信息安全管理体系认证简介
一. 信息安全管理
随着以计算机和网络通信为代表的信息技术(IT)的迅猛发展,政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。如今,遍布全球的互联网使得组织机构不仅内在依赖IT 系统,还不可避免地与外部的IT 系统建立了错综复杂的联系,但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生,这些给组织的经营管理、生存甚至国家安全都带来严重的影响。所以,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
二. 信息安全管理体系标准发展历史及主要内容
目前,在信息安全管理体系方面,ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安
全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。 2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,该标准现已升版为ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
依据ISO/IEC27001:2005建立信息安全管理体系并获得认证正成为世界潮流。ISO/IEC27001:2005标准包括11大管理要项、39个控制目标和133项控制措施,为组织提供全方位的信息安全保障。
安全方针符合性完整性保密性信息安全组织业务持续性管理资产管理信息资产信息安全事件管理信息系统的获取开发和维护人力资源安全可用性物理和环境安全通信与操作安全 访问控制1. 安全方针――管理层应对信息安全提出明确目标,并制定出可操作的安
全管理策略,为信息安全提供管理指导和支持。
2. 安全组织――在组织内建立信息安全组织、管理与第三方有关、及外包
管理安全问题。
3. 资产分类与管理――对与信息技术有关的资产进行分类,加强与信息技
术有关的资产分类管理,并对这些资产就价值和重要性进行分类标识,实施不同安全措施对这些资产进行保护。
4. 人力资源安全――明确工作人员在招聘、雇佣、解聘过程中所涉及的信
息保密等安全问题,加强对工作人员信息安全培训与教育,提高工作人员安全防范意识,减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。
5. 物理和环境安全――分析安全威胁来源,划分物理安全区域,加强对后
台计算机服务器与用户桌面计算机的保护,防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁,并制定计算机设备引进、日常运行、销毁处理程序和办法。
6. 通信与操作管理――覆盖应用系统日常运营和维护程序、服务水平管理、
网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等,确保信息处理设施正确和安全运行。 7. 访问控制――定义用户存取控制策略,管理用户存取过程,包括对网络
存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。
8. 系统的获取、开发和维护――明确应用系统安全需求,包括输入数据校
验、输出数据校验、业务处理过程校验、传输数据认证等;确定加密控制办法,包括加密、数字签名、不可否认服务、密钥管理等管控办法;确定系统文件的安全保护办法,以及开发和支持过程的安全管理办法。确保将安全纳入信息系统的整个生命周期。
9. 信息安全事件管理――确保安全事件发生后有正确的处理流程和报告方
式。
10. 业务持续性管理――定义业务持续性管理过程,业务持续性和影响过程
分析,制定和执行切实可行的业务持续性计划,定期测试、维护、演练、重新评估业务持续性计划。防止业务活动的中断,并保护关键的业务过程免受重大故障或灾难的影响。