信息安全發展至今,人們越來越認識到安全管理在整個企業運營管理中的重要性,而作爲信息安全管理方面最著名的國際標準—— IS0/IEC27001&BS7799,則成爲可以指導我們現實工作的最好的參照。IS0/IEC27001&BS7799目前做爲國際標準,正迅速被全球所接受。依據ISO27001標準進行信息安全管理體系建設,是當前各行業組織在推動信息安全保護方面最普遍的思路和決策。
標準的起源和發展
信息安全管理實用規則ISO/IEC27001的前身爲英國的BS7799標準,該標準由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的。1999年BSI重新修改了該標準。
信息安全管理實用規則ISO/IEC27001的前身爲英國的BS7799標準,該標準由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的。1999年BSI重新修改了該標準。
1990年,世界經濟合作開發組織(OECD)下轄的信息、計算機與通信政策組織開始起草 “信息系統安全指導方針”。1992年,OECD於11月26日正式通過“信息系統安全指導方針”。1993年,英國工業與貿易部(DTI)頒佈“信息安全管理事務準則”。1995年,英國制定國家標準BS 7799第一部分:“信息安全管理事務準則”,並提交國際標準組織(ISO),成爲ISO DIS 14980。1996年,BS 7799第一部分提交ISO審議的結果,於1996年2月24日結束6個月的審議後,參與投票的成員國未超過三分之二。1997年,OECD於3月27日公佈密碼模塊指導原則;同年,英國正式開始推動信息安全管理認證先導計劃。1998年,英國公佈BS 7799第二部分“信息安全管理規範”併成爲信息安全管理認證的依據;同年,歐盟於1995年10月公佈之“個人資料保護指令,自1998年10月25日起正式生效,要求以適當標准保護個人資料”。1999年,修訂後的BS 7799:1999版再度提交ISO審議。2000年,國際標準組織 ISO/IEC JTC SC 27在日本東京 10月21 日通過BS 7799-1,成爲 ISO DIS 17799-1,2000年12月1日正式發佈。現已有30多家機構通過了信息安全管理體系認證,範圍包括:政府機構、銀行、保險、電信企業、網絡及許多跨國。目前除英國之外,國際上已有荷蘭、丹麥、挪威、瑞典、芬蘭、澳大利亞、新西蘭、南非、巴西已同意使用BS 7799;日本、瑞士、盧森堡表示對BS 7799感興趣;我國的臺灣、香港地區也在推廣該標準。值得一提的是:該標準也是目前英國最暢銷的標準。
BS7799 Part 1的全稱是Code of Practice for Information Security,也即爲信息安全的實施細則。2000年被採納爲ISO/IEC 17799,目前其最新版本爲2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通過層次結構化形式提供安全策略、信息安全的組織結構、資產管理、人力資源安全等11個安全管理要素,還有39個主要執行目標和133個具體控制措施(最佳實踐),供負責信息安全系統應用和開發的人員作爲參考使用,以規範化組織機構信息安全管理建設的內容。
BS7799 Part 2的全稱是Information Security Management Specification,也即爲信息安全管理體系規範,其最新修訂版在05年10月正式成爲ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規範,其中詳細說明了建立、實施和維護信息安全管理體系的要求,可用來指導相關人員去應用 ISO/IEC 17799,其最終目的,在於建立適合企業需要的信息安全管理體系(ISMS)。
第一部分對信息安全管理給出建議,供負責在其組織啓動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也於2005年被採用爲ISO27001:2005。
2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也於2005年被採用爲ISO27001:2005。
BS 7799完全從管理角度制定,並不涉及具體的安全技術,實施不復雜,主要是告訴管理者一些安全管理的注意事項和安全制度,例如磁盤文件交換和處理的安全規定、設備的安全配置管理、工作區進出的控制等一些很容易理解的問題。這些管理規定一般的單位都可以制定,但要想達到BS 7799的全面性則需要一番努力。
同BS 7799相比,信息技術安全性評估準則(CC)和美國國防部可信計算機評估準則(TCSEC)等更側重於對系統和產品的技術指標的評估;系統安全工程能力成熟模型(SSE-CMM)更側重於對安全產品開發、安全系統集成等安全工程過程的管理。在對信息系統日常安全管理方面,BS 7799的地位是其他標準無法取代的。
同BS 7799相比,信息技術安全性評估準則(CC)和美國國防部可信計算機評估準則(TCSEC)等更側重於對系統和產品的技術指標的評估;系統安全工程能力成熟模型(SSE-CMM)更側重於對安全產品開發、安全系統集成等安全工程過程的管理。在對信息系統日常安全管理方面,BS 7799的地位是其他標準無法取代的。
總的來說,BS7799涵蓋了安全管理所應涉及的方方面面,全面而不失可操作性,提供了一個可持續提高的信息安全管理環境。推廣信息安全管理標準的關鍵在重視程度和制度落實方面。
應該說該標準中也還存在一些問題。它認爲未經批准查看敏感信息是種威脅,而且是對保密性的違反。但是明確闡述保密性的文件中唯一指明的控制中卻沒有這種認識。它的4.1.3部分講到,用戶應該簽署保密(不泄密)協定,但卻沒有說阻止非法用戶截取(察看)信息。
標準中循環定義可用性爲可用的。它沒有區分審計和評審控制而錯誤的定義了“審計”一次。在企業中,審計是指批准或驗證某商業系統。我們應該保留這個詞來指專業審計師的行爲;而評審是信息安全專家或信息擁有者的行爲。
標準中的另一個問題是有關網絡存取控制的部分沒有提到密碼技術。標準中簡單討論了密碼技術,但只在有關開發和維護系統應用部分,作爲維護高度敏感的數據的一部分。另外,它混淆了知道信息和佔有信息的概念。
總而言之,準則在某些方面可能不全面,但是它仍是目前可以用來達到一定預防標準的最好的指導標準。
標準的主要內容
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啓動、實施或維護安全的人員使用。該標準爲開發組織的安全標準和有效的安全管理做法提供公共基礎,併爲組織之間的交往提供信任。
標準指出“象其他重要業務資產一樣,信息也是一種資產”。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。
信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制,以確保滿足該組織的特定安全目標。
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂後的標準作爲ISO 27000標準族的第一部分——ISO/IEC 27001,新標準去掉9點控制措施,新增17點控制措施,並重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;並修改了部分控制措施措辭。修改後的標準包括11個章節:
總而言之,準則在某些方面可能不全面,但是它仍是目前可以用來達到一定預防標準的最好的指導標準。
標準的主要內容
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啓動、實施或維護安全的人員使用。該標準爲開發組織的安全標準和有效的安全管理做法提供公共基礎,併爲組織之間的交往提供信任。
標準指出“象其他重要業務資產一樣,信息也是一種資產”。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。
信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制,以確保滿足該組織的特定安全目標。
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂後的標準作爲ISO 27000標準族的第一部分——ISO/IEC 27001,新標準去掉9點控制措施,新增17點控制措施,並重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;並修改了部分控制措施措辭。修改後的標準包括11個章節:
一、安全方針(Security Policy)
二、信息安全組織(Security Organization)
三、 資產管理(Asset Management )
四、人員安全(Personnel Security)
五、物理與環境安全(Physical and Environmental Security)
六、通信與運營管理(Communications and Operations Management)
七、訪問控制(Access Control)
八、系統開發與維護(Systems Development and Maintenance)
九、信息安全事故管理(Infomation Incident Management)
十、業務持續性管理(Business Continuity Management)
十一、法律符合性(Compliance)
ISO27001:2005是根據 ISO17799:2005制定的一個ISMS體系實施規範,並可使用該規範對組織的信息安全管理體系進行審覈與認證。通過使用該規範能使組織建立信息安全管理體系,包括以下幾個步驟:
- 定義信息安全方針 ==> 信息安全方針文檔
- 定義ISMS範圍 ==> ISMS範圍文檔
- 資產識別 ==> 資產清單
- 風險評估 ==> 風險評估文檔
- 選擇控制目標和控制措施 ==> 控制規劃
- 體系運行 ==> 運行計劃和運行記錄
- 體系審覈 ==> 審核計劃與審覈記錄
- 管理評審 ==> 評審計劃與評審記錄
- 體系認證 ==> 認證申請及認證證書
根據ISO17799確定的內容,通過ISO 27001來實施和認證ISMS,並不就一定能保證組織能完全擺脫信息安全遭破壞,但實施該標準使信息安全被破壞的可能性降低,因此降低投資和信息安全事故發生後的被破壞的程度。
建立ISMS體系優點
保證信息安全不是僅有一個防火牆,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。而引入信息安全管理體系就可以協調各個方面信息管理,從而使管理更爲有效。
信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準,類似於質量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當於通過ISO9000的質量認證一般,表示您的組織信息安全管理已建立了一套科學有效的管理體系作爲保障。
通過進行ISO27001信息安全管理體系認證,可以增進組織間電子電子商務往來的信用度,能夠建立起網站和貿易伙伴之間的互相信任,隨着組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,併爲廣大用戶和服務提供商提供一個基礎的設備管理。同時,把組織的干擾因素降到最小,創造更大收益。
組織按照ISO27001標準建立信息安全管理體系,會有一定的投入,但是若能通過認證機關的審覈,獲得認證,將會獲得有價值的回報。引入 ISO27001標準會給組織帶來以下好處:
信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準,類似於質量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當於通過ISO9000的質量認證一般,表示您的組織信息安全管理已建立了一套科學有效的管理體系作爲保障。
通過進行ISO27001信息安全管理體系認證,可以增進組織間電子電子商務往來的信用度,能夠建立起網站和貿易伙伴之間的互相信任,隨着組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,併爲廣大用戶和服務提供商提供一個基礎的設備管理。同時,把組織的干擾因素降到最小,創造更大收益。
組織按照ISO27001標準建立信息安全管理體系,會有一定的投入,但是若能通過認證機關的審覈,獲得認證,將會獲得有價值的回報。引入 ISO27001標準會給組織帶來以下好處:
企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位。
定期的監督審覈將確保組織的信息系統不斷地被監督和改善,並以此作爲增強信息安全性的依據。
信任、信用及信心:使客戶及利益相關方感受到組織對信息安全的承諾。
60%的組織在過去的兩年內信息及信息系統遭到過破壞,建立信息安全管理體系能降低這種風險,通過第三方的認證能增強投資者及其他利益相關方的投資信心。
通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。
通過認證能保證和證明組織所有的部門對信息安全的承諾。
通過認證可改善全體的業績、消除不信任感和拓展業務。
獲得國際認可的機構的認證證書,可得到國際上的承認。
組織實施ISO27001的程序與模式
ISO27001中詳細介紹了實施信息安全管理的方法和程序,用戶可以參照這個完整的標準制定出自己的安全管理計劃和實施步驟。ISO27001可以作 爲大型、中型及小型組織的確定在大多數情況下所需的控制範圍的參考基準。修訂後的ISO27001充分考慮了信息處理技術尤其是在網絡和通信領域應用的近 期發展,同時還強調了與業務相關的信息安全及信息安全的責任,擴展了新的控制。例如新版本包括關於電子商務、遠程工作和外購等領域的控制。
組織引入信息安全管理標準的關鍵在於組織的重視程度和制度落實情況。組織在實施過程中一定要注意,ISO27001裏描述的所有控制方式不可能適合組織 中每一種情況和組織中的每個潛在用戶。因此,需要根據功能要求和組織本身的實際情況進一步開發適合組織自身需要的控制目標與控制措施,就像依據 ISO9000標準開發質量手冊和程序文件一樣。
信息安全管理體系可以定義爲整個組織或組織的一部分,包括處理、存貯和傳輸數據所用到的相應的資產、系統、應用程序、服務、網絡和技術等。信息安全管理體 系是整個管理體系的一部分,建立在業務風險的方法上,以開發、實施、完成、評審和維護信息安全。在ISO27001中信息安全管理體系可能包括:
ISO27001中詳細介紹了實施信息安全管理的方法和程序,用戶可以參照這個完整的標準制定出自己的安全管理計劃和實施步驟。ISO27001可以作 爲大型、中型及小型組織的確定在大多數情況下所需的控制範圍的參考基準。修訂後的ISO27001充分考慮了信息處理技術尤其是在網絡和通信領域應用的近 期發展,同時還強調了與業務相關的信息安全及信息安全的責任,擴展了新的控制。例如新版本包括關於電子商務、遠程工作和外購等領域的控制。
組織引入信息安全管理標準的關鍵在於組織的重視程度和制度落實情況。組織在實施過程中一定要注意,ISO27001裏描述的所有控制方式不可能適合組織 中每一種情況和組織中的每個潛在用戶。因此,需要根據功能要求和組織本身的實際情況進一步開發適合組織自身需要的控制目標與控制措施,就像依據 ISO9000標準開發質量手冊和程序文件一樣。
信息安全管理體系可以定義爲整個組織或組織的一部分,包括處理、存貯和傳輸數據所用到的相應的資產、系統、應用程序、服務、網絡和技術等。信息安全管理體 系是整個管理體系的一部分,建立在業務風險的方法上,以開發、實施、完成、評審和維護信息安全。在ISO27001中信息安全管理體系可能包括:
- 組織的整個信息系統;
- 信息系統的某些部分;
- 一個特定的信息系統;
ISMS選擇上面哪一種範圍模式取決於組織的實際需要,一個組織可能需要爲其企業的不同部分、不同方面定義不同的ISMS。例如可以爲公司與貿易伙伴的特 定的貿易關係定義一個信息安全管理系統。ISO/IEC17799強調管理體系的有效性、經濟性、全面性、普遍性和開放性,目的是爲希望達到一定管理效果 的組織提供一種高質量、高實用性的參照。各單位以此爲參照建立自己的信息安全管理體系,可以在別人經驗的基礎上根據自己的實際情況選擇自己引入 ISO27001的模式,以達到對信息進行良好管理的目的。
組織在實施ISO27001時,可以根據組織的需求和實際情況,採用以下幾種模式:
組織按照ISO27001標準的要求,自我實施建立組織的安全管理體系,以達到保證組織信息安全的目的。
組織按照 ISO27001標準的要求,自我實施建立組織的安全管理體系,以達到保證組織信息安全的目的,並且通過ISO27001體系認證。
組織通過安全 諮詢顧問,來實施建立組織的安全管理體系,以達到保證組織信息安全的目的。
組織通過安全諮詢顧問,來實施建立組織的安全管理體系,以達到保證組織 信息安全的目的,並且通過ISO27001體系認證。
文章來源網絡,上述內容本人進行簡單整理