主要內(nèi)容

定義

ISO/IEC17799-2000（BS7799-1）對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對(duì)一個(gè)組織具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小，使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。

信息安全是通過(guò)實(shí)現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標(biāo)。

內(nèi)容

ISO/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國(guó)際標(biāo)準(zhǔn)化組織（ISO）在2005年對(duì)ISO 17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC 27001，新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)：

1）安全策略。指定信息安全方針，為信息安全提供管理指引和支持，并定期評(píng)審。

2）信息安全的組織。建立信息安全管理組織體系，在內(nèi)部開(kāi)展和控制信息安全的實(shí)施。

3）資產(chǎn)管理。核查所有信息資產(chǎn)，做好信息分類(lèi)，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。

4）人力資源安全。確保所有員工，合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任，義務(wù)，以減少人為差錯(cuò)，盜竊，欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。

5）物理和環(huán)境安全。定義安全區(qū)域，防止對(duì)辦公場(chǎng)所和信息的未授權(quán)訪問(wèn)，破壞和干擾；保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失，損壞或被盜，以及對(duì)企業(yè)業(yè)務(wù)的干擾；同時(shí)，還要做好一般控制，防止信息和信息處理設(shè)施的損壞和被盜。

6）通信和操作管理。制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，將系統(tǒng)失效的風(fēng)險(xiǎn)降到最低；防范惡意代碼和移動(dòng)代碼，保護(hù)軟件和信息的完整性；做好信息備份和網(wǎng)絡(luò)安全管理，確保信息在網(wǎng)絡(luò)中的安全，確保其支持性基礎(chǔ)設(shè)施得到保護(hù)；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷；防止信息和軟件在組織之間交換時(shí)丟失，修改或誤用。

7）訪問(wèn)控制。制定訪問(wèn)控制策略，避免信息系統(tǒng)的非授權(quán)訪問(wèn)，并讓用戶了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問(wèn)控制，操作系統(tǒng)訪問(wèn)控制，應(yīng)用系統(tǒng)和信息訪問(wèn)控制，監(jiān)視系統(tǒng)訪問(wèn)和使用，定期檢測(cè)未授權(quán)的活動(dòng)；當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)，也要確保信息安全。

8）系統(tǒng)采集、開(kāi)發(fā)和維護(hù)。標(biāo)示系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分，控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用；通過(guò)加密手段保護(hù)信息的保密性，真實(shí)性和完整性；控制對(duì)系統(tǒng)文件的訪問(wèn)，確保系統(tǒng)文檔，源程序代碼的安全；嚴(yán)格控制開(kāi)發(fā)和支持過(guò)程，維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。

9）信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)，及時(shí)采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故，并確保及時(shí)修復(fù)。

10）業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷，是關(guān)鍵業(yè)務(wù)過(guò)程免收主要故障或天災(zāi)的影響，并確保及時(shí)恢復(fù)。

11）符合性。信息系統(tǒng)的設(shè)計(jì)，操作，使用過(guò)程和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審計(jì)，使信息審核過(guò)程的效力最大化，干擾最小化。

效益

ISO27001的效益

1、通過(guò)定義、評(píng)估和控制風(fēng)險(xiǎn)，確保經(jīng)營(yíng)的持續(xù)性和能力

2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任

3、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力，提升企業(yè)形象

4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失

5、建立安全工具使用方針

6、謹(jǐn)防技術(shù)訣竅的丟失

7、在組織內(nèi)部增強(qiáng)安全意識(shí)

8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)

認(rèn)證與遵從

一個(gè)組織可以僅遵從ISO17799來(lái)建立和發(fā)展ISMS（信息安全管理體系），因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認(rèn)證框架，它不具備關(guān)于通過(guò)認(rèn)證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求。在技術(shù)層面來(lái)講，這就表明一個(gè)正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織，完全符合實(shí)踐指南的要求，但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是，一個(gè)正在同時(shí)運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織，可以建立一個(gè)完全符合認(rèn)證具體要求的ISMS，同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求，于是，這一組織就可以獲得外界的認(rèn)同，即獲得認(rèn)證。

ISO27001認(rèn)證要求

ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的，這一標(biāo)準(zhǔn)中的編號(hào)系統(tǒng)和文件管理需求的設(shè)計(jì)初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來(lái)說(shuō)，組織通常會(huì)使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu)，來(lái)提供ISO27001認(rèn)證服務(wù)。正是因?yàn)檫@個(gè)緣故，在ISMS體系建立的過(guò)程中，質(zhì)量管理的經(jīng)驗(yàn)舉足輕重。

但是有一點(diǎn)需要注意，一個(gè)組織如果沒(méi)有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮，選擇一個(gè)合適的管理體系的認(rèn)證機(jī)構(gòu)來(lái)提供認(rèn)證服務(wù)。認(rèn)證機(jī)構(gòu)必須得到一個(gè)國(guó)家鑒定機(jī)構(gòu)的委托授權(quán)，才能為認(rèn)證組織提供認(rèn)證服務(wù)，并發(fā)放認(rèn)證證書(shū)。大多數(shù)國(guó)家都有自己的國(guó)家鑒定機(jī)構(gòu)（比如：英國(guó)UKAS），任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案。

風(fēng)險(xiǎn)評(píng)估應(yīng)對(duì)計(jì)劃

任何一個(gè)ISMS體系的建立和開(kāi)發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求。每個(gè)組織不僅都有自己獨(dú)特的業(yè)務(wù)模式、運(yùn)營(yíng)目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對(duì)待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說(shuō)，同一個(gè)東西，一個(gè)機(jī)構(gòu)組織認(rèn)為是必須提防的威脅，在另一個(gè)組織看來(lái)可能是一個(gè)必須抓住的機(jī)遇。同樣地，各個(gè)機(jī)構(gòu)組織對(duì)于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊。基于以上或者其他原因，每個(gè)運(yùn)行ISMS的組織，其內(nèi)部成員必須對(duì)風(fēng)險(xiǎn)評(píng)估有一個(gè)共識(shí)，這個(gè)風(fēng)險(xiǎn)評(píng)估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會(huì)的首肯。

ISMS項(xiàng)目和PDCA流程

ISMS項(xiàng)目很復(fù)雜，可能持續(xù)若干個(gè)月甚至若干年，涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門(mén)的每個(gè)成員。ISO27001認(rèn)證誕生時(shí)間短，成功的案例比較少。從務(wù)實(shí)的角度考慮，這表明在項(xiàng)目計(jì)劃過(guò)程中，必須盡早對(duì)這些僅有的指導(dǎo)性的書(shū)籍和案例進(jìn)行分析和研究。

ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開(kāi)展ISMS項(xiàng)目，并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素。

1950年W. Edwards Deming提出PDCA流程，即計(jì)劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過(guò)程，意在說(shuō)明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門(mén)經(jīng)理可以識(shí)別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都必須遵循這樣一個(gè)過(guò)程：先計(jì)劃，再執(zhí)行，而后對(duì)其運(yùn)行結(jié)果進(jìn)行評(píng)估，緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），最后向管理層提出如何運(yùn)行的最終報(bào)告。

ISO27001認(rèn)證審核費(fèi)用及周期

除了組織自身投入之外，ISO27001 認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后，認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀，確定審核范圍，提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來(lái)確定的，決定因素包括：

1、受審核組織的員工數(shù)量；

2、納入審核范圍的信息量；

3、場(chǎng)所數(shù)量；

4、組織與外界的關(guān)聯(lián)；

5、組織 IT 的復(fù)雜性；

6、組織類(lèi)型和業(yè)務(wù)性質(zhì)等。

除了費(fèi)用問(wèn)題，認(rèn)證審核的周期通常也是組織比較關(guān)心的。一般來(lái)說(shuō)，從組織啟動(dòng) ISMS建設(shè)項(xiàng)目開(kāi)始，到最終通過(guò)審核，至少要有半年時(shí)間（不包括獲取證書(shū)的時(shí)間）。對(duì)于很多因?yàn)橥獠框?qū)動(dòng)力而決心實(shí)施 ISO27001 認(rèn)證項(xiàng)目的組織來(lái)說(shuō)，提早進(jìn)行規(guī)劃是必要的。