为什么要认证ISO27001信息安全管理体系
一、ISO 27001的产生背景和发展历程
ISO 27001源于英国标准BS7799的第二部分,即BS7799-2 《信息安全管理体系规范》。
BS7799标准由英国贸易工业部制定,BS 7799-1:1995《信息安全管理实施细则》提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织。BS7799-2 《信息安全管理体系规范》规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。 2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。2005年6月,ISO 对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。
2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了 BS7799-2:2002《信息安全管理体系规范》。
2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。
二、ISO27001是什么?
ISO27001是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》
三、ISO 27000系列标准介绍
规划的ISO27000系列包含下列标准
ISO 27000 原理与术语Principles and vocabulary
ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)
ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理体系—风险管理ISMS Risk management ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement ISO 27005 信息安全管理体系—实施指南ISMS Implementation guidelines
其中ISO27001:2005 、ISO27002:2005 的已经在2005年发布为正式国际标准发布。
ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是BS7799-2:2002。当ISO27001正式发布后,BS7799-2:2002将被撤销。
注:上述标准以ISO发布的为准。
四、为什么需要信息安全
信息及信息安全
信息像其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。
信息安全主要体现在以下三个方面:
一是保密性。保密性是指确保信息资料,特别是重要的信息资料,不流失,不被非本部门人员非法盗用。比如银行的储户信息,医院的病人就医资料,政府机关、安全部门的机密文件,企业的客户资料、商务信息、专利、专有技术资料等等,应该给谁看,不应该给谁看,什么级别/部门的人员可以看什么密别的信息资料,如何储存保管,都应制定具体的措施、规范,以防止因信息流失而造成不良影响和重大经济损失。
二是完整性。所谓信息资料的完整性,是指信息资料不丢失、不少缺。比如采取一定的措施防止存贮在电脑中的磁盘文件不因操作不当或病毒的侵袭而导致文件的残缺或丢失。再如防止存贮的打印文件因霉变、虫蛀而残缺、损坏,防止水灾、火灾、盗窃而毁损文件和资料等。
三是可用性。可用性是指当需要某一信息资料时,可马上拿得到。比如采取一定的措施,防止因某一资料员不在场或其它例外情况下,因为拿不到所需的资料而导致停工或错失商机等。
ISO 27001标准把信息资料看作是公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。 ISO 27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司,有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有导致信息资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估;聘请外公司人员为本公司工作,本公司信息资料有流失的危险,在这种情况下须与外公司人员签订保密协议;在审核磁盘资料时,有可能导致磁盘文件被更改,可设置程序保证审核人员使用只可读不可改的文件或备份文件;以及防止内部人员和工业间谍的窃取,拷贝的软盘与电脑分别存放于不同的房间,作废的文件资料监视销毁等。
信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。
信息安全的重要性
信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。
任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。
目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。
有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。
建立信息安全管理体系(ISMS)对任何组织都具有重要意义
任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:
1. 缺少信息安全管理论坛,安全导向不明确,管理支持不明显;
2. 缺少跨部门的信息安全协调机制;
3. 保护特定资产以及完成特定安全过程的职责还不明确;
4. 雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;
5. 组织信息系统管理制度不够健全;
6. 组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;
7. 组织信息系统备份设备仍有欠缺;
8. 组织信息系统安全防范技术投入欠缺;
9. 软件知识产权保护欠缺;
10. 计算机房、办公场所等物理防范措施欠缺;
11. 档案、记录等缺少可靠贮存场所;
12. 缺少一旦发生意外时的保证生产经营连续性的措施和计划;
通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明,任何组织都急需建立信息安全管理体系,以保障其技术和商业机密,保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。
建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:
1.强化员工的信息安全意识,规范组织信息安全行为;
2.对组织的关键信息资产进行全面系统的保护,维持竞争优势;
3.在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
4.使组织的生意伙伴和客户对组织充满信心;
五、信息安全管理体系建立和运行步骤
ISO 27001标准要求组织建立并保持一个文件化的信息安全管理体系,其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列四个基本步骤:
1.信息安全管理体系的策划与准备;
2.信息安全管理体系文件的编制;
3.信息安全管理体系运行;
4.信息安全管理体系审核与评审。
如果考虑认证过程其详细的步骤如下:
1.现场诊断
2.确定信息安全管理体系的方针、目标;
3.明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来确定界限;
4.对管理层进行信息安全管理体系基本知识培训;
5.信息安全体系内部审核员培训;
6.建立信息安全管理组织机构;
7.实施信息资产评估和分类,识别资产所受到的威胁、薄弱环节和对组织的影响,并确定风险程度;
8.根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险,确定风险控制手段;
9.制定信息安全管理手册和各类必要的控制程序 ;
10.制定适用性声明;
11.制定商业可持续性发展计划;
12.审核文件、发布实施
13.体系运行,有效的实施选定的控制目标和控制方式;
14.内部审核
15.外部第一阶段认证审核
16.外部第二阶段认证审核
17.颁发证书
18.体系持续运行/年度监督审核
19.复评审核(证书三年有效)
至于应采取哪些控制方式则需要周密计划,并注意控制细节。信息安全管理需要组织中的所有雇员的参与,比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密,除物理控制外,还需要组织全体人员参与,加强控制。此外还需要供应商,顾客或股东的参与,需要组织以外的专家建议。
信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。
当前,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。
许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。