ISO17799-27001標(biāo)準(zhǔn)簡介.doc

第一講 ISO 17799/27001 標(biāo)準(zhǔn)簡介ISO 17799 /27001標(biāo)準(zhǔn)簡介一、信息安全管理概況近年來，信息安全被破壞的現(xiàn)象非常普遍。政府及國家的機密網(wǎng)絡(luò)被黑客輕而易舉地進入，公司的機密信息出現(xiàn)在報紙上或被人在垃圾桶中發(fā)現(xiàn)，財務(wù)信息被公布在網(wǎng)站上讓所有人瀏覽，銀行的資產(chǎn)通過網(wǎng)絡(luò)系統(tǒng)流向黑客貪婪的錢袋象這樣的例子不勝枚舉，同時每一天我們都能得到來自世界的有關(guān)信息安全被破壞的報告。在信息及其處理設(shè)備高度發(fā)達的今天，所有的組織，無論其性質(zhì)、大小、國營或私營，都依賴于信息而存在。 這些信息有的以紙面文件存在，有的用計算機軟硬盤存儲，甚至存貯在員工或工作人員的頭腦里。不管您的組織是怎樣的性質(zhì)，您的組織一定會有別的組織非常感性趣的信息。這些信息可能是您的價格表，客戶信息，調(diào)研信息，市場計劃或商務(wù)戰(zhàn)略，您可以試想一下您可以離開這些信息多長時間？如果您在談判中的位置，標(biāo)書底價，產(chǎn)品研究和發(fā)展計劃或個人信息落入別有用心的人的手中，將對您的組織產(chǎn)生什么樣的影響？有的組織直到為時已晚的時候才認識到信息安全被破壞造成的影響。您的組織也許看似安全，但信息可以從不同的渠道泄露。世界經(jīng)濟已意識到信息的力量、價值及保護信息的重要性。信息安全被破壞的報告正在與日俱增，這就是為什么ISO17799對于保護您的信息是如此重要。該標(biāo)準(zhǔn)提供了一個完整的切入、實施、維護和文件化組織內(nèi)部的信息安全的框架。二、什么是ISO 17799/ 27001信息安全管理標(biāo)準(zhǔn)？ISO17799信息安全管理標(biāo)準(zhǔn)要求建立一個完整的信息安全管理體系。該管理體系在組織中建立一個完整的切入、實施、維護和文件化的管理框架。該管理標(biāo)準(zhǔn)提供給組織信息安全管理的最佳實踐指導(dǎo)。ISO/IEC 17799（BS 7799）是組織一個關(guān)鍵的管理工具，它可以用來識別管理和減小對組織信息安全的威脅。企業(yè)的信息如產(chǎn)品定價、客戶信息、研究成果、市場開發(fā)計劃或發(fā)展戰(zhàn)略等是企業(yè)賴以生存的寶貴財富。當(dāng)一個組織與另一個組織合作的時候，對信息的保護尤為重要。當(dāng)您的組織要把保密的信息與另一組織分享的時候，您應(yīng)當(dāng)肯定對方是否能夠保證該信息的安全，同樣的您也應(yīng)該保證對方的敏感信息的安全。ISO17799是從BS7799轉(zhuǎn)換來的，目前ISO17799的最新版本是ISO17799：2005，它包含了133個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素。這133多個控制措施被分成11個方面，成為組織實施信息安全管理的實用指南，這十一個方面分別是：一、安全方針（Security Policy）二、信息安全組織（Security Organization）三、資產(chǎn)管理（Asset Management ）四、人員安全（Personnel Security）五、物理與環(huán)境安全（Physical and Environmental Security）六、通信與運營管理(Communications and Operations Management)七、訪問控制（Access Control）八、系統(tǒng)開發(fā)與維護（Systems Development and Maintenance）九、信息安全事故管理（Infomation Incident Management）十、業(yè)務(wù)持續(xù)性管理（Business Continuity Management）十一、法律符合性（Compliance）ISO27001：2005是根據(jù)ISO17799：2005制定的一個ISMS體系實施規(guī)范，并可使用該規(guī)范對組織的信息安全管理體系進行審核與認證。通過使用該規(guī)范能使組織建立信息安全管理體系，包括以下幾個步驟：定義信息安全方針 = 信息安全方針文檔定義ISMS范圍 = ISMS范圍文檔資產(chǎn)識別 = 資產(chǎn)清單風(fēng)險評估 = 風(fēng)險評估文檔選擇控制目標(biāo)和控制措施 = 控制規(guī)劃體系運行 = 運行計劃和運行記錄體系審核 = 審核計劃與審核記錄管理評審 = 評審計劃與評審記錄體系認證 = 認證申請及認證證書根據(jù)ISO17799確定的內(nèi)容，通過ISO 27001來實施和認證ISMS，并不就一定能保證組織能完全擺脫信息安全遭破壞，但實施該標(biāo)準(zhǔn)使信息安全被破壞的可能性降低，因此降低投資和信息安全事故發(fā)生后的被破壞的程度。三、建立ISMS體系對組織有什么好處？保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務(wù)的公司就可以達到的。它需要全面的綜合管理。而引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理，從而使管理更為有效。信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似于質(zhì)量管理體系認證的 ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過了ISO27001的認證,就相當(dāng)于通過ISO9000的質(zhì)量認證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個基礎(chǔ)的設(shè)備管理。同時，把組織的干擾因素降到最小，創(chuàng)造更大收益。組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系，會有一定的投入，但是若能通過認證機關(guān)的審核，獲得認證，將會獲得有價值的回報。引入ISO27001標(biāo)準(zhǔn)會給組織帶來以下好處：? 企業(yè)通過認證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位。定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù)。信任、信用及信心：使客戶及利益相關(guān)方感受到組織對信息安全的承諾。60%的組織在過去的兩年內(nèi)信息及信息系統(tǒng)遭到過破壞，建立信息安全管理體系能降低這種風(fēng)險，通過第三方的認證能增強投資者及其他利益相關(guān)方的投資信心。通過認證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性。通過認證能保證和證明組織所有的部門對信息安全的承諾。通過認證可改善全體的業(yè)績、消除不信任感和拓展業(yè)務(wù)。獲得國際認可的機構(gòu)的認證證書，可得到國際上的承認。四、組織實施ISO27001的程序與模式ISO27001中詳細介紹了實施信息安全管理的方法和程序，用戶可以參照這個完整的標(biāo)準(zhǔn)制定出自己的安全管理計劃和實施步驟。ISO27001可以作為大型、中型及小型組織的確定在大多數(shù)情況下所需的控制范圍的參考基準(zhǔn)。修訂后的ISO27001充分考慮了信息處理技術(shù)尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還強調(diào)了與業(yè)務(wù)相關(guān)的信息安全及信息安全的責(zé)任，擴展了新的控制。例如新版本包括關(guān)于電子商務(wù)、遠程工作和外購等領(lǐng)域的控制。組織引入信息安全管理標(biāo)準(zhǔn)的關(guān)鍵在于組織的重視程度和制度落實情況。組織在實施過程中一定要注意，ISO27001里描述的所有控制方式不可能適合組織中每一種情況和組織中的每個潛在用戶。因此，需要根據(jù)功能要求和組織本身的實際情況進一步開發(fā)適合組織自身需要的控制目標(biāo)與控制措施，就像依據(jù)ISO9000標(biāo)準(zhǔn)開發(fā)質(zhì)量手冊和程序文件一樣。信息安全管理體系可以定義為整個組織或組織的一部分，包括處理、存貯和傳輸數(shù)據(jù)所用到的相應(yīng)的資產(chǎn)、系統(tǒng)、應(yīng)用程序、服務(wù)、網(wǎng)絡(luò)和技術(shù)等。信息安全管理體系是整個管理體系的一部分，建立在業(yè)務(wù)風(fēng)險的方法上，以開發(fā)、實施、完成、評審和維護信息安全。在ISO27001中信息安全管理體系可能包括：組織的整個信息系統(tǒng)；信息系統(tǒng)的某些部分；一個特定的信息系統(tǒng)；ISMS選擇上面哪一種范圍模式取決于組織的實際需要，一個組織可能需要為其企業(yè)的不同部分、不同方面定義不同的ISMS。例如可以為公司與貿(mào)易伙伴的特定的貿(mào)易關(guān)系定義一個信息安全管理系統(tǒng)。ISO/IEC17799強調(diào)管理體系的有效性、經(jīng)濟性、全面性、普遍性和開放性,目的是為希望達到一定管理效果的組織提供一種高質(zhì)量、高實用性的參照。各單位以此為參照建立自己的信息安全管理體系,可以在別人經(jīng)驗的基礎(chǔ)上根據(jù)自己的實際情況選擇自己引入ISO27001的模式，以達到對信息進行良好管理的目的。組織在實施ISO27001時，可以根據(jù)組織的需求和實際情況，采用以下幾種模式：組織按照ISO27001標(biāo)準(zhǔn)的要求，自我實施建立組織的安全管理體