标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信(xìn)息安(ān)全管理给出建议,供负责(zé)在(zài)其组织启动、实(shí)施(shī)或维护安全的(de)人员使用。该标准为开发(fā)组织(zhī)的安全标准和(hé)有效的安全管理做法提供公共(gòng)基础(chǔ),并为(wéi)组织之间的交往提供信任。
标准指出“象其他重要(yào)业务(wù)资产(chǎn)一样,信息也是一种(zhǒng)资(zī)产”。它对一个组织(zhī)具(jù)有价值,因此需要加以合适地保护(hù)。信息安全防止信息受(shòu)到的(de)各种威(wēi)胁,以确保业务连续性(xìng),使业务受到(dào)损害的(de)风险(xiǎn)减至**小,使********和业务机会(huì)****。
信(xìn)息安全是通(tōng)过实现一组合适控制获得的。控制可以是策略(luè)、惯例、规程、组织结构和软件功能。需要建立这(zhè)些控制,以确保满足该(gāi)组织的(de)特定安(ān)全目标。
内容章节
ISO/IEC17799-2000包含了127个安(ān)全控制措施来(lái)帮助(zhù)组织识别在运做过(guò)程中对信(xìn)息安全(quán)有影响的元素,组织可以(yǐ)根据(jù)适用的(de)法(fǎ)律法规和(hé)章程加以选择和(hé)使用,或(huò)者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订(dìng),修订后(hòu)的标准作为ISO 27000标准族(zú)的****部分——ISO/IEC 27001,新标准(zhǔn)去掉(diào)9点控制措(cuò)施,新增17点(diǎn)控制措施,并重组(zǔ)部分控制措施而新增一章,重组部分控制措施,关联性逻辑性(xìng)更好,更适合应用;并(bìng)修改了部(bù)分控制措施措辞。修(xiū)改后的标准包括11个(gè)章节:
1)安全策略。指定信息安(ān)全方针,为(wéi)信息(xī)安全提供管理指引(yǐn)和支持,并定期评审。
2)信息(xī)安全(quán)的组(zǔ)织(zhī)。建(jiàn)立信息安全(quán)管(guǎn)理组织体系,在内部开展和控制信息安全的实施。
3)资产管理。核查(chá)所有信(xìn)息资产,做好信息分类,确保信息资产受到适(shì)当程度(dù)的(de)保护。
4)人力资源安全。确保(bǎo)所(suǒ)有(yǒu)员工,合同方和第(dì)三方了解信息安全威胁和相(xiàng)关事宜以及各自的责任,义务,以减少人为差(chà)错,盗窃,欺(qī)诈(zhà)或误用设施的风险。
5)物理和环境安全。定义(yì)安全区(qū)域,防止对办公场(chǎng)所和信息的(de)未(wèi)授(shòu)权访问,破坏和干(gàn)扰;保护设备(bèi)的安全,防(fáng)止信息资产(chǎn)的丢失,损(sǔn)坏或被盗,以(yǐ)及对企业业务的干扰(rǎo);同时(shí),还要做好(hǎo)一(yī)般控制,防(fáng)止信息(xī)和信息处理设施的损(sǔn)坏和被盗。
6)通信(xìn)和操作(zuò)管理。制定操(cāo)作规程(chéng)和职责,确(què)保信息处理设施的(de)正确和(hé)安全操(cāo)作;建立系统规划(huá)和验收(shōu)准则(zé),将系统失效的风险降到(dào)****;防范恶意(yì)代码(mǎ)和移动代码,保护软件和信息的完整性;做好信息备份和网络(luò)安全(quán)管理(lǐ),确保(bǎo)信息(xī)在(zài)网络中的(de)安全,确保(bǎo)其支持性基础设(shè)施得到保(bǎo)护(hù);建立媒体处置和安(ān)全(quán)的规程,防止(zhǐ)资产损坏和业务活动(dòng)的中(zhōng)断;防止(zhǐ)信息和软件在(zài)组织之(zhī)间交(jiāo)换时丢失,修(xiū)改或误用(yòng)。
7)访问控制。制定访问控(kòng)制策(cè)略,避免(miǎn)信(xìn)息系统(tǒng)的非授权访(fǎng)问,并(bìng)让用户了解其职责和义务,包括网络访问控制,操作系统访问(wèn)控制,应用系统(tǒng)和信息访问控制,监视(shì)系统访问和使用,定期检测未授(shòu)权的活动;当使用移动办公和远程控(kòng)制(zhì)时,也要确保(bǎo)信(xìn)息安全。
8)系统采集、开发和维护。标示系(xì)统的安(ān)全要求,确保(bǎo)安全(quán)成为(wéi)信息系统的内置部分,控制应用系统(tǒng)的安全,防止应用系统中用户(hù)数据的丢失,被修改或误用(yòng);通过加密(mì)手段(duàn)保护信(xìn)息(xī)的保密性,真实性和(hé)完整性(xìng);控制对系统文件(jiàn)的访问,确保系统(tǒng)文(wén)档,源(yuán)程序代码的安全;严格控制开发和(hé)支持过程,维(wéi)护应用系统软件和信息安全。
9)信息安全(quán)事故管理。报(bào)告信息安全事件和弱点(diǎn),及时采(cǎi)取纠正措施,确保(bǎo)使(shǐ)用(yòng)持续有效的方(fāng)法管(guǎn)理信息安(ān)全事(shì)故,并确保及时修复。
10)业务(wù)连续性管理。目(mù)的是为减(jiǎn)少(shǎo)业务活动的(de)中断,是(shì)关键业务过程免(miǎn)受主要故障(zhàng)或天灾的(de)影响,并确保及时恢复。
11)符合(hé)性。信息系统的设计,操作,使用过程和管(guǎn)理要符合(hé)法律法(fǎ)规的(de)要求,符合组织安全方针(zhēn)和标准,还要控制系统审(shěn)计(jì),使信(xìn)息审核过程的(de)效力****化(huà),干扰**小化。
ISO27001的效益
1、通(tōng)过定义、评估和控制风险,确保经营的(de)持续(xù)性和(hé)能力
2、减少(shǎo)由于合同违规行为以及直接触犯法律法规要求所造成的责任(rèn)
3、通过(guò)遵守国际标准提高企业(yè)竞争能(néng)力,提升企业形象
4、明确定义所有组织的内(nèi)部和外(wài)部的信息接口目标(biāo):谨(jǐn)防数据的(de)误用和丢失
5、建立安全工具使用(yòng)方针
6、谨防技术诀(jué)窍的丢失
7、在组(zǔ)织内部增(zēng)强(qiáng)安全意识
8、可(kě)作为(wéi)公(gōng)共会计审计的证(zhèng)据
认识ISO27001国际(jì)标准
ISO27001(BS7799/ISO17799)国际(jì)标准究竟是什么?它如(rú)何帮助一个组织更加有(yǒu)效地(dì)管理信息安全?BS7799/ISO27001和ISO9001之(zhī)间有什(shí)么联系?初(chū)次涉猎信息安全管理领域(yù)应该掌(zhǎng)握哪(nǎ)些内容,以便组织(zhī)发起信息安全管理项目?如何获得BS7799国际标(biāo)准认证?
IT治(zhì)理和信(xìn)息(xī)安全
近(jìn)年来企业(yè)高层对(duì)内部治理需(xū)求越来越(yuè)实际而(ér)具体(tǐ)。随着信息技术普遍(biàn)渗透(tòu)到企业(yè)组(zǔ)织中的各个方面,企业越来越依赖(lài)IT系统来处理和储存各种(zhǒng)信息,以****业务正常运营,由此IT系统在企业治理中的作z用越来越(yuè)明晰,IT治理(lǐ)也逐(zhú)渐被大多数企业认可(kě),成为董事会和(hé)企业内部共同(tóng)关注(zhù)的领(lǐng)域。IT治理的基础部分是信息安全保护——包括确(què)保信息的可(kě)用性、机密性和(hé)完整(zhěng)性——这是其他IT治理环节实施的前(qián)提(tí)。
与此同时,和信息安全相关的(de)国际标准已经(jīng)出(chū)台,成为标(biāo)准IT治理框架(jià)中的一大基石。
信息安全(quán)和(hé)法律法规
业内(nèi)人士(shì)对(duì)ISO27001认证趋之(zhī)若鹜,这(zhè)其中(zhōng)有两个(gè)关键(jiàn)性的驱(qū)动(dòng)因素:一是日益严峻的信息安全威胁(xié),二是不断增(zēng)长(zhǎng)的(de)信息保护相关法(fǎ)规的需求。
本质上说,信息安全(quán)威胁(xié)是全球化的。一般来说,它将毫无差别地辐射到每一个(gè)拥有、使用(yòng)电子(zǐ)信息的机构和个人。这种威胁在因特网的环(huán)境中自动(dòng)生成并释放。更(gèng)严重的问(wèn)题是(shì),其他各种形式(shì)的危险也在整日威胁数据安(ān)全,包括从外部攻击行为到内部破坏、偷盗等一(yī)系列危险(xiǎn)。
过去的十年(nián)内,围绕信息和数(shù)据安全问(wèn)题建立起来的法(fǎ)律法(fǎ)规(guī)体系从无到有、不断壮大,其中包括专(zhuān)门针对个人数据保(bǎo)护问题的,也有(yǒu)针对企(qǐ)业财政(zhèng)、运营和(hé)风险管理体系建立(lì)的(de)法规保(bǎo)障问题的。一套正式规范的信息安全管理体系应当可(kě)以提供****实践(jiàn)部署指(zhǐ)导。目前,建立(lì)这样(yàng)的管理体系逐渐成为诸多合规(guī)项目的必要(yào)条件(jiàn),与此同时,针对该管理体(tǐ)系(xì)的认证逐渐(jiàn)成(chéng)为各种组(zǔ)织(包括(kuò)政府部门)的热(rè)门需求,这份认(rèn)证可(kě)以为他们带来重要的(de)潜在商业合同。
信(xìn)息安全和技术
绝大多数(shù)人认为信(xìn)息安全是一个纯粹的有关技术的(de)话题,只(zhī)有那些技术人员,尤(yóu)其是(shì)计算机安(ān)全技术人员,才能够(gòu)处(chù)理任何保障数据和计算(suàn)机安(ān)全的相关事宜(yí)。这固然有(yǒu)一(yī)定道理(lǐ)。不过(guò),实际上,恰恰是计(jì)算机用户本身需要考虑这样的问题:避(bì)免哪些威胁?在信(xìn)息安全和信息通畅中如何平衡取舍?的确如此,一旦用(yòng)户给出答案,计算机安全专家(jiā)**可以设计并执行一个技术(shù)方案以达成(chéng)用户需求。
在组织内部,管理层应当负责决策,而不(bú)是IT部门。一个规范的信息安(ān)全管理体(tǐ)系必须(xū)明(míng)确指出,组织机(jī)构董事会和管理(lǐ)层应(yīng)当负责相(xiàng)关信息安全管理体系的(de)决策,同(tóng)时,这个体系也应当能够(gòu)反映(yìng)这种决策,并且在运行过程中能够提(tí)供证(zhèng)据证明其有效性。
所以(yǐ)机构组(zǔ)织内部的(de)信息(xī)安(ān)全管理体(tǐ)系的建立项目不必由(yóu)一个技术(shù)专家来(lái)领导。事实(shí)上(shàng),技术专家(jiā)在很(hěn)多情况(kuàng)下起到(dào)相反的作用,可能(néng)会阻碍项目进程。因此(cǐ),这个项目(mù)应该由质量管理经理、总经理或者(zhě)其他负责(zé)机构内部重大职能(néng)的执行主管负责主(zhǔ)持。
信息(xī)安全标准
1995年(nián),英国标准(zhǔn)协会(huì)(BSI)发(fā)布(bù)BS7799标准,即(jí)ISMS(信息安全管(guǎn)理(lǐ)体系(xì)),旨在规范、引导信(xìn)息安全(quán)管(guǎn)理体(tǐ)系的发展过程和(hé)实施情况。BS7799标准被外(wài)界认为是一个不偏向任何(hé)技(jì)术、任(rèn)何企业(yè)和产品(pǐn)供(gòng)应(yīng)商的价值中立的管(guǎn)理体系(xì)。只要实施得(dé)当,BS7799标准将帮(bāng)助企业检查并确认其(qí)信息安(ān)全管理(lǐ)手段和实施方案的有效性。
从企业外部(bù)来看,BS7799关注(zhù)信息的(de)可用(yòng)性(xìng)、机(jī)密性(xìng)和完(wán)整(zhěng)性,至今这仍然是这(zhè)项标(biāo)准****达(dá)到的目标。BS7799集中(zhōng)关注企(qǐ)业(yè)组(zǔ)织(zhī)层面上的风险规避(一定程度上主要是商业和金融风险),而不包括(kuò)避免每一个潜在风险的保护措施——尽管它(tā)们至关重要。
BS7799**初(chū)仅有一份文档(dàng),且(qiě)具有(yǒu)明显的实(shí)践(jiàn)指南性质。也**是(shì)说,它为组织提供信息安全指引,但没有形(xíng)成规范,不(bú)能为外部第三方审(shěn)计和认证等提供(gòng)依据。随着越来越多的企业开始认(rèn)识到来(lái)自信息安全(quán)的威胁波(bō)及范围越来越广,影响程度越来越(yuè)大,并且关于数据和(hé)隐私权保护的法律法规不断出台,信(xìn)息安全标准认证的需求开始不断增加。
这种需求的增加**终促(cù)成了该(gāi)项标准****部分的出台,即标准规范。实践指南和标(biāo)准规范(fàn)之间的关系是这样的:标准规范(fàn)是认证方(fāng)案的基础,同时标准规(guī)范要(yào)求实践者遵从(cóng)实(shí)践指南(nán)的指引(yǐn)。
这个实践(jiàn)指南**近被修订为ISO/IEC 17799:2005,标(biāo)准规范也(yě)被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家也已发布了自己的相关标准,比如AS/NZS7799。这些标准的(de)国际化版本可以在世界任何国家得到认(rèn)可,这促使了**粱(liáng)曜嫉南耍ǔ嘶诹礁(jiāo)霰曜己怕牖∩系谋**粱曜(yào)家酝猓
认证(zhèng)与遵从
一个组(zǔ)织可以(yǐ)仅遵(zūn)从ISO17799来建立和发展ISMS(信息安全管理体系),因为实践指南中的内(nèi)容是(shì)普(pǔ)遍适用的。然而,由于ISO17799并非(fēi)基于认(rèn)证框架(jià),它(tā)不具(jù)备关于通(tōng)过认证所必需的信息安全(quán)管理体(tǐ)系的要求。而ISO/EC27001则包(bāo)含这些(xiē)具体详尽的管(guǎn)理体系(xì)认证要求。在技术(shù)层面来讲,这**表明一个正(zhèng)在独立运(yùn)用ISO17799的机构组织,****符(fú)合实践(jiàn)指南(nán)的要求,但是这(zhè)并不(bú)足以让外(wài)界认可其已经(jīng)达到认证(zhèng)框(kuàng)架所(suǒ)制定的认(rèn)证要求。不同的是,一个正在同(tóng)时运(yùn)用ISO27001和ISO17799标准的(de)机构组织,可以(yǐ)建立一个****符(fú)合认证具体要(yào)求(qiú)的ISMS,同时这个(gè)ISMS体系也符合实践(jiàn)指南的要求,于是,这(zhè)一组(zǔ)织(zhī)**可以(yǐ)获得外界的认同,即(jí)获得认证。
ISO27001认证要求
ISO27001标准是(shì)为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统(tǒng)和文件管理需求的设(shè)计初衷,**是为了提供良好的兼容性,使得(dé)组织可(kě)以建立起(qǐ)这样一套管理体系(xì):能够在****程度上融入这(zhè)个(gè)组织正在(zài)使(shǐ)用的(de)其他任(rèn)何(hé)管理体系(xì)。一般来说(shuō),组织(zhī)通常(cháng)会(huì)使(shǐ)用(yòng)为其ISO9000认证或者其他管理体系(xì)认证提(tí)供认证服务的(de)机构(gòu),来提供ISO27001认证(zhèng)服(fú)务。正是因为这个缘故,在ISMS体系建(jiàn)立的过程中,质量管理的经验举(jǔ)足轻重。
但是有一(yī)点需要注意(yì),一(yī)个(gè)组织如果没有事(shì)先拥有(yǒu)并使用任何形式的管理体(tǐ)系(xì),并不意(yì)味着该(gāi)组织不能进行ISO27001认证。这种情况下,该组织(zhī)**应当从经济(jì)利益考虑,选择一个(gè)合适的管理体系的认证机(jī)构来提供(gòng)认(rèn)证服(fú)务。认证机(jī)构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证(zhèng)服务,并发放认证证(zhèng)书。大(dà)多数国家都有(yǒu)自己的国家鉴定机(jī)构(比(bǐ)如:英国UKAS),任何获(huò)得该机构授(shòu)权进行ISMS认证的(de)机(jī)构(gòu)均记录在案(àn)。
风险评估(gū)应对计(jì)划
任何一个ISMS体系的建立(lì)和开发都应当满足组织独特的需求(qiú)。每个组织不仅都有自己(jǐ)独特的(de)业务模式、运营目标、形象特点和内部文化,他们对待风险的态度倾向也大相径庭。换句话说,同一个东西,一个机构组织认(rèn)为是必须提防的威胁,在(zài)另一个组织(zhī)看来可能是一个必须抓住的(de)机遇。同样地(dì),各个机构组织对(duì)于既有风险防护的投入也(yě)参差不齐(qí)。基于以上或者其他原因,每(měi)个运行ISMS的组织,其(qí)内部成员必须对风险评估有一(yī)个共识,这个风险(xiǎn)评估(gū)的方法论、结果(guǒ)发现和推荐解决方式都必须得到董事会的首肯。
ISMS项目和(hé)PDCA流程
ISMS项目(mù)很复杂,可能(néng)持续若干个月甚至若干年,涉及(jí)整(zhěng)个(gè)机构组织以及从管(guǎn)理层到收发(fā)部门的每个成员。ISO27001认(rèn)证(zhèng)诞生时间短,成功(gōng)的案(àn)例比较少。从务实的角(jiǎo)度(dù)考虑,这表(biǎo)明(míng)在(zài)项目计划过程(chéng)中,必须尽早对这些仅(jǐn)有的指(zhǐ)导性的书籍和案例进(jìn)行分析和(hé)研究。
ISO27001标(biāo)准指(zhǐ)导一个企(qǐ)业如何着手开展ISMS项目,并且关注整个项目(mù)进程中的若干重要元(yuán)素。
1950年W. Edwards Deming提出PDCA流程,即(jí)计划(Plan)-执(zhí)行(Do)-检(jiǎn)查(chá)(Check)-提升(Act)过程,意在说明业(yè)务(wù)流程应当是不(bú)断(duàn)改进的,该方法使得职能部门经理可以(yǐ)识别出那(nà)些需要(yào)修正的环节并(bìng)进行修(xiū)正(zhèng)。这个流程以(yǐ)及流程的改进(jìn),都必须遵循这样(yàng)一个过(guò)程:先计划,再执(zhí)行,而后(hòu)对其运行结果进行评估,紧接着(zhe)按(àn)照计划的具体要求对(duì)该评估进行复查(chá),而(ér)后寻找到(dào)任何与(yǔ)计(jì)划不符的结果偏差(即潜在(zài)改进(jìn)的可能性),**后(hòu)向管理层提出如何运行(háng)的(de)**终报告。
ISO27001认证审(shěn)核费用及周(zhōu)期
除了组织自(zì)身(shēn)投入之(zhī)外(wài),ISO27001 认证审核费用主(zhǔ)要体现在(zài)聘请(qǐng)第三方认证机构及审核员(yuán)方(fāng)面了。在组(zǔ)织(zhī)向(xiàng)认证机(jī)构提出申请之后,认(rèn)证机构会初步了解(jiě)组织现状,确定审核范围,提出审核报价。认证机构的报价通常(cháng)是根据其投入的时间和人员来(lái)确定的(de),决定因素包括:
1、受审核组织的员工数量;
2、纳入(rù)审核范围(wéi)的信息量;
3、场所数量;
4、组织与外界的(de)关联(lián);
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了(le)费用问题,认证(zhèng)审核的周(zhōu)期通常(cháng)也是组织比较关心的。一般来(lái)说,从组织启动 ISMS建设项目开(kāi)始,到**终(zhōng)通过(guò)审核,至少要有半年时间(不包括获取证书(shū)的时间)。对于很(hěn)多因为(wéi)外部(bù)驱动力而决心(xīn)实施(shī) ISO27001 认证(zhèng)项目的组织(zhī)来(lái)说,提早进行规划是(shì)必要的(de)。[6] 
