信息安全管理体系参考Word.docx

1、信息安全管理体系参考WordISO/IEC27001知识体系1. ISMS概述 31.1 什么是ISMS 31.2 为什么需要ISMS 41.3 如何建立ISMS 62. ISMS标准 112.1 ISMS标准体系ISO/IEC27000族简介 112.2 信息安全管理实用规则ISO/IEC27002:2005介绍 162.3 信息安全管理体系要求ISO/IEC27001:2005介绍 203. ISMS认证 243.1 什么是ISMS认证 243.2 为什么要进行ISMS认证 243.3 ISMS认证适合何种类型的组织 253.4 全球ISMS认证状况及发展趋势 263.5 如何建设ISMS

2、并取得认证 311.ISMS概述1.1什么是ISMS信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。在ISMS的要求标准ISO/IEC27001:2005（信息安全管理体

3、系 要求）的第3章术语和定义中，对ISMS的定义如下：ISMS（信息安全管理体系）：是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。这个定义看上去同其他管理体系的定义描述不尽相同，但我们也可以用ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则）中管理体系的定义，将ISMS描述为：组织在信息安全方面

4、建立方针和目标，并实现这些目标的一组相互关联、相互作用的要素。ISMS同其他MS（如QMS、EMS、OHSMS）一样，有许多共同的要素，其原理、方法、过程和体系的结构也基本一致。单纯从定义理解，可能无法立即掌握ISMS的实质，我们可以把ISMS理解为一台“机器”，这台机器的功能就是制造“信息安全”，它由许多“部件”（要素）构成，这些“部件”包括ISMS管理机构、ISMS文件以及资源等，ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。1.2为什么需要ISMS今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，

5、组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审

6、判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。 2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑

7、里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。（以上案例均来自互联网）这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使

8、采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生，组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题，信息安全成本和效益的平衡问题，信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准ISO/IEC 17799:2000“信息安全管理实用规则（Code of practice for information security managemen

9、t）”，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005（现已更名为ISO/IEC27002:2005），10月，又发布了ISO/IEC27001:2005“信息安全管理体系要求（Information Security Management System Requirement）”。自此，ISMS在国际上确立并发展起来。今天，ISMS已经成为信息安全领域的一个热门话题。1.3如何建立ISMS组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞

10、争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005 ISMS，已成为时代的需要。从简单分析ISO/IEC 27001:2005标准的要求入手，下面的内容论述了建立一个符合标准要求的ISMS的要点。1.3.1正确理解ISMS的含义和要素ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001:2005标准的要求之后，才有可能建立一个符合要求的完善的ISMS。ISMS的含义在ISO/IEC 27001标准中，已对ISMS做出了明确的定义。通俗地说，组织有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业

11、务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。如果一个组织有多个管理体系，例如包括ISMS、QMS（质量管理体系）和EMS（环境管理体系）等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组成部分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。ISMS的要素标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要

12、素要包括：1)信息安全管理机构通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。2)ISMS文件包括ISMS方针、过程、程序和其它必须的文件等。3)资源包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。ISMS的建立要确保这些ISMS要素得到满足。1.3.2建立信息安全管理机构 1)信息安全管理机构的名称 标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。2

13、)信息安全管理机构的级别 信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：a)高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。b)中层：负责该组织日常信息安全的管理与监督活动。c)基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。1.3.3执行标准要求的ISMS建立过程 按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求，建立ISMS的步骤包括：1)定义ISMS的范围和边界，形成ISMS的范围文件；

14、2)定义ISMS方针（包括建立风险评价的准则等）,形成ISMS方针文件；3)定义组织的风险评估方法；4)识别要保护的信息资产的风险，包括识别：a）资产及其责任人；b）资产所面临的威胁；c）组织的脆弱点；d）资产保密性、完整性和可用性的丧失造成的影响。5)分析和评价安全风险，形成风险评估报告文件，包括要保护的信息资产清单；6)识别和评价风险处理的可选措施，形成风险处理计划文件；7)根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；8)管理者正式批准所有残余风险； 9)管理者授权ISMS的实施和运行；10)准备适用性声明。1.3.4完成所需要的ISMS文件 ISMS文件是ISMS的

15、主要要素，既要与ISO/IEC 27001:2005保持一致，又要符合本组织的信息安全的需要。实际上，ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准，是ISO/IEC 27001:2005的具体体现。对一般员工来说，在其实际工作中，可以不过问国际信息安全管理标准-ISO/IEC 27001:2005，但必须按照ISMS文件的要求执行工作。(1)ISMS文件的类型 根据ISO/IEC 27001:2005标准的要求，ISMS文件有三种类型。1)方针类文件（Policies）方针是政策、原则和规章。主要是方向和路线上的问题，包括：a）ISMS方针（ISMS policy）

16、；b）信息安全方针（information security policy）。2)程序类文件（Procedures）3)记录（Records）记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去，是相关程序文件运行产生的结果（或输出）。记录通常是表格形式。4)适用性声明文件（Statement of Applicability, 简称SOA）ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，