ISOIEC27001知识体系doc 30页文档格式.docx
《ISOIEC27001知识体系doc 30页文档格式.docx》由会员分享,可在线阅读,更多相关《ISOIEC27001知识体系doc 30页文档格式.docx(27页珍藏版)》请在冰豆网上搜索。
2005年5月19日,XX市中级人民法院对华为公司诉其前员工案作出终审判决,维持XX市南山区人民法院2004年12月作出的一审判决。
3名前华为公司员工,因辞职后带走公司技术资料并以此赢利。
这3名高学历的IT界科技精英,最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。
2005年7月12日下午2时35分,承载着超过200万用户的网通ADSL和LAN宽带网,突然同时大面积中断。
网通随即投入大量人力物力紧急抢修,至3时30分左右开始网络逐渐恢复正常。
这次事故大约影响了20万网民。
2006年5月8日上午8时左右,中国工程院院士,著名的传染病学专家钟南山在上班的路上,被劫匪很“柔和”地抢走了手中的笔记本电脑。
事后钟院士说“一个科技工作者的作品、心血都在电脑里面,电脑里还存着正在研制的新药方案,要是这个研究方案变成一种新药,那是几个亿的价值啊”。
(以上案例均来自互联网)
这几个案例仅仅是冰山一角,打开电视、翻翻报纸、浏览一下互联网,类似这样的事件几乎每天都在发生。
从这些案例可以看出,信息资产一旦遭到破坏,将给组织带来直接的经济损失、损害组织的声誉和公众形象,使组织丧失市场机会和竞争力,更为甚者,会威胁到组织的生存。
因此,保护信息资产,解决信息安全问题,已经成为组织必须考虑的问题。
信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题。
技术和产品的应用,一定程度上解决了部分信息安全问题。
但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,如防病毒、防火墙、入侵检测、隐患扫描等,仍然无法避免一些信息安全事件的发生,组织安装的许多安全产品成了“聋子的耳朵”。
与组织中人员相关的信息安全问题,信息安全成本和效益的平衡问题,信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。
人们开始逐渐意识到管理在解决信息安全问题中的作用。
于是ISMS应运而生。
2000年12月,国际标准化组织发布一个信息安全管理的标准-ISO/IEC17799:
2000“信息安全管理实用规则(Codeofpracticeforinformationsecuritymanagement)”,2005年6月,国际标准化组织对该标准进行了修订,颁布了ISO/IEC17799:
2005(现已更名为ISO/IEC27002:
2005),10月,又发布了ISO/IEC27001:
2005“信息安全管理体系要求(InformationSecurityManagementSystemRequirement)”。
自此,ISMS在国际上确立并发展起来。
今天,ISMS已经成为信息安全领域的一个热门话题。
1.3如何建立ISMS
组织的业务目标和信息安全要求紧密相关。
实际上,任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。
因此,如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。
组织建立一个基于ISO/IEC27001:
2005ISMS,已成为时代的需要。
从简单分析ISO/IEC27001:
2005标准的要求入手,下面的内容论述了建立一个符合标准要求的ISMS的要点。
1.3.1正确理解ISMS的含义和要素
ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC27001:
2005标准的要求之后,才有可能建立一个符合要求的完善的ISMS。
ISMS的含义
在ISO/IEC27001标准中,已对ISMS做出了明确的定义。
通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。
ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系)和EMS(环境管理体系)等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组成部分,或一个子管理体系。
各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。
ISMS的要素
标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC27001:
20053.7)。
这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。
我们将其归纳后,ISMS的要素要包括:
1)信息安全管理机构
通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。
2)ISMS文件
包括ISMS方针、过程、程序和其它必须的文件等。
3)资源
包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。
ISMS的建立要确保这些ISMS要素得到满足。
1.3.2建立信息安全管理机构
1)信息安全管理机构的名称
标准没有规定信息安全管理机构的名称,因此名称并不重要。
从目前的情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如QMS和EMS等。
因此,最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。
2)信息安全管理机构的级别
信息安全管理机构的级别应根据组织的规模和复杂性而决定。
从管理效果看,对于中等以上规模的组织,最好设立三个不同级别的信息安全管理机构:
a)高层:
以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。
b)中层:
负责该组织日常信息安全的管理与监督活动。
c)基层:
基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。
1.3.3执行标准要求的ISMS建立过程
按照ISO/IEC27001:
2005“4.2.1建立ISMS”条款的要求,建立ISMS的步骤包括:
1)定义ISMS的X围和边界,形成ISMS的X围文件;
2)定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件;
3)定义组织的风险评估方法;
4)识别要保护的信息资产的风险,包括识别:
a)资产及其责任人;
b)资产所面临的威胁;
c)组织的脆弱点;
d)资产XX性、完整性和可用性的丧失造成的影响。
5)分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单;
6)识别和评价风险处理的可选措施,形成《风险处理计划》文件;
7)根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文件;
8)管理者正式批准所有残余风险;
9)管理者授权ISMS的实施和运行;
10)准备适用性声明。
1.3.4完成所需要的ISMS文件
ISMS文件是ISMS的主要要素,既要与ISO/IEC27001:
2005保持一致,又要符合本组织的信息安全的需要。
实际上,ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是ISO/IEC27001:
2005的具体体现。
对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-ISO/IEC27001:
2005,但必须按照ISMS文件的要求执行工作。
(1)ISMS文件的类型
根据ISO/IEC27001:
2005标准的要求,ISMS文件有三种类型。
1)方针类文件(Policies)
方针是政策、原则和规章。
主要是方向和路线上的问题,包括:
a)ISMS方针(ISMSpolicy);
b)信息安全方针(informationsecuritypolicy)。
2)程序类文件(Procedures)
3)记录(Records)
记录是提供客观证据的一种特殊类型的文件。
通常,记录发生于过去,是相关程序文件运行产生的结果(或输出)。
记录通常是表格形式。
4)适用性声明文件(StatementofApplicability,简称SOA)
ISO/IEC27001:
2005标准的附录A提供许多控制目标和控制措施。
这些控制目标和控制措施是最佳实践。
对于这些控制目标和控制措施,实施ISMS的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。
选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。
(2)必须的文件
“必须的ISMS文件”是指ISO/IEC27001:
2005“4.3.1总则”明确规定的,一定要有的文件。
这些文件就是所谓的强制性文件(mandatorydocuments)。
“4.3.1总则”要求ISMS文件必须包括9方面的内容:
1)ISMS方针
ISMS方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。
2)ISMS的X围
3)支持ISMS的程序和控制措施;
4)风险评估方法的描述;
5)风险评估报告;
6)风险处理计划;
7)控制措施有效性的测量程序;
8)本标准所要求的记录;
9)适用性声明。
(3)可选的文件
除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。
这些文件就是所谓的可选的文件(Discretionarydocuments)。
这类文件的内容可随组织的不同而有所不同,主要取决于:
1)组织的业务活动及风险;
2)安全要求的严格程度;
3)管理的体系的X围和复杂程度。
这里,需要特别提出的是,ISMS的特点之一是风险评估和风险管理。
组织需要哪些ISMS文件及其复杂程度如何,通常可根据风险评估决定。
如果风险评估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。
(4)文件的符合性
ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC27001:
2005标准4-8章的所有要求和符合本组织的实际要求。
为此:
1)参考相关法律法规要求和标准要求
在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写ISMS方针时,要参考ISO/IEC27001“4.2.1b)定义ISMS方针”;
编写适用性声明时,要参考ISO/IEC27001“4.2.1j)准备适用性声明”;
编写文件控制程序时,要参考ISO/IEC27001“4.3.2文件控制”等等。
2)将本组织的最好实践形成文件
为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。
3)保持一致性
a)同一个文件中,上下文不能有不一致或矛盾的地方
b)同一个体系的不同文件之间不能有矛盾的地方
c)不同体系的文件之间不能有不一致的地方
如果组织同时运行多个管理体系,例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。
此外,在文字的表达上,应准确,无二义。
2.ISMS标准
2.1ISMS标准体系-ISO/IEC27000族简介
ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题,按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。
ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。
根据国际标准化组织的最新计划,该系列标准的序号已经预留到27019,其中将27000~27009留给ISMS基本标准,27010~27019预留给ISMS标准族的解释性指南与文档。
可见ISMS标准将来会是一个庞大的家族。
2.1.1ISMS国际标准化组织
ISO/IECJTC1/SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织,我国是该组织的P成员国。
ISO/IECJTC1/SC27成立后设有三个工作组:
●WG1:
需求、安全服务及指南工作组
●WG2:
安全技术与机制工作组
●WG3:
信息系统、部件和产品相关的安全评估准则工作组
在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上,通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案,将原来的三个工作组调整为现在五个工作组:
ISMS标准工作组
●WG4:
安全控制与服务工作组
●WG5:
身份管理与隐私保护技术工作组
SC27组织机构的这次调整,专门将WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南,充分体现了ISMS的发展在全球X围内受到高度重视。
2.1.2已经发布的ISMS标准-ISO/IEC27001和ISO/IEC27002
目前国际标准化组织已经正式发布的ISMS国际标准有两个:
ISO/IEC27001和ISO/IEC27002,它们是ISMS的核心标准。
●ISO/IEC27001:
2005:
信息安全管理体系要求
Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements
●ISO/IEC27002:
信息安全管理实用规则
Informationtechnology-Securitytechniques-CodeofpracticeforInformationsecuritymanagement
ISO/IEC27001于2005年10月15日正式发布。
它同ISO9001的性质一样,是ISMS的要求标准,内容共分8章和3个附录,其中附录A中的内容直接引用并与ISO/IEC17799:
2005第5到15章一致。
ISO/IEC27001:
2005适用于所有类型的组织(如企事业单位、政府机关等)。
它从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。
它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
2005是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。
ISO/IEC17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799:
2005,原来版本同时废止。
ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。
根据今年召开的第18届SC27全体会议决议,将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。
2.1.3ISMS标准的类型
根据ISOGUIDE72:
2001(Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理体系标准合理性和制定导则)和ISO/IEC的相关导则,ISO/IECJTC1/SC27/WG1将ISMS标准分为4类:
●TypeA–VocabularyStandardA类-词汇标准
●TypeB–RequirementsStandardB类-要求标准
●TypeC–GuidelinesStandardC类-指南标准
●TypeD–RelatedStandardD类-相关标准
A类-词汇标准:
主要提供标准族中所有标准所涉及的基础信息,包括通用术语、基本原则等内容。
ISO/IEC27000同ISO9000(质量管理体系基础和术语)类似,属于此类标准。
B类-要求标准:
主要提供管理体系的相关规X,它能够使一个组织证明其满足内部和外部要求的能力。
ISO/IEC27001同ISO9001(质量管理体系要求)、ISO14001(环境管理体系规X及使用指南)、OHSAS18001(职业健康安全管理体系规X)等标准一样,属于此类标准。
C类-指南标准:
此类标准目的是为一个组织实施要求标准提供相关的指南,ISO/IEC27002、ISO/IEC27003等同ISO9004(质量管理体系业绩改进指南)、ISO14004(环境管理体系原则、体系和支持技术通用指南)、OHSMS18002(职业健康安全管理体系指南)等标准一样,属于此类标准。
D类-相关标准:
此类标准严格说不是管理体系标准族中的标准,他们主要提供关于特定方面或相关支持技术的进一步的指导,此类标准一般独立开发,与要求类标准和指南类标准无明显的关联。
ISO/IEC27006同ISO19011(质量和环境管理体系审核指南)等标准一样属于此类。
2.1.4制订中的ISO/IEC27000系列标准介绍
截至2006年5月18日,ISO/IECJTC1/SC27/WG1正在制定中的标准包括5个,分别是:
ISO/IEC27000
ISO/IEC27000(Informationsecuritymanagementsystemfundamentalsandvocabulary信息安全管理体系基础和术语),属于A类标准。
ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。
ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。
ISO/IEC27000目前处于WD(工作组草案)阶段,正在SC27内研究并征求意见。
ISO/IE27003
ISO/IEC27003(Informationsecuritymanagementsystemimplementationguidance信息安全管理体系实施指南),属于C类标准。
ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息,使用者主要为组织内负责实施ISMS的人员。
该标准给出了ISMS实施的关键成功因素,实施过程依照ISO/IEC27001要求的PDCA模型进行,并进一步介绍了各个阶段的活动内容及详细实施指南。
ISO/IEC27003目前也处在WD阶段,正在SC27内研究并征求意见。
ISO/IEC27004
ISO/IEC27004(Informationsecuritymanagementmeasurements信息安全管理测量),属于C类标准。
该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。
该标准将测量分为两个类别:
有效性测量和过程测量,列出了多种测量方法,例如调查问卷、观察、知识评估、检查、二次执行、测试(包括设计测试和运行测试)以及抽样等。
该标准定义了ISMS的测量过程:
首先要实施ISMS的测量,应定义选择测量措施,同时确定测量的对象和验证准则,形成测量计划;
实施ISMS测量的过程中,应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展;
在ISMS的检查和处置阶段,也应对测量措施加以改进,这就要求首先定义测量过程的评价准则,对测量过程加以监控,并定期实施评审。
目前该标准已经处于CD(委员会草案)阶段,预计将于2008年完成。
ISO/IEC27005
ISO/IEC27005(Informationsecurityriskmanagement信息安全风险管理),属于C类标准。
该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。
该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。
在标准的附录中,给出了资产、影响、脆弱性以及风险评估的方法,并列出了常见的威胁和脆弱性。
最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。
目前该标准处于FinalCD(最终委员会草案)阶段。
ISO/IEC27006
ISO/IEC27005(Requirementsfortheaccreditationofbodiesprovidingcertificationofinformationsecuritymanagementsystems信息安全管理体系认证机构的认可要求),属于D类标准。
该标准的主要内容是对从事ISMS认证的机构提出了要求和规X,或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。
2.2信息安全管理实用规则-ISO/IEC27002:
2
升级会员 