标准的主要内容
ISO/IEC17799-2000(BS7799-1)对(duì)信息安全管理给出(chū)建议,供(gòng)负责(zé)在其(qí)组织启动、实施或(huò)维护安全的人员使(shǐ)用。该标准(zhǔn)为开发(fā)组织的(de)安全标准和有效的(de)安全(quán)管理做(zuò)法提供公共基础,并(bìng)为组织之间(jiān)的(de)交往提供信任。
标准指出“象其他(tā)重要业(yè)务(wù)资产一样,信息也是(shì)一种资产”。它(tā)对一个组织具(jù)有价值,因(yīn)此(cǐ)需要加以合适(shì)地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业(yè)务(wù)受到(dào)损害的(de)风(fēng)险减至**小,使********和业务机会****。
信(xìn)息安全是通(tōng)过实现(xiàn)一组合适(shì)控制获得的。控制(zhì)可以是策略、惯例、规程、组织结构和软件功(gōng)能。需要建立这些控制,以(yǐ)确保满足该(gāi)组织的(de)特定安全目标。
内容章节
ISO/IEC17799-2000包含(hán)了(le)127个安全控制措施来(lái)帮助组(zǔ)织识别在运做(zuò)过程中(zhōng)对信息安全有影响(xiǎng)的元素,组织可以根(gēn)据适用的法(fǎ)律(lǜ)法规和章程加以选择和使用,或者增加其他附(fù)加控(kòng)制。国际标准化(huà)组(zǔ)织(ISO)在2005年对ISO 17799进行了修订,修订后的标准(zhǔn)作为(wéi)ISO 27000标准族的****部分——ISO/IEC 27001,新标准去掉(diào)9点控制措(cuò)施(shī),新增17点控制措(cuò)施,并(bìng)重组部(bù)分控(kòng)制措施而新(xīn)增(zēng)一章,重(chóng)组部分控制措施,关联性逻辑性更好,更适合应用(yòng);并修(xiū)改了部分控制措施措辞。修改(gǎi)后的标准包括11个章节(jiē):
1)安全策略(luè)。指定信息安全方针,为信息安全提供管(guǎn)理指引和支持,并定期(qī)评审。
2)信息安全的组织。建立信息安全(quán)管(guǎn)理组织体系,在内部开展和控制信息安(ān)全的实施。
3)资产管理。核查所(suǒ)有(yǒu)信(xìn)息资产,做好信息(xī)分类,确(què)保信息资产受到适当程度的保护。
4)人力资源安全。确保(bǎo)所有(yǒu)员工,合同方和第三(sān)方了解信息安全威胁和相关事宜以及各自的责任,义务,以减少人为差错,盗窃(qiè),欺(qī)诈(zhà)或(huò)误用设施的风险。
5)物理(lǐ)和环境安全。定义安(ān)全区域,防止对办公(gōng)场所和信息的(de)未授权(quán)访问,破坏(huài)和干扰(rǎo);保护设备(bèi)的(de)安全,防止信息资产的丢失,损坏(huài)或(huò)被(bèi)盗,以(yǐ)及对企业业务的干扰;同(tóng)时,还(hái)要做(zuò)好一般控制,防止信息和信息处(chù)理设施的损(sǔn)坏和被盗。
6)通信和操作管理(lǐ)。制定操作规程(chéng)和(hé)职责(zé),确保信息处理设(shè)施(shī)的正确和(hé)安全操作;建立(lì)系统规(guī)划和验收准则,将系统(tǒng)失效的风险降到****;防范恶意代码和移动代码(mǎ),保护软件和信息的(de)完(wán)整性;做好(hǎo)信(xìn)息备份和网(wǎng)络(luò)安全(quán)管理(lǐ),确保信息在网络中的安全,确保其(qí)支持性基础设施得到保护(hù);建立(lì)媒体(tǐ)处(chù)置和安全的规(guī)程,防止资(zī)产损坏和业务活(huó)动的中断;防止信息和软件(jiàn)在组织之间交换时(shí)丢失(shī),修改或误(wù)用。
7)访问控制。制定(dìng)访问控制策略,避(bì)免信息系统(tǒng)的(de)非授权访问,并让用户了解(jiě)其(qí)职责和义务,包括(kuò)网(wǎng)络访问控制(zhì),操作系统访问控制,应用系(xì)统和信息访(fǎng)问控制,监视(shì)系统访问和使用,定期检(jiǎn)测未授权的活动;当使用移动办公和远(yuǎn)程控制(zhì)时,也要(yào)确保信息安全。
8)系统采集、开(kāi)发和维护(hù)。标示系统的安全要求,确保安全成为信(xìn)息系统的(de)内置部分,控制应(yīng)用(yòng)系统(tǒng)的安全,防止应用系统中用(yòng)户数(shù)据的(de)丢失,被修(xiū)改或误用;通(tōng)过加密手段(duàn)保护(hù)信(xìn)息(xī)的(de)保密性,真(zhēn)实性和完整性(xìng);控(kòng)制(zhì)对系统(tǒng)文件的访问(wèn),确保(bǎo)系统文档,源程序(xù)代码的安全;严格控制开发和支(zhī)持(chí)过程,维护应(yīng)用系统软(ruǎn)件和信息安全。
9)信息安全事故管理。报告(gào)信息安全事件(jiàn)和弱点,及时采取(qǔ)纠正措施,确保(bǎo)使(shǐ)用持续有效的方法管理信息安全事故,并确保及(jí)时修复。
10)业务连续性管理。目的是为减(jiǎn)少业(yè)务活动的中断(duàn),是关(guān)键业务过程免受主要(yào)故障或天(tiān)灾的影响,并确(què)保及时恢复(fù)。
11)符合性。信息系统的(de)设(shè)计,操(cāo)作,使用过(guò)程和管理要(yào)符合法律法规的要求,符合组织安全方(fāng)针和标准,还要控制(zhì)系(xì)统审计,使信(xìn)息审核(hé)过程的(de)效力****化,干(gàn)扰**小化(huà)。
ISO27001的(de)效(xiào)益
1、通过定义、评(píng)估和控制(zhì)风险,确保经营的持续(xù)性和(hé)能(néng)力(lì)
2、减(jiǎn)少由于合同违规行为以及直接触犯(fàn)法律法规要求(qiú)所造(zào)成的责任(rèn)
3、通(tōng)过遵守国际标(biāo)准提高企业竞争能力,提升企业形(xíng)象
4、明(míng)确定义所有组织的内(nèi)部和外部的信息接口目标(biāo):谨防(fáng)数据(jù)的误用和丢失
5、建立安全工具使用方针
6、谨(jǐn)防技(jì)术诀窍的丢失
7、在组织(zhī)内部增(zēng)强安全意识
8、可作为公共(gòng)会(huì)计审计的证(zhèng)据(jù)
认识ISO27001国(guó)际标准
ISO27001(BS7799/ISO17799)国(guó)际(jì)标准(zhǔn)究竟是什么?它如(rú)何帮助一个组织更(gèng)加有效地管理信(xìn)息安全?BS7799/ISO27001和ISO9001之间有什(shí)么联系?初次涉猎信息安全管理领域应该掌握哪些内容(róng),以(yǐ)便组织发起信息安全管理项目?如何(hé)获得BS7799国际标准认证(zhèng)?
IT治理和信(xìn)息安全
近年来企业高层对(duì)内部(bù)治(zhì)理需求越来越实际而(ér)具体。随(suí)着信息技术普遍(biàn)渗(shèn)透到(dào)企业(yè)组织中(zhōng)的各个方面,企业越来越依(yī)赖IT系统来处理(lǐ)和储存(cún)各种信息,以(yǐ)****业务正常运(yùn)营,由此(cǐ)IT系统在(zài)企(qǐ)业治(zhì)理中的作(zuò)z用越来(lái)越明晰,IT治理(lǐ)也(yě)逐渐(jiàn)被大多数企业认可,成为董(dǒng)事会和企业内(nèi)部(bù)共同关注(zhù)的领域。IT治理(lǐ)的基(jī)础部分是信息安(ān)全保护——包括确(què)保信息的可用性、机(jī)密性和完整性——这是其他IT治理环节实施(shī)的前提。
与此(cǐ)同时,和信(xìn)息安(ān)全相关的国际标准已经出台,成(chéng)为(wéi)标(biāo)准IT治理框架中的一大基石(shí)。
信息(xī)安全和(hé)法(fǎ)律(lǜ)法规(guī)
业内人(rén)士对(duì)ISO27001认证趋之(zhī)若鹜(wù),这(zhè)其(qí)中有两个(gè)关键性的(de)驱动因素(sù):一是日(rì)益严峻的信息安全威胁,二是不断增(zēng)长的信息保护相关法规(guī)的需求(qiú)。
本质上说,信息安全威胁(xié)是全球(qiú)化(huà)的。一般来说,它将毫无差别地辐(fú)射到每(měi)一个拥有、使用电子信息的机构(gòu)和个人。这(zhè)种威胁(xié)在因特网的环境中自动生(shēng)成并释放。更严重的问(wèn)题是,其他各种形式的危险也在(zài)整日威(wēi)胁数据安全,包括从外部攻击行为(wéi)到内(nèi)部破坏、偷盗等一系列危险。
过去的(de)十年内,围绕信息和数据安全问题(tí)建(jiàn)立起来的(de)法律法规体系从无到有、不断壮大,其中包(bāo)括专门针对个人数据保(bǎo)护问题的,也有(yǒu)针对(duì)企业财政、运营和风险管理体系建立的法规(guī)保障问题的。一套正式规范的信息安全管理体系应当可以提供****实践(jiàn)部署(shǔ)指(zhǐ)导。目前(qián),建立这样的(de)管理体系逐渐成为诸多合规(guī)项目(mù)的(de)必(bì)要(yào)条件,与此同时,针(zhēn)对该管理体系的认证逐渐(jiàn)成(chéng)为各种组织(包括政府部门)的热门需求(qiú),这份认证(zhèng)可以为(wéi)他(tā)们带来(lái)重要的潜(qián)在商业合同。
信息安全和技术
绝大多数人认为信息安全(quán)是一个纯粹的有关技(jì)术的话题,只有那些技术人员,尤(yóu)其是计算机安全技术人员(yuán),才(cái)能够处理任何保障数据和计算机安全的(de)相关事宜。这固然有一定道理。不过,实(shí)际上,恰恰是计算机用户本身(shēn)需要考虑这样的问题(tí):避免哪些威胁?在信息安全和信息(xī)通畅中如何平衡取舍?的确如此(cǐ),一旦用户给出答案,计算机安全专家**可以设计并(bìng)执行一个(gè)技术方(fāng)案(àn)以达成用户(hù)需求。
在(zài)组织内部(bù),管理层应当负责决策,而不是IT部门。一个规范(fàn)的信息安全(quán)管理体系(xì)必须明确指出,组织机(jī)构董事会和管理(lǐ)层应当(dāng)负责相关信息安全管理体(tǐ)系的(de)决策(cè),同时,这个(gè)体系也应(yīng)当能够反映这种决策,并且在运行过程中能够提供证据(jù)证明其有(yǒu)效(xiào)性(xìng)。
所以机构组织内部的信息安(ān)全管(guǎn)理体(tǐ)系的建立项目不必由一个技术专家来领导。事实上(shàng),技术专(zhuān)家在很(hěn)多情况(kuàng)下(xià)起(qǐ)到相反的作用,可能会阻碍(ài)项目(mù)进程。因此,这个(gè)项目应该由质量管理经理、总经理或者其他(tā)负责机构内(nèi)部重大职(zhí)能的执行主管负责主(zhǔ)持。
信息(xī)安全标准
1995年,英国标准协会(BSI)发布BS7799标准(zhǔn),即ISMS(信息(xī)安全管理体系),旨在规范、引(yǐn)导信息(xī)安全管理体系的发(fā)展过程和实施(shī)情况。BS7799标准被外界认为是一(yī)个不(bú)偏向任何技术、任何企业和产品(pǐn)供应(yīng)商的价值中立(lì)的管理(lǐ)体系(xì)。只要实施(shī)得当,BS7799标准将帮助企业检查并(bìng)确认其信息安全管理手段和实(shí)施(shī)方案的有效性。
从(cóng)企业外部来(lái)看,BS7799关注信息的可(kě)用性、机密性和(hé)完整性,至今(jīn)这(zhè)仍然是(shì)这项标(biāo)准****达到的目标(biāo)。BS7799集中关注(zhù)企业组织层面(miàn)上的风(fēng)险规避(一定程度上(shàng)主要是(shì)商业和金融(róng)风险),而不(bú)包括避(bì)免每一个潜(qián)在风险的保护(hù)措施——尽管(guǎn)它们至关重要。
BS7799**初仅有一份文档,且具有明显的实践(jiàn)指南性质。也(yě)**是说,它为(wéi)组织提供信(xìn)息安全指引,但没(méi)有形成规范,不(bú)能为外部第(dì)三方审(shěn)计和(hé)认证等提供依据。随着越来越多的企业开始认识到来自信(xìn)息安全的(de)威胁波及范(fàn)围越来越(yuè)广,影响程度越来(lái)越大,并且关于(yú)数据和隐(yǐn)私(sī)权保护的法律法规不(bú)断出(chū)台,信息安全标准认证的需求开始(shǐ)不断增加(jiā)。
这(zhè)种需(xū)求的(de)增(zēng)加(jiā)**终促成了(le)该项标准****部分(fèn)的出(chū)台,即标准(zhǔn)规范。实践(jiàn)指南和标准规范之间的关系(xì)是这样的:标准规(guī)范是(shì)认证方案的基础(chǔ),同时标准规(guī)范(fàn)要求实践(jiàn)者遵(zūn)从实践指南的指引。
这个(gè)实践指南**近被修订为(wéi)ISO/IEC 17799:2005,标准规(guī)范也被修(xiū)订为ISO/IEC 27001:2005,逐(zhú)步(bù)得到国际认同。
许多国家也已(yǐ)发布了自己的相关标准(zhǔn),比(bǐ)如AS/NZS7799。这些标准(zhǔn)的国际化版本可以在(zài)世界(jiè)任何国家得到认可,这(zhè)促使了(le)**粱曜嫉南耍ǔ嘶诹礁霰曜己怕牖(yǒu)∩系谋(móu)**粱曜家酝猓
认证(zhèng)与遵从
一个(gè)组(zǔ)织可(kě)以仅遵(zūn)从ISO17799来建(jiàn)立和发展ISMS(信息安全管理体系),因(yīn)为实践指南中的内容是普遍适用的。然而(ér),由于ISO17799并非(fēi)基(jī)于认证框架(jià),它不具备关于(yú)通过认证所必需的信(xìn)息(xī)安全管(guǎn)理(lǐ)体(tǐ)系的要求。而ISO/EC27001则包含(hán)这些具体(tǐ)详(xiáng)尽(jìn)的管理体系认证要求。在技术层面来讲,这**表明一个正在独立运(yùn)用ISO17799的机构组织,****符合实践指南的要求,但是(shì)这并不(bú)足以让外界(jiè)认可其(qí)已经达到认证框架所制定的认证要求。不同的是,一个正在同时运用(yòng)ISO27001和(hé)ISO17799标(biāo)准(zhǔn)的机构(gòu)组织,可以建立一个****符合认证具体(tǐ)要求的ISMS,同时这(zhè)个ISMS体系也符合实(shí)践指南的(de)要求,于是,这(zhè)一(yī)组(zǔ)织**可以获得外界的(de)认同,即获得(dé)认证。
ISO27001认证要求
ISO27001标准是为了与其他管理标(biāo)准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准(zhǔn)中的编号(hào)系统和文件管理需求(qiú)的设计初(chū)衷,**是为了提供良好的兼容性,使得组(zǔ)织可(kě)以建立(lì)起这样一套管理体系(xì):能够在****程度上融入这个组织(zhī)正在(zài)使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管(guǎn)理体系认证提供(gòng)认证(zhèng)服(fú)务的机构,来提供ISO27001认证(zhèng)服务。正是因为(wéi)这个(gè)缘故,在ISMS体(tǐ)系建立的(de)过程中,质量管理(lǐ)的经验举足轻重。
但是有(yǒu)一点(diǎn)需要(yào)注意,一(yī)个组织如果没有事先拥有并使用任何形式(shì)的管理体系,并不意味着该(gāi)组织(zhī)不能进行(háng)ISO27001认证。这种(zhǒng)情况下,该(gāi)组织**应当从经(jīng)济利益(yì)考虑(lǜ),选择一个合适的管理体系的(de)认证机构来提供认证(zhèng)服务(wù)。认证机构必须得(dé)到一个国家鉴定机构(gòu)的委托授权(quán),才能为认证组织提(tí)供认证服务,并发放(fàng)认证(zhèng)证书。大多(duō)数国家都有自己的国家(jiā)鉴定机(jī)构(比如(rú):英国UKAS),任何获得该机构授权进行(háng)ISMS认证的(de)机构均记录在(zài)案。
风(fēng)险评估(gū)应对计划
任何一个(gè)ISMS体系的建(jiàn)立和开发都应当满足组织独特的需(xū)求。每个(gè)组织不仅(jǐn)都有自(zì)己独特的(de)业务(wù)模(mó)式、运营目标、形象特点和(hé)内部(bù)文化,他们对待风险的态度倾向也(yě)大相径庭。换句话说,同一个东西,一个(gè)机(jī)构组织认(rèn)为是必须(xū)提防的威胁,在(zài)另一个组织看(kàn)来可能(néng)是一个(gè)必须抓住的机遇。同样地,各个机构组织对于既(jì)有风险防护的投(tóu)入也参差不齐。基于以上或者(zhě)其(qí)他原因(yīn),每(měi)个运行ISMS的组织(zhī),其内部成(chéng)员必(bì)须对风险评估有(yǒu)一个共识,这个风险评估(gū)的(de)方法论、结果发(fā)现和推荐解决方式都必须得到董事会的首肯。
ISMS项目和PDCA流程
ISMS项目很复(fù)杂,可能持续若干个月甚至若干年,涉及整个机(jī)构组织以及(jí)从管理层到(dào)收发部(bù)门(mén)的每(měi)个成员(yuán)。ISO27001认证诞生时间短,成功的(de)案例比较(jiào)少。从务实的角度考虑,这表明在项目计划过程中,必须尽(jìn)早对这些仅有(yǒu)的(de)指导(dǎo)性的书籍和(hé)案例进行分析(xī)和研究。
ISO27001标准指导一个企业如何着手(shǒu)开展(zhǎn)ISMS项目,并且关注整个(gè)项目进程中(zhōng)的若干重要元素。
1950年W. Edwards Deming提出(chū)PDCA流程(chéng),即(jí)计划(Plan)-执行(Do)-检查(Check)-提(tí)升(Act)过(guò)程,意在说明(míng)业务流程应当是不断改进的,该方法使得职能部(bù)门(mén)经理可(kě)以识(shí)别出那些需要修正的(de)环节并(bìng)进行修正。这(zhè)个流程以(yǐ)及(jí)流(liú)程的改进,都必须遵循(xún)这样一个过程:先计划,再执行,而后(hòu)对(duì)其运行结果进行评(píng)估,紧接着(zhe)按照计(jì)划(huá)的具体要求对该评估进行复(fù)查,而后寻找到(dào)任何与计划不符(fú)的结果偏差(chà)(即(jí)潜(qián)在改(gǎi)进的(de)可能性(xìng)),**后向管理层提(tí)出(chū)如何(hé)运行(háng)的**终(zhōng)报告(gào)。
ISO27001认证(zhèng)审核(hé)费用及周期
除了组织自(zì)身(shēn)投入(rù)之(zhī)外(wài),ISO27001 认证审核费用主(zhǔ)要体现在聘请第三方认(rèn)证机构及审核员方面了。在组(zǔ)织(zhī)向(xiàng)认(rèn)证机(jī)构提出申请之后(hòu),认证机构(gòu)会初(chū)步(bù)了解组织(zhī)现状,确定审核范(fàn)围,提出审(shěn)核(hé)报价。认(rèn)证机构(gòu)的报价通常是根据其投入的时间和人员来确定的,决定因素包括:
1、受审核组织的(de)员工数量;
2、纳入审核范围的(de)信息量;
3、场(chǎng)所(suǒ)数量(liàng);
4、组织与外界的关联;
5、组织 IT 的复(fù)杂性;
6、组织(zhī)类型(xíng)和业(yè)务性质(zhì)等。
除了费用问题,认证审核的(de)周期通常也是(shì)组织(zhī)比(bǐ)较关心的。一般来说,从组织启动(dòng) ISMS建(jiàn)设项目(mù)开始,到**终通过审(shěn)核,至少要(yào)有半年时间(jiān)(不(bú)包括(kuò)获(huò)取证书的时间)。对于很多(duō)因为外部(bù)驱(qū)动力而(ér)决心(xīn)实(shí)施 ISO27001 认证(zhèng)项目的组织(zhī)来说,提(tí)早进行规(guī)划是必要的。[6] 
