您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > ISO27001标准详解
ISO27001标准详解主题信息安全管理体系管理框架ISO27001控制措施ISO27001与知识产权保护信息安全管理体系背景介绍信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:一.直接损失:丢失订单,减少直接收入,损失生产率;二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。ISO27001的内容信息安全管理体系背景介绍所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。ISO27001的内容信息安全管理体系标准发展历史目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为ISO27001的内容信息安全管理体系标准发展历史ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。2005年,BS7799-2:2002正式转换为国际标准ISO/IEC27001:2005。ISO27001的内容信息安全管理体系要求11个控制领域39个控制目标133个控制措施ISO27001的内容必须的ISMS文件:1、ISMS方针文件,包括ISMS的范围;2、风险评估程序和风险处理程序;3、文件控制程序和记录控制程序;4、内部审核程序和管理评审程序(尽管没有强制);5、纠正措施和预防措施控制程序;6、控制措施有效性的测量程序;7、适用性声明ISO27001的内容对外增强顾客信心和满意改善对安全方针及要求的符合性提供竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力形成文件的ISMS的益处PDCA方法纠正和预防措施内部审核ISMS管理评审ISMS的持续改进0.1总则0.2过程方法过程方法的定义:组织内各过程系统的应用,连同这些过程的识别和相互作用及其管理,可以被称为“过程方法”。过程方法鼓励其使用者以强调以下方面的重要性:理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进0介绍PDCA模型1.1总则本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求1.2应用适用于各种类型、不同规模和提供不同产品的组织可以考虑删减,但条款4、5、6、7和8是不能删减的1范围ISO/IEC17799:2005信息技术-安全技术-信息安全管理实施指南2引用标准信息是经过加工的数据或消息,信息是对决策者有价值的数据资产任何对组织有价值的事物可用性确保授权用户可以在需要时可以获得信息和相关资产保密性确保信息仅为被授权的用户获得3术语和定义完整性确保信息及其处理方法的准确性和完整性信息安全保护信息的保密性、完整性、可用性;另外也包括其他属性,如:真实性、可核查性、不可抵赖性和可靠性信息安全事件已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效的事件,或以前未知的与安全相关的情况3术语和定义(续)信息安全事故信息安全事故是指一个或系列非期望的或非预期的信息安全事件,这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。信息安全管理体系(ISMS)全面管理体系的一部分,基于业务风险方法,旨在建立、实施、运行、监控、评审、维持和改进信息安全适用性声明基于风险评估和风险处理过程的结果和结论,描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件3术语和定义(续)残余风险实施风险处置后仍旧残留的风险风险接受接受风险的决定。风险分析系统地使用信息以识别来源和估计风险。3术语和定义(续)风险评估风险分析和风险评价的全过程。风险评价将估计的风险与既定的风险准则进行比较以确定重要风险的过程。风险管理指导和控制一个组织关于风险的协调活动。风险处置选择和实施措施以改变风险的过程。143术语和定义(续)组织应根据整体业务活动和风险,建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系。为了适应标准的需要,过程运用PDCA模式4.1总要求确定ISMS范围(划分业务或重要资产均可)确定信息安全方针定义系统化的风险评估方法风险识别风险评估识别并评价风险处理,并对其处理进行选择选择风险处理的控制目标和控制方式编制适用性声明获得剩余风险的管理认可,并授权实施和运行ISMS4.2.1建立和管理ISMS阐明风险处理计划,它为信息安全风险管理(见第5章)指出了适当的管理措施、职责和优先级;实施风险处理计划以达到确定的控制目标,应考虑资金需求以及角色和职责分配;实施所选择的控制方法以满足控制目标.确定如何测量所选择的一个/组控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果实施培训和教育运作管理资源管理实施过程和其它控制以便能对安全事故及时检查并做出反应4.2.2实施和运行ISMS执行监视和评审程序和其它控制措施对ISMS的有效性进行定期的评审测量控制措施的有效性,以证实安全要求已得到满足评审剩余风险水平和可接受风险按照计划的间隔实施内部ISMS的审核对ISMS实施规律性的管理评审更新安全计划,考虑监视和评审活动的发现记录对ISMS的有效性或绩效可能会产生影响的行为和事件4.2.3监控和评审ISMS实施ISMS中已识别的改进措施采用合适的纠正性和预防性措施与所有相关方交流结果、行为和协议确保改进活动达到预想的目标4.2.4维持和改进ISMS4.3.1总则4.3.2文件控制4.3.3记录控制4.3文件要求ISMS文件应包括:文件化的安全方针和控制目标;ISMS的范围,支持ISMS的程序和控制措施;支持ISMS的程序和控制措施;风险评估方法的描述风险评估报告;风险处理计划;组织需要文件化的过程以确保信息安全过程得到有效计划、运行和实施;本标准所要求的记录适用性声明4.3.1总则文件发布前要得到批准,以确保文件的适当性;根据需要评审和修订文件,并重新批准确保文件的更改和现行修订情况得到识别;确保在使用时能得到有关文件的适当版本;确保文件保持清晰,易于识别;确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和最终的销毁;确保外来文件得到识别;确保文件的分发受控;防止废旧文件的非预期使用;若因任何原因而保留作废文件时,应做适当的标识4.3.2文件控制应建立并保持记录,以提供满足本规范的要求和信息安全管理体系有效运行的证据建立程序文件,以规定记录的识别、贮存、保护、恢复、保存时间和处置所需的控制如:《记录控制程序》记录应清晰易读,具有标识和可追溯性考虑任何相关的法律要求如:来访登记表(本)、审核记录、授权访问记录4.3.3记录控制ISMS文件方针范围、风险评价适用性声明描述过程:who,what,when,where描述任务及具体的活动如何完成提供符合ISMS条款3.6要求的可感证据第一层次第二层次第三层次第四层次安全手册程序作业指导书检查表、表格记录管理框架与ISO27001条款4有关的方针第一层次(安全手册):管理框架概要,包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件第二层次(程序):采用的程序,规定实施要求的控制方法。描述安全过程的“WHO、WHAT、WHEN、WHERE”以及部门间的控制方法;可以按照ISO27001顺序,也可按照过程顺序;引用下一层次文件25ISMS文件第三层次:解释具体任务或活动的细节—如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册,等等。第四层次(记录):按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的,或者是ISO27001各个条款隐含的要求。例如:访问者登记簿、审核记录、访问的授权。26ISMS文件5.1管理承诺5.2资源管理5.2.1提供资源5.2.2培训、意识和能力5管理职责管理者应通过如下所示向ISMS的建立、实施、运作、监管、审核、维持和改进提供承诺的证据:a)建立信息安全方针;b)确保信息安全目标和计划的建立;c)为信息安全定岗并建立岗位职责;d)向本组织宣传达到信息安全目标和符合信息安全方针的重要性,以及本组织的法律责任和持续改进的需求;e)为ISMS的发展、实施、运作和维持提供充足的资源;f)确定接受风险的准则和可接受的风险等级;g)确保ISMS内部审核的实施;h)进行ISMS管理评审。5.1管理承诺组织应确定并提供以下方面所需资源:建立、实施、运作和维持ISMS;确保信息安全程序支持业务需要;识别和定位法律法规要求和合同安全责任;通过正确的应用所有的已被实施的控制方法来维持适当的安全;必要时进行评审,并对审核结果采取适当的行动;在有需要的地方改进ISMS的有效性5.2.1提供资源确定员工在执行与ISMS相关的工作时所必需具备的能力;提供能力培训,必要时,聘请专业人士以满足需要;评价所提供的培训和采取的行动的有效性;保持教育、培训、技能、经验和资格的记录组织应确保所有相关人员认识其信息安全活动的相关性和重要性,并知道怎样为实现ISMS的目标做出贡献305.2.2培训、意识和能力组织应按策划的时间间隔对ISMS进行内审,以决定ISMS的控制目标、控制行为、过程和程序是否与本标准的要求和相关法律法规相适应与已识别信息安全需求相适应有效地实施和维护达到预期目标文件化内审程序、保持内审记录316ISMS内部审核7.1总则7.2评审输入7.3评审输出7ISMS的管理评审定期管理评审,以确保适宜性、充分性和有效性评审应包括评价ISMS的改进机会和变更需要,包括安全方针和安全目标评审结果应清楚地写入文件,保持评
本文标题:ISO27001标准详解
链接地址:https://www.777doc.com/doc-3605278 .html