
ISO27001信息安全管理體系認(rèn)證介紹
ISO已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC 27000系列編號(hào),類似于質(zhì)量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標(biāo)準(zhǔn)。規(guī)劃的ISO 27000系列包含下列標(biāo)準(zhǔn):上述標(biāo)準(zhǔn)中,ISO 27001是ISO 27000系列的主標(biāo)準(zhǔn),類似于ISO 9000系列中的ISO9001,各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系(ISMS),并通過(guò)認(rèn)證。目前的有效版本是ISO/IEC 27001:2005。
ISO27001:2005信息安全管理體系(ISMS)表明組織對(duì)信息安全地、客戶要求和持續(xù)改進(jìn)的承諾,其中由以下幾部分組成:
ISO17799信息安全管理實(shí)施指南用于指導(dǎo)ISMS的推行
ISO27001:2005信息安全管理體系標(biāo)準(zhǔn)是用于ISMS的認(rèn)證
ISO27001信息安全管理體系的信息安全是指
信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。
保密性:為保障信息僅僅為那些被授權(quán)使用的人獲取。
信息的保密性是針對(duì)信息被允許訪問(wèn)( Access )對(duì)象的多少而不同,所有人員都可以訪問(wèn)的信息為公開(kāi)信息,需要限制訪問(wèn)的信息一般為敏感信息或秘密,秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí),例如國(guó)家根據(jù)秘密泄露對(duì)國(guó)家經(jīng)濟(jì)、安全利益產(chǎn)生的影響(后果)不同,將國(guó)家秘密分為秘密、機(jī)密和絕密三個(gè)等級(jí),組織可根據(jù)其信息安全的實(shí)際,在符合《國(guó)家保密法》的前提下將其信息劃分為不同的密級(jí);對(duì)于具體的信息的保密性有時(shí)效性,如秘密到期解密等。
完整性:為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。
信息完整性一方面是指信息在利用、傳輸、貯存等過(guò)程中不被篡改、丟失、缺損等,另一方面是指信息處理的方法的正確性。不正當(dāng)?shù)牟僮鳎缯`刪除文件,有可能造成重要文件的丟失。
可用性:為保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。
信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候,可以立即獲得。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用,影響正常的商業(yè)運(yùn)作,這是信息可用性的破壞。不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性、完整性及可用性方面關(guān)注點(diǎn)不同,如組織的專有技術(shù)、市場(chǎng)營(yíng)銷計(jì)劃等商業(yè)秘密對(duì)組織來(lái)講保守機(jī)密尤其重要;而對(duì)于工業(yè)自動(dòng)控制系統(tǒng),控制信息的完整性相對(duì)其保密性重要得多。
ISO27001信息安全管理體系的作用
任何組織,不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù),實(shí)際上在信息安全管理方面都還存在漏洞,例如:
缺少信息安全管理論壇,安全導(dǎo)向不明確,管理支持不明顯;
缺少跨部門(mén)的信息安全協(xié)調(diào)機(jī)制;
保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確;
雇員信息安全意識(shí)薄弱,缺少防范意識(shí),外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所;
組織信息系統(tǒng)管理制度不夠健全;
組織信息系統(tǒng)主機(jī)房安全存在隱患,如:防火設(shè)施存在問(wèn)題,與危險(xiǎn)品倉(cāng)庫(kù)同處一幢辦公樓等;
組織信息系統(tǒng)備份設(shè)備仍有欠缺;
組織信息系統(tǒng)安全防范技術(shù)投入欠缺;
軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺;
計(jì)算機(jī)房、辦公場(chǎng)所等物理防范措施欠缺;
檔案、記錄等缺少可靠貯存場(chǎng)所;
缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃; 信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而,越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅,諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺(jué)。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的,所以僅依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性,所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃,并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮,則成本會(huì)更低、效率會(huì)更高。
ISO27001信息安全管理體系的認(rèn)證流程
ISMS模型將整個(gè)信息安全管理體系建設(shè)項(xiàng)目劃分成五個(gè)大的階段,并包含25項(xiàng)關(guān)鍵的活動(dòng),如果每項(xiàng)前后關(guān)聯(lián)的活動(dòng)都能很好地完成,最終就能建立起有效的ISMS,實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖,接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。
現(xiàn)狀調(diào)研階段:從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對(duì)組織信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研,通過(guò)培訓(xùn)使組織相關(guān)人員全面了解信息安全管理的基本知識(shí)。包括:
項(xiàng)目啟動(dòng):前期溝通,實(shí)施計(jì)劃,項(xiàng)目小組,資源支持,啟動(dòng)會(huì)議。
前期培訓(xùn):信息安全管理基礎(chǔ),風(fēng)險(xiǎn)評(píng)估方法。
現(xiàn)狀評(píng)估:初步了解信息安全現(xiàn)狀,分析與ISO27001標(biāo)準(zhǔn)要求的差距。
業(yè)務(wù)分析:訪談?wù){(diào)查,核心與支持業(yè)務(wù),業(yè)務(wù)對(duì)資源的需求,業(yè)務(wù)影響分析。
風(fēng)險(xiǎn)評(píng)估階段:對(duì)組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析,從而評(píng)估組織信息安全風(fēng)險(xiǎn),選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。
資產(chǎn)識(shí)別:識(shí)別組織的各種信息資產(chǎn)。
風(fēng)險(xiǎn)評(píng)估:重要資產(chǎn)、威脅、弱點(diǎn)、風(fēng)險(xiǎn)識(shí)別與評(píng)估。
管理策劃階段:根據(jù)組織對(duì)信息安全風(fēng)險(xiǎn)的策略,制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等,形成完整的信息安全管理系統(tǒng)。
文件編寫(xiě):編寫(xiě)ISMS各級(jí)管理文件,進(jìn)行Review及修訂,管理層討論確認(rèn)。
發(fā)布實(shí)施:ISMS實(shí)施計(jì)劃,體系文件發(fā)布,控制措施實(shí)施。
中期培訓(xùn):全員安全意識(shí)培訓(xùn),ISMS實(shí)施推廣培訓(xùn),必要的考核。
體系實(shí)施階段:ISMS建立起來(lái)(體系文件正式發(fā)布實(shí)施)之后,要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。
認(rèn)證申請(qǐng):與認(rèn)證機(jī)構(gòu)磋商,準(zhǔn)備材料申請(qǐng)認(rèn)證,制定認(rèn)證計(jì)劃,預(yù)審核。
后期培訓(xùn):審核員等角色的專業(yè)技能培訓(xùn)。
內(nèi)部審核:審核計(jì)劃,Checklist,內(nèi)部審核,不符合項(xiàng)整改。
管理評(píng)審:信息安全管理委員會(huì)組織ISMS整體評(píng)審,糾正預(yù)防。
認(rèn)證審核階段:經(jīng)過(guò)一定時(shí)間運(yùn)行,ISMS達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備,此時(shí),可以提請(qǐng)進(jìn)行認(rèn)證。
認(rèn)證準(zhǔn)備:準(zhǔn)備送審文件,安排部署審核事項(xiàng)。
協(xié)助認(rèn)證:內(nèi)部審核小組陪同協(xié)助,應(yīng)對(duì)審核問(wèn)題。