转自:谷安论坛

ISO
 17799 /27001标准简介


一、信息安全管理概况

       近年来,信息安全被破坏的现象非常普遍。政府及国家的机密网络被***轻而易举地进入,公司的机密信息出现在报纸上或被人在垃圾桶中发现,财务信息被公布在网站上让所有人浏览,银行的资产通过网络系统流向***贪婪的钱袋……象这样的例子不胜枚举,同时每一天我们都能得到来自世界的有关信息安全被破坏的报告。
       在信息及其处理设备高度发达的今天,所有的组织,无论其性质、大小、国营或私营,都依赖于信息而存在。 这些信息有的以纸面文件存在,有的用计算机软硬盘存储,甚至存贮在员工或工作人员的头脑里。不管您的组织是怎样的性质,您的组织一定会有别的组织非常感性趣的信息。
        这些信息可能是您的价格表,客户信息,调研信息,市场计划或商务战略,您可以试想一下您可以离开这些信息多长时间?如果您在谈判中的位置,标书底价,产品研究和发展计划或个人信息落入别有用心的人的手中,将对您的组织产生什么样的影响?
    有的组织直到为时已晚的时候才认识到信息安全被破坏造成的影响。您的组织也许看似安全,但信息可以从不同的渠道泄露。
    世界经济已意识到信息的力量、价值及保护信息的重要性。信息安全被破坏的报告正在与日俱增,这就是为什么ISO17799对于保护您的信息是如此重要。该标准提供了一个完整的切入、实施维护和文件化组织内部的信息安全的框架。


二、什么是ISO 17799/ 27001信息安全管理标准?

     ISO17799信息安全管理标准要求建立一个完整的信息安全管理体系。该管理体系在组织中建立一个完整的切入、实施、维护和文件化的管理框架。该管理标准提供给组织信息安全管理的最佳实践指导。
ISO/IEC 17799(BS 7799)是组织一个关键的管理工具,它可以用来识别管理和减小对组织信息安全的威胁企业的信息如产品定价、客户信息、研究成果、市场开发计划或发展战略等是企业赖以生存的宝贵财富。当一个组织与另一个组织合作的时候,对信息的保护尤为重要。当您的组织要把保密的信息与另一组织分享的时候,您应当肯定对方是否能够保证该信息的安全,同样的您也应该保证对方的敏感信息的安全。
     ISO17799是从BS7799转换来的,目前ISO17799的最新版本是ISO17799:2005,它包含了133个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这133多个控制措施被分成11个方面,成为组织实施信息安全管理的实用指南,这十一个方面分别是:
    
  • 一、安全方针( Security Policy

  • 二、信息安全组织(Security Organization

  • 三、资产管理(Asset Management 

  • 四、人员安全(Personnel Security

  • 五、物理与环境安全(Physical and Environmental Security
  • 六、通信与运营管理 (Communications and Operations Management)
  • 七、访问控制(Access Control

  • 八、系统开发与维护(Systems Development and Maintenance

  • 九、信息安全事故管理(Infomation Incident Management)

  • 十、业务持续性管理(Business Continuity Management

  • 十一、法律符合性(Compliance)

         ISO27001:2005是根据ISO17799:2005制定的一个 ISMS体系实施规范,并可使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系,包括以下几个步骤:
  • 定义信息安全方针  ==>   信息安全方针文档
  • 定义ISMS范围  ==>   ISMS范围文档
  • 资产识别 ==>  资产清单
  • 风险评估 ==> 风险评估文档
  • 选择控制目标和控制措施  ==>   控制规划
  • 体系运行 ==>  运行计划和运行记录
  • 体系审核 ==>  审核计划与审核记录
  • 管理评审 ==>  评审计划与评审记录
  • 体系认证 ==>  认证申请及认证证书

            
        根据ISO17799确定的内容,通过ISO 27001来实施和认证ISMS,并不就一定能保证组织能完全摆脱信息安全遭破坏,但实施该标准使信息安全被破坏的可能性降低,因此降低 投资和信息安全事故发生后的被破坏的程度。



    三、建立ISMS体系对组织有什么好处?

           保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全 服务的公司就可以达到的。它需要全面的综合管理。而引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。
          信息安全管理体系标准(ISO27001)可有效保护信息资源,保护 信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。
          通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
          组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。引入ISO27001标准会给组织带来以下好处:
       
  • 企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位。
  • 定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据。
  • 信任、信用及信心:使客户及利益相关方感受到组织对信息安全的承诺。
  • 60%的组织在过去的两年内信息及信息系统遭到过破坏,建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
  • 通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。
  • 通过认证能保证和证明组织所有的部门对信息安全的承诺。
  • 通过认证可改善全体的业绩、消除不信任感和拓展业务。
  • 获得国际认可的机构的认证证书,可得到国际上的承认。
  • 四、组织实施ISO27001的程序与模式  
  •     ISO27001中详细介绍了实施信息安全管理的方法和程序,用户可以参照这个完整的标准制定出自己的安全管理计划和实施步骤。ISO27001可以作为大型、中型及小型组织的确定在大多数情况下所需的控制范围的参考基准。修订后的ISO27001充分考虑了信息处理技术尤其是在网络和通信领域应用的近期发展,同时还强调了与业务相关的信息安全及信息安全的责任,扩展了新的控制。例如新版本包括关于电子商务、远程工作和外购等领域的控制。
  •       组织引入信息安全管理标准的关键在于组织的重视程度和制度落实情况。组织在实施过程中一定要注意,ISO27001里描述的所有控制方式不可能适合组织中每一种情况和组织中的每个潜在用户。因此,需要根据功能要求和组织本身的实际情况进一步开发适合组织自身需要的控制目标与控制措施,就像依据ISO9000标准开发质量手册和程序文件一样。
        信息安全管理体系可以定义为整个组织或组织的一部分,包括处理、存贮和传输数据所用到的相应的资产、系统、应用程序、服务、网络和技术等。信息安全管理体系是整个管理体系的一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护信息安全。在ISO27001中信息安全管理体系可能包括:



    组织的整个信息系统;
    信息系统的某些部分;
    一个特定的信息系统;

        ISMS选择上面哪一种范围模式取决于组织的实际需要,一个组织可能需要为其企业的不同部分、不同方面定义不同的ISMS。例如可以为公司与贸易伙伴的特定的贸易关系定义一个信息安全管理系统。ISO/IEC17799强调管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果的组织提供一种高质量、高实用性的参照。各单位以此为参照建立自己的信息安全管理体系,可以在别人经验的基础上根据自己的实际情况选择自己引入ISO27001的模式,以达到对信息进行良好管理的目的。
    组织在实施ISO27001时,可以根据组织的需求和实际情况,采用以下几种模式:
          

    组织按照ISO27001标准的要求,自我实施建立组织的安全管理体系,以达到保证组织信息安全的目的。
    组织按照ISO27001标准的要求,自我实施建立组织的安全管理体系,以达到保证组织信息安全的目的,并且通过ISO27001体系认证。
    组织通过安全咨询顾问,来实施建立组织的安全管理体系,以达到保证组织信息安全的目的。
    组织通过安全咨询顾问,来实施建立组织的安全管理体系,以达到保证组织信息安全的目的,并且通过ISO27001体系认证。