信息安全管理體系

1、1.2ISO/IEC27001知識(shí)體系1.1什么是ISMS2.1.2為什么需要ISMS3.1.3如何建立ISMS5.ISMS標(biāo)準(zhǔn)11.2.1ISMS標(biāo)準(zhǔn)體系ISO/IEC27000族簡(jiǎn)介 11.2.2信息安全管理實(shí)用規(guī)則一ISO/IEC27002:2005介紹18.2.3信息安全管理體系要求ISO/IEC27001:2005介紹22.ISMS認(rèn)證27.3.1什么是ISMS認(rèn)證27.2.ISMS概述3.2 為什么要進(jìn)行ISMS認(rèn)證283.3 ISMS認(rèn)證適合何種類型的組織 293.4 全球ISMS認(rèn)證狀況及發(fā)展趨勢(shì) 303.5 如何建設(shè)ISMS并取得認(rèn)證353.1. ISMS 概述1.1 什么是

2、 ISMS信息安全管理體系（In formation Security Ma nageme nt System簡(jiǎn)稱為 ISMS） 是 1998 年前后從英國(guó)發(fā)展起來(lái)的信息安全領(lǐng)域中的一個(gè)新概念，是管理體系（ManagementSystem MS）思想和方法在信息安全領(lǐng)域的應(yīng)用。近年來(lái)，伴隨 著ISMS國(guó)際標(biāo)準(zhǔn)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國(guó)、各種 類型、各種規(guī)模的組織解決信息安全問(wèn)題的一個(gè)有效方法。 ISMS 認(rèn)證隨之成為 組織向社會(huì)及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。在ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005 （信息安全管理體系 要求）的第3章術(shù)

3、語(yǔ)和定義中，對(duì)ISMS的定義如下：ISMS （信息安全管理體系）：是整個(gè)管理體系的一部分。它是基于業(yè)務(wù) 風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。注： 管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和 資源。這個(gè)定義看上去同其他管理體系的定義描述不盡相同， 但我們也可以用 ISOGUIDE 72:2001（Guidelines for the justification and development of management system sta ndards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）中管理體系的定義，將ISMS描述為：組織在信息安全方面建立方針

4、和目標(biāo)， 并實(shí)現(xiàn)這些目標(biāo)的一組相互關(guān)聯(lián)、 相互作用的要素。ISMS同其他MS （如QMS、EMS、OHSMS）一樣，有許多共同的要素，其 原理、方法、過(guò)程和體系的結(jié)構(gòu)也基本一致單純從定義理解，可能無(wú)法立即掌握 ISMS 的實(shí)質(zhì)，我們可以把 ISMS 理解 為一臺(tái)“機(jī)器”，這臺(tái)機(jī)器的功能就是制造“信息安全” ，它由許多“部件”（要 素）構(gòu)成，這些“部件”包括ISMS管理機(jī)構(gòu)、ISMS文件以及資源等，ISMS通 過(guò)這些“部件”之間的相互作用來(lái)實(shí)現(xiàn)其“保障信息安全”的功能。1.2 為什么需要 ISMS今天，我們已經(jīng)身處信息時(shí)代，在這個(gè)時(shí)代， “計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組 織重要的生產(chǎn)工具， “信息”成

5、為主要的生產(chǎn)資料和產(chǎn)品，組織的業(yè)務(wù)越來(lái)越依 賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)?？墒牵?jì)算機(jī)、 網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時(shí)， 也受到越 來(lái)越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息 資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為， 人們已不再陌生， 并且這樣 的事件好像經(jīng)常在我們身邊發(fā)生。下面的案例更清晰的表現(xiàn)了這種趨勢(shì)：2005年 6月 19日，萬(wàn)事達(dá)公司宣布，儲(chǔ)存有大約 4千萬(wàn)信用卡客戶信 息的電腦系統(tǒng)遭到一名黑客入侵。 被盜賬號(hào)的信息資料已經(jīng)在互聯(lián)網(wǎng)上公開(kāi) 出售，每條 100美元，并可能被用于金融欺詐活動(dòng)。2005年5月

6、19日，市中級(jí)人民法院對(duì)華為公司訴其前員工案作出終審判決，維持市南山區(qū)人民法院 2004年 12月作出的一審判決。 3 名前華為公 司員工，因辭職后帶走公司技術(shù)資料并以此贏利。這 3 名高學(xué)歷的 IT 界科技精英，最終因侵犯商業(yè)秘密罪將分別在牢房里度過(guò)兩到三年光陰2005年 7月12日下午 2時(shí) 35分，承載著超過(guò) 200萬(wàn)用戶的網(wǎng)通 ADSL和 LAN 寬帶網(wǎng)，突然同時(shí)大面積中斷。網(wǎng)通隨即投入大量人力物力緊急搶 修，至 3時(shí) 30分左右開(kāi)始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了 20萬(wàn)網(wǎng) 民。2006年 5月 8日上午 8時(shí)左右，中國(guó)工程院院士，著名的傳染病學(xué)專家 鐘南山在上班的路上，被劫匪很

7、“柔和”地?fù)屪吡耸种械墓P記本電腦。事后 鐘院士說(shuō)“一個(gè)科技工作者的作品、心血都在電腦里面，電腦里還存著正在 研制的新藥方案， 要是這個(gè)研究方案變成一種新藥， 那是幾個(gè)億的價(jià)值啊”。（以上案例均來(lái)自互聯(lián)網(wǎng)）這幾個(gè)案例僅僅是冰山一角，打開(kāi)電視、翻翻報(bào)紙、瀏覽一下互聯(lián)網(wǎng)，類似 這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出，信息資產(chǎn)一旦遭到破壞， 將給組織帶來(lái)直接的經(jīng)濟(jì)損失、 損害組織的聲譽(yù)和公眾形象， 使組織喪失市場(chǎng)機(jī) 會(huì)和競(jìng)爭(zhēng)力，更為甚者，會(huì)威脅到組織的生存。因此，保護(hù)信息資產(chǎn)，解決信息安全問(wèn)題，已經(jīng)成為組織必須考慮的問(wèn)題。 信息安全問(wèn)題出現(xiàn)的初期， 人們主要依靠信息安全的技術(shù)和產(chǎn)品來(lái)解決信息

8、安全問(wèn)題。 技術(shù)和產(chǎn)品的應(yīng)用， 一定程度上解決了部分信息安全問(wèn)題。 但是人們 發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠， 即使采購(gòu)和使用了足夠先進(jìn)、 足夠多的信息 安全產(chǎn)品，如防病毒、防火墻、入侵檢測(cè)、隱患掃描等，仍然無(wú)法避免一些信息 安全事件的發(fā)生，組織安裝的許多安全產(chǎn)品成了“聾子的耳朵” 。與組織中人員 相關(guān)的信息安全問(wèn)題， 信息安全成本和效益的平衡問(wèn)題， 信息安全目標(biāo)、 業(yè)務(wù)連 續(xù)性、信息安全相關(guān)法規(guī)符合性等問(wèn)題，依靠產(chǎn)品和技術(shù)是解決不了的人們開(kāi)始逐漸意識(shí)到管理在解決信息安全問(wèn)題中的作用。于是ISMS 應(yīng)運(yùn)而 生。 2000年 12 月，國(guó)際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn) ISO/IEC 1

9、7799:2000“信息安全管理實(shí)用規(guī)則( Code of practice for information security managemen)t”， 2005 年 6 月，國(guó)際標(biāo)準(zhǔn)化組織對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂，頒布了ISO/IEC17799:2005 (現(xiàn)已 更名為 ISO/IEC27002:2005) , 10 月，又發(fā)布了ISO/IEC27001:2005 “信息安全管理體系要求(Information Security Management System Requiremen)t”。自此，ISMS在國(guó)際上確立并發(fā)展起來(lái)。今天，ISMS已經(jīng)成為信息安全領(lǐng)域 的一個(gè)熱門話題。1.3 如何建

10、立 ISMS組織的業(yè)務(wù)目標(biāo)和信息安全要求緊密相關(guān)。 實(shí)際上，任何組織成功經(jīng)營(yíng)的能 力在很大程度上取決于其有效地管理其信息安全風(fēng)險(xiǎn)的才干。 因此，如何確保信 息安全已是各種組織改進(jìn)其競(jìng)爭(zhēng)能力的一個(gè)新的挑戰(zhàn)任務(wù)。組織建立一個(gè)基于ISO/IEC 27001:2005 ISMS,已成為時(shí)代的需要。從簡(jiǎn)單分析 ISO/IEC 27001 :2005標(biāo)準(zhǔn)的要求入手，下面的容論述了建立一個(gè) 符合標(biāo)準(zhǔn)要求的ISMS的要點(diǎn)。1.3.1 正確理解 ISMS 的含義和要素ISMS建設(shè)人員只有正確地理解ISMS的含義、要素和ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求之后，才有可能建立一個(gè)符合要求的完善的ISMS。

11、ISMS的含義在 ISO/IEC 27001 標(biāo)準(zhǔn)中，已對(duì) ISMS 做出了明確的定義。通俗地說(shuō)，組織 有一個(gè)總管理體系， ISMS 是這個(gè)總管理體系的一部分，或總管理體系的一個(gè)子 體系。ISMS的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，其目的是建立、實(shí)施、運(yùn)行、監(jiān) 視、評(píng)審、保持和改進(jìn)信息安全。如果一個(gè)組織有多個(gè)管理體系，例如包括 ISMS、QMS (質(zhì)量管理體系)和 EMS(環(huán)境管理體系)等，那么這些管理體系就組成該組織的總管理體系，而每 一個(gè)管理體系只是該組織總管理體系中的一個(gè)組成部分， 或一個(gè)子管理體系。 各 個(gè)子管理體系必須相互配合、協(xié)調(diào)一致地工作，才能實(shí)現(xiàn)該組織的總目標(biāo)。ISMS的要素 標(biāo)準(zhǔn)還

12、指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、 程序、過(guò)程和資源”(見(jiàn) ISO/IEC 27001:2005 3.7)。這些就是構(gòu)成管理體系的相互 依賴、協(xié)調(diào)一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：1) 信息安全管理機(jī)構(gòu) 通過(guò)信息安全管理機(jī)構(gòu)，可建立各級(jí)安全組織、確定相關(guān)人員職責(zé)、策 劃信息安全活動(dòng)和實(shí)踐等。2) ISMS文件包括ISMS方針、過(guò)程、程序和其它必須的文件等。3) 資源包括建立與實(shí)施ISMS所需要的合格人員、足夠的資金和必要的設(shè)備等。ISMS的建立要確保這些ISMS要素得到滿足1.3.2 建立信息安全管理機(jī)構(gòu)1) 信息安全管理機(jī)構(gòu)的名稱 標(biāo)準(zhǔn)沒(méi)有規(guī)定信息安全管理機(jī)構(gòu)的名稱，因此名稱并不重要。從目前的 情況看，許多組織在建立 ISMS 之前，已經(jīng)運(yùn)行了其它的管理體系，如 QMS 和 EMS 等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機(jī) 構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實(shí)行一元化領(lǐng)導(dǎo)。2) 信息安全管理機(jī)構(gòu)的級(jí)別 信息安全管理機(jī)構(gòu)的級(jí)別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效 果看，對(duì)于中等以上規(guī)模的組織，最好設(shè)立三個(gè)不同級(jí)別的信息安全管 理機(jī)構(gòu)：a) 高層：以總經(jīng)理或管理者代表為領(lǐng)導(dǎo)， 確保信息安全工作有一個(gè)明確 的方向和提供管理承諾和必要的資源。b) 中層：負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動(dòng)。c) 基