什么是ISO 27001
信息安全 (Information security): 是指信息的保密性 (Confidentiality) �����、完整性 (Integrity) 和可用性 (Availability) 的保持����。
• 保密性:為保障信息僅僅為那些被授權(quán)使用的人獲取�。
信息的保密性是針對(duì)信息被允許訪問( Access )對(duì)象的多少而不同�����,所有人員都可以訪問的信息為公開信息�,需要限制訪問的信息一般為敏感信息或秘密,秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí)���,例如國(guó)家根據(jù)秘密泄露對(duì)國(guó)家經(jīng)濟(jì)��、安全利益產(chǎn)生的影響(后果)不同����,將國(guó)家秘密分為秘密����、機(jī)密和絕密三個(gè)等級(jí),組織可根據(jù)其信息安全的實(shí)際�����,在符合《國(guó)家保密法》的前提下將其信息劃分為不同的密級(jí)�;對(duì)于具體的信息的保密性有時(shí)效性,如秘密到期解密等。
• 完整性:為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性����。
信息完整性一方面是指信息在利用、傳輸�、貯存等過(guò)程中不被篡改、丟失�、缺損等,另一方面是指信息處理的方法的正確性���。不正當(dāng)?shù)牟僮?���,如誤刪除文件,有可能造成重要文件的丟失。
• 可用性:為保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)�。
信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候���,可以立即獲得���。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用,影響正常的商業(yè)運(yùn)作�����,這是信息可用性的破壞���。不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性�、完整性及可用性方面關(guān)注點(diǎn)不同��,如組織的專有技術(shù)��、市場(chǎng)營(yíng)銷計(jì)劃等商業(yè)秘密對(duì)組織來(lái)講保守機(jī)密尤其重要����;而對(duì)于工業(yè)自動(dòng)控制系統(tǒng),控制信息的完整性相對(duì)其保密性重要得多����。
為什么需要信息安全?
信息����、信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性���、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)�、資金流動(dòng)��、效益、法律符合性和商業(yè)形象都是至關(guān)重要的��。然而����,越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜��、蓄意破壞�、火災(zāi)、水災(zāi)等大范圍的安全威脅����,諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵�、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞�,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的���,所以僅依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性�����,所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持���。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃,并注意細(xì)節(jié)�。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應(yīng)商����、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮���,則成本會(huì)更低��、效率會(huì)更高���。
BS7799的信息管理過(guò)程:
①確定信息安全管理方針。
②確定 ISMS( 信息安全管理體系) 的范圍
③進(jìn)行風(fēng)險(xiǎn)分析��。
④選擇控制目標(biāo)并進(jìn)行控制����。
⑤建立業(yè)務(wù)持續(xù)計(jì)劃。
⑥建立并實(shí)施安全管理體系�。
建立信息安全管理體系的作用:
任何組織,不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)�,實(shí)際上在信息安全管理方面都還存在漏洞��,例如:
缺少信息安全管理論壇���,安全導(dǎo)向不明確,管理支持不明顯����;
缺少跨部門的信息安全協(xié)調(diào)機(jī)制;
保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確��;
雇員信息安全意識(shí)薄弱�,缺少防范意識(shí),外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所����;
組織信息系統(tǒng)管理制度不夠健全;
組織信息系統(tǒng)主機(jī)房安全存在隱患���,如:防火設(shè)施存在問題�,與危險(xiǎn)品倉(cāng)庫(kù)同處一幢辦公樓等�����;
組織信息系統(tǒng)備份設(shè)備仍有欠缺��;
組織信息系統(tǒng)安全防范技術(shù)投入欠缺;
軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺�;
計(jì)算機(jī)房、辦公場(chǎng)所等物理防范措施欠缺��;
檔案��、記錄等缺少可靠貯存場(chǎng)所���;
缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃;
……等等����。
其實(shí),組織可以參照信息安全管理模型�,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn) BS7799 標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持,達(dá)到動(dòng)態(tài)的�����、系統(tǒng)的�����、全員參與����、制度化的���、以預(yù)防為主的信息安全管理方式,用最低的成本��,達(dá)到可接受的信息安全水平�����,就可以從根本上保證業(yè)務(wù)的連續(xù)性�。組織建立、實(shí)施與保持信息安全管理體系將會(huì)產(chǎn)生如下作用:
強(qiáng)化員工的信息安全意識(shí)����,規(guī)范組織信息安全行為;
對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)�����,維持競(jìng)爭(zhēng)優(yōu)勢(shì)����;
在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;
使組織的生意伙伴和客戶對(duì)組織充滿信心�����;
如果通過(guò)體系認(rèn)證��,表明體系符合標(biāo)準(zhǔn)�,證明組織有能力保障重要信息,提高組織的知名度與信任度��;
促使管理層堅(jiān)持貫徹信息安全保障體系���。
信息安全管理體系認(rèn)證介紹
1. 背景介紹
信息作為組織的重要資產(chǎn),需要得到妥善保護(hù)����。但隨著信息技術(shù)的高速發(fā)展,特別是Internet的問世及網(wǎng)上交易的啟用����,許多信息安全的問題也紛紛出現(xiàn):系統(tǒng)癱瘓、黑客入侵�����、病毒感染���、網(wǎng)頁(yè)改寫�、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營(yíng)管理����、生存甚至國(guó)家安全都帶來(lái)嚴(yán)重的影響。 安全問題所帶來(lái)的損失遠(yuǎn)大于交易的帳面損失�����,它可分為三類���,包括直接損失��、間接損失和法律損失:
——直接損失:丟失訂單��,減少直接收入���,損失生產(chǎn)率;
——間接損失:恢復(fù)成本�,競(jìng)爭(zhēng)力受損,品牌��、聲譽(yù)受損,負(fù)面的公眾影響����,失去未來(lái)的業(yè)務(wù)機(jī)會(huì),影響股票市值或政治聲譽(yù)��;
——法律損失:法律����、法規(guī)的制裁,帶來(lái)相關(guān)聯(lián)的訴訟或追索等����。
所以,在享用現(xiàn)代信息系統(tǒng)帶來(lái)的快捷��、方便的同時(shí)�,如何充分防范信息的損壞和泄露����,已成為當(dāng)前企業(yè)迫切需要解決的問題。
俗話說(shuō)“三分技術(shù)七分管理”���。目前組織普遍采用現(xiàn)代通信�����、計(jì)算機(jī)��、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)���。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足���,缺乏明確的信息安全方針、完整的信息安全管理制度����、相應(yīng)的管理措施不到位,如系統(tǒng)的運(yùn)行�、維護(hù)、開發(fā)等崗位不清�,職責(zé)不分,存在一人身兼數(shù)職的現(xiàn)象�����。這些都是造成信息安全事件的重要原因�����。缺乏系統(tǒng)的管理思想也是一個(gè)重要的問題。所以�,我們需要一個(gè)系統(tǒng)的、整體規(guī)劃的信息安全管理體系����,從預(yù)防控制的角度出發(fā),保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作����。
目前,在信息安全管理體系方面���,英國(guó)標(biāo)準(zhǔn)BS7799已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)��。BS7799標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)��,于1995年英國(guó)首次出版BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》��,它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則��,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)�,并且適用于大、中���、小組織����。1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分BS 7799-2《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求��,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)�,它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過(guò)修訂于 1999年重新予以發(fā)布���,1999版考慮了信息處理技術(shù)��,尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展����,同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任����。 2000年12月,BS7799-1:1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可���,正式成為國(guó)際標(biāo)準(zhǔn)----- ISO/IEC17799-1:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》���。2002年9月5日�,BS7799-2:2002草案經(jīng)過(guò)廣泛的討論之后���, 終于發(fā)布成為正式標(biāo)準(zhǔn)�����,同時(shí)BS7799-2:1999被廢止��。BS7799標(biāo)準(zhǔn)得到了很多國(guó)家的認(rèn)可��,是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)����。2005年11月,ISO27001:2005出版���,取代了之前的BS 7799-2:2002�,今后�,7799系列標(biāo)準(zhǔn)的編號(hào)將會(huì)發(fā)生一定的改變,更改為ISO27001系列��。在某些行業(yè)如IC和軟件外包����,信息安全管理體系認(rèn)證已成為一些客戶的要求條件之一。
2. 標(biāo)準(zhǔn)特點(diǎn)
——注重體系的完整性�����,是一套科學(xué)的信息安全管理體系
—— 以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)
——強(qiáng)調(diào)對(duì)法律法規(guī)的符合性
—— 廣泛適用于各類組織
——與ISO9000標(biāo)準(zhǔn)有很強(qiáng)的兼容性
3. 認(rèn)證好處
獲得ISMS認(rèn)證您將獲得以下好處:
—— 保護(hù)企業(yè)的知識(shí)產(chǎn)權(quán)�、商標(biāo)、競(jìng)爭(zhēng)優(yōu)勢(shì)
——維護(hù)企業(yè)的聲譽(yù)���、品牌和客戶信任
——減少可能潛在的風(fēng)險(xiǎn)隱患�,減少信息系統(tǒng)故障��、人員流失帶來(lái)的經(jīng)濟(jì)損失
—— 強(qiáng)化員工的信息安全意識(shí)��,規(guī)范組織信息安全行為
——在信息系統(tǒng)受到侵襲時(shí)��,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度
4. 適用范圍
BS7799-2 從1998年頒布后���,在全世界范圍內(nèi)得到廣泛的認(rèn)可����。目前已有40多個(gè)國(guó)家和地區(qū)開展信息安全管理體系的認(rèn)證����。根據(jù)ISO/IEC 17799(BS 7799)國(guó)際使用者協(xié)會(huì)的最新統(tǒng)計(jì)��,到2005年4月��,全球通過(guò)信息安全管理體系BS 7799-2認(rèn)證的組織已經(jīng)超過(guò)1200家����。
信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的���,所以信息安全管理體系認(rèn)證具有普遍的適用性���,不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制�����。從目前的獲得認(rèn)證的企業(yè)情況看�,較多的是涉及電信、保險(xiǎn)��、銀行���、數(shù)據(jù)處理中心�����、IC制造和軟件外包等行業(yè)��。
5. 認(rèn)證基本流程
——組織應(yīng)建立符合BS7799-2標(biāo)準(zhǔn)要求的文件化信息安全管理體系�����,在申請(qǐng)認(rèn)證之前應(yīng)完成內(nèi)部審核和管理評(píng)審����,并保證體系的有效���、充分運(yùn)行三個(gè)月以上����;
——組織應(yīng)向認(rèn)證機(jī)構(gòu)提供信息安全管理體系運(yùn)行的充分信息���,對(duì)于多現(xiàn)場(chǎng)應(yīng)說(shuō)明各現(xiàn)場(chǎng)的認(rèn)證范圍���、地址及人員分布等情況,認(rèn)證機(jī)構(gòu)將以抽樣的方式對(duì)多現(xiàn)場(chǎng)進(jìn)行審核���;
—— 組織如要求���,可向認(rèn)證機(jī)構(gòu)提出預(yù)審核的申請(qǐng)���;
——認(rèn)證分兩個(gè)階段進(jìn)行:第一階段文件審核,文件審核可在組織現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)進(jìn)行����;第二階段現(xiàn)場(chǎng)審核;
——獲得認(rèn)證后每年進(jìn)行一次監(jiān)督��;
——當(dāng)組織的信息安全管理體系出現(xiàn)變化�,或出現(xiàn)影響信息安全管理體系符合性的重大變動(dòng)時(shí),應(yīng)及時(shí)通知認(rèn)證機(jī)構(gòu)��;認(rèn)證機(jī)構(gòu)將視情況進(jìn)行監(jiān)督審核�、換證審核或復(fù)審以保持證書的有效性;
6. 實(shí)施ISMS基本步驟
(1)系統(tǒng)規(guī)劃
系統(tǒng)規(guī)劃主要是明訂信息安全管理的目標(biāo)���、范圍和政策����,并收集目前和公司信息安全相關(guān)的數(shù)據(jù)��、文件。系統(tǒng)規(guī)劃階段應(yīng)該由一個(gè)跨部門的「信息安全委員會(huì)」來(lái)負(fù)責(zé)���,并且擁有最高管理階層的支持�。
(2)風(fēng)險(xiǎn)評(píng)估
ISMS的目標(biāo)是透過(guò)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估確定安全需求��,并對(duì)實(shí)施控制措施的支出與安全事故可能造成的商業(yè)損失進(jìn)行權(quán)衡考慮�����;透過(guò)風(fēng)險(xiǎn)評(píng)估可以了解風(fēng)險(xiǎn)的權(quán)重和等級(jí)��,以供建立安全控制機(jī)制的參考����。風(fēng)險(xiǎn)評(píng)估的過(guò)程包括:
?。Y產(chǎn)清查、分類與評(píng)價(jià)
?����。{與脆弱性分析
?。獙?duì)業(yè)務(wù)需求、法規(guī)需求的評(píng)估
?����。u(píng)估風(fēng)險(xiǎn)等級(jí)
*評(píng)估可接受之風(fēng)險(xiǎn)等級(jí)
?。ㄗh安全控制措施
風(fēng)險(xiǎn)評(píng)估的總結(jié)報(bào)告應(yīng)該呈現(xiàn)給「信息安全委員會(huì)」來(lái)評(píng)估處理風(fēng)險(xiǎn)的策略(移轉(zhuǎn)、避免����、降低或接受),以及決定開始用的工具和辦法��。
(3)風(fēng)險(xiǎn)管理
公司必須就企業(yè)需求和法令規(guī)章決定可接受風(fēng)險(xiǎn)之臨界等級(jí)���,并應(yīng)該依照所決定的風(fēng)險(xiǎn)管理策略規(guī)劃和建立控制機(jī)制����??刂品椒蓞⒖糂S 7799 - 2 的建議。風(fēng)險(xiǎn)管理的重點(diǎn)在于建立一套循環(huán)不斷的Plan-Do-Check-Action 機(jī)制�����,藉由不斷的審核���、重新規(guī)劃��,加強(qiáng)讓公司內(nèi)的安全等級(jí)不斷提升����。
(4)系統(tǒng)頒行和推廣
ISMS 是一套不限于IT技術(shù)的管理系統(tǒng),它就像是ISO9001一樣需要全公司員工身體力行方能奏效�。在實(shí)施的過(guò)程中,需要經(jīng)營(yíng)管理階層的認(rèn)知與全力支持�,以及 全體員工的共識(shí)和配合。教育訓(xùn)練和不斷的實(shí)施活動(dòng)是必要的���,尤其需要定期審核和檢查,以確保系統(tǒng)可以持續(xù)不斷的執(zhí)行�����。
ISO 27001:2005標(biāo)準(zhǔn)
信息安全風(fēng)險(xiǎn)評(píng)估常用方法
定性的風(fēng)險(xiǎn)評(píng)估提供對(duì)“資產(chǎn)——威脅——脆弱點(diǎn)”三位一體的系統(tǒng)的檢測(cè)���。它同時(shí)衡量控制措施在維護(hù)信息安全過(guò)程中的作用���,以及提供信息安全與控制措施的最佳性價(jià)比。風(fēng)險(xiǎn)評(píng)估的過(guò)程帶有主觀因素���,因此這種主觀的分析依靠企業(yè)內(nèi)部專家的經(jīng)驗(yàn)�����,因此在風(fēng)險(xiǎn)評(píng)估過(guò)程中風(fēng)險(xiǎn)評(píng)估小組成員的構(gòu)成對(duì)評(píng)估結(jié)果起到重要的作用�����。
風(fēng)險(xiǎn)分析經(jīng)過(guò)對(duì)資產(chǎn)�、威脅和脆弱點(diǎn)系統(tǒng)化的評(píng)審,發(fā)現(xiàn)威脅發(fā)生的可能性����、威脅發(fā)生后可能造成的損失,以及采取控制措施減小威脅和脆弱點(diǎn)到一個(gè)可接受程度所需要的投入�����。
我們針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估常用的方法有:
一���、結(jié)構(gòu)化得風(fēng)險(xiǎn)分析方法
1�、 基于威脅樹的風(fēng)險(xiǎn)評(píng)估方法
2��、 基于表格的風(fēng)險(xiǎn)評(píng)估方法
3���、 基于威脅矩陳的風(fēng)險(xiǎn)分析法
二�、非結(jié)構(gòu)化風(fēng)險(xiǎn)分析法
1、 從員工職務(wù)角度進(jìn)行風(fēng)險(xiǎn)分析
2�、 威脅分析
3、 調(diào)查問卷法
