安言咨询ISO27001 2013新版解析

1.信息安全管理体系ISO/IEC270011.1.管理体系及其产业链管理体系是组织用来保证其完成任务，事件目标的过程集的框架。在ISO9000:2000中，将其定义为建立方针和目标并实现这些目标的体系。注:一个组织的管理体系可包括若干个不同的管理体系，如质量管理体系、财务管理体系或环境管理体系。一个典型的管理体系框架如下图所示:图1-1目前存在很多的管理体系，例如质量管理体、系环境管理体系、职业健康管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的管理体系，其他管理体系或多或少都借鉴了质量管理体系的经验。管理体系形成的完整的产业链，如图11所示.信息安全管理体系正如其名称所表述的含义，就是关于信息安全的管理体系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解，它强调的是基于业务风险方法来组织信息安全活动，其本身只是整个管理体系的一部分。这就要求我们站在全局的观点看待信息安全问题。图1231231.2.ISO/IEC27000标准族1.2.1.ISO/IEC27001发展历程ISO27000从诞生到现在只不过20年间的事情，但基本上可以看出一个标准“源于生活，高于生活”的发展特点，也就是说，一个真正普遍适用并能被普遍接受的标准，必然是能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。BS7799最初是由英国贸工部(DTI)立项的，是业界、政府和商业机构共同倡导的，旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的BSI—DISCCommitteeBDD/2是由来自贸易和工业部门的众多代表共同组成的，其成员在各自的领域都具有足够的影响力，包括金融业的英国保险协会、渣打会计协会、汇丰银行等，通信行业有大英电讯公司，还有像壳牌、联合利华、毕马威(KPMG)等这样的跨国机构。1995年，BS7799—1:1995《信息安全管理实施细则》首次出版(其前身是1993年发布的PD0005)，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。在随后一段时间里，由于电子商务的发展，由此引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题，促使第三方认证成为一个急需。信息安全管理遵循一套最佳惯例，但怎样做的？执行程度如何？是否完备？这就需要有一个共同的尺度来进行衡量。1998年，BS7799—2:1998《信息安全管理体系规范》公布，这是对BS7799—1的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。至此，BS7799标准初步成型。1999年4月，BS7799的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。由于BS7799日益得到国际认同，使用的国家也越来越多，2000年12月，国际标准化组织ISO/IECJTC1/SC27工作组认可BS7799—1:1999，正式将其转化为国际标准，即所颁布的ISO/IEC17799:2000《信息技术——信息安全管理实施细则》。作为一个全球通用的标准，ISO/IEC17799并不局限于IT，也不依赖于专门的技术，它是由长期积累的一些最佳实践构成的，是市场驱动的结果。2002年，BSI对BS7799:2—1999进行了重新修订，正式引入PDCA过程模型，以此作为建立、实施、持续改进信息安全管理体系的依据，同时，新版本的调整更显示了与ISO9001:2000、ISO14001:1996等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性，体现了管理体系融合的趋势。2004年9月5日，BS7799—2:2002正式发布，随即提交ISO并迈入“快速通道”。2005年6月，ISO/IEC17799:2000经过改版，形成了新的ISO/IEC17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。紧接着，被期待已久的BS7799—2:2002也终于被ISO组织所采纳，于同年10月推出了ISO/IEC27001:2005。2007年10月，ISO/IEC17799:2005被正式纳入ISO27000体系，成为ISO27002:2007。2013年9月，ISO/IEC27001:2005经过改版，形成了新的ISO/IEC27001:2013，新版本从原先8个章节扩展到10个章节，重建了ISO标准PDCA章节架构，并将旧版11个控制域扩展到14个，使结构更合理，表现更清晰。作为认证标准，ISO27000系列中最关键的还是ISO27001，所以，人们更习惯以ISO27001来直接代表此系列信息安全管理标准。图5所示为ISO27000系列标准的发展历程。1.2.2.ISO/IEC27000标准族一览ISO/IEC27000族标准是国际化组织专门为ISMS预留下来的一系列相关标准的总称具体如下:序号标准编号标准名称出版年份1ISO/IEC27000信息技术-安全技术-信息安全管理体系-概述与术语2009序号标准编号标准名称出版年份2ISO/IEC27001信息技术-安全技术-信息安全管理体系-要求20133ISO/IEC27002信息技术-安全技术-信息安全管理-实用规则20134ISO/IEC27003信息技术-安全技术-信息安全管理体系-实施指南20105ISO/IEC27004信息技术-安全技术-信息安全管理-度量20096ISO/IEC27005信息技术-安全技术-信息安全风险管理20117ISO/IEC27006信息技术-安全技术-信息安全管理体系-认证机构要求20078ISO/IEC27007信息技术-安全技术-信息安全管理体系审核指南20119ISO/IEC27008信息技术-安全技术-ISMS控制措施的审核员指南201110ISO/IEC27010信息技术-安全技术-部门间和组织间通信的信息安全管理201211ISO/IEC27011信息技术-安全技术-通讯行业基于ISO/IEC27002的信息安全管理指南200812ISO/IEC27013信息技术-安全技术-ISO/IEC27001与ISO/IEC20000-1整合实施指南201213ISO/IEC27014信息技术-安全技术-信息安全治理架构201314ISO/IEC27015信息技术-安全技术-金融服务行业信息安全管理指南201215ISO/IEC27017信息技术-安全技术-信息安全管理-基于ISO/IEC27002使用云计算服务信息安全控制措施指南未发布16ISO/IEC27018信息技术-安全技术-公共云计算服务数据保护控制措施实用规则未发布17ISO/IEC27031信息技术-安全技术-业务连续性信息通信技术准备指南201118ISO/IEC27032信息技术-安全技术-网络安全技术指南201219ISO/IEC27033-1信息技术-安全技术-网络安全-概述与概念200920ISO/IEC27033-2信息技术-安全技术-网络安全-网络安全设计与实施指南201221ISO/IEC27033-3信息技术-安全技术-网络安全-参考网络场景-威胁、设计技术与控制问题201022ISO/IEC27034-1信息技术-安全技术-应用安全-应用安全概述与概念201123ISO/IEC27034-2信息技术-安全技术-应用安全-组织规范框架未发布序号标准编号标准名称出版年份24ISO/IEC27034-3信息技术-安全技术-应用安全-应用安全管理流程未发布25ISO/IEC27034-4信息技术-安全技术-应用安全-应用安全验证未发布26ISO/IEC27034-5信息技术-安全技术-应用安全-协议和应用安全控制数据结构未发布27ISO/IEC27034-6信息技术-安全技术-应用安全-特定应用安全指南未发布28ISO/IEC27035信息技术-安全技术-信息安全事件管理201129ISO/IEC27036信息技术-安全技术-供应关系信息安全(4部分)未发布30ISO/IEC27040信息技术-安全技术-存储安全未发布31ISO/IEC27044信息技术-安全技术-安全信息与事态管理指南未发布1.2.3.主要标准简介1.ISO/IEC27000ISO/IEC27000信息安全管理体系—概述与术语提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调2.ISO/IEC27001ISO/IEC27001信息安全管理体系—要求是建立信息安全管理体系(ISMS)的一套规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，本标准将在第3章进行详细的解析。3.ISO/IEC27002ISO/IEC27002信息安全管理—实用规则为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。该标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。其包含的实施规则可以认为是开发组织具体指南的起点。但该实施规则中的控制和指导并不全都是适用的，应当根据企业自身情况对控制措施进行扩充与裁减。4.ISO/IEC27003ISO/IEC27003信息安全管理体系—实施指南为建立、实施、监视、评保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施ISMS的人员。5.ISO/IEC27004ISO/IEC27004信息安全管理测量主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。该标准将测量分为有效性测量和过程测量两个类别，列出了多种测量方法，例如调查、问卷、观察、知识评估检查、二次执行、测试以及抽样等。该标准定义了ISMS的测量过程:1）首先要实施ISMS的测量，应定义选择测量措施，同时确定测量对象和检验标准，形成测量计划；2）实施ISMS测量的过程中，应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展；3）在ISMS的检查和处置阶段，也应对测量措施加以改进，这就要求首先定义测量过程的评价准则，对测量过程加以监控，并定期实施评审。6.ISO/IEC27005ISO/IEC27005信息安全风险管理给出了信息安全风险管理的指南，其中描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。该标准介绍了一般性的风险管理过程，并重点阐述了风险评估的几个重要环节，包括风险评估、风险处理、风险接受等。在标准的附录中，给出了资产、影响、脆弱性以及风险评估的方法，并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。7.ISO/IEC27006ISO/IEC27006信息安全管理体系认证机构的要求认可的主要内容是对从事ISMS认证的机构提出了要求和规范，或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。8.ISO/IEC27007ISO/IEC27007信息安全管理体系审核指南为有认证资格的组织按照ISO/IEC27001和ISO/IEC27002来审核待认证的企业的ISMS。该标准主要参考ISO/IEC19001:2002质量和环境管理体系审核指南。所有“管理体系”基本都是相通的，ISO/IEC27007强调了ISMS的特殊之处。9.ISO/IEC27008ISO/IEC27008是关于技术类控制的审核部分，为审核员提供了控制措施的审核指南。1.3.ISO/IEC27001:2013版概述