ISOIEC27000系列標準介紹

ISOIEC系列標準介紹病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡欺詐、重要信息資料丟失以及利用計算機網(wǎng)絡實施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經(jīng)常在我們身邊程度不同的發(fā)生過。因此，保護信息資產(chǎn)，解決信息安人們在解決信息安全問題以滿足信息安全要求的過程中，經(jīng)歷了由“重當信息安全問題開始出現(xiàn)的初期，人們解決信息安全問題的主要途徑就僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進、足夠多的信息安全成本和效益的平衡、信息安全目標、業(yè)務連續(xù)性、信息安全相關法規(guī)符合性等，這些問題與信息安全的要求都密切相關，而僅僅MS)先后發(fā)布了一系列的國際標準，下面列出其中的一部分：⒈ISO/IEC27001(Informationsecuritymanagementsystem-fundamentalsandvocabulary信息安全管理體系-基礎和術(shù)語：⒉ISO/IEC27001:2005:Informationtechnology-security⒊ISO/IEC27001:2005:Informationtechnology-Securitytechniques-CodeofpracticeforInformationsecuritymanagement(信息安全1/82/8ISO/IEC27002:2005是一個通用的信息安全控制措施集，這些控制措施信息安全問題的最佳實踐。標準從什么是信息安全、為什么需要信息安全、如何建立安全要求和選主要介紹了信息安全的基礎知識，包括什么是信息安全、為什么需要信(二)標準的通用要素部分(1~3章)。。(四)控制措施部分(5~15章)。3/8說它具有專用性，是因為作為信息安全管理體系標準族(ISMS標準)中的一員，目前它與ISMS的要求標準ISO/IEC27001:2005是組合使用的，ISO/IEC27001:2005中的規(guī)性附錄A就是ISO/IEC27002:2005的控制目標和評估的結(jié)果，選擇控制目標和控制措施，制定和實施風險處理計劃，執(zhí)行部ISO/IEC27002:2005的通用性，體現(xiàn)在標準中提出的控制措施是從信息C的組織并不一定全部適用，也不一定就是信息安全控制措施的全部。任何組ISO/IEC27001:2005標準設計用于認證目的，它可幫助組織建立和維護信息資產(chǎn)。信息資產(chǎn)是被認為對組織具有“價4/8值”的，以任何方式存儲的信息。通常，系統(tǒng)(信息系統(tǒng)和數(shù)據(jù)庫等)也可作為一類信安全風險組織的信息資產(chǎn)可面臨許多威脅，包括人員(部人員和外部人員)誤操作(不管有意的，還是無意的)、盜竊、惡意代碼和自然災害等。另一方面，組織本身存在某些可被威脅者利用或進行破壞的薄弱環(huán)節(jié)，包括員工缺乏安全意識、基礎設施中的弱點和控制中的弱點等。這就導致組織的密級信息資產(chǎn)和應或破壞，而使其造成損失，包括經(jīng)濟損失、公司形象損失和顧客信心損失等。ISO/IEC27001:2005標準要求組織采用合適的風險評估方法，確定每一4、識別安全風險，包括識別資產(chǎn)所面臨的威脅、組織的脆弱點和造成的影5、對照組織的風險接受準則，評價和確定已估算的風險的嚴重性、可否接施的原則是即能使本組織的資產(chǎn)受到與其價值和等級相符的保護，將其所受的風險降低到可接受的水準，又能使所需要的費用在該組織的預算圍之，使該組織能夠保持良好的競爭力和成功運作的狀態(tài)。5/8職責、實踐、程序、過程和資源”(見ISO/IEC27001：20053．7)。這些就T6)識別和評估風險處理的可選措施，形成≤風險評估報告≥文件；8)管理者正式批準所有殘余風險；又要符合本組織的信息安全的需要。對一般員工來說，在其實際工作中，可1)方針類文件(Policies)包括：b)信息安全方針(informationsecuritypolicy)。2)程序類文件(Procedure)3)記錄(Records)的結(jié)果(或輸出)。記錄通常是表格形式。4)適用性聲明文件(StatementofApplicability，簡稱SOA)ISO/IEC27001：2005標準的附錄A提供許多控制目標和控制措施。6/87/8實施ISMS的組織只要有正當理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要“必須的ISMS文件”是指ISO/IEC27001：2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強制性文件(mandatorydocume)n。t4.3.1總則”要求ISMS文件必須包括9方面的容：1)ISMS方針I(yè)SMS方針是組織的頂級文件規(guī)，定該組織如何管理和保護其信息資產(chǎn)的原則和方向，以及各方面人員的職責等。2)ISMS的圍3)支持ISMS的程序和控制措施；4)風險評估方法的描述；5)風險評估報告；6)風險處理計劃；7)控制措施有效性的測量程序；8)本標準所需要的記錄；9)適用性聲明。3、可選的文件除了上述必須的文件外，組織可以跟據(jù)其實際的業(yè)務活動和風險的件就是所謂的可選的文件(Discretionarydocuments)。這類文件的容可隨組織的不同而有所不同，主要取決于：1)組織的業(yè)務活動及風險；2)安全要求的嚴格程度；3)管理的體系的圍和復雜程度。如果風險評估的結(jié)果，發(fā)現(xiàn)有不可接受的風險，那么就應識別處理這些8/8要求，例如，在編寫ISMS方針時，要參考ISO/IEC27001“4.2.1為了易于操作，編寫者最好把本組織當前的最好實踐寫下來，補充標a)同一個文件中，上下文有不一致或矛盾的地方b)同一個體系的不同文件之間不能有矛盾的地方c)不同體系的文件之間不能有不一致的地方所謂認證，即由可以充分信任的第三方認證機構(gòu)依據(jù)特定的審核準則，按照規(guī)定的程序和方法對受審方實施審核，以證實某一經(jīng)鑒定的產(chǎn)品或服務符合特定