标(biāo)准的主要内容(róng)
ISO/IEC17799-2000(BS7799-1)对信息安全(quán)管理给出建议(yì),供(gòng)负责在其组织启动、实(shí)施或维护安全的人(rén)员使用(yòng)。该标准(zhǔn)为开(kāi)发组织的安全标准和(hé)有(yǒu)效的安(ān)全管理做(zuò)法提供(gòng)公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组(zǔ)织具(jù)有价值,因此需要加以(yǐ)合适地(dì)保护。信息安全(quán)防(fáng)止信息受到的各种威胁(xié),以(yǐ)确保业(yè)务连续性,使业务受到损害的风险减至**小,使********和业务机会****。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结(jié)构和软件功能。需(xū)要建立这些控制,以(yǐ)确保满足该(gāi)组织(zhī)的特定安(ān)全目标。
内容章节
ISO/IEC17799-2000包(bāo)含了127个(gè)安全控制措(cuò)施来(lái)帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的(de)法律法(fǎ)规和章程(chéng)加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行(háng)了修订,修订后的标准作为ISO 27000标准族的****部分——ISO/IEC 27001,新标(biāo)准去掉9点控(kòng)制措施,新增(zēng)17点(diǎn)控制措施(shī),并重组(zǔ)部分控制措施而新增一章,重组(zǔ)部分控制措施,关联性逻辑性(xìng)更好,更适合(hé)应用;并修改了(le)部分控制措(cuò)施措辞。修改后的标准包括11个章(zhāng)节:
1)安全策(cè)略。指定信(xìn)息(xī)安全方针,为信(xìn)息(xī)安(ān)全(quán)提供(gòng)管(guǎn)理指引和支持(chí),并定期评审。
2)信息安全的组织(zhī)。建立信息安(ān)全管理组织体(tǐ)系,在内部开展和控制信息安全的实施。
3)资(zī)产管理。核查所有信息资产,做好信息分类,确保信息资(zī)产受到适(shì)当程度的保护。
4)人力资源安全(quán)。确保所有员(yuán)工,合同方和第三(sān)方了解信息(xī)安(ān)全威胁和相关(guān)事宜(yí)以及各自的责任,义务,以减少人(rén)为差错(cuò),盗窃,欺诈(zhà)或误用(yòng)设施的风险(xiǎn)。
5)物理和环境安全。定(dìng)义安(ān)全区域,防止对办公场所和(hé)信息的未授权访(fǎng)问,破坏和(hé)干扰(rǎo);保护设备的安全,防止信息资产(chǎn)的丢失,损坏或被盗,以及对企业(yè)业务的干扰;同(tóng)时,还(hái)要做好(hǎo)一般控制,防止信息和(hé)信息处理设施的损坏(huài)和被盗。
6)通信和操(cāo)作管理。制定操作(zuò)规程和职责,确保(bǎo)信息处理设施的(de)正确和(hé)安全操(cāo)作;建立(lì)系统规划和验收准(zhǔn)则,将系统失效的风险降到****;防范恶(è)意代码(mǎ)和移动代码(mǎ),保护软件和信(xìn)息的完整性;做(zuò)好信息备份和网络安全管理,确保(bǎo)信息在网络中的安全,确(què)保(bǎo)其支持性(xìng)基础设施得到保护;建立媒体处置(zhì)和(hé)安全的规程,防止资(zī)产损坏和业(yè)务(wù)活动的中断;防止信息和软件在组织(zhī)之间交(jiāo)换(huàn)时(shí)丢失,修(xiū)改或误用(yòng)。
7)访问控制。制定访(fǎng)问控制策略,避免信息系统的非授权访问,并让用户了解其职责和义务,包括(kuò)网(wǎng)络(luò)访问控制,操作系统访问控制,应用(yòng)系统和信息访(fǎng)问控(kòng)制,监视系统访问和使用,定期(qī)检测未授权的(de)活动;当(dāng)使用移动办公和(hé)远程控制时,也(yě)要确保信息安全。
8)系统采集、开发(fā)和(hé)维护。标示系统(tǒng)的安全要求,确保(bǎo)安(ān)全成(chéng)为(wéi)信息系统的内(nèi)置部(bù)分,控制应用系统的安(ān)全,防(fáng)止应用系统中用户数据的丢失,被修改或误用;通过加密手段保护信息的(de)保密(mì)性,真(zhēn)实性和完整(zhěng)性;控制对系统文件的访问,确(què)保系统文档,源程(chéng)序(xù)代码的安全;严格控制(zhì)开发和支持过程,维护应用系统软件和信(xìn)息安全(quán)。
9)信息安全事故管理。报告(gào)信息安全事(shì)件和弱点(diǎn),及(jí)时采取纠(jiū)正措施,确保使用持续有效的方法管理信(xìn)息安全事(shì)故,并确(què)保及时修复。
10)业务连(lián)续性管(guǎn)理。目(mù)的(de)是为减少业务活动(dòng)的中断,是关键(jiàn)业务过程免(miǎn)受主要(yào)故障或天灾(zāi)的影响,并确保及时恢复。
11)符合性。信息系统的(de)设计,操作,使用过程(chéng)和管理要符合法律法规(guī)的要求,符合组织安全方针(zhēn)和标准,还要(yào)控制系统审(shěn)计,使信(xìn)息审(shěn)核过程的(de)效力****化,干扰(rǎo)**小化。
ISO27001的效益(yì)
1、通过定义(yì)、评估和控制风险,确保经营的持续性和(hé)能力
2、减少由于(yú)合同违规行为以及直(zhí)接触犯法律法规要求所(suǒ)造成的责任
3、通过遵守国(guó)际(jì)标准提高企业竞(jìng)争能力,提升企业形象
4、明(míng)确定义所有(yǒu)组织的内(nèi)部和外部的信息接口目标:谨防数据的误(wù)用和丢失
5、建(jiàn)立安全工具使(shǐ)用方针
6、谨防技术(shù)诀窍的丢失
7、在(zài)组织内部增强安全意识
8、可作为公(gōng)共会计审计的(de)证据
认识ISO27001国际标准
ISO27001(BS7799/ISO17799)国(guó)际标准究竟是(shì)什么?它如何帮助一个(gè)组织(zhī)更加(jiā)有效地管理信息安全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全管(guǎn)理领域应该掌握哪些内容,以(yǐ)便组织发起信息安(ān)全管理项(xiàng)目?如(rú)何获得BS7799国际标准认证(zhèng)?
IT治理和信息安全
近年(nián)来(lái)企(qǐ)业高层对内部治理需求越来越实际而(ér)具体。随着信息技术普遍渗透到企业组(zǔ)织中(zhōng)的各个(gè)方面(miàn),企业越来越依赖IT系统来处理和(hé)储存各种信息,以****业务正常运营,由此IT系统在企业治理中的作z用越来越明晰,IT治理也逐渐被(bèi)大多数企业认可,成为董事会和企业内部共同(tóng)关注的领域。IT治理的基础部(bù)分是信息安全保护——包括确保信息的可用性(xìng)、机密(mì)性和完整性——这是其他IT治(zhì)理环节实施的前提。
与此(cǐ)同时,和(hé)信息安全相关的国际标准已经出台,成为标准IT治理框架中的一大基石。
信息安全和法律法规
业(yè)内人士对ISO27001认证趋之若鹜,这其中(zhōng)有两个关(guān)键性的驱(qū)动因素:一是日益严(yán)峻的信息安全(quán)威胁,二(èr)是不(bú)断(duàn)增长(zhǎng)的信息保护相关法规的(de)需求。
本质上说(shuō),信息安全威胁(xié)是全球化的。一般来说(shuō),它将毫(háo)无差(chà)别地辐射到每一个拥有、使用电子信息的(de)机构(gòu)和个人(rén)。这种威胁(xié)在因(yīn)特网的环境(jìng)中(zhōng)自(zì)动生成(chéng)并释放。更严重的问题(tí)是,其他各种形式(shì)的危险也在(zài)整日威胁数据安(ān)全(quán),包括从外部攻击行为到内部破坏(huài)、偷盗等一系列危(wēi)险。
过(guò)去的(de)十(shí)年(nián)内(nèi),围(wéi)绕信息和数据安全问题建立起来的法律法规(guī)体系从无到有(yǒu)、不断壮大,其中包(bāo)括专(zhuān)门针对(duì)个人数(shù)据保护问题的,也有针对企(qǐ)业财政、运营和风险(xiǎn)管理体系(xì)建立(lì)的法规保障问题的。一套正(zhèng)式规范(fàn)的(de)信息安全管(guǎn)理体(tǐ)系应当可以提供****实践(jiàn)部署(shǔ)指导。目前,建(jiàn)立这样的管理(lǐ)体系逐(zhú)渐成为(wéi)诸多合(hé)规项(xiàng)目的必要条件,与此同时,针对该(gāi)管理(lǐ)体系的(de)认证逐渐成(chéng)为各种组织(包括政府部门(mén))的热门需(xū)求,这份认证可以为(wéi)他们带来重要的潜在商业(yè)合同。
信息安全和技术
绝大多数人(rén)认(rèn)为信息安全(quán)是一个纯粹的有关(guān)技术的(de)话(huà)题,只有那(nà)些技术(shù)人员(yuán),尤其是计算机安全技术人员,才能够处理任何(hé)保障数(shù)据和计算机安全的相(xiàng)关事宜。这(zhè)固然有一定道理。不过(guò),实(shí)际上(shàng),恰恰是计算机(jī)用(yòng)户本身需要考虑这样的问题:避免哪些(xiē)威胁?在信(xìn)息安全和信息(xī)通畅中如何平衡(héng)取舍?的确如此,一(yī)旦用(yòng)户(hù)给(gěi)出(chū)答(dá)案,计算机(jī)安全(quán)专家**可以(yǐ)设计并执行(háng)一个技术方案以达成用(yòng)户(hù)需求。
在组织内部,管理层应当负(fù)责决策,而(ér)不(bú)是(shì)IT部门。一个(gè)规范的信(xìn)息安全管理体系必须明确指出,组织(zhī)机(jī)构董事会(huì)和管理(lǐ)层(céng)应当(dāng)负责相关信(xìn)息安全管(guǎn)理体系的决策,同时,这个体系也应当能够(gòu)反映这种决策,并且在运行过(guò)程中能够提(tí)供证据证明其有效性。
所以(yǐ)机构组(zǔ)织内(nèi)部的信息安全管理体(tǐ)系的建立项目不必由一个技术专家(jiā)来(lái)领导(dǎo)。事实上,技术专家在很多情况下起(qǐ)到相反的作用,可能(néng)会阻碍项目进程(chéng)。因此,这个项目(mù)应该由(yóu)质量管理经理、总经理或者其他(tā)负责(zé)机构内部(bù)重(chóng)大职能的执行主管(guǎn)负责主持。
信息安全(quán)标准(zhǔn)
1995年,英国标准协会(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在(zài)规范(fàn)、引导信息安全管理体系的发展过程(chéng)和实施(shī)情况。BS7799标准被(bèi)外(wài)界认为是一(yī)个不偏(piān)向任何技术、任何(hé)企业和产品供应商的价值中立(lì)的管理体系。只要实施得当,BS7799标准(zhǔn)将帮助企业检查并确认其信息安(ān)全管理手段(duàn)和实施方案的(de)有效性。
从企业外部来看,BS7799关注信息的可用性、机密(mì)性和完整性,至今这仍然是这(zhè)项标准****达到(dào)的目(mù)标(biāo)。BS7799集中关注企业组(zǔ)织层面上的风(fēng)险规(guī)避(一定(dìng)程度上主要是商业和(hé)金融风险(xiǎn)),而不包括避免每一个潜在风险(xiǎn)的保护措(cuò)施(shī)——尽管它们至关重要。
BS7799**初仅有一份文档,且具有明显的实(shí)践指南性(xìng)质。也**是说,它为组(zǔ)织提(tí)供(gòng)信息(xī)安全指(zhǐ)引,但没(méi)有形成(chéng)规范(fàn),不能为外部第三方审(shěn)计和认(rèn)证等提供依据。随着越来越多的企业(yè)开(kāi)始认(rèn)识到(dào)来自信(xìn)息安(ān)全的威胁波及范围越(yuè)来越广,影(yǐng)响程度越来越大,并且关于数据和隐私权保护的法律法规不断出台,信息安全标(biāo)准(zhǔn)认证的需求开始(shǐ)不(bú)断增(zēng)加。
这种需求的(de)增加**终促(cù)成(chéng)了该项标准****部(bù)分的(de)出台,即标(biāo)准规范。实践(jiàn)指南(nán)和标准(zhǔn)规范之间的关系(xì)是这样的:标(biāo)准规范是认证方案的基础,同时标(biāo)准规范要求实践(jiàn)者遵从实践指(zhǐ)南的指引。
这个实(shí)践指南**近被修订为ISO/IEC 17799:2005,标(biāo)准(zhǔn)规范也被修订为ISO/IEC 27001:2005,逐步(bù)得(dé)到国际认同。
许(xǔ)多国家也已(yǐ)发布了自己(jǐ)的相关标准,比(bǐ)如AS/NZS7799。这些标准的国际化版本可以在世界任何国家得到认可,这促(cù)使了**粱曜嫉(jí)南耍ǔ嘶诹礁霰曜(yào)己(jǐ)怕牖∩系谋**粱曜(yào)家酝(yùn)猓(guǒ)
认(rèn)证与遵从
一个组织可以(yǐ)仅(jǐn)遵从ISO17799来建立(lì)和发(fā)展ISMS(信息(xī)安全管理(lǐ)体系),因为(wéi)实践(jiàn)指南中的内容是普(pǔ)遍适用的。然而,由于ISO17799并非基于认证(zhèng)框架,它不具备关于通过认(rèn)证所必需的信息安全管理(lǐ)体系(xì)的要求(qiú)。而ISO/EC27001则包含这些具体(tǐ)详尽的(de)管(guǎn)理(lǐ)体(tǐ)系认证要求。在技术层(céng)面来讲,这**表明一个(gè)正在独立运用ISO17799的机构(gòu)组织,****符合(hé)实践指南(nán)的要求,但(dàn)是这并不足以让(ràng)外界(jiè)认可其已经达到(dào)认证框架所制定的认证要求。不同的是,一个正在同(tóng)时运用ISO27001和ISO17799标准的机构(gòu)组织,可以(yǐ)建立一个****符合认证具体要求的ISMS,同时(shí)这个ISMS体系也(yě)符(fú)合实践指南(nán)的要求,于(yú)是,这一组(zǔ)织**可以(yǐ)获得(dé)外界的认(rèn)同,即(jí)获得认证。
ISO27001认证要求
ISO27001标准是为(wéi)了与(yǔ)其他(tā)管理标准,比(bǐ)如ISO9000和ISO14001等相互兼容(róng)而设计的(de),这一标准(zhǔn)中(zhōng)的编号系统(tǒng)和文件管理需求的设计初衷,**是为了提供(gòng)良(liáng)好(hǎo)的兼容(róng)性,使得组织(zhī)可(kě)以建(jiàn)立(lì)起这样一套管理体系:能够在****程度上(shàng)融入这个组(zǔ)织正在使用的其他(tā)任何管(guǎn)理体系。一般(bān)来说,组织(zhī)通常会使(shǐ)用为其ISO9000认证或者其他管理(lǐ)体系(xì)认证提供认证服务的(de)机(jī)构,来提(tí)供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立(lì)的(de)过程中(zhōng),质量管理的经验举足轻(qīng)重。
但是有(yǒu)一点需要注意,一个组织如果没有(yǒu)事(shì)先拥有并使用任何形式的(de)管(guǎn)理体系,并不(bú)意味着该(gāi)组织不能进行ISO27001认证(zhèng)。这种(zhǒng)情况下(xià),该组织**应当从经(jīng)济(jì)利(lì)益(yì)考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须(xū)得到一个国家鉴定机(jī)构的委托授(shòu)权,才能为认证组织提供认证服务,并发放认证证书。大(dà)多数(shù)国家都有自己的(de)国家(jiā)鉴定机构(比如:英国(guó)UKAS),任何获得该(gāi)机构授(shòu)权进行ISMS认证的机构均记录在案。
风险(xiǎn)评估应对计划
任何(hé)一个ISMS体系的建立和(hé)开发都应当满足组(zǔ)织独特(tè)的(de)需求。每个组织不仅都(dōu)有自己(jǐ)独特的业务模式、运营(yíng)目标、形象特点和内部文化,他们对待风险(xiǎn)的态度倾向也大相径庭。换句话说(shuō),同(tóng)一个东(dōng)西,一个机构组织认为是(shì)必须提防的威胁,在另一个组织看来可能是(shì)一(yī)个必须(xū)抓住的机(jī)遇(yù)。同样(yàng)地,各个机构组织对于(yú)既有风(fēng)险防护(hù)的投入也参差不齐。基于以上或者其他原因,每个运行ISMS的组织,其内部(bù)成员必须对风险(xiǎn)评估有一个共识,这个风险评估的方(fāng)法论(lùn)、结果(guǒ)发现和推荐解(jiě)决方式都必须得到董(dǒng)事会的首肯。
ISMS项目(mù)和PDCA流程
ISMS项目很复杂,可能持(chí)续若干个月甚至若干年,涉及整个(gè)机构组织以(yǐ)及从管理层到收发部门的(de)每(měi)个成员。ISO27001认证诞生(shēng)时间(jiān)短,成功的案例比较少。从务实的(de)角度考虑,这(zhè)表明在项(xiàng)目计(jì)划过程中,必须尽早对这些仅(jǐn)有的指导性的书籍和案例进(jìn)行分析和研究。
ISO27001标准指导一(yī)个企业如何着手开展ISMS项目,并(bìng)且关注整个(gè)项(xiàng)目进程中(zhōng)的若干重要(yào)元素。
1950年W. Edwards Deming提出PDCA流程,即计(jì)划(Plan)-执行(háng)(Do)-检查(Check)-提升(Act)过程(chéng),意在说(shuō)明业(yè)务流程应当是不断改进的,该方法使得职(zhí)能部门经理(lǐ)可以识别出那些(xiē)需要修(xiū)正的(de)环节(jiē)并进(jìn)行修正。这个流程以及(jí)流程的改进,都(dōu)必须遵循这样一个(gè)过程:先计划,再执行,而(ér)后(hòu)对(duì)其(qí)运行结果进行评估,紧接着按照(zhào)计划的具体要求对该评估进行复查,而后寻找(zhǎo)到任何与计划(huá)不符的结果偏差(即潜在改进的可能性),**后向管理(lǐ)层提出如何运行的**终报告。
ISO27001认证审核费用及周期
除了组织自身(shēn)投(tóu)入之外(wài),ISO27001 认证审核费(fèi)用(yòng)主要体现在聘请第三方(fāng)认证机构及审核员方面了。在组织向认证机构提出申请(qǐng)之后(hòu),认证机(jī)构会初(chū)步了解组织(zhī)现状,确定审核范围,提出审核报价。认(rèn)证机构的报价通(tōng)常是根据其投(tóu)入的时间和人员来确定的,决定因素包括:
1、受(shòu)审核(hé)组织的员(yuán)工数量;
2、纳入审核范围(wéi)的信息量;
3、场所数量;
4、组织与(yǔ)外界的关联;
5、组织 IT 的(de)复杂性;
6、组织类型(xíng)和(hé)业务性质等。
除了(le)费用(yòng)问(wèn)题,认证审核(hé)的周期通常也是组织比较关心的。一般来说,从组织启动 ISMS建设(shè)项目开始,到**终通过审核,至少要有半年时间(不包括获取证书(shū)的(de)时间)。对于(yú)很多(duō)因为外部驱动(dòng)力(lì)而决(jué)心实施 ISO27001 认证项目(mù)的(de)组(zǔ)织(zhī)来说,提早进行规划是必要的(de)。[6] 
