ISO27001 標(biāo)準(zhǔn)的起源和發(fā)展
信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出����,并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)�����。BS7799分為兩個(gè)部分:
BS7799-1���,信息安全管理實(shí)施規(guī)則
BS7799-2����,信息安全管理體系規(guī)范���。
第一部分對(duì)信息安全管理給出建議,供負(fù)責(zé)在其組織啟動(dòng)�����、實(shí)施或維護(hù)安全的人員使用;第二部分說(shuō)明了建立�����、實(shí)施和文件化信息安全管理體系(ISMS)的要求�����,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求����。
2000年,國(guó)際標(biāo)準(zhǔn)化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過(guò)了ISO 17799標(biāo)準(zhǔn)����。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對(duì)ISO 17799再次修訂�����,BS7799-2也于2005年被采用為ISO27001:2005�����。
標(biāo)準(zhǔn)的主要內(nèi)容
ISO/IEC17799-2000(BS7799-1)對(duì)信息安全管理給出建議��,供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用�。該標(biāo)準(zhǔn)為開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ),并為組織之間的交往提供信任�。
標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)”�。它對(duì)一個(gè)組織具有價(jià)值,因此需要加以合適地保護(hù)�����。信息安全防止信息受到的各種威脅�����,以確保業(yè)務(wù)連續(xù)性����,使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小,使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大���。
信息安全是通過(guò)實(shí)現(xiàn)一組合適控制獲得的�??刂瓶梢允遣呗浴T例��、規(guī)程��、組織結(jié)構(gòu)和軟件功能�。需要建立這些控制,以確保滿足該組織的特定安全目標(biāo)����。
ISO/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用���,或者增加其他附加控制��。國(guó)際標(biāo)準(zhǔn)化組織(ISO)在2005年對(duì)ISO 17799進(jìn)行了修訂�����,修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC 27001�,新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施��,新增17點(diǎn)控制措施�����,并重組部分控制措施而新增一章�,重組部分控制措施�����,關(guān)聯(lián)性邏輯性更好���,更適合應(yīng)用;并修改了部分控制措施措辭�����。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié):
1)安全策略
2)信息安全的組織
3)資產(chǎn)管理
4)人力資源安全
5)物理和環(huán)境安全
6)通信和操作管理
7)訪問(wèn)控制
8)系統(tǒng)系統(tǒng)采集�����、開(kāi)發(fā)和維護(hù)
9)信息安全事故管理
10)業(yè)務(wù)連續(xù)性管理
11)符合性
ISO27001的效益
1�、通過(guò)定義、評(píng)估和控制風(fēng)險(xiǎn)�����,確保經(jīng)營(yíng)的持續(xù)性和能力
2�、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力���,提升企業(yè)形象
4�、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5、建立安全工具使用方針
6����、謹(jǐn)防技術(shù)訣竅的丟失
7�、在組織內(nèi)部增強(qiáng)安全意識(shí)
8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)
認(rèn)識(shí)ISO27001國(guó)際標(biāo)準(zhǔn)
ISO27001(BS7799/ISO17799)國(guó)際標(biāo)準(zhǔn)究竟是什么����?它如何幫助一個(gè)組織更加有效地管理信息安全?BS7799/ISO27001和ISO9001之間有什么聯(lián)系����?初次涉獵信息安全管理領(lǐng)域應(yīng)該掌握哪些內(nèi)容,以便組織發(fā)起信息安全管理項(xiàng)目���?如何獲得BS7799國(guó)際標(biāo)準(zhǔn)認(rèn)證�?
IT治理和信息安全
近年來(lái)企業(yè)高層對(duì)內(nèi)部治理需求越來(lái)越實(shí)際而具體�。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面,企業(yè)越來(lái)越依賴IT系統(tǒng)來(lái)處理和儲(chǔ)存各種信息�,以保證業(yè)務(wù)正常運(yùn)營(yíng),由此IT系統(tǒng)在企業(yè)治理中的作z用越來(lái)越明晰�,IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可,成為董事會(huì)和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息安全保護(hù)——包括確保信息的可用性����、機(jī)密性和完整性——這是其他IT治理環(huán)節(jié)實(shí)施的前提。
與此同時(shí)����,和信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)已經(jīng)出臺(tái),成為標(biāo)準(zhǔn)IT治理框架中的一大基石����。
1、信息安全和法律法規(guī)
業(yè)內(nèi)人士對(duì)ISO27001認(rèn)證趨之若鶩����,這其中有兩個(gè)關(guān)鍵性的驅(qū)動(dòng)因素:一是日益嚴(yán)峻的信息安全威脅,二是不斷增長(zhǎng)的信息保護(hù)相關(guān)法規(guī)的需求�。
本質(zhì)上說(shuō),信息安全威脅是全球化的�����。一般來(lái)說(shuō)��,它將毫無(wú)差別地輻射到每一個(gè)擁有�、使用電子信息的機(jī)構(gòu)和個(gè)人����。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放���。更嚴(yán)重的問(wèn)題是�,其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全��,包括從外部攻擊行為到內(nèi)部破壞��、偷盜等一系列危險(xiǎn)�����。
過(guò)去的十年內(nèi)����,圍繞信息和數(shù)據(jù)安全問(wèn)題建立起來(lái)的法律法規(guī)體系從無(wú)到有��、不斷壯大�,其中包括專門(mén)針對(duì)個(gè)人數(shù)據(jù)保護(hù)問(wèn)題的,也有針對(duì)企業(yè)財(cái)政�、運(yùn)營(yíng)和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問(wèn)題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)��。目前,建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件��,與此同時(shí)�,針對(duì)該管理體系的認(rèn)證逐漸成為各種組織(包括政府部門(mén))的熱門(mén)需求,這份認(rèn)證可以為他們帶來(lái)重要的潛在商業(yè)合同���。
2�����、信息安全和技術(shù)
絕大多數(shù)人認(rèn)為信息安全是一個(gè)純粹的有關(guān)技術(shù)的話題���,只有那些技術(shù)人員,尤其是計(jì)算機(jī)安全技術(shù)人員�,才能夠處理任何保障數(shù)據(jù)和計(jì)算機(jī)安全的相關(guān)事宜。這固然有一定道理����。不過(guò),實(shí)際上���,恰恰是計(jì)算機(jī)用戶本身需要考慮這樣的問(wèn)題:避免哪些威脅���?在信息安全和信息通暢中如何平衡取舍���?的確如此,一旦用戶給出答案�,計(jì)算機(jī)安全專家就可以設(shè)計(jì)并執(zhí)行一個(gè)技術(shù)方案以達(dá)成用戶需求。
在組織內(nèi)部��,管理層應(yīng)當(dāng)負(fù)責(zé)決策�,而不是IT部門(mén)。一個(gè)規(guī)范的信息安全管理體系必須明確指出��,組織機(jī)構(gòu)董事會(huì)和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策�����,同時(shí)��,這個(gè)體系也應(yīng)當(dāng)能夠反映這種決策�����,并且在運(yùn)行過(guò)程中能夠提供證據(jù)證明其有效性����。
所以機(jī)構(gòu)組織內(nèi)部的信息安全管理體系的建立項(xiàng)目不必由一個(gè)技術(shù)專家來(lái)領(lǐng)導(dǎo)����。事實(shí)上�,技術(shù)專家在很多情況下起到相反的作用�,可能會(huì)阻礙項(xiàng)目進(jìn)程。因此��,這個(gè)項(xiàng)目應(yīng)該由質(zhì)量管理經(jīng)理���、總經(jīng)理或者其他負(fù)責(zé)機(jī)構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持��。
3�����、信息安全標(biāo)準(zhǔn)
1995年���,英國(guó)標(biāo)準(zhǔn)機(jī)構(gòu)(BSI)發(fā)布BS7799標(biāo)準(zhǔn),即ISMS(信息安全管理體系)���,旨在規(guī)范��、引導(dǎo)信息安全管理體系的發(fā)展過(guò)程和實(shí)施情況��。BS7799標(biāo)準(zhǔn)被外界認(rèn)為是一個(gè)不偏向任何技術(shù)�����、任何企業(yè)和產(chǎn)品供應(yīng)商的價(jià)值中立的管理體系�。只要實(shí)施得當(dāng),BS7799標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實(shí)施方案的有效性�。
從企業(yè)外部來(lái)看,BS7799關(guān)注信息的可用性����、機(jī)密性和完整性,至今這仍然是這項(xiàng)標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)�����。BS7799集中關(guān)注企業(yè)組織層面上的風(fēng)險(xiǎn)規(guī)避(一定程度上主要是商業(yè)和金融風(fēng)險(xiǎn))���,而不包括避免每一個(gè)潛在風(fēng)險(xiǎn)的保護(hù)措施——盡管它們至關(guān)重要����。
BS7799最初僅有一份文檔���,且具有明顯的實(shí)踐指南性質(zhì)。也就是說(shuō)�����,它為組織提供信息安全指引,但沒(méi)有形成規(guī)范����,不能為外部第三方審計(jì)和認(rèn)證等提供依據(jù)。隨著越來(lái)越多的企業(yè)開(kāi)始認(rèn)識(shí)到來(lái)自信息安全的威脅波及范圍越來(lái)越廣�����,影響程度越來(lái)越大��,并且關(guān)于數(shù)據(jù)和隱私權(quán)保護(hù)的法律法規(guī)不斷出臺(tái)�����,信息安全標(biāo)準(zhǔn)認(rèn)證的需求開(kāi)始不斷增加����。
這種需求的增加最終促成了該項(xiàng)標(biāo)準(zhǔn)第二部分的出臺(tái),即標(biāo)準(zhǔn)規(guī)范����。實(shí)踐指南和標(biāo)準(zhǔn)規(guī)范之間的關(guān)系是這樣的:標(biāo)準(zhǔn)規(guī)范是認(rèn)證方案的基礎(chǔ),同時(shí)標(biāo)準(zhǔn)規(guī)范要求實(shí)踐者遵從實(shí)踐指南的指引��。
這個(gè)實(shí)踐指南最近被修訂為ISO/IEC 17799:2005,標(biāo)準(zhǔn)規(guī)范也被修訂為ISO/IEC 27001:2005��,逐步得到國(guó)際認(rèn)同��。
許多國(guó)家也已發(fā)布了自己的相關(guān)標(biāo)準(zhǔn)�,比如AS/NZS7799。這些標(biāo)準(zhǔn)的國(guó)際化版本可以在世界任何國(guó)家得到認(rèn)可����,這促使了本土化標(biāo)準(zhǔn)的消退(除了基于兩個(gè)標(biāo)準(zhǔn)號(hào)碼基礎(chǔ)上的本土化標(biāo)準(zhǔn)以外)。
認(rèn)證與遵從
一個(gè)組織可以僅遵從ISO17799來(lái)建立和發(fā)展ISMS(信息安全管理體系)���,因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的����。然而�,由于ISO17799并非基于認(rèn)證框架,它不具備關(guān)于通過(guò)認(rèn)證所必需的信息安全管理體系的要求����。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求���。在技術(shù)層面來(lái)講����,這就表明一個(gè)正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織,完全符合實(shí)踐指南的要求����,但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是�����,一個(gè)正在同時(shí)運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織�����,可以建立一個(gè)完全符合認(rèn)證具體要求的ISMS���,同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求���,于是,這一組織就可以獲得外界的認(rèn)同���,即獲得認(rèn)證����。
ISO27001認(rèn)證要求與其他管理標(biāo)準(zhǔn)
ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn),比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的��,這一標(biāo)準(zhǔn)中的編號(hào)系統(tǒng)和文件管理需求的設(shè)計(jì)初衷����,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系���。一般來(lái)說(shuō)�����,組織通常會(huì)使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu)����,來(lái)提供ISO27001認(rèn)證服務(wù)��。正是因?yàn)檫@個(gè)緣故�����,在ISMS體系建立的過(guò)程中�,質(zhì)量管理的經(jīng)驗(yàn)舉足輕重���。
但是有一點(diǎn)需要注意���,一個(gè)組織如果沒(méi)有事先擁有并使用任何形式的管理體系�����,并不意味著該組織不能進(jìn)行ISO27001認(rèn)證���。這種情況下,該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮����,選擇一個(gè)合適的管理體系的認(rèn)證機(jī)構(gòu)來(lái)提供認(rèn)證服務(wù)。認(rèn)證機(jī)構(gòu)必須得到一個(gè)國(guó)家鑒定機(jī)構(gòu)的委托授權(quán)�,才能為認(rèn)證組織提供認(rèn)證服務(wù),并發(fā)放認(rèn)證證書(shū)�����。大多數(shù)國(guó)家都有自己的國(guó)家鑒定機(jī)構(gòu)(比如:英國(guó)UKAS)���,任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案����。
