标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理(lǐ)给出建(jiàn)议(yì),供负责(zé)在其组织启(qǐ)动、实施或维护安全的人员使用。该标(biāo)准为开发(fā)组织(zhī)的安全标(biāo)准(zhǔn)和有效的安全管理(lǐ)做(zuò)法提供公共基础,并为(wéi)组织之间的交往(wǎng)提供信任。
标准(zhǔn)指出“象其他重要业务资产一样,信息也是一种资产”。它对(duì)一个组(zǔ)织具有价(jià)值(zhí),因此需要(yào)加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续(xù)性(xìng),使业务受到损害(hài)的风险减至**小,使********和业务机会(huì)****。
信息安全是(shì)通过实现一(yī)组合适控制获得(dé)的。控制可以(yǐ)是策略、惯例、规程(chéng)、组织结构和(hé)软件(jiàn)功(gōng)能。需要(yào)建立这些控制,以确保满足该组织的特定安全目标。
内容(róng)章节
ISO/IEC17799-2000包含了127个安全控制措施来帮助(zhù)组(zǔ)织(zhī)识(shí)别在运做过(guò)程中(zhōng)对信(xìn)息安全有影(yǐng)响(xiǎng)的元素,组织可以(yǐ)根据适用的法律法(fǎ)规和章(zhāng)程加以选(xuǎn)择和(hé)使用,或(huò)者增加其他附加控制。国际标(biāo)准化组织(ISO)在2005年对ISO 17799进行(háng)了(le)修订,修订(dìng)后的标准作为ISO 27000标准(zhǔn)族(zú)的****部(bù)分——ISO/IEC 27001,新标准(zhǔn)去掉9点(diǎn)控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部(bù)分控制措施(shī),关联性逻辑性更好,更(gèng)适合(hé)应用;并修改了部分(fèn)控制措(cuò)施措辞。修(xiū)改后的(de)标准包(bāo)括11个章节(jiē):
1)安全策略。指定信息安全方针(zhēn),为信息(xī)安全提供管理指(zhǐ)引和支(zhī)持,并定期评(píng)审。
2)信息安全的组织(zhī)。建立信息(xī)安(ān)全管理组织体系,在内部开展和控制(zhì)信息安(ān)全的实施。
3)资产管理(lǐ)。核查所(suǒ)有(yǒu)信息资(zī)产,做好信(xìn)息分(fèn)类,确保信息资(zī)产受到适当程度(dù)的保护。
4)人(rén)力(lì)资源安全。确保所有员工,合同(tóng)方和第三方了解(jiě)信息安全威胁和相关事宜以及各自的责任,义务,以减少(shǎo)人(rén)为差错,盗窃,欺诈或误用设施的风险。
5)物(wù)理和环境安全。定义安全区(qū)域,防止对办公场所和信息(xī)的未授权访问,破坏和干扰;保护设备的安全,防止信息(xī)资产(chǎn)的(de)丢失(shī),损坏或被(bèi)盗,以及对企业业务的干扰;同时,还要做好一般控制,防止信息(xī)和信息处理(lǐ)设施的损坏(huài)和(hé)被盗。
6)通信和操作管理。制定(dìng)操作规程(chéng)和(hé)职责,确保信息处(chù)理设施(shī)的正确和安全操作;建立系统规划和验收准则,将系统失效(xiào)的风险降到****;防(fáng)范恶(è)意代码和移动代码,保护软件(jiàn)和信息的完整性;做好(hǎo)信息备份和网络安全管理,确保信息在网络中(zhōng)的安全,确保其支持性(xìng)基(jī)础设施得(dé)到保护(hù);建立(lì)媒体处置和安全的规程,防止资产损坏和业务(wù)活动的(de)中断;防止信息和软件(jiàn)在组织之间(jiān)交换时丢失(shī),修(xiū)改或误用。
7)访问(wèn)控制。制定(dìng)访问控制策略,避免信(xìn)息(xī)系统的非授(shòu)权访(fǎng)问,并让用户(hù)了解(jiě)其职责和(hé)义务,包括(kuò)网络访问控制,操(cāo)作系统访问控制,应用系统和(hé)信(xìn)息访问(wèn)控制,监视系统(tǒng)访问和(hé)使用,定期检测未(wèi)授权(quán)的活(huó)动(dòng);当(dāng)使用移动办公和(hé)远程控(kòng)制时,也要确保(bǎo)信息安(ān)全(quán)。
8)系统采集、开发和维护。标(biāo)示系(xì)统(tǒng)的(de)安(ān)全要(yào)求,确(què)保安(ān)全(quán)成为信息(xī)系统的内置(zhì)部分,控制应(yīng)用系统(tǒng)的安(ān)全,防止应用系统中用户数据的丢失,被修改(gǎi)或(huò)误用;通过(guò)加密手段(duàn)保护信息的保密性,真实性和(hé)完整性;控制对系统文件的访问,确保系统文档,源程序代码的安全;严格(gé)控制开发和(hé)支持过(guò)程(chéng),维护应(yīng)用系统软件和(hé)信息(xī)安全。
9)信息安全事故管(guǎn)理。报告(gào)信息安全事件和弱点,及时采取纠正(zhèng)措施,确保使用持续有(yǒu)效的方法管理信息安全事故,并确保及时修(xiū)复。
10)业务连续性管理。目的是为减少业务活(huó)动的中(zhōng)断,是关键业务过程免受主要故障或(huò)天灾的影响,并确保(bǎo)及时恢复。
11)符合性(xìng)。信息系统(tǒng)的设计,操作,使(shǐ)用过(guò)程(chéng)和(hé)管理要(yào)符合(hé)法律(lǜ)法规的要求,符合组织(zhī)安全方针和标准,还要控(kòng)制系统审计,使信息审核过程的效力(lì)****化,干扰**小化。
ISO27001的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力
2、减少(shǎo)由于合同违规(guī)行为以及直接触犯法律法(fǎ)规要求所造成(chéng)的责任
3、通(tōng)过遵守国际标准(zhǔn)提高企业竞争能力,提升企业形象
4、明确(què)定义所有组织的(de)内部和外部的信(xìn)息接口(kǒu)目标:谨(jǐn)防数据的误(wù)用和丢失
5、建立安全工(gōng)具(jù)使用方针(zhēn)
6、谨防(fáng)技术诀窍的丢失
7、在组织内部增(zēng)强安全(quán)意(yì)识
8、可作为公共会计审计的证据(jù)
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国际标准究竟(jìng)是什么?它如何帮(bāng)助一个组织更加有(yǒu)效地管理信息(xī)安全(quán)?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安(ān)全(quán)管理领(lǐng)域应该掌握哪些内(nèi)容,以便(biàn)组(zǔ)织发(fā)起信息安(ān)全管理项目?如何获得BS7799国际(jì)标(biāo)准(zhǔn)认证?
IT治理和信(xìn)息(xī)安全(quán)
近年(nián)来(lái)企(qǐ)业高层对内部治理需求越来越实(shí)际而具体。随着信息(xī)技术普遍渗透到企业组织(zhī)中的各个方面,企业(yè)越来越(yuè)依(yī)赖IT系统来处理(lǐ)和储存各种信息,以****业务正(zhèng)常(cháng)运(yùn)营,由此IT系统(tǒng)在企业治(zhì)理中的作z用越来越明晰,IT治理也逐(zhú)渐被大多(duō)数企业认可,成为董事会(huì)和企业(yè)内部(bù)共同关注的(de)领(lǐng)域。IT治理的(de)基础(chǔ)部分(fèn)是信息安全保护(hù)——包括确保(bǎo)信息(xī)的可用性、机密(mì)性和完整性(xìng)——这是其他IT治理环节实施的前提。
与此同时,和信息安全相(xiàng)关(guān)的国际标准已经出台,成为标准IT治理(lǐ)框架中的(de)一(yī)大基石。
信息安全和法律(lǜ)法规
业(yè)内人士对ISO27001认证趋之若鹜,这其中有两个关键(jiàn)性的驱动因素:一是(shì)日益严峻的信息安(ān)全威胁(xié),二是不(bú)断增长(zhǎng)的信息保护相关法规的需求。
本质上说,信(xìn)息安全威胁是全球化的(de)。一般来(lái)说,它将(jiāng)毫(háo)无差别(bié)地(dì)辐射到每一个拥有、使用电子信息的机构和个人。这(zhè)种(zhǒng)威胁在因特网的环(huán)境中自(zì)动生成并释放。更严重的问题是,其他各种形式的危(wēi)险也在整日(rì)威胁数据安全,包括从(cóng)外部攻击行为到(dào)内部破坏、偷盗等一系列危险。
过(guò)去的十年(nián)内,围绕信息(xī)和数据安全问题建立起来的法律法(fǎ)规(guī)体系从无到有、不断壮(zhuàng)大(dà),其中包括(kuò)专门针对个人数据保护问(wèn)题的,也有(yǒu)针(zhēn)对企业财政、运营(yíng)和风险(xiǎn)管理体系(xì)建立的法规保障问题的。一套正式规范的信息安全管理体(tǐ)系应当可以提供****实践部署指导。目前,建立这样的管理体系逐渐成为诸多合规项目的必(bì)要条件,与此同时,针对该管理体系的认证(zhèng)逐渐(jiàn)成(chéng)为各种(zhǒng)组织(zhī)(包括政府(fǔ)部(bù)门)的热门需求,这份认证可以为(wéi)他们带来重要的潜在商业合同。
信息安全和技(jì)术(shù)
绝大多数人(rén)认(rèn)为信息安(ān)全是一个纯粹(cuì)的有关技术的话题,只有那些技术人员,尤(yóu)其是计(jì)算机安全技术人员(yuán),才(cái)能(néng)够处理任何(hé)保障(zhàng)数据(jù)和(hé)计算机(jī)安全的相关事宜。这(zhè)固然有一定道理。不过,实际上,恰恰是(shì)计(jì)算机用户本身(shēn)需要考虑这样的问题:避免哪些(xiē)威胁?在(zài)信息(xī)安全和(hé)信息通畅中如何平(píng)衡(héng)取舍?的(de)确(què)如此,一旦(dàn)用户给出答案,计算机安(ān)全专家**可以设计(jì)并执行一个(gè)技术方案以达成用户(hù)需求(qiú)。
在(zài)组织内部,管理层应(yīng)当负责决(jué)策,而不是IT部门。一个规范的信息安全管(guǎn)理体(tǐ)系必须明确指(zhǐ)出,组(zǔ)织机构董(dǒng)事会和管理(lǐ)层应当负责相关(guān)信息安全管(guǎn)理体系的决策(cè),同时,这个体系也应当(dāng)能够反映这种(zhǒng)决策,并且在运行过(guò)程中能够提(tí)供证据证明(míng)其有效性。
所以机构组织内部的信息安全(quán)管理体系的建立项目不(bú)必由一个技术专家来领(lǐng)导。事(shì)实上,技(jì)术专家在很(hěn)多情(qíng)况下起到相反(fǎn)的(de)作用,可能会阻碍项目(mù)进程。因(yīn)此,这个项目应该(gāi)由质量管理经理、总经理或(huò)者其他(tā)负责机构内部(bù)重大职能(néng)的执行(háng)主管负(fù)责(zé)主持。
信(xìn)息安全标准
1995年,英国标准协会(BSI)发(fā)布BS7799标(biāo)准,即ISMS(信(xìn)息安全管理体系(xì)),旨在规(guī)范、引导信息(xī)安全管理体系(xì)的发(fā)展过程和实施情况。BS7799标准被(bèi)外界认为是一个不(bú)偏向(xiàng)任(rèn)何技术、任何(hé)企业(yè)和产品(pǐn)供应商的价值中立的管理体系。只要实施得(dé)当,BS7799标准将(jiāng)帮(bāng)助企业检查并确认其信息安全管理手段和实(shí)施方(fāng)案(àn)的(de)有效(xiào)性。
从企(qǐ)业外部来看,BS7799关注信息的可用性、机密性和完整性,至(zhì)今这仍然是这项标准****达到的目标。BS7799集中关注(zhù)企业组织层面上的(de)风(fēng)险(xiǎn)规避(一定程(chéng)度(dù)上主要是商业(yè)和金融风险(xiǎn)),而不包括避免每一(yī)个潜在风险的保护措(cuò)施——尽管(guǎn)它们至关重要。
BS7799**初仅有一份文档,且具有明(míng)显的实践指(zhǐ)南性质。也**是(shì)说,它为组织(zhī)提供信息安全指引(yǐn),但没有形成规范,不能为外部第三方审计和认(rèn)证等提供依(yī)据。随着越(yuè)来越多(duō)的企业开始认识到来自信息安全的威(wēi)胁波(bō)及范围越来越广,影响(xiǎng)程度(dù)越来越大,并(bìng)且关于数据(jù)和(hé)隐私权保护的(de)法律法规(guī)不断出台,信息安全标准(zhǔn)认证的(de)需(xū)求开始不断增加。
这种需求(qiú)的增加**终促成(chéng)了该项标准****部分(fèn)的(de)出(chū)台(tái),即(jí)标准规范。实践指南和标准规范之间的关系是这样的:标准规范是认(rèn)证方(fāng)案的基础,同时标准规(guī)范要(yào)求实践者遵从实(shí)践指南的(de)指引。
这个实践指南**近被修(xiū)订为ISO/IEC 17799:2005,标(biāo)准规范(fàn)也被修订为(wéi)ISO/IEC 27001:2005,逐步得到(dào)国际认同。
许多国家也已发布了自己的(de)相关标准,比(bǐ)如AS/NZS7799。这些标准的国(guó)际化版本可以在世界任何国家得到认可,这促使了**粱曜嫉南耍(shuǎ)ǔ嘶诹礁霰曜己怕牖∩系谋**粱曜家酝猓
认(rèn)证与遵从
一个组织可(kě)以仅遵从ISO17799来建立(lì)和发(fā)展ISMS(信息安全管理体系(xì)),因为实践指南(nán)中的(de)内容是普遍适用的。然(rán)而,由于ISO17799并非基于认证框架,它不(bú)具(jù)备关于通过(guò)认证所必需的信息安全管理体系的(de)要求(qiú)。而ISO/EC27001则包含这些具体详尽(jìn)的(de)管理(lǐ)体系认(rèn)证要求。在(zài)技术层面来讲,这**表明一(yī)个正在独立运用ISO17799的机(jī)构组织,****符(fú)合实(shí)践指南的要求,但(dàn)是(shì)这并不足以让外界认可其已经达到认证框架所制定的认证要求(qiú)。不同(tóng)的是,一个(gè)正在同时运用ISO27001和(hé)ISO17799标准(zhǔn)的(de)机构组织,可以建立一个(gè)****符合认证具体要(yào)求的ISMS,同时这(zhè)个ISMS体系也符合实践指南的要求,于是,这一组织**可以获得外界的认(rèn)同,即获得(dé)认证。
ISO27001认证(zhèng)要求
ISO27001标准是为了与其他(tā)管理标准,比如ISO9000和(hé)ISO14001等相互兼容(róng)而(ér)设计的,这一(yī)标准中的编(biān)号(hào)系统和文件(jiàn)管理需求的设计初衷,**是为了提供良好(hǎo)的兼容性,使(shǐ)得(dé)组(zǔ)织可以建立(lì)起这样一套(tào)管理(lǐ)体(tǐ)系:能够在****程度上融入这(zhè)个(gè)组织正(zhèng)在使用(yòng)的其他任何管理体系。一(yī)般来说(shuō),组(zǔ)织通常(cháng)会使用为(wéi)其ISO9000认证或者其他管理体(tǐ)系认证提(tí)供认证服务(wù)的机构(gòu),来提供ISO27001认证服务。正是因为这(zhè)个缘故,在ISMS体系建立的过程中,质量管理的经验举足(zú)轻(qīng)重。
但是有一点需(xū)要注(zhù)意,一个组(zǔ)织如果(guǒ)没有事先(xiān)拥有并使(shǐ)用任何形(xíng)式的管理体系,并不意味着该组(zǔ)织不能进行ISO27001认证。这种(zhǒng)情况下(xià),该组织(zhī)**应当从经济利益考(kǎo)虑,选择一个(gè)合适的管理体系的认证机构来提供认证服务。认证机构必须得到一(yī)个(gè)国家鉴定机构的委托授权,才能为认(rèn)证组织提供认证服务,并发放认(rèn)证证书。大多数国家(jiā)都有自己的国家鉴(jiàn)定机构(gòu)(比如:英国UKAS),任何获(huò)得该机构授权进行(háng)ISMS认证的机构均记(jì)录(lù)在(zài)案。
风险(xiǎn)评估应对计划
任何一个ISMS体系的建(jiàn)立和开发都应(yīng)当(dāng)满足组织(zhī)独特的需求(qiú)。每个组织不(bú)仅都有(yǒu)自己独特的业务模式、运营目标(biāo)、形象特点和内部文化,他们对待风险(xiǎn)的态度倾向(xiàng)也大相径庭。换句(jù)话(huà)说,同一个东西,一个机构组(zǔ)织认为是必(bì)须提防的威(wēi)胁,在另一个组织看来可能是一个必须抓(zhuā)住的机(jī)遇。同样(yàng)地,各个机构组织对于(yú)既(jì)有风险防护(hù)的投入也参差不齐。基于以上(shàng)或者其他原因,每(měi)个运行ISMS的组织,其(qí)内部成(chéng)员(yuán)必(bì)须对风险评估有一个共识,这个风险评估(gū)的方(fāng)法论、结果发(fā)现和推荐(jiàn)解决方式(shì)都必(bì)须得到董事会的首肯。
ISMS项目和PDCA流程
ISMS项目很复(fù)杂,可(kě)能持续若干个月甚至若干年,涉及整个机(jī)构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间(jiān)短,成功的案例比较少。从务实的角度考(kǎo)虑,这表明在项目计(jì)划过程中,必须尽早对这些仅(jǐn)有的指导性的书籍和案例进行分(fèn)析(xī)和研究。
ISO27001标准指导(dǎo)一个企业如何着手开展ISMS项目,并且(qiě)关注整个项目进程中的若干重要元素。
1950年(nián)W. Edwards Deming提出PDCA流程,即(jí)计划(Plan)-执(zhí)行(Do)-检查(chá)(Check)-提升(Act)过程,意在说(shuō)明业务流程(chéng)应当是不断改进的,该方法(fǎ)使(shǐ)得职能(néng)部(bù)门经理可以识(shí)别出那些需要修正的环节并进行(háng)修正。这个流程以及流程的(de)改进,都必须遵循(xún)这样一个过(guò)程:先计划,再执行(háng),而后对其运行结(jié)果进行评估(gū),紧接着按(àn)照计(jì)划(huá)的具体要(yào)求对(duì)该评(píng)估(gū)进行(háng)复查,而后寻找到任何(hé)与计划不符的结果(guǒ)偏差(即潜在改进的可能性),**后向管(guǎn)理层提出如何(hé)运行的**终报告。
ISO27001认证(zhèng)审核(hé)费(fèi)用及周期
除了组织自身投入之外(wài),ISO27001 认证审核费(fèi)用主(zhǔ)要体(tǐ)现(xiàn)在聘请(qǐng)第三方(fāng)认证机构及(jí)审核员方面了。在组织(zhī)向认证机(jī)构(gòu)提(tí)出(chū)申请(qǐng)之后,认证机构(gòu)会(huì)初步了解(jiě)组织现(xiàn)状(zhuàng),确定审核范围(wéi),提出(chū)审核报价。认证机构的报价通常是根据其(qí)投入的时间和人员来确定的,决定因(yīn)素包括:
1、受审核组织的(de)员工数量(liàng);
2、纳入审(shěn)核范围的信息(xī)量;
3、场所数量;
4、组织与外(wài)界的关联;
5、组(zǔ)织 IT 的复杂性;
6、组(zǔ)织类型(xíng)和业务性质等。
除了费用问题(tí),认证审(shěn)核的周(zhōu)期通常也是组(zǔ)织比较(jiào)关心的(de)。一(yī)般来说,从(cóng)组织启动(dòng) ISMS建设项目开(kāi)始,到**终(zhōng)通过(guò)审(shěn)核,至少要有半年时间(不(bú)包括获取证书的时间)。对(duì)于很多因为外部驱动力而决(jué)心实施(shī) ISO27001 认证项(xiàng)目的(de)组(zǔ)织来说,提早进行规划是必(bì)要的(de)。[6] 
