ISO27001(BS7799/ISO17799)国标
信息安全发展至今,人们越来越认识到安全管理在整个企业运营管理中的重要性,而作为信息安全管理方面最著名的国际标准―― IS0/IEC27001&BS7799,则成为可以指导我们现实工作的最好的参照。IS0/IEC27001&BS7799目前做为国际标准,正迅速被全球所接受。依据ISO27001标准进行信息安全管理体系建设,是当前各行业组织在推动信息安全保护方面最普遍的思路和决策。
标准的起源和发展
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
1990年,世界经济合作开发组织(OECD)下辖的信息、计算机与通信政策组织开始起草 “信息系统安全指导方针”。1992年,OECD于11月26日正式通过“信息系统安全指导方针”。1993年,英国工业与贸易部(DTI)颁布“信息安全管理事务准则”。1995年,英国制定国家标准BS 7799第一部分:“信息安全管理事务准则”,并提交国际标准组织(ISO),成为ISO DIS 14980。1996年,BS 7799第一部分提交ISO审议的结果,于1996年2月24日结束6个月的审议后,参与投票的成员国未超过三分之二。1997年,OECD于3月27日公布密码模块指导原则;同年,英国正式开始推动信息安全管理认证先导计划。1998年,英国公布BS 7799第二部分“信息安全管理规范”并成为信息安全管理认证的依据;同年,欧盟于1995年10月公布之“个人资料保护指令,自1998年10月25日起正式生效,要求以适当标准保护个人资料”。1999年,修订后的BS 7799:1999版再度提交ISO审议。2000年,国际标准组织 ISO/IEC JTC SC 27在日本东京 10月21 日通过BS 7799-1,成为 ISO DIS 17799-1,2000年12月1日正式发布。现已有30多家机构通过了信息安全管理体系认证,范围包括:政府机构、银行、保险、电信企业、网络及许多跨国。目前除英国之外,国际上已有荷兰、丹麦、挪威、瑞典、芬兰、澳大利亚、新西兰、南非、巴西已同意使用BS 7799;日本、瑞士、卢森堡表示对BS 7799感兴趣;我国的台湾、香港地区也在推广该标准。值得一提的是:该标准也是目前英国最畅销的标准。
BS7799 Part 1的全称是Code of Practice for Information Security,也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素,还有39个主要执行目标和133个具体控制措施(最佳实践),供负责信息安全系统应用和开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。
BS7799 Part 2的全称是Information Security Management Specification,也即为信息安全管理体系规范,其最新修订版在05年10月正式成为ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用 ISO/IEC 17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
BS 7799完全从管理角度制定,并不涉及具体的安全技术,实施不复杂,主要是告诉管理者一些安全管理的注意事项和安全制度,例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理规定一般的单位都可以制定,但要想达到BS 7799的全面性则需要一番努力。
同BS 7799相比,信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估;系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面,BS 7799的地位是其他标准无法取代的。
同BS 7799相比,信息技术安全性评估准则(CC)和美国国防部可信计算机评估准则(TCSEC)等更侧重于对系统和产品的技术指标的评估;系统安全工程能力成熟模型(SSE-CMM)更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。在对信息系统日常安全管理方面,BS 7799的地位是其他标准无法取代的。
总的来说,BS7799涵盖了安全管理所应涉及的方方面面,全面而不失可操作性,提供了一个可持续提高的信息安全管理环境。推广信息安全管理标准的关键在重视程度和制度落实方面。
应该说该标准中也还存在一些问题。它认为未经批准查看敏感信息是种威胁,而且是对保密性的违反。但是明确阐述保密性的文件中唯一指明的控制中却没有这种认识。它的4.1.3部分讲到,用户应该签署保密(不泄密)协定,但却没有说阻止非法用户截取(察看)信息。
标准中循环定义可用性为可用的。它没有区分审计和评审控制而错误的定义了“审计”一次。在企业中,审计是指批准或验证某商业系统。我们应该保留这个词来指专业审计师的行为;而评审是信息安全专家或信息拥有者的行为。
标准中的另一个问题是有关网络存取控制的部分没有提到密码技术。标准中简单讨论了密码技术,但只在有关开发和维护系统应用部分,作为维护高度敏感的数据的一部分。另外,它混淆了知道信息和占有信息的概念。
总而言之,准则在某些方面可能不全面,但是它仍是目前可以用来达到一定预防标准的最好的指导标准。
标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分――ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:
总而言之,准则在某些方面可能不全面,但是它仍是目前可以用来达到一定预防标准的最好的指导标准。
标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分――ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:
一、安全方针(Security Policy)
二、信息安全组织(Security Organization)
三、 资产管理(Asset Management )
四、人员安全(Personnel Security)
五、物理与环境安全(Physical and Environmental Security)
六、通信与运营管理(Communications and Operations Management)
七、访问控制(Access Control)
八、系统开发与维护(Systems Development and Maintenance)
九、信息安全事故管理(Infomation Incident Management)
十、业务持续性管理(Business Continuity Management)
十一、法律符合性(Compliance)
ISO27001:2005是根据 ISO17799:2005制定的一个ISMS体系实施规范,并可使用该规范对组织的信息安全管理体系进行审核与认证。通过使用该规范能使组织建立信息安全管理体系,包括以下几个步骤:
- 定义信息安全方针 ==> 信息安全方针文档
- 定义ISMS范围 ==> ISMS范围文档
- 资产识别 ==> 资产清单
- 风险评估 ==> 风险评估文档
- 选择控制目标和控制措施 ==> 控制规划
- 体系运行 ==> 运行计划和运行记录
- 体系审核 ==> 审核计划与审核记录
- 管理评审 ==> 评审计划与评审记录
- 体系认证 ==> 认证申请及认证证书
根据ISO17799确定的内容,通过ISO 27001来实施和认证ISMS,并不就一定能保证组织能完全摆脱信息安全遭破坏,但实施该标准使信息安全被破坏的可能性降低,因此降低投资和信息安全事故发生后的被破坏的程度。
建立ISMS体系优点
保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。而引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。
通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。引入 ISO27001标准会给组织带来以下好处:
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。
通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。引入 ISO27001标准会给组织带来以下好处:
企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位。
定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据。
信任、信用及信心:使客户及利益相关方感受到组织对信息安全的承诺。
60%的组织在过去的两年内信息及信息系统遭到过破坏,建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。
通过认证能保证和证明组织所有的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不信任感和拓展业务。
获得国际认可的机构的认证证书,可得到国际上的承认。
组织实施ISO27001的程序与模式
ISO27001中详细介绍了实施信息安全管理的方法和程序,用户可以参照这个完整的标准制定出自己的安全管理计划和实施步骤。ISO27001可以作 为大型、中型及小型组织的确定在大多数情况下所需的控制范围的参考基准。修订后的ISO27001充分考虑了信息处理技术尤其是在网络和通信领域应用的近 期发展,同时还强调了与业务相关的信息安全及信息安全的责任,扩展了新的控制。例如新版本包括关于电子商务、远程工作和外购等领域的控制。
组织引入信息安全管理标准的关键在于组织的重视程度和制度落实情况。组织在实施过程中一定要注意,ISO27001里描述的所有控制方式不可能适合组织 中每一种情况和组织中的每个潜在用户。因此,需要根据功能要求和组织本身的实际情况进一步开发适合组织自身需要的控制目标与控制措施,就像依据 ISO9000标准开发质量手册和程序文件一样。
信息安全管理体系可以定义为整个组织或组织的一部分,包括处理、存贮和传输数据所用到的相应的资产、系统、应用程序、服务、网络和技术等。信息安全管理体 系是整个管理体系的一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护信息安全。在ISO27001中信息安全管理体系可能包括:
ISO27001中详细介绍了实施信息安全管理的方法和程序,用户可以参照这个完整的标准制定出自己的安全管理计划和实施步骤。ISO27001可以作 为大型、中型及小型组织的确定在大多数情况下所需的控制范围的参考基准。修订后的ISO27001充分考虑了信息处理技术尤其是在网络和通信领域应用的近 期发展,同时还强调了与业务相关的信息安全及信息安全的责任,扩展了新的控制。例如新版本包括关于电子商务、远程工作和外购等领域的控制。
组织引入信息安全管理标准的关键在于组织的重视程度和制度落实情况。组织在实施过程中一定要注意,ISO27001里描述的所有控制方式不可能适合组织 中每一种情况和组织中的每个潜在用户。因此,需要根据功能要求和组织本身的实际情况进一步开发适合组织自身需要的控制目标与控制措施,就像依据 ISO9000标准开发质量手册和程序文件一样。
信息安全管理体系可以定义为整个组织或组织的一部分,包括处理、存贮和传输数据所用到的相应的资产、系统、应用程序、服务、网络和技术等。信息安全管理体 系是整个管理体系的一部分,建立在业务风险的方法上,以开发、实施、完成、评审和维护信息安全。在ISO27001中信息安全管理体系可能包括:
- 组织的整个信息系统;
- 信息系统的某些部分;
- 一个特定的信息系统;
ISMS选择上面哪一种范围模式取决于组织的实际需要,一个组织可能需要为其企业的不同部分、不同方面定义不同的ISMS。例如可以为公司与贸易伙伴的特 定的贸易关系定义一个信息安全管理系统。ISO/IEC17799强调管理体系的有效性、经济性、全面性、普遍性和开放性,目的是为希望达到一定管理效果 的组织提供一种高质量、高实用性的参照。各单位以此为参照建立自己的信息安全管理体系,可以在别人经验的基础上根据自己的实际情况选择自己引入 ISO27001的模式,以达到对信息进行良好管理的目的。
组织在实施ISO27001时,可以根据组织的需求和实际情况,采用以下几种模式:
组织按照ISO27001标准的要求,自我实施建立组织的安全管理体系,以达到保证组织信息安全的目的。
组织按照 ISO27001标准的要求,自我实施建立组织的安全管理体系,以达到保证组织信息安全的目的,并且通过ISO27001体系认证。
组织通过安全 咨询顾问,来实施建立组织的安全管理体系,以达到保证组织信息安全的目的。
组织通过安全咨询顾问,来实施建立组织的安全管理体系,以达到保证组织 信息安全的目的,并且通过ISO27001体系认证。
文章来源网络,上述内容本人进行简单整理