàn)性的驱动因素(sù):一是日益严峻(jun4)的信息安(ān)全威胁,二是不断增长(zhǎng)的信息保护相(xiàng)关法规的(de)需(xū)求(qiú)。
本质上说,信息安全威胁(xié)是(shì)全(quán)球化(huà)的。一般来说,它将毫无差别地辐射到每一个拥有(yǒu)、使(shǐ)用电(diàn)子信息的机构和个人。这种(zhǒng)威胁在因特网的环境中自(zì)动生成并释(shì)放。更严重的(de)问题是(shì),其他各(gè)种形(xíng)式的危(wēi)险也(yě)在整日威胁数据安(ān)全,包括从外(wài)部攻击(jī)行为到内部破(pò)坏、偷盗等一(yī)系(xì)列(liè)危险。
过去(qù)的十年(nián)内,围绕信息和数据(jù)安(ān)全问题建立起(qǐ)来(lái)的法律法规体系从无到有(yǒu)、不断壮大,其中包括专门针对个人数据保护问题的,也有(yǒu)针对企业财政、运营和风险(xiǎn)管理体系建立的法规保障问(wèn)题的。一套正式规范(fàn)的信息(xī)安(ān)全管理体(tǐ)系应当可以提供****实践部署指导。目前,建立这样的(de)管理体(tǐ)系逐渐(jiàn)成为诸多合规项目(mù)的必要(yào)条件,与此(cǐ)同时,针对该管理体系的认证逐渐(jiàn)成为各(gè)种组(zǔ)织(包括政府部门)的(de)热(rè)门需求,这(zhè)份认(rèn)证可以为他们带(dài)来重要的潜在商业合同。
信息安全和技术
绝大多数人认(rèn)为(wéi)信息(xī)安(ān)全是一(yī)个纯粹的有关技术的话题,只有(yǒu)那些技(jì)术人(rén)员,尤(yóu)其(qí)是计算机安全技术人员,才(cái)能够处(chù)理任何保障(zhàng)数据和(hé)计算(suàn)机安全的相关事宜。这固然有一定道理。不过,实际(jì)上,恰(qià)恰是计算机用(yòng)户本身需要考虑这样的问题:避免哪(nǎ)些威胁?在信息安全和信息通畅中(zhōng)如何平衡取舍?的(de)确如(rú)此,一旦(dàn)用户给出答案(àn),计算机安全专家**可以设计并执(zhí)行一个技术方(fāng)案以(yǐ)达成用户(hù)需求。
在组织内部,管理层应当负责决策(cè),而(ér)不是IT部门。一个规范的信息安全管理(lǐ)体系(xì)必须明(míng)确指出,组织机(jī)构董事会和(hé)管(guǎn)理层应当(dāng)负责相关信息安全管理体(tǐ)系(xì)的(de)决策,同时(shí),这(zhè)个体系也应当(dāng)能够反映这种决(jué)策,并且在运行过程(chéng)中能够提(tí)供证据证明其(qí)有效(xiào)性。
所以机构组织(zhī)内部的信息安全(quán)管(guǎn)理体系的建立项目不必由一个技术专(zhuān)家来(lái)领导。事(shì)实上,技术专家在很多情况(kuàng)下(xià)起到(dào)相反(fǎn)的(de)作(zuò)用,可能会(huì)阻碍项(xiàng)目(mù)进程。因此,这个项目(mù)应该由质量管理经理、总经(jīng)理或者(zhě)其他(tā)负责机(jī)构内部(bù)重大职能的执行(háng)主管负(fù)责主持。
信息安全(quán)标准
1995年,英国标(biāo)准协会(BSI)发布BS7799标准,即ISMS(信息安(ān)全管理体系),旨(zhǐ)在规范、引导信息安(ān)全(quán)管理体系(xì)的发展过程和实施情况。BS7799标准(zhǔn)被外界认为是一个不偏向任何(hé)技术、任何企(qǐ)业和产(chǎn)品(pǐn)供应(yīng)商的价值中立的管理(lǐ)体(tǐ)系(xì)。只(zhī)要实施得当,BS7799标准将(jiāng)帮助企业检查并确认其信(xìn)息安全(quán)管理手段和(hé)实施方案(àn)的有效性。
从企业外部来看(kàn),BS7799关(guān)注信(xìn)息的可(kě)用性(xìng)、机密性和完整性,至今这仍然是这项标准(zhǔn)****达到的目标。BS7799集中关注企业组织层面上的风险规避(一定程度上主要是商业(yè)和金融(róng)风险),而不包括避(bì)免每一(yī)个潜在风险的保(bǎo)护措施(shī)——尽管它们至关重(chóng)要(yào)。
BS7799**初仅有一份文档(dàng),且具有明显的实践指南性质(zhì)。也(yě)**是说,它(tā)为组织提(tí)供信息安全(quán)指引,但没有形成规范,不(bú)能为外部第(dì)三方审计和(hé)认(rèn)证等提供(gòng)依(yī)据。随着越来越多的企业(yè)开始认识到来自(zì)信息安(ān)全的威胁波及范(fàn)围越来越广,影(yǐng)响程度(dù)越来越大,并且关(guān)于数据和隐私(sī)权保护的法律法规不断出台,信息安全标准(zhǔn)认证的需求开始不断增加。
这种需(xū)求(qiú)的增加**终促成了该项标准****部分的出(chū)台,即标准(zhǔn)规(guī)范。实践指南和标准规(guī)范之间的关系是(shì)这样的:标准规范是认证(zhèng)方(fāng)案的基础,同时标准(zhǔn)规范要求实践者遵从实践指南的指引。
这个(gè)实践指南**近(jìn)被(bèi)修(xiū)订(dìng)为ISO/IEC 17799:2005,标准规范也被(bèi)修订(dìng)为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家也已发布了自(zì)己的相关标准,比如(rú)AS/NZS7799。这些标准的国际化版本(běn)可以在(zài)世界任何国(guó)家得到认可,这促使了**粱曜嫉南耍ǔ嘶(sī)诹礁霰曜己怕牖∩系谋**粱曜家酝猓
认(rèn)证与遵从
一个组织可以(yǐ)仅遵(zūn)从(cóng)ISO17799来建立和发展(zhǎn)ISMS(信息安全管理体系),因为实践指南(nán)中的内容是普遍适用的。然而,由于(yú)ISO17799并(bìng)非基于认证框架,它不具备关于通(tōng)过认证所必(bì)需的(de)信息安全(quán)管理(lǐ)体系的要求(qiú)。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在(zài)技术层面来(lái)讲,这**表明一个正在独立运用ISO17799的(de)机构(gòu)组织(zhī),****符合实践指南的要求,但是这(zhè)并不足以让(ràng)外界认可其已经(jīng)达到认(rèn)证框架(jià)所(suǒ)制定(dìng)的(de)认证要求。不同的是,一个(gè)正在同时运用(yòng)ISO27001和ISO17799标准的机(jī)构组(zǔ)织,可以建立一个****符合(hé)认证(zhèng)具体要求的ISMS,同(tóng)时(shí)这(zhè)个ISMS体系也符(fú)合实践指南的要(yào)求,于是,这一组织**可(kě)以(yǐ)获(huò)得外界的认同(tóng),即获得(dé)认证。
ISO27001认(rèn)证要求
ISO27001标(biāo)准是为了与其他(tā)管(guǎn)理标(biāo)准,比如ISO9000和(hé)ISO14001等相互兼容而设计的,这一(yī)标准中(zhōng)的编号系统和文件管理需求的设(shè)计初衷,**是为(wéi)了提供良好的兼容性,使(shǐ)得组织可(kě)以建立起这样一套(tào)管理体系(xì):能够在****程度上融入这个(gè)组织正在使(shǐ)用的(de)其他任何管(guǎn)理(lǐ)体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供(gòng)认证服务的机(jī)构,来提供ISO27001认证服务。正是(shì)因为这个缘(yuán)故(gù),在ISMS体系建立的过程中,质量管理的经(jīng)验举足轻重。
但是(shì)有(yǒu)一点需(xū)要注意,一个组织如(rú)果没有事先(xiān)拥有并使用任何形式(shì)的(de)管(guǎn)理体系,并不意味着该(gāi)组织不能进行ISO27001认(rèn)证。这种情况下(xià),该组织**应当从经(jīng)济利(lì)益考虑(lǜ),选择一个合适的管理体(tǐ)系的认证机构来提(tí)供认证(zhèng)服务。认证机构必须(xū)得到一个(gè)国家鉴(jiàn)定机构的委(wěi)托授权,才(cái)能为认(rèn)证组织提供认证服务(wù),并发放(fàng)认(rèn)证证(zhèng)书。大多数国家都有自己的(de)国家鉴定机(jī)构(比(bǐ)如:英国UKAS),任何(hé)获得该机构授权(quán)进行ISMS认证的机构(gòu)均记(jì)录在案。
风险评估应对(duì)计划(huá)
任何一个ISMS体系(xì)的建立和开发(fā)都应当(dāng)满(mǎn)足组(zǔ)织独特的需求。每(měi)个组(zǔ)织(zhī)不仅都有自己独(dú)特的业务模式、运(yùn)营目(mù)标、形象特点和内部文化,他们对待(dài)风险的态度倾向也大相径庭。换句话说,同一个东西,一(yī)个机构组织认为是必须(xū)提(tí)防的威胁,在另一个组(zǔ)织看来可(kě)能是一个必须抓住的机遇。同样地,各个机(jī)构组(zǔ)织对于(yú)既有风险(xiǎn)防护的投(tóu)入(rù)也参差(chà)不齐。基(jī)于以上或者其他(tā)原因,每(měi)个运行ISMS的组织(zhī),其(qí)内部成员必须对风险评估(gū)有(yǒu)一个(gè)共识(shí),这个风险评估的方(fāng)法论(lùn)、结果发现和推荐解决方式(shì)都必须得到董事会的首肯。
ISMS项(xiàng)目和PDCA流程
ISMS项(xiàng)目很(hěn)复杂,可能持续若(ruò)干个(gè)月甚至(zhì)若干年,涉及(jí)整个(gè)机(jī)构(gòu)组(zǔ)织以及从管理层(céng)到收发部(bù)门的每个成员(yuán)。ISO27001认证诞生时间短,成功的案例比较少。从(cóng)务(wù)实的角度(dù)考(kǎo)虑,这表明(míng)在项目计划过程中(zhōng),必(bì)须尽早(zǎo)对这些仅有的指导(dǎo)性的书(shū)籍和案例进行分(fèn)析和(hé)研究。
ISO27001标准指导一个企(qǐ)业如(rú)何(hé)着(zhe)手开展ISMS项目,并且关注(zhù)整个(gè)项目(mù)进程中的(de)若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即(jí)计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在(zài)说明业务(wù)流(liú)程(chéng)应当是不(bú)断改进的,该方法使得职能部门经理(lǐ)可以识别出那(nà)些(xiē)需要修正的环节并进行修正。这个流(liú)程以及流程的改进,都必须(xū)遵循(xún)这样一个过程:先(xiān)计划,再执行,而(ér)后(hòu)对其(qí)运行(háng)结果进行评估,紧接着按(àn)照计划的(de)具体要求对该评估进行复查,而后寻找到任(rèn)何与计(jì)划不符的结(jié)果偏差(即潜在改(gǎi)进的可能性),**后向管(guǎn)理层提出如何运行的**终报告。
ISO27001认证审核费(fèi)用及周期
除了组织自(zì)身投入之(zhī)外,ISO27001 认证审核(hé)费(fèi)用主要体现(xiàn)在聘请第三方认(rèn)证机构及审核员方面了(le)。在组织向认证机构提出申请(qǐng)之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价(jià)。认证机构(gòu)的(de)报(bào)价通常是(shì)根据其投(tóu)入的时(shí)间和(hé)人员来确(què)定的(de),决定因素(sù)包括:
1、受审核组织的员工数(shù)量(liàng);
2、纳入(rù)审核(hé)范围的信息量;
3、场所数量;
4、组织与(yǔ)外界的(de)关联;
5、组织(zhī) IT 的复杂性;
6、组织(zhī)类型(xíng)和业务性质等。
除(chú)了费(fèi)用问题,认证审核的周(zhōu)期通常也是组织比较关(guān)心的。一般(bān)来说(shuō),从组织启动 ISMS建设项目(mù)开始,到**终通过审核,至少要(yào)有(yǒu)半年时间(jiān)(不包括获取证书的(de)时间)。对于很多因为外部驱动力而决心实施(shī) ISO27001 认证项目的组织来说,提早进(jìn)行(háng)规(guī)划是必要(yào)的。[6] 
