CISA資料-基礎(chǔ)ISO17799信息安全管理標(biāo)準(zhǔn)簡(jiǎn)介

1、ISO/IEC 17799標(biāo)準(zhǔn)簡(jiǎn)介一、信息安全管理概況近年來(lái)，信息安全被破壞的現(xiàn)象非常普遍。政府及國(guó)家的機(jī)密網(wǎng)絡(luò)被黑客輕而易舉地 進(jìn)入，公司的機(jī)密信息出現(xiàn)在報(bào)紙上或被人在垃圾桶中發(fā)現(xiàn)，財(cái)務(wù)信息被公布在網(wǎng)站上 讓所有人瀏覽，銀行的資產(chǎn)通過網(wǎng)絡(luò)系統(tǒng)流向黑客貪婪的錢袋象這樣的例子不勝枚舉，同時(shí)每一天我們都能得到來(lái)自世界的有關(guān)信息安全被破壞的報(bào)告。在信息及其處理設(shè)備高度發(fā)達(dá)的今天，所有的組織，無(wú)論其性質(zhì)、大小、國(guó)營(yíng)或私 營(yíng)，都依賴于信息而存在。這些信息有的以紙面文件存在，有的用計(jì)算機(jī)軟硬盤 存儲(chǔ)， 甚至存貯在員工或工作人員的頭腦里。不管您的組織是怎樣的性質(zhì)，您的組織一定會(huì)有別 的組織非常感性趣的信息。

2、這些信息可能是您的價(jià)格表，客戶信息，調(diào)研信息，市場(chǎng)計(jì)劃或商務(wù)戰(zhàn)略，您可以試 想一下您可以離開這些信息多長(zhǎng)時(shí)間？如果您在談判中的位置，標(biāo)書底價(jià)，產(chǎn)品研究和 發(fā)展計(jì)劃或個(gè)人信息落入別有用心的人的手中，將對(duì)您的組織產(chǎn)生什么樣的影響？有的組織直到為時(shí)已晚的時(shí)候才認(rèn)識(shí)到信息安全被破壞造成的影響。您的組織也 許看似安全，但信息可以從不同的渠道泄露。世界經(jīng)濟(jì)已意識(shí)到信息的力量、價(jià)值及保護(hù) 信息的重要性。信息安全被破壞的報(bào)告正在與日俱增，這就是為什么ISO/IEC 17799對(duì) 于保護(hù)您的信息是如此重要。該標(biāo)準(zhǔn)提供了一個(gè)完整的切入、實(shí)施、維護(hù)和文件化組織內(nèi) 部的信息安全的框架、什么是ISO/EC17799信息

3、安全管理標(biāo)準(zhǔn)？ISO/IEC 17799信息安全管理標(biāo)準(zhǔn)要求建立一個(gè)完整的信息安全管理體系。該管理體 系在組織中建立一個(gè)完整的切入、實(shí)施、維護(hù)和文件化的管理框架。該管理標(biāo)準(zhǔn) 提供給組 織信息安全管理的最佳實(shí)踐指導(dǎo)。ISO/IEC 17799 ( BS 7799 )是組織一個(gè)關(guān)鍵的管理工具，它可以用來(lái)識(shí)別管理和減 小對(duì)組織信息安全的威脅。企業(yè)的信息如產(chǎn)品定價(jià)、客戶信息、研究成果、市場(chǎng)開發(fā)計(jì)劃 或發(fā)展戰(zhàn)略等是企業(yè)賴以生存的寶貴財(cái)富。當(dāng)一個(gè)組織與另一個(gè)組織合作的時(shí)候，對(duì)信息的保護(hù)尤為重要。當(dāng)您的組織要把保密的信息與另一組織分享的時(shí)候，您應(yīng) 當(dāng)肯定對(duì)方是否能夠保證該信息的安全，同樣的您也應(yīng)該保證對(duì)方的

4、敏感信息的安全。ISO17799是從BS7799轉(zhuǎn)換來(lái)的，目前ISO17799的最新版本是ISO/IEC 17799 : 2005，它包含了 133個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過程中對(duì)信息安全有影響的 元素。這133多個(gè)控制措施被分成11個(gè)方面，成為組織實(shí)施信息安全管理的實(shí)用指南， 這十一個(gè)方面分別是：一、安全方針(Secuhty Policy)二、信息安全組織(Security Organization)三、資產(chǎn)管理(Asset Management )四、人員安全 (Personnel Security )五、物理與環(huán)境安全(Physical andEnvironmentalSecu

5、rity )六、通信與運(yùn)營(yíng)管理(CommunicationsandOperations Management)八、系統(tǒng)開發(fā)與維 護(hù)(SystemsDevelopment and Maintenance )七、訪問控制(Access Control )九、信息安全事故管理(Infomation Incident Management)十、業(yè)務(wù)持續(xù)性管理(Business Continuity Management )十、法律符合性(Compliance)IS027001 : 2005是根據(jù)ISO17799 ： 2005制定的一個(gè)ISMS體系實(shí)施規(guī)范，并可使用該規(guī)范對(duì)組織的信息安全管理體系進(jìn)行審核

6、與認(rèn)證。通過使用該規(guī)范能使組 織建立信息安全管理體系，包括以下幾個(gè)步驟：實(shí)施ISMS的過程安全萬(wàn)針文定義安全方針定義ISMS的范圍實(shí)施風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)管理持續(xù)改進(jìn)的過程標(biāo)制 目% 書落 控實(shí) 廣 選ISM S范圍文風(fēng)險(xiǎn)評(píng)估文結(jié)果與結(jié)論7選擇控制適用性聲明織收?組樓平到以才達(dá)可的ISMS 認(rèn)庇根據(jù)ISO17799確定的內(nèi)容，通過ISO 27001來(lái)實(shí)施和認(rèn)證ISMS，并不就一定能保證組織能完全擺脫信息安全遭破壞，但實(shí)施該標(biāo)準(zhǔn)使信息安全被破壞的可能性降低，因此降低投資和信息安全事故發(fā)生后的被破壞的程度。三、建立ISMS體系對(duì)組織有什么好處？保證信息安全不是僅有一個(gè)防火墻，或找一個(gè)24小時(shí)提供信息安全服

7、務(wù)的公司就可 以達(dá)到的。它需要全面的綜合管理。而引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息 管理，從而使管理更為有效。信息安全管理體系標(biāo)準(zhǔn)（IS027001）可有效保護(hù)信息資源，保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。IS027001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似于質(zhì)量管理體系認(rèn)證 的IS09000標(biāo)準(zhǔn)。當(dāng)您的組織通過了 IS027001的認(rèn)證，就相當(dāng)于通過IS09000的質(zhì)量 認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。通過進(jìn)行IS027001信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來(lái) 的信 用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的

8、電子交流的增 加通過 信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提 供一個(gè)基礎(chǔ)的設(shè)備管理。同時(shí)，把組織的干擾因素降到最小，創(chuàng)造更大收益。組織按照IS027001標(biāo)準(zhǔn)建立信息安全管理體系，會(huì)有一定的投入，但是若能通過認(rèn) 證機(jī)關(guān)的審核，獲得認(rèn)證，將會(huì)獲得有價(jià)值的回報(bào)。引入IS027001標(biāo)準(zhǔn)會(huì)給組織帶來(lái) 以下好處：企業(yè)通過認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行 內(nèi)的領(lǐng)導(dǎo)地位。定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信 息安全性的依據(jù)。信任、信用及信心：使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。60%的組織在過去

9、的兩年內(nèi)信息及信息系統(tǒng)遭到過破壞，建立信息安全管理體系 能降低這種風(fēng)險(xiǎn)，通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信 心。通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。通過認(rèn) 證能保證和證明組織所有的部門對(duì)信息安全的承諾。通過認(rèn)證可改善全體的業(yè)績(jī)、消除不信任感和拓展業(yè)務(wù) 獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國(guó)際上的承認(rèn)四、組織實(shí)施IS027001的程序與模式IS027001中詳細(xì)介紹了實(shí)施信息安全管理的方法和程序,用戶可以參照這個(gè)完整的 標(biāo)準(zhǔn)制定出自己的安全管理計(jì)劃和實(shí)施步驟。IS027001可以作為大型、中型及 小型組織 的確定在大多數(shù)情況下所需的控制范圍的參考基準(zhǔn)

10、。修訂后的IS027001充分考慮了信 息處理技術(shù)尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還強(qiáng)調(diào)了與業(yè)務(wù)相關(guān)的信息 安全及信息安全的責(zé)任，擴(kuò)展了新的控制。例如新版本包括關(guān)于電子商務(wù)、遠(yuǎn)程工作和 外購(gòu)等領(lǐng)域的控制。組織引入信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于組織的重視程度和制度落實(shí)情況。組織在實(shí)施 過程中一定要注意，IS027001里描述的所有控制方式不可能適合組織中每一種情況和組 織中的每個(gè)潛在用戶。因此，需要根據(jù)功能要求和組織本身的實(shí)際情況進(jìn)一步開發(fā)適合 組織自身需要的控制目標(biāo)與控制措施，就像依據(jù)IS09000標(biāo)準(zhǔn)開發(fā)質(zhì)量 手冊(cè)和程序文件 一樣。信息安全管理體系可以定義為整個(gè)組織或組織的一部分，包括

11、處理、存貯和傳輸數(shù)據(jù) 所用到的相應(yīng)的資產(chǎn)、系統(tǒng)、應(yīng)用程序、服務(wù)、網(wǎng)絡(luò)和技術(shù)等。信息安全管理體系是整個(gè) 管理體系的一部分，建立在業(yè)務(wù)風(fēng)險(xiǎn)的方法上，以開發(fā)、實(shí)施、完成、評(píng)審和維護(hù)信息安 全。在IS027001中信息安全管理體系可能包括：組織的整個(gè)信息系統(tǒng)；信息系統(tǒng)的某些部分；一個(gè)特定的信息系統(tǒng)；ISMS選擇上面哪一種范圍模式取決于組織的實(shí)際需要，一個(gè)組織可能需要為其企業(yè) 的不同部分、不同方面定義不同的ISMS。例如可以為公司與貿(mào)易伙伴的特定的貿(mào)易關(guān)系 定義一個(gè)信息安全管理系統(tǒng)。ISO/I EC 17799強(qiáng)調(diào)管理體系的有效性、經(jīng)濟(jì)性、全面性、 普遍性和開放性，目的是為希望達(dá)到一定管理效果的組織提供一種高質(zhì)量、高實(shí)用性的參 照。各單位以此為參照建立自己的信息安全管理體系，可以在別人經(jīng)驗(yàn)的 基礎(chǔ)上根據(jù)自己 的實(shí)際情況選擇自己引入IS027001的模式，以達(dá)到對(duì)信息進(jìn)行良好 管理的目的。組織在實(shí)施IS027001時(shí)，可以根據(jù)組織的需求和實(shí)際情況，采用以下幾種模式:組織按照IS027001標(biāo)準(zhǔn)的要求，自我實(shí)施建立組織的安全管理體系，