一、 信息安全管理体系标准业务介绍
1、 背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
·直接损失:丢失订单,减少直接收入,损失生产率;
·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展
目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。
经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1:
表1 ISO27000标准族现行状态
序号 | 标准编号 | 标准名称 | 现行状态 |
1 | ISO27000 | 信息技术 – 安全技术 - 信息安全管理体系 - 概论及术语 | 2009年出版 |
2 | ISO27001 | 信息技术 – 安全技术 - 信息安全管理体系 - 要求 | 2005年出版 |
3 | ISO/IEC 27002 | 信息技术 – 安全技术 - 信息安全管理 - 为规范 | 2005年出版 |
4 | ISO/IEC 27003 | 信息技术 – 安全技术 - 信息安全管理体系 - 实施指南 | 2010年出版 |
5 | ISO/IEC 27004 | 信息技术 – 安全技术 - 信息安全管理- 测量 | 2009年出版 |
6 | ISO/IEC 27005 | 信息技术 – 安全技术 - 信息安全风险管理 | 2008年出版 |
7 | ISO/IEC 27006 | 信息技术 – 安全技术 - 认证机构要求 | 2007年出版 |
8 | ISO/IEC 27007 | 信息技术 – 安全技术 - 信息安全管理体系审核指南 | 委员会草案 |
9 | ISO/IEC 27008 | 控制审核员指南 | 委员会草案 |
10 | ISO/IEC 27010 | 行业间交流的信息安全管理 | 工作组草案 |
11 | ISO/IEC 27011 | 信息技术 – 安全技术 - 基于ISO/IEC 27002通讯行业信息安全管理体系 | 2008年出版 |
12 | ISO/IEC 27013 | 信息技术 – 安全技术 -? ISO/IEC 20000-1及 ISO/IEC 27001一体化实施指南 | 工作组草案 |
13 | ISO/IEC 27014 | 信息安全治理框架 | 工作组草案 |
14 | ISO/IEC 27015 | 金融及保险行业信息安全管理体系 | 批准的项目 |
15 | ISO/IEC 27031 | 信息技术 – 安全技术 – 业务连续性的ICT准备能力指南 | 最终委员会草案 |
16 | ISO/IEC 27032 | 信息技术 – 安全技术 – 网络空间安全指南 | 委员会草案 |
17 | ISO/IEC 27033-1 | 信息技术 – 安全技术 – 网络安全 – 第1部分:概述和概念 | 2009年出版 |
18 | ISO/IEC 27033-2 | 信息技术 – 安全技术 – 网络安全 – 第2部分:设计和实施网络安全指南 | 最终委员会草案 |
19 | ISO/IEC 27033-3 | 信息技术 – 安全技术 – 网络安全 – 第3部分:参考网络情境 – 威胁、设计技术和控制活动 | 最终委员会草案 |
20 | ISO/IEC 27033-4 | 信息技术 – 安全技术 – 网络安全 – 第4部分:使用安全网关确保网络间的通信安全 – 威胁、设计技术和控制活动 | 工作组草案 |
21 | ISO/IEC 27034-1 | 应用安全 – 第1部分:概述和概念 | 最终委员会草案 |
22 | ISO/IEC 27034-2 | 应用安全 – 第2部分:组织规范性框架 | 批准的新项目 |
23 | ISO/IEC 27034-3 | 应用安全 – 第3部分:应用安全管理过程 | 批准的新项目 |
24 | ISO/IEC 27034-4 | 应用安全 – 第4部分:应用安全确认 | 批准的新项目 |
25 | ISO/IEC 27034-5 | 应用安全 – 第5部分:协议和应用安全控制的数据结构 | 批准的新项目 |
26 | ISO/IEC 27035 | 信息技术 – 安全技术 – 信息安全事件管理 | 最终委员会草案 |
27 | ISO/IEC 27036 | 信息技术 – 安全技术 – 外包安全指南 | 批准的新项目 |
28 | ISO/IEC 27037 | 识别、收集、获取和保存数字证据指南 | 工作组草案 |
29 | ISO/IEC 27038 | 信息技术 – 安全技术 – 数字化修订详述 | 批准的新项目 |
3、ISO27001标准内容简介
ISO27001:2005标准包括11大控制领域(见图1)、39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。
4、标准特点
- 注重体系的完整性,是一套科学的信息安全管理体系
- 强调对法律法规的符合性
- 以风险评估为基础,采用PDCA的过程方法
- 适用于各种类型、不同规模和业务性质的组织
- 与其他管理体系兼容(例如ISO9000标准等)
二、认证的价值和适用范围
- ISMS认证的价值有以下几点:
1)符合法律法规要求:
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。
2)维护企业的声誉、品牌和客户信任:
证书的获得,可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。
3)履行信息安全管理责任:
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4)增强员工的意识、责任感和相关技能:
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5)保持业务持续发展和竞争优势:
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6)实现风险管理:
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7)减少损失,降低成本:
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度 - ISMS认证的适用范围
信息安全管理标准正式发布后得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。
信息安全管理对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。