信息安全管理體系簡介0001

1、信息安全管理體系簡介一、ISO 27001的產(chǎn)生背景和發(fā)展歷程ISO 27001源于英國標準BS7799的第二部分，即BS7799-2信息安全管理體 系規(guī)范。英國標準BS7799是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。BS7799標準于1993年由英國貿易工業(yè)部立項， 于1995年英國首次出版 BS7799-1 : 1995信息安全管理實施細則，它提供了一套綜合的、由信息安全最佳慣例組成 的實施規(guī)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準，并且 適用于大、中、小組織。1998年英國公布標準的第二部分信息安全管理體系規(guī)范，它規(guī)定信息安全 管理體系要求與信

2、息安全控制要求，它是一個組織的全面或部分信息安全管理體系 評估的基礎，它可以作為一個正式認證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過修訂于 1999年重新予以發(fā)布， 1999版考慮了信息處理技術，尤其是在網(wǎng)絡和通信領 域應用的近期發(fā)展，同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月， BS7799-1： 1999信息安全管理實施細則通過了國際標準化 組織ISO的認可，正式成為國際標準-ISO/IEC 17799 : 2000信息技術一信息 安全管理實施細則。 2005年6月， ISO 對 ISO/IEC 17799進行了改版，新版標準 為 ISO/IEC 177

3、99 : 2005信息技術安全技術信息安全管理實施細則。2002年，BSI對BS7799-2： 2000信息安全管理體系規(guī)范進行了改版，發(fā)布了 BS7799-2 : 2002信息安全管理體系規(guī)范。2005年10月，BS7799-2： 2002通過了國際標準化組織ISO的認可，正式成為國際標準 ISO/IEC 27001： 2005信息技術安全技術信息安全管理體系要求 。ISO 27001 發(fā)展歷程簡要歸納如下：n1993 年， BS 7799標準由英國貿易工業(yè)部立項。n1995 年， BS7799-1 信息安全管理實施細則首次出版，標準提供了一套綜合的、由信息安全最佳慣例組成的實施細則，其目的

4、是作為確定 各類信息系統(tǒng)通用控制范圍的唯一參考基準，并且適用于大、中、小型組織。n1998 年，英國公布 BS7799-2 信息安全管理體系規(guī)范 ，本標準規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織信息安全管 理體系評估的基礎，可以作為認證的依據(jù)。1999 年，在 BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指導下對BS 7799這兩部分進行了修訂和擴展，取代了BS 7799-1:1995禾口 BS 7799-2:1998。BS 7799:1999

5、 涵蓋了以前版本的所有內容，并在原有的基礎上擴展了新的控制，新 版本考慮了信息處理技術，尤其是在網(wǎng)絡和通信領域應用的最新發(fā)展，例如電子商 務、移動計算、遠程工作等領域的控制。n2000 年 12 月， BS 7799-1:1999 信息安全管理實施細則通過了國際標準化組織ISO的認可，正式成為國際標準ISO/IEC 17799:2000信 息技術信息安全管理實施細則。n2002 年，為了與其他管理標準協(xié)調一致，例如 ISO9001:2000和ISO 14001:1996，以及引入并應用 PDCA過程模式，以建立、實施組織 的信息安全管理體系，并持續(xù)改進有效性， BSI 對 BS 7799-2:

6、1999 進行了修訂，于 2002 年 9 月 5 日發(fā)布 BS 7799-2:2002 。n2005 年 6 月，ISO對 ISO/IEC 17799:2000 進行了修訂，發(fā)布為 ISO/IEC 17799 ：2005信息技術安全技術信息安全管理實施細則。n2005 年 10 月， BS 7799-2:2002 通過了國際標準化組織 ISO的認可，正式成為國際標準 ISO/IEC 27001:2005 信息技術安全技術信息安 全管理體系要求。ISO27001 是什么？ISO27001是有關信息安全管理的國際標準。最初源于英國標準BS7799,經(jīng)過十 年的不斷改版，終于在2005年被國際標準

7、化組織(ISO)轉化為正式的國際標準， 于 2005年 10月 15日發(fā)布為 ISO/IEC 27001:2005 。該標準可用于組織的信息安全 管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估 的風險管理理念，全面系統(tǒng)地持續(xù)改進組織的安全管理。其正式名稱為：ISO/IEC27001:2005 信息技術 -安全技術 -信息安全管理體系 -要求ISO 27000 系列標準介紹ISO 已為信息安全管理體系標準預留了 ISO/IEC 27000系列編號，類似于質 量管理體系的IS9000系列和環(huán)境管理體系的ISO14000系列標準。規(guī)劃的ISO27000系列包含下列標準I

8、SO 27000 原理與術語 Principlesand vocabularyISO 27001信息安全管理體系要求ISMS Requirements ( 以BS 7799-2 為基礎 ） ISO 27002 信息技術安全技術信息安全管理實 踐規(guī)范 （ISO/IEC 17799:2005） ISO 27003 信息安全管理體系風險 管理 ISMS Risk management ISO 27004 信息安全管理體系指標與 測量 ISMS Metrics and measurement ISO 27005 信息安全管理 體系實施指南 ISMS Implementation guidelines其

9、中IS027001: 2005 的最終標準草案（FDIS）已經(jīng)在2005年7月發(fā)布，預計在 2005 年底或 2006 年初作為正式國際標準發(fā)布。ISO27001是ISO27000系列的主標準，類似于ISO9000系列中的ISO9001,各 類組織可以按照 ISO27001 的要求建立自己的信息安全管理體系 （ISMS） ，并通過認 證。目前的有效版本是 BS7799-2： 2002。當ISO27001正式發(fā)布后，BS7799-2： 2002 將被撤銷。注：上述標準以ISO發(fā)布的為準。二、為什么需要信息安全信息及信息安全信息像其他重要的商務資產(chǎn)一樣，也是一種資產(chǎn)，對一個組織而言具有價值，因而

10、需要被妥善保護。信息安全使信息避免一系列威脅，保障了組織商務的連續(xù)性，最 大限度地減小組織的商務損失，順利獲取投資和商務回報。信息可以以多種形式存 在。它可以是打印或寫在紙上（如：書面的財務報表等）；電子形式存貯（如: 一個組織ERP系統(tǒng)的備份磁帶）；通過郵件或用電子手段傳輸；顯示在膠片上；表達在會 話中。不論信息采用什么方式或采取什么手段共享和存貯，因為它有價值，應該得 到妥善的保護。信息安全主要體現(xiàn)在以下三個方面：一是保密性。 保密性是指確保信息資料，特別是重要的信息資料，不流失，不 被非本部門人員非法盜用。 比如銀行的儲戶信息， 醫(yī)院的病人就醫(yī)資料， 政府機關、 安全部門的機密文件，企業(yè)

11、的客戶資料、商務信息、專利、專有技術資料等等，應 該給誰看， 不應該給誰看， 什么級別 / 部門的人員可以看什么密別的信息資料， 如何 儲存保管，都應制定具體的措施、規(guī)范，以防止因信息流失而造成不良影響和重大 經(jīng)濟損失。二是完整性。 所謂信息資料的完整性，是指信息資料不丟失、不少缺。 比如采取一定的措施防止存貯在電腦中的磁盤文件不因操作不當或病毒的侵襲而導 致文件的殘缺或丟失。再如防止存貯的打印文件因霉變、蟲蛀而殘缺、損壞，防止 水災、火災、 ?而毀損文件和資料等。三是可用性。 可用性是指當需要某一信息資料時，可馬上拿得到。比如采取一 定的措施，防止因某一資料員不在場或其它例外情況下，因為拿不

12、到所需的資料而 導致停工或錯失商機等。ISO 27001 標準把信息資料看作是公司的資產(chǎn)，其對公司的生存與發(fā)展起著關 鍵作用，尤其是在知識經(jīng)濟和電子信息時代，確保信息安全更是非常有必要的。英 國曾做過一項統(tǒng)計， 80%的信息資料的損失是與人為因素有關的。 所以防止人為因素 造成的信息風險被作為信息安全的主要控制對象。ISO 27001 信息安全管理體系一個重要的方面是對信息風險的分析與管理。信 息風險涉及可能造成信息損失的方方面面。比如電腦病毒有導致信息資料丟失或損 壞的危險，可規(guī)定定期進行電腦病毒的檢查；外來人員進入本公司，有導致信息資 料失竊的危險，可規(guī)定采用門口設密碼、電子卡等方式進入公

13、司；更新電腦軟件有 導致信息資料無法讀取的風險，可規(guī)定在進行電腦軟件的更新時對電腦軟件的兼容 性進行評估；聘請外公司人員為本公司工作，本公司信息資料有流失的危險，在這 種情況下須與外公司人員簽訂保密協(xié)議；在審核磁盤資料時，有可能導致磁盤文件 被更改，可設置程序保證審核人員使用只可讀不可改的文件或備份文件；以及防止 內部人員和工業(yè) ?的竊取， 拷貝的軟盤與電腦分別存放于不同的房間， 作廢的文件 資料監(jiān)視銷毀等。信息安全是通過執(zhí)行一套適當?shù)目刂苼磉_到的?？梢允欠结?、慣例、程序、組 織結構和軟件功能來實現(xiàn)，這些控制方式需要確定，才能保障組織特定的安全目標 的實現(xiàn)。信息安全的重要性信息及其支持過程的系

14、統(tǒng)和網(wǎng)絡都是組織的重要資產(chǎn)。 信息的機密性、 完整 性和可用性對保持一個組織的競爭優(yōu)勢、資金流動、效益、法律符合性和商務形象 都是至關重要的。任何組織及其信息系統(tǒng)（如一個組織的ERP系統(tǒng)）和網(wǎng)絡都可能面臨著包括 計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大范圍的安全威脅。隨著計 算機的日益發(fā)展和普及， 計算機病毒、 計算機?、服務器的非法入侵破壞已變得日 益普遍和錯綜復雜。目前一些組織，特別是一些較大型公司的業(yè)務已經(jīng)完全依賴信息系統(tǒng)進行生 產(chǎn)業(yè)務管理，這意味著組織更易受到安全威脅的破壞。組織內網(wǎng)絡的互連及信息資 源的共享增大了實現(xiàn)訪問控制的難度。有些組織的信息系統(tǒng)盡管在設計時可能已考慮了

15、安全， 但僅僅依靠技術手段實現(xiàn)安全仍然是有限的，還應當通過管理和程序來支持建立信息安全管理體系（ISMS對任何組織都具有重要意義任何組織，不論它在信息技術方面如何努力以及采納如何新的信息安全技術，實際 上在信息安全管理方面都還存在漏洞，例如：1. 缺少信息安全管理論壇，安全導向不明確，管理支持不明顯；2. 缺少跨部門的信息安全協(xié)調機制；3. 保護特定資產(chǎn)以及完成特定安全過程的職責還不明確；4. 雇員信息安全意識薄弱， 缺少防范意識， 外來人員很容易直接進入生產(chǎn)和工作場 所；5. 組織信息系統(tǒng)管理制度不夠健全；6. 組織信息系統(tǒng)主機房安全存在隱患， 如：防火設施存在問題， 與危險品倉庫同處 一幢

16、辦公樓等；7. 組織信息系統(tǒng)備份設備仍有欠缺；8. 組織信息系統(tǒng)安全防范技術投入欠缺；9. 軟件知識產(chǎn)權保護欠缺；10. 計算機房、辦公場所等物理防范措施欠缺；11. 檔案、記錄等缺少可靠貯存場所；12. 缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計劃；.等等通過以上信息管理方面的漏洞以及經(jīng)常見諸報端的種種信息安全事件表明， 任何組織都急需建立信息安全管理體系，以保障其技術和商業(yè)機密，保障信息的完 整性和可用性，最終保持其生產(chǎn)、經(jīng)營活動的連續(xù)性。 建立信息安全管理體系的意義 組織可以參照信息安全管理模型，按照先進的信息安全管理標準 ISO 27001 標準建立組織完整的信息安全管理體系并實

17、施與保持，達到動態(tài)的、系統(tǒng)的、 全員參與、制度化的、以預防為主的信息安全管理方式，用最低的成本，使信息風 險的發(fā)生概率和結果降低到可接受水平，并采取措施保證業(yè)務不會因風險的發(fā)生而 中斷。組織建立、實施與保持信息安全管理體系將會：* 強化員工的信息安全意識，規(guī)范組織信息安全行為；* 對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；* 在信息系統(tǒng)受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；* 使組織的生意伙伴和客戶對組織充滿信心；三、信息安全管理體系建立和運行步驟ISO 27001 標準要求組織建立并保持一個文件化的信息安全管理體系，其中 應闡述需要保護的資產(chǎn)、組織風險管理的渠道、控制

18、目標及控制方式和需要的保證 程度。不同的組織在建立與完善信息安全管理體系時， 可根據(jù)自己的特點和具體情況， 采取不同的步驟和方法。但總體來說，建立信息安全管理體系一般要經(jīng)過下列四個 基本步驟：* 信息安全管理體系的策劃與準備；* 信息安全管理體系文件的編制；* 信息安全管理體系運行；* 信息安全管理體系審核與評審。如果考慮認證過程其詳細的步驟如下：1. 現(xiàn)場診斷2. 確定信息安全管理體系的方針、目標；3. 明確信息安全管理體系的范圍， 根據(jù)組織的特性、 地理位置、 資產(chǎn)和技術來確定界限；4. 對管理層進行信息安全管理體系基本知識培訓；5. 信息安全體系內部審核員培訓；6. 建立信息安全管理組織機構；7. 實施信息資產(chǎn)評估和分類， 識別資產(chǎn)所受到的威脅、 薄弱環(huán)節(jié)和對組織的影響，并確定風險程度；8. 根據(jù)組織的信息安全方針和需要的保證程度通過風險評估來確定應實施管理的風險，確定風險控制手段；9. 制定信息安全管理手冊和各類必要的控制程序 ；10. 制定適用性聲明；11. 制定商業(yè)可持續(xù)性發(fā)展計劃；12. 審核文件、發(fā)布實施13. 體系運行，有效的實施選定的控制目標和控制方式；14.