ISO27001信息安全認證機構
信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協(xié)會(huì )(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個(gè)部分: BS7799-1,信息安全管理實(shí)施規則 BS7799-2,信息安全管理體系規范。 第一部分對信息安全管理給出建議,供負責在其組織啟動(dòng)、實(shí)施或維護安全的人員使用;第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實(shí)施安全控制的要求。 中文名信息安全管理 外文名 ISO27001 前 身 英國的BS7799標準 提出時(shí)間 1995年2月
目錄 1 基本信息 2 新版修訂 3 認證公司 4 相關(guān)文章
基本信息 標準的起源和發(fā)展 信息安全管理實(shí)用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協(xié)會(huì )(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個(gè)部分: BS7799-1,信息安全管理實(shí)施規則 BS7799-2,信息安全管理體系規范。 第一部分對信息安全管理給出建議,供負責在其組織啟動(dòng)、實(shí)施或維護安全的人員使用;第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實(shí)施安全控制的要求。 起源 隨著(zhù)在世界范圍內,信息化水平的不斷發(fā)展,信息安全逐漸成為人們關(guān)注的焦點(diǎn),世界范圍內的各個(gè)機構、組織、個(gè)人都在探尋如何保障信息安全的問(wèn)題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標準,國際標準化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國際標準及技術(shù)報告。目前,在信息安全管理方面,英國標準ISO27001:2005已經(jīng)成為世界上應用最廣泛與典型的信息安全管理標準,它是在BSI/DISC的BDD/2信息安全管理委員會(huì )指導下制定完成,最新版本為ISO27001:2013。 ISO27001標準于1993年由英國貿易工業(yè)部立項,于1995年英國首次出版BS 7799-1:1995《信息安全管理實(shí)施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規則,其目的是作為確定工商業(yè)信息系統在大多數情況所需控制范圍的唯一參考基準,并且適用于大、中、小組織。 1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個(gè)組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個(gè)正式認證方案的根據。BS 7799-1與BS 7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布,1999版考慮了信息處理技術(shù),尤其是在網(wǎng)絡(luò )和通信領(lǐng)域應用的近期發(fā)展,同時(shí)還非常強調了商務(wù)涉及的信息安全及信息安全的責任。 2000年12月,BS 7799-1:1999《信息安全管理實(shí)施細則》通過(guò)了國際標準化組織ISO的認可,正式成為國際標準-----ISO/IEC17799:2000《信息技術(shù)-信息安全管理實(shí)施細則》。2002年9月5日,BS 7799-2:2002草案經(jīng)過(guò)廣泛的討論之后,終于發(fā)布成為正式標準,同時(shí)BS 7799-2:1999被廢止。2004年9月5日,BS 7799-2:2002正式發(fā)布。 2005年,BS 7799-2:2002終于被ISO組織所采納,于同年10月推出ISO/IEC 27001:2005. 2005年6月,ISO/IEC 17799:2000經(jīng)過(guò)改版,形成了新的ISO/IEC 17799:2005,新版本較老版本無(wú)論是組織編排還是內容完整性上都有了很大增強和提升。ISO/IEC 17799:2005已更新并在2007年7月1日正式發(fā)布為ISO/IEC 27002:2005,這次更新只是在標準上的號碼,內容并沒(méi)有改變。 現在,ISO27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。目前除英國之外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準;日本、瑞士、盧森堡等國也表示對ISO27000:2005標準感興趣,我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營(yíng)商、網(wǎng)絡(luò )公司及許多跨國公司已采用了此標準對自己的信息安全進(jìn)行系統的管理。截至2002年9月,全球共有142家各類(lèi)組織通過(guò)了ISO27000:2005信息安全管理體系認證。
發(fā)展 2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過(guò)了ISO 17799標準。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也于2005年被采用為ISO27001:2005。 ISO27001認證好處 信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進(jìn)程健康、有序、可持續發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標準,類(lèi)似于質(zhì)量管理體系認證的 ISO9000標準。當您的組織通過(guò)了ISO27001的認證,就相當于通過(guò)ISO9000的質(zhì)量認證一般,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進(jìn)行認證,可以帶來(lái)以下幾個(gè)好處: 引入信息安全管理體系就可以協(xié)調各個(gè)方面信息管理,從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達到的。它需要全面的綜合管理。 通過(guò)進(jìn)行ISO27001信息安全管理體系認證,可以增進(jìn)組織間電子電子商務(wù)往來(lái)的信用度,能夠建立起網(wǎng)站和貿易伙伴之間的互相信任,隨著(zhù)組織間的電子交流的增加通過(guò)信息安全管理的記錄可以看到信息安全管理明顯的利益,并為廣大用戶(hù)和服務(wù)提供商提供一個(gè)基礎的設備管理。同時(shí),把組織的干擾因素降到最小,創(chuàng )造更大收益。 通過(guò)認證能保證和證明組織所有的部門(mén)對信息安全的承諾。 通過(guò)認證可改善全體的業(yè)績(jì)、消除不信任感。 獲得國際認可的機構的認證證書(shū),可得到國際上的承認,拓展您的業(yè)務(wù)。 建立信息安全管理體系能降低這種風(fēng)險,通過(guò)第三方的認證能增強投資者及其他利益相關(guān)方的投資信心。 組織按照ISO27001標準建立信息安全管理體系,會(huì )有一定的投入,但是若能通過(guò)認證機關(guān)的審核,獲得認證,將會(huì )獲得有價(jià)值的回報。企業(yè)通過(guò)認證將可以向其客戶(hù)、競爭對手、供應商、員工和投資方展示其在同行內的領(lǐng)導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善,并以此作為增強信息安全性的依據,信任、信用及信心,使客戶(hù)及利益相關(guān)方感受到組織對信息安全的承諾。 通過(guò)認證能夠向政府及行業(yè)主管部門(mén)證明組織對相關(guān)法律法規的符合性。
新版修訂 自2005年國際標準化組織(簡(jiǎn)稱(chēng):ISO)將BS 7799轉化為ISO 27001:2005發(fā)布以來(lái),此標準在國際上獲得了空前的認可,相當數量的組織采納并進(jìn)行了信息安全管理體系的認證, 至2011年底,國際上頒發(fā)的ISO 27001認證證書(shū)總數約為15625張(其中,BSI的市場(chǎng)占有率達約為45.65%)。在我國,自從2008年將ISO 27001:2005轉化為國家標準GB/T 22080:2008以來(lái),信息安全管理體系認證在國內進(jìn)一步獲得了全面推廣,至2011年底,國內頒發(fā)認證證書(shū)數量是1107張。越來(lái)越多的行業(yè)和組織認識到信息安全的重要性,并把它作為基礎管理工作之一開(kāi)展起來(lái)。 然而過(guò)去的幾年中,IT領(lǐng)域和通信行業(yè)發(fā)生了非常大的變革,出現了全面的業(yè)務(wù)和技術(shù)的融合。移動(dòng)互聯(lián)網(wǎng)蓬勃興起、智能手機的廣泛采用、云計算技術(shù)的風(fēng)起云涌,帶來(lái)了全新的網(wǎng)絡(luò )威脅、數據泄漏和欺詐的風(fēng)險。面對這樣的變化和趨勢,使得信息安全管理體系標準的更新也變得日益重要。 ISO對標準的更新,一般是以三年為一個(gè)周期,但因為ISO 27001::2005標準發(fā)布后的巨大成功,以及ICT行業(yè)的飛躍發(fā)展,使得這個(gè)標準的更新變得非常謹慎,至今已有7年。從ISO組織發(fā)布的最新信息可以看到,ISO 27001標準的更新籌備實(shí)際上已經(jīng)在2008年開(kāi)始,任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動(dòng)更新。目前,處于該標準草案(Committee Draft)正在編寫(xiě)委員會(huì )討論層面(30.20:2012-06-20),預計新版發(fā)布時(shí)間會(huì )在 2013-10-19,那時(shí)我們就可以一睹它的全新面貌了。 從ISO 27001標準新版更新的一些說(shuō)明材料中,可以看出這次ISO 27001標準改版將會(huì )具有以下幾個(gè)特征: 采用ISO導則83。ISO導則83,規范了今后ISO管理體系認證標準的基本框架;采用導則83頒布的第一個(gè)標準是2012年5月15日發(fā)布的業(yè)務(wù)連續管理體系標準——ISO 22301:2012。 導則83對今后的標準提出了新的框架要求,如下圖示,標注了ISO27001新版與2005版結構的對比和差異: 在這個(gè)框架下,明顯的改變有如下幾點(diǎn): 標準第4-7章,說(shuō)明管理體系的一般要求,包括: 組織的情境、領(lǐng)導力、策劃和支持;標準第8章,描述ISMS實(shí)施要求,包括信息安全風(fēng)險評估和處置;標準第9章,描述監視,測量和評審活動(dòng)的要求;標準第10章,描述改善活動(dòng)的要求;其中,取消了預防措施。信息安全風(fēng)險管理與ISO 31000風(fēng)險管理保持一致新版的ISO 27001標準中信息安全風(fēng)險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致,并遵從其中的定義。
在新版標準中明確了以下要求: 信息安全風(fēng)險評估:組織應確定如何確定其信息安全風(fēng)險評估和處置過(guò)程的可靠性。 信息安全風(fēng)險處理:適用時(shí),組織應調整信息安全風(fēng)險評估和處置過(guò)程,以及采用的方法,以改善過(guò)程的可靠性。保留附錄A控制措施與控制目標新版ISO 27001依然會(huì )保留SOA和附錄A控制目標、控制措施的架構;因此,毫無(wú)疑問(wèn),ISO 27001的新版修訂一定會(huì )與ISO 27002的修訂同步進(jìn)行。 事實(shí)上,關(guān)于控制措施和控制目標的修訂,也是應對新的變化的信息安全威脅和風(fēng)險必須的選擇;這部分的更新,在修訂項目中,接受了大量的修改建議,爭論也相當大,目前還沒(méi)有最后的結論。 持續發(fā)展27系列支持性標準ISO 27001從誕生第一天開(kāi)始就不是孤立的,為了支持信息安全管理體系標準,ISO27系列發(fā)布了一系列普遍適用和行業(yè)適用的參考標準。如下圖: 截止目前,一些支持性標準目前的狀態(tài)如下表: 標準 名稱(chēng) 狀態(tài) ISO 27000 Overview and vocabulary DIS ISO 27001 Requirements CD ISO 27002 Code of practice for information security management WD 古希臘哲學(xué)家赫拉克利特因其作為辯證法的奠基人聞名于世,他曾經(jīng)寫(xiě)道“一切皆流,無(wú)物常住”,過(guò)去幾年中,國際上幾乎所有行業(yè)和組織面臨的信息安全風(fēng)險的局勢無(wú)不體現了赫氏的這一學(xué)說(shuō)。變化和發(fā)展是永恒的,信息安全風(fēng)險總是處在持續演進(jìn)中,攻擊者的手段依然會(huì )層出不窮。因此信息安全管理的實(shí)踐和標準都在不斷發(fā)展,我們唯一要做的就是保持警惕,隨時(shí)準備抵御風(fēng)險。 認證公司 認監委批準的認證公司 截止到2011年5月11日,國家認監委對ISO27001認證管控非常嚴格,至今只允許8家認證機構進(jìn)行認證,分別是: 中國信息安全認證中心 北京埃爾維質(zhì)量認證中心 [1] 華夏認證中心 中國電子技術(shù)標準化研究所 上海質(zhì)量體系審核中心 廣州賽寶認證中心服務(wù)有限公司 北京新世紀認證有限公司(BCC) 英國標準協(xié)會(huì )(BSI) 北京挪華威認證有限公司(DNV) 通標標準技術(shù)服務(wù)有限公司(SGS) 江蘇艾凱艾國際標準認證有限公司 上海英格爾認證有限公司(ICAS)
認證機構 頒發(fā)ISO27001信息安全管理體系證書(shū)的認證機構必需是經(jīng)過(guò)CNCA國家認證監督委員會(huì )(認監委)授權的認證機構方可在國內進(jìn)行審核發(fā)證,所有通過(guò)認證且合法的證書(shū)均可在CNCA的網(wǎng)站上進(jìn)行查詢(xún)。國外的認證機構如果沒(méi)有在國內CNCA備案,即使認證機構得到了認可單位是UKAS或者ANAB等等的認可,也是不符合中國的法律法規的,視為違規操作,被發(fā)現將會(huì )被CNCA處罰并公示證書(shū)在國內無(wú)效。經(jīng)CNCA授權的認證機構可以在CNCA網(wǎng)站上查詢(xún)。 關(guān)于認證機構與認可機構 認證,認證是指由認證機構證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規范、相關(guān)技術(shù)規范的強制性要求或者標準的合格評定活動(dòng)。認證機構,是經(jīng)國家認證認可監督管理委員會(huì )(CNCA)批準可以在中國境內合法開(kāi)展管理體系認證和產(chǎn)品認證的專(zhuān)業(yè)機構。就是說(shuō)取得此項認證資質(zhì)的企業(yè)或單位才可以進(jìn)行審核活動(dòng)。比如BSI,DNV,北京新世紀認證有限公司,華夏認證中心有限公司等等,他們屬于認證機構。認證機構是經(jīng)CNCA授權的,認可機構管理認證機構。 認可,是正式表明合格評定機構具備實(shí)施特定合格評定工作能力的第三方證明。通俗地講,認可是指認可機構按照相關(guān)國際標準或國家標準,對從事認證、檢測和檢查等活動(dòng)的合格評定機構實(shí)施評審,證實(shí)其滿(mǎn)足相關(guān)標準要求,進(jìn)一步證明其具有從事認證、檢測和檢查等活動(dòng)的技術(shù)能力和管理能力,并頒發(fā)認可證書(shū)。中國的認可機構是CNAS,英國的認可機構是UKAS,美國的認可機構是ANAB。 獲得CNAS認可的認證機構名錄如下:中國質(zhì)量認證中心,上海質(zhì)量體系審核中心,北京賽西認證有限責任公司,廣州賽寶認證中心服務(wù)有限公司 ,北京新世紀認證有限公司,華夏認證中心有限公司,中國信息安全認證中心,上海挪華威認證有限公司 注:一般說(shuō)來(lái),證書(shū)是由認證機構頒發(fā),認證機構要得到認可機構的授權,認可機構要得到認監委(CNCA)的授權,因此在中國的認證最高管理單位是CNCA。但是有些認證機構經(jīng)CNCA備案授權,并沒(méi)有獲得CNAS的認可,這樣在國內開(kāi)展被授權的審核業(yè)務(wù)也是可以的。 國際認證 APM Group(APMG) 代表英國商務(wù)部(OGC)在全球進(jìn)行ISO 27001 Foundation、PRINCE2、P3O-Portfolio, Program and Project Offices、 MSP、M_o_R和ITIL的資質(zhì)認證工作。業(yè)務(wù)遍布全球,分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設有分公司。APMG中國是英國APMG公司在中國的全資機構及唯一代表機構。 主要內容 標準的主要內容 ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動(dòng)、實(shí)施或維護安全的人員使用。該標準為開(kāi)發(fā)組織的安全標準和有效的安全管理做法提供公共基礎,并為組織之間的交往提供信任。 標準指出“象其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)”。它對一個(gè)組織具有價(jià)值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業(yè)務(wù)連續性,使業(yè)務(wù)受到損害的風(fēng)險減至最小,使投資回報和業(yè)務(wù)機會(huì )最大。 內容章節 ISO/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助組織識別在運做過(guò)程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進(jìn)行了修訂,修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001,新標準去掉9點(diǎn)控制措施,新增17點(diǎn)控制措施,并重組部分控制措施而新增一章,重組部分控制措施,關(guān)聯(lián)性邏輯性更好,更適合應用;并修改了部分控制措施措辭。修改后的標準包括11個(gè)章節: 1)安全策略。指定信息安全方針,為信息安全提供管理指引和支持,并定期評審。 2)信息安全的組織。建立信息安全管理組織體系,在內部開(kāi)展和控制信息安全的實(shí)施。 3)資產(chǎn)管理。核查所有信息資產(chǎn),做好信息分類(lèi),確保信息資產(chǎn)受到適當程度的保護。 4)人力資源安全。確保所有員工,合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責任,義務(wù),以減少人為差錯,盜竊,欺詐或誤用設施的風(fēng)險。 5)物理和環(huán)境安全。定義安全區域,防止對辦公場(chǎng)所和信息的未授權訪(fǎng)問(wèn),破壞和干擾;保護設備的安全,防止信息資產(chǎn)的丟失,損壞或被盜,以及對企業(yè)業(yè)務(wù)的干擾;同時(shí),還要做好一般控制,防止信息和信息處理設施的損壞和被盜。 6)通信和操作管理。制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統失效的風(fēng)險降到最低;防范惡意代碼和移動(dòng)代碼,保護軟件和信息的完整性;做好信息備份和網(wǎng)絡(luò )安全管理,確保信息在網(wǎng)絡(luò )中的安全,確保其支持性基礎設施得到保護;建立媒體處置和安全的規程,防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷;防止信息和軟件在組織之間交換時(shí)丟失,修改或誤用。 7)訪(fǎng)問(wèn)控制。制定訪(fǎng)問(wèn)控制策略,避免信息系統的非授權訪(fǎng)問(wèn),并讓用戶(hù)了解其職責和義務(wù),包括網(wǎng)絡(luò )訪(fǎng)問(wèn)控制,操作系統訪(fǎng)問(wèn)控制,應用系統和信息訪(fǎng)問(wèn)控制,監視系統訪(fǎng)問(wèn)和使用,定期檢測未授權的活動(dòng);當使用移動(dòng)辦公和遠程控制時(shí),也要確保信息安全。 8)系統采集、開(kāi)發(fā)和維護。標示系統的安全要求,確保安全成為信息系統的內置部分,控制應用系統的安全,防止應用系統中用戶(hù)數據的丟失,被修改或誤用;通過(guò)加密手段保護信息的保密性,真實(shí)性和完整性;控制對系統文件的訪(fǎng)問(wèn),確保系統文檔,源程序代碼的安全;嚴格控制開(kāi)發(fā)和支持過(guò)程,維護應用系統軟件和信息安全。 9)信息安全事故管理。報告信息安全事件和弱點(diǎn),及時(shí)采取糾正措施,確保使用持續有效的方法管理信息安全事故,并確保及時(shí)修復。 10)業(yè)務(wù)連續性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷,是關(guān)鍵業(yè)務(wù)過(guò)程免受主要故障或天災的影響,并確保及時(shí)恢復。 11)符合性。信息系統的設計,操作,使用過(guò)程和管理要符合法律法規的要求,符合組織安全方針和標準,還要控制系統審計,使信息審核過(guò)程的效力最大化,干擾最小化。 ISO27001的效益 1、通過(guò)定義、評估和控制風(fēng)險,確保經(jīng)營(yíng)的持續性和能力 2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任 3、通過(guò)遵守國際標準提高企業(yè)競爭能力,提升企業(yè)形象 4、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失 5、建立安全工具使用方針 6、謹防技術(shù)訣竅的丟失 7、在組織內部增強安全意識 8、可作為公共會(huì )計審計的證據 認識ISO27001國際標準 ISO27001(BS7799/ISO17799)國際標準究竟是什么?它如何幫助一個(gè)組織更加有效地管理信息安全?BS7799/ISO27001和ISO9001之間有什么聯(lián)系?初次涉獵信息安全管理領(lǐng)域應該掌握哪些內容,以便組織發(fā)起信息安全管理項目?如何獲得BS7799國際標準認證? IT治理和信息安全 近年來(lái)企業(yè)高層對內部治理需求越來(lái)越實(shí)際而具體。隨著(zhù)信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面,企業(yè)越來(lái)越依賴(lài)IT系統來(lái)處理和儲存各種信息,以保證業(yè)務(wù)正常運營(yíng),由此IT系統在企業(yè)治理中的作z用越來(lái)越明晰,IT治理也逐漸被大多數企業(yè)認可,成為董事會(huì )和企業(yè)內部共同關(guān)注的領(lǐng)域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環(huán)節實(shí)施的前提。 與此同時(shí),和信息安全相關(guān)的國際標準已經(jīng)出臺,成為標準IT治理框架中的一大基石。 信息安全和法律法規 業(yè)內人士對ISO27001認證趨之若鶩,這其中有兩個(gè)關(guān)鍵性的驅動(dòng)因素:一是日益嚴峻的信息安全威脅,二是不斷增長(cháng)的信息保護相關(guān)法規的需求。 本質(zhì)上說(shuō),信息安全威脅是全球化的。一般來(lái)說(shuō),它將毫無(wú)差別地輻射到每一個(gè)擁有、使用電子信息的機構和個(gè)人。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放。更嚴重的問(wèn)題是,其他各種形式的危險也在整日威脅數據安全,包括從外部攻擊行為到內部破壞、偷盜等一系列危險。 過(guò)去的十年內,圍繞信息和數據安全問(wèn)題建立起來(lái)的法律法規體系從無(wú)到有、不斷壯大,其中包括專(zhuān)門(mén)針對個(gè)人數據保護問(wèn)題的,也有針對企業(yè)財政、運營(yíng)和風(fēng)險管理體系建立的法規保障問(wèn)題的。一套正式規范的信息安全管理體系應當可以提供最佳實(shí)踐部署指導。目前,建立這樣的管理體系逐漸成為諸多合規項目的必要條件,與此同時(shí),針對該管理體系的認證逐漸成為各種組織(包括政府部門(mén))的熱門(mén)需求,這份認證可以為他們帶來(lái)重要的潛在商業(yè)合同。 信息安全和技術(shù) 絕大多數人認為信息安全是一個(gè)純粹的有關(guān)技術(shù)的話(huà)題,只有那些技術(shù)人員,尤其是計算機安全技術(shù)人員,才能夠處理任何保障數據和計算機安全的相關(guān)事宜。這固然有一定道理。不過(guò),實(shí)際上,恰恰是計算機用戶(hù)本身需要考慮這樣的問(wèn)題:避免哪些威脅?在信息安全和信息通暢中如何平衡取舍?的確如此,一旦用戶(hù)給出答案,計算機安全專(zhuān)家就可以設計并執行一個(gè)技術(shù)方案以達成用戶(hù)需求。 在組織內部,管理層應當負責決策,而不是IT部門(mén)。一個(gè)規范的信息安全管理體系必須明確指出,組織機構董事會(huì )和管理層應當負責相關(guān)信息安全管理體系的決策,同時(shí),這個(gè)體系也應當能夠反映這種決策,并且在運行過(guò)程中能夠提供證據證明其有效性。 所以機構組織內部的信息安全管理體系的建立項目不必由一個(gè)技術(shù)專(zhuān)家來(lái)領(lǐng)導。事實(shí)上,技術(shù)專(zhuān)家在很多情況下起到相反的作用,可能會(huì )阻礙項目進(jìn)程。因此,這個(gè)項目應該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負責機構內部重大職能的執行主管負責主持。 信息安全標準 1995年,英國標準協(xié)會(huì )(BSI)發(fā)布BS7799標準,即ISMS(信息安全管理體系),旨在規范、引導信息安全管理體系的發(fā)展過(guò)程和實(shí)施情況。BS7799標準被外界認為是一個(gè)不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應商的價(jià)值中立的管理體系。只要實(shí)施得當,BS7799標準將幫助企業(yè)檢查并確認其信息安全管理手段和實(shí)施方案的有效性。 從企業(yè)外部來(lái)看,BS7799關(guān)注信息的可用性、機密性和完整性,至今這仍然是這項標準致力達到的目標。BS7799集中關(guān)注企業(yè)組織層面上的風(fēng)險規避(一定程度上主要是商業(yè)和金融風(fēng)險),而不包括避免每一個(gè)潛在風(fēng)險的保護措施——盡管它們至關(guān)重要。 BS7799最初僅有一份文檔,且具有明顯的實(shí)踐指南性質(zhì)。也就是說(shuō),它為組織提供信息安全指引,但沒(méi)有形成規范,不能為外部第三方審計和認證等提供依據。隨著(zhù)越來(lái)越多的企業(yè)開(kāi)始認識到來(lái)自信息安全的威脅波及范圍越來(lái)越廣,影響程度越來(lái)越大,并且關(guān)于數據和隱私權保護的法律法規不斷出臺,信息安全標準認證的需求開(kāi)始不斷增加。 這種需求的增加最終促成了該項標準第二部分的出臺,即標準規范。實(shí)踐指南和標準規范之間的關(guān)系是這樣的:標準規范是認證方案的基礎,同時(shí)標準規范要求實(shí)踐者遵從實(shí)踐指南的指引。 這個(gè)實(shí)踐指南最近被修訂為ISO/IEC 17799:2005,標準規范也被修訂為ISO/IEC 27001:2005,逐步得到國際認同。 許多國家也已發(fā)布了自己的相關(guān)標準,比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可,這促使了本土化標準的消退(除了基于兩個(gè)標準號碼基礎上的本土化標準以外)。 認證與遵從 一個(gè)組織可以?xún)H遵從ISO17799來(lái)建立和發(fā)展ISMS(信息安全管理體系),因為實(shí)踐指南中的內容是普遍適用的。然而,由于ISO17799并非基于認證框架,它不具備關(guān)于通過(guò)認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術(shù)層面來(lái)講,這就表明一個(gè)正在獨立運用ISO17799的機構組織,完全符合實(shí)踐指南的要求,但是這并不足以讓外界認可其已經(jīng)達到認證框架所制定的認證要求。不同的是,一個(gè)正在同時(shí)運用ISO27001和ISO17799標準的機構組織,可以建立一個(gè)完全符合認證具體要求的ISMS,同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求,于是,這一組織就可以獲得外界的認同,即獲得認證。
ISO27001認證要求 ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這一標準中的編號系統和文件管理需求的設計初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來(lái)說(shuō),組織通常會(huì )使用為其ISO9000認證或者其他管理體系認證提供認證服務(wù)的機構,來(lái)提供ISO27001認證服務(wù)。正是因為這個(gè)緣故,在ISMS體系建立的過(guò)程中,質(zhì)量管理的經(jīng)驗舉足輕重。 但是有一點(diǎn)需要注意,一個(gè)組織如果沒(méi)有事先擁有并使用任何形式的管理體系,并不意味著(zhù)該組織不能進(jìn)行ISO27001認證。這種情況下,該組織就應當從經(jīng)濟利益考慮,選擇一個(gè)合適的管理體系的認證機構來(lái)提供認證服務(wù)。認證機構必須得到一個(gè)國家鑒定機構的委托授權,才能為認證組織提供認證服務(wù),并發(fā)放認證證書(shū)。大多數國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進(jìn)行ISMS認證的機構均記錄在案。 風(fēng)險評估應對計劃 任何一個(gè)ISMS體系的建立和開(kāi)發(fā)都應當滿(mǎn)足組織獨特的需求。每個(gè)組織不僅都有自己獨特的業(yè)務(wù)模式、運營(yíng)目標、形象特點(diǎn)和內部文化,他們對待風(fēng)險的態(tài)度傾向也大相徑庭。換句話(huà)說(shuō),同一個(gè)東西,一個(gè)機構組織認為是必須提防的威脅,在另一個(gè)組織看來(lái)可能是一個(gè)必須抓住的機遇。同樣地,各個(gè)機構組織對于既有風(fēng)險防護的投入也參差不齊?;谝陨匣蛘咂渌?,每個(gè)運行ISMS的組織,其內部成員必須對風(fēng)險評估有一個(gè)共識,這個(gè)風(fēng)險評估的方法論、結果發(fā)現和推薦解決方式都必須得到董事會(huì )的首肯。 ISMS項目和PDCA流程 ISMS項目很復雜,可能持續若干個(gè)月甚至若干年,涉及整個(gè)機構組織以及從管理層到收發(fā)部門(mén)的每個(gè)成員。ISO27001認證誕生時(shí)間短,成功的案例比較少。從務(wù)實(shí)的角度考慮,這表明在項目計劃過(guò)程中,必須盡早對這些僅有的指導性的書(shū)籍和案例進(jìn)行分析和研究。 ISO27001標準指導一個(gè)企業(yè)如何著(zhù)手開(kāi)展ISMS項目,并且關(guān)注整個(gè)項目進(jìn)程中的若干重要元素。 1950年W. Edwards Deming提出PDCA流程,即計劃(Plan)-執行(Do)-檢查(Check)-提升(Act)過(guò)程,意在說(shuō)明業(yè)務(wù)流程應當是不斷改進(jìn)的,該方法使得職能部門(mén)經(jīng)理可以識別出那些需要修正的環(huán)節并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn),都必須遵循這樣一個(gè)過(guò)程:先計劃,再執行,而后對其運行結果進(jìn)行評估,緊接著(zhù)按照計劃的具體要求對該評估進(jìn)行復查,而后尋找到任何與計劃不符的結果偏差(即潛在改進(jìn)的可能性),最后向管理層提出如何運行的最終報告。
★CRCC認證★AS9100認證★重慶CRCC認證★重慶AS9100認證★重慶CURC認證★重慶ISO39001認證★重慶CCS認證★重慶IATF16949認證★ |