您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 信息安全管理体系简介
上海服务外包标准化促进中心信息安全管理体系简介一、ISO27001的产生背景和发展历程ISO27001源于英国标准BS7799的第二部分,即BS7799-2《信息安全管理体系规范》。英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799:2000《信息技术—信息安全管理实施细则》。2005年6月,ISO对ISO/IEC17799进行了改版,新版标准为ISO/IEC17799:2005《信息技术—安全技术—信息安全管理实施细则》。2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了BS7799-2:2002《信息安全管理体系规范》。2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准—ISO/IEC27001:2005《信息技术—安全技术—信息安全管理体系要求》。ISO27001发展历程简要归纳如下:n1993年,BS7799标准由英国贸易工业部立项。n1995年,BS7799-1《信息安全管理实施细则》首次出版,标准提供了一套综合的、由信息安全最佳惯例组成的实施细则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小型组织。n1998年,英国公布BS7799-2《信息安全管理体系规范》,本标准规定信息安全管理体系要求与信息安全控制要求,它是一个组织信息安全管理体系评估的基础,可以作为认证的依据。n1999年,在BSI/DISC(BritishStandardsInstitute/DeliveringInformationSolutionstoCustomers)BDD/2的指导下对这两部分进行了修订和扩展,取代了BS7799-1:1995和BS7799-2:1998。BS7799:1999涵盖了以前版本的所有内容,并在原有的基础上扩展了新的控制,新版本考虑了信息处理技术,尤其是在网络和通信领域应用的最新发展,例如电子商务、移动计算、远程工作等领域的控制。n2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准——ISO/IEC17799:2000《信息技术—信息安全管理实施细则》。n2002年,为了与其他管理标准协调一致,例如ISO9001:2000和ISO14001:1996,以及引入并应用PDCA过程模式,以建立、实施组织的信息安全管理体系,并持续改进有效性,BSI对BS7799-2:1999进行了修订,于2002年9月5日发布BS7799-2:2002。n2005年6月,ISO对ISO/IEC17799:2000进行了修订,发布为ISO/IEC17799:2005《信息技术—安全技术—信息安全管理实施细则》。n2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准—ISO/IEC27001:2005《信息技术—安全技术—信息安全管理体系要求》。ISO27001是什么?ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系-要求》ISO27000系列标准介绍ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号,类似于质量管理体系的IS9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准ISO27000原理与术语PrinciplesandvocabularyISO27001信息安全管理体系—要求ISMSRequirements(以BS7799-2为基础)ISO27002信息技术—安全技术—信息安全管理实践规范(ISO/IEC17799:2005)ISO27003信息安全管理体系—风险信息安全管理体系—指标与测量ISMSMetricsandmeasurementISO27005信息安全管理体系—实施指南ISMSImplementationguidelines其中ISO27001:2005的最终标准草案(FDIS)已经在2005年7月发布,预计在2005年底或2006年初作为正式国际标准发布。ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是BS7799-2:2002。当ISO27001正式发布后,BS7799-2:2002将被撤销。注:上述标准以ISO发布的为准。二、为什么需要信息安全◆信息及信息安全信息像其他重要的商务资产一样,也是一种资产,对一个组织而言具有价值,因而需要被妥善保护。信息安全使信息避免一系列威胁,保障了组织商务的连续性,最大限度地减小组织的商务损失,顺利获取投资和商务回报。信息可以以多种形式存在。它可以是打印或写在纸上(如:书面的财务报表等);电子形式存贮(如:一个组织ERP系统的备份磁带);通过邮件或用电子手段传输;显示在胶片上;表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮,因为它有价值,应该得到妥善的保护。信息安全主要体现在以下三个方面:一是保密性。保密性是指确保信息资料,特别是重要的信息资料,不流失,不被非本部门人员非法盗用。比如银行的储户信息,医院的病人就医资料,政府机关、安全部门的机密文件,企业的客户资料、商务信息、专利、专有技术资料等等,应该给谁看,不应该给谁看,什么级别/部门的人员可以看什么密别的信息资料,如何储存保管,都应制定具体的措施、规范,以防止因信息流失而造成不良影响和重大经济损失。二是完整性。所谓信息资料的完整性,是指信息资料不丢失、不少缺。比如采取一定的措施防止存贮在电脑中的磁盘文件不因操作不当或病毒的侵袭而导致文件的残缺或丢失。再如防止存贮的打印文件因霉变、虫蛀而残缺、损坏,防止水灾、火灾、???而毁损文件和资料等。上海服务外包标准化促进中心三是可用性。可用性是指当需要某一信息资料时,可马上拿得到。比如采取一定的措施,防止因某一资料员不在场或其它例外情况下,因为拿不到所需的资料而导致停工或错失商机等。ISO27001标准把信息资料看作是公司的资产,其对公司的生存与发展起着关键作用,尤其是在知识经济和电子信息时代,确保信息安全更是非常有必要的。英国曾做过一项统计,80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险,可规定定期进行电脑病毒的检查;外来人员进入本公司,有导致信息资料失窃的危险,可规定采用门口设密码、电子卡等方式进入公司;更新电脑软件有导致信息资料无法读取的风险,可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估;聘请外公司人员为本公司工作,本公司信息资料有流失的危险,在这种情况下须与外公司人员签订保密协议;在审核磁盘资料时,有可能导致磁盘文件被更改,可设置程序保证审核人员使用只可读不可改的文件或备份文件;以及防止内部人员和工业???的窃取,拷贝的软盘与电脑分别存放于不同的房间,作废的文件资料监视销毁等。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现,这些控制方式需要确定,才能保障组织特定的安全目标的实现。◆信息安全的重要性信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。任何组织及其信息系统(如一个组织的ERP系统)和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及,计算机病毒、计算机???、服务器的非法入侵破坏已变得日益普遍和错综复杂。目前一些组织,特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理,这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。有些组织的信息系统尽管在设计时可能已考虑了安全,但仅仅依靠技术手段实现安全仍然是有限的,还应当通过管理和程序来支持。上海服务外包标准化促进中心◆建立信息安全管理体系(ISMS)对任何组织都具有重要意义任何组织,不论它在信息技术方面如何努力以及采纳如何新的信息安全技术,实际上在信息安全管理方面都还存在漏洞,例如:1.缺少信息安全管理论坛,安全导向不明确,管理支持不明显;2.缺少跨部门的信息安全协调机制;3.保护特定资产以及完成特定安全过程的职责还不明确;4.雇员信息安全意识薄弱,缺少防范意识,外来人员很容易直接进入生产和工作场所;5.组织信息系统管理制度不够健全;6.组织信息系统主机房安全存在隐患,如:防火设施存在问题,与危险品仓库同处一幢办公楼等;7.组织信息系统备份设备仍有欠缺;8.组织信息系统安全防范技术投入欠缺;9.软件知识产权保护欠缺;10.计算机房、办公场所等物理防范措施欠缺;11.档案、记录等缺少可靠贮存场所;12.缺少一旦发生意外时的保证生产经营连续性的措施和计划;…….等等通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明,任何组织都急需建立信息安全管理体系,以保障其技术和商业机密,保障信息的完整性和可用性,最终保持其生产、经营活动的连续性。◆建立信息安全管理体系的意义组织可以参照信息安全管理模型,按照先进的信息安全管理标准ISO27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。组织建立、实施与保持信息安全管理体系将会:*强化员工的信息安全意识,规范组织信息安全行为;*对组织的关键信息资产进行全面系统的保护,维持竞争优势;*在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;*使组织的生意伙伴和客户对组织充满信心;三、信息安全管理体系建立和运行步骤标
本文标题:信息安全管理体系简介
链接地址:https://www.777doc.com/doc-1253244 .html