ISO27001信息安全管理體系
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議�,供負責在其組織啟動�����、實施或維護安全的人員使用���。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎�����,并為組織之間的交往提供信任����。標準指出“象其他重要業務資產一樣��,信息也是一種資產”��。它對一個組織具有價值��,因此需要加以合適地保護�����。
信息安全防止信息受到的各種威脅��,以確保業務連續性��,使業務受到損害的風險減至最小�����,使投資回報和業務機會最大��。信息安全是通過實現一組合適控制獲得的���?刂瓶梢允遣呗�����、慣例�、規程����、組織結構和軟件功能��。需要建立這些控制�����,以確保滿足該組織的特定安全目標��。
ISO27001是什么����?
ISO27001是有關信息安全管理的國際標準��。最初源于英國標準BS7799����,經過十年的不斷改版���,終于在2005年被國際標準化組織(ISO)轉化為正式的國際標準��,于2005年10月15日發布為ISO/IEC 27001:2005�。
該標準可用于組織的信息安全管理體系的建立和實施��,保障組織的信息安全���,采用PDCA過程方法�,基于風險評估的風險管理理念����,全面系統地持續改進組織的安全管理��。
其正式名稱為:《ISO/IEC 27001:2005 信息技術-安全技術-信息安全管理體系-要求》
ISO27001適用于哪些類型的組織?
ISO27001適用于所有類型的組織(例如�����,企業�、政府機構�����、非贏利組織)�。
ISO27001從組織的整體業務風險的角度�,為建立���、實施���、運行����、監視���、評審�、保持和改進文件化的ISMS規定了要求����。它規定了為適應不同組織及其下屬部門的需要而定制的安全控制措施的實施要求����。
當由于組織及其業務特性���,標準中的任何要求不適用時���,可以考慮進行刪減����。
如果有刪減���,除非這些刪減不影響組織提供信息安全滿足風險評估和適用法規要求和責任的能力���,否則不能聲稱符合ISO27001標準���。
ISO27001有何用途�����?
ISO27001用于為建立�����、實施��、運行�����、監視���、評審��、保持和改進信息安全管理體系(Information Security Management System���,簡稱ISMS)提供模型���。采用ISMS應當是一個組織的一項戰略性決策�����。一個組織的ISMS的設計和實施受業務需求和目標�、安全需求�、所采用的過程以及組織的規模和結構的影響����。上述因素及其支持過程會不斷發生變化�����。期望信息安全管理體系可以根據組織的需求而測量����,例如簡單的情形可采用簡單的ISMS解決方案����。
ISO27001標準可以作為評估組織滿足顧客�、組織本身及法律法規的信息安全要求的能力的依據����,無論是組織自我評估還是評估供方能力�����,都可以采用�,也可以用作獨立第三方認證的依據����。
ISO27000策劃的具體工作有哪些�����?
在完成現狀調查與風險評估工作之后���,組織 要根據已確立的信息安全方針的總體要求與信息安全管理體系范圍�、風險評估的結果��,明確組織信息安全結構與職責����、選擇控制目標與控制方式�����、編寫風險處理計劃和控制概要�、制定業務持 續性計劃��。
組織信息安全結構與職責
組織信息安全結構確定是實施信息安全管理體系的基礎與組織 安全的保證�����,在職責劃分和編寫體系文件之前����,必須先進行職能分析和確定組織結構���。在確定組織結構時���,要堅持精簡高效的原則�, 盡量避免部門職能的交叉���,調整組織的原有管理體系的組織結構使其適應信息安全管理體系標準中的管理需求���;結合組織的類型�、規 模及特點����,設置管理體系運行的管理部門�����,使其負責管理體系的建立��、實施����、協調及監督管理��,不斷地發現管理體系運行中的問題�, 以便及時調整���、改進����。
選擇控制目標與控制方式
組織應根據風險評估的結果����,并考慮控制 費用與風險平衡的原則����,選擇適合組織的控制目標與控制方式�。
編寫控制概要
控制概要中應對根據風險評估結果選擇的控制目標與控制方式進行詳細的說明����。
制定業務持續性計劃
為降低信息安全事件或自然災害對組織業務持續性的影響����,組織應在 風險評估的基礎上編制業務持續性計劃并保持計劃的有效性
ISO27000策劃與準備階段涉及的工作ISO27000策劃與準備階段涉及的工作
教育培訓
為了強化組織的 信息安全意識����,明確信息安全管理體系的基本要求����,進行 信息安全管理體系標準和相關知識的培訓是十分必要的����,這也是組織搞好信息安全管理的關鍵因素之一�。
擬定計劃
信息安全管理體系的建立和維持是一項復雜的系統工程��,包括培訓�、風險評估�����、文件編寫�、運行����、審核����、 糾正和預防措施等大量的工作�����。為確保體系順利的建立����,組織應進行統籌安排�,即制定一個切實可行的工作計劃����,明確不同時間段的 工作任務目標及責任分工�,控制工作進度����,突出工作重點�����,例如采用工程進度計劃表�����?傮w計劃被批準后�,就可以針對具體工作項目 制定詳細計劃�����,例如文件編寫計劃��。在制定計劃時��,組織應考慮資源需求����,例如人員的需求�����、培訓經費��、辦公設施��、聘請咨詢公司的 費用等���,如果尋求體系的第三方認證�,還要考慮認證費用�,組織最高管理層應確保提供建立體系所必須的人力與財務資源�����。
確定信息安全方針與信息安全管理體系范圍
信息安全方針是關于在一個組織內�,指導如何對資產���, 包括敏感信息進行管理�����、保護和分配的規則��、指示����。這里所談到的信息安全方針是組織信息安全的總體方針����,組織首先應制定信息安 全方針���,描述信息安全在組織內的重要性�����,表明管理層的承諾��,提出組織管理信息安全的方法���,以便為組織的信息安全提供管理方向 與支持���。
現狀調查與風險評估
組織信息安全管理現狀調查與風險評估工作是建立信息安全管理體系 的基礎與關鍵�,在體系建立的整個過程中�,風險評估的工作量占了很大比例���,風險評估的工作質量直接影響安全控制的合理選擇�,因 此���,組織應責成專門的部門負責此項基礎性工作��,風險評估人員應理解標準的基本要求�,掌握風險評估的方法����,熟悉組織商務運作流 程與信息系統���。風險評估需要不同部門的管理��、信息技術�、操作人員參與����,必要時應獲得信息安全專家的支持�。風險評估的結果應被 確認���。
信息安全管理體系策劃
在完成現狀調查與風險評估工作之后���,組織要根據已確立的 信息安全方針的總體要求與信息安全管理體系范圍����、風險評估的結果��,明確組織信息安全結構與職責��、選擇控制目標與控制方式����、編 寫控制概要��、制定業務持續性計劃����。
ISO27000運行過程中��,組織應注意哪些方面�?
信息安全管理體系文件編制完成以后�����,組織應按照文件的控制要求進行審 核與批準����,并發布實施�,至此��,信息安全管理體系將進入運行階段��。體系運行初期一般稱為試運行期或磨合期����,在此期間體系運行的 目的是要在實踐中檢驗體系的充分性����、適用性和有效性�����。在體系運行初期����,組織應加強運作力度�,通過實施其手冊����、程序和各種作業 指導性文件等一系列體系文件��,充分發揮體系本身的各項功能�����,及時發現體系策劃本身存在的問題��,找出問題根源����,采取糾正措施����, 糾正各種不符合�����,并按照更改控制程序要求對體系予以更改�����,以達到進一步完善信息安全管理體系的目的���。
有針對性 地宣貫信息安全管理體系文件���。
體系文件的培訓工作是體系運行的首要任務���,培訓工作的質量直接影響體系運行的結 果�。組織應根據培訓工作計劃的安排并按照培訓程序的要求對全體員工實施培訓����。通過培訓使全體員工認識到新建立或完善的信息安 全管理體系是對過去信息安全管理體系的變革�,是為了向國際先進的信息安全管理標準接軌�,要適應這種變革和新管理體系的運行��, 就必須認真學習����、貫徹信息安全管理體系文件�。
實踐是檢驗真理的唯一標準���。
體系文件通過試運行 必然會出現一些問題���,全體員工應將實踐中出現的問題和改進意見如實反饋給有關部門��,以便采取糾正措施�����。
將體系 試運行中暴露出的問題��,如體系設計不周�、項目不全等進行協調����、改進���。
信息安全管理體系的運行涉及組織體系范圍 的各個部門��,在運行過程中���,各項活動往往不可避免的發生偏離標準的現象�,因此�����,組織應按照嚴密��、協調�、高效����、精簡�����、統一的原 則�,建立信息反饋與信息安全協調機制對異常信息反饋和處理��,對出現的問題加以改進�,并保證體系的持續正常運行�。
加強有關體系運行信息的管理���,不僅是信息安全管理體系試運行本身的需要�����,也是保證試運行成功的關鍵�。
所有與 信息安全管理體系活動有關的人員都應按體系文件要求�����,做好信息安全的信息收集���、分析���、傳遞�����、反饋�����、處理和歸檔等工作�。
信息安全體系文件屬于組織的信息資產�����,包含有關組織的全部安全管理等敏感信息�����,組織應按照信息分類的原則對其 進行分類����、進行密級標注并實行嚴格的安全控制���,未經授權不得隨意復制或借閱���。
ISO27000中的PDCA四個階段
策劃階段����,組織應:
定義ISMS的范圍和方針��;
定義風險評估的系統性方法���;
識別風險����;
應用組織確定的系統性方法評估風險��;
識別并評估可選的風險處理方式�;
選擇控制目標與控制方式���;
當決定接受剩余風險時應獲得管理者同意���,并獲得管理者授權開始運行信息安全管理體系���。
實施階段���,組織應該實施選擇的控制�����,包括:
實施特定的管理程序��;
實施所選擇的控制��;
運作管理��;
實施能夠促進安全事件檢測和響應的程序和其他控制�。
檢查階段��,組織應:
執行程序����,檢測錯誤和違背方針的行為 ���;
定期評審ISMS的有效性���;
評審剩余風險和可接受風險的等級���;
執行管理程序以確定規定的安全程序是否適當���,是否符合標準�,以及是否按照預期的目的進行工作��;
定期對ISMS進行正式評審���,以確保范圍保持充分性��,以及ISMS過程的持續改進得到識別并實施���;
記錄并報告所有活動和事件�。
改進措施階段����,組織應:
測量ISMS績效�;
識別ISMS的改進措施�����,并有效實施�;
采取適當的糾正和預防措施�����;
與涉及到的所有相關方磋商�、溝通結果及其措施���;
必要時修改ISMS�����,確保修改達到既定的目標�。
ISMS:ISMS(Information Security Management System)是信息安全管理體系����。ISO/IEC17799:2000它是繼ISO9000����、ISO14000和OHSAS18000之后���,又產生的一個管理體系標準—信息安全管理體系標準����。
信息安全就是組織應明確需要保護的信息資源�����,確保信息的機密性��、完整性和 可用性����,并保持良好的協調狀態���。信息安全對企業經營非常重要���,為了防止信息安全事故或事件的發生���,盡管在技術方面采取了防火 墻和入侵監測系統����,但是人為因素造成的信息機密流失仍然占有很高的比率(據說約70%)�����。因此�����,建立信息安全管理體系十分必要����。
為了建立��、實施和保持信息安全管理體系�����,首先應策劃信息安全管理體系的方針和目標����,識別����、分類和清理信息資源����,根據其危險程度�、薄弱環節和發生頻次��,實施風險控制���,包括回避����、轉移���、控制和消除風險�����。按PDCA循環模式���,建立信息安全管理體系�。建立信息安全管理體系共有8個階段�����。包括確定ISMS適用范圍�����、策劃ISMS方針目標��、策劃風險控制的過程���、識別和評估風險��、對風險控制現狀分析����、選擇和制訂管理方案����、識別存在的遺留風險和正式實施ISMS���。
用于 ISMS認證的標準有ISO/IEC17799:2000和BS7799-2:1999��。據說����,到2003年8月15日止�����,按BS7799認證的企業全世界共有282家���,其中中國有5家�。英國最多�,有99家�。ISO/IEC JTC1/SC27正在對ISO/IEC17799:2000進行修訂��。預計2004或2005年正式發布修訂版本�。采用ISO/IEC17799建立ISMS����,并取得認證的好處在于能夠建立完善的信息安全管理體系�,從管理角度防止信息系統出現安全事故或事件����;對外樹立信息系統可靠性形象�����,滿足顧客要求����,提高企業競爭能力����。認證的范圍適合于所有類型和規模的組織�,特別是涉及個人信息保護的組織�����,例如金融����、通訊�����、醫療��、社區管理�、電子商務和電子政務等�����。
如何保障信息安全���?
信息安全技術是信息安全控制的重要手段�����,一些安全性要 求高的信息系統的安全性必須借助于技術手段來實現��,但單獨依靠技術手段實現安全的能力是有限的����,而且安全技術應由適當的管理 和程序來支持�,否則�����,安全技術發揮不了其應有的安全作用��,或者當應用環境發生變化時����,不做適當的技術調整���,其安全作用會大打 折扣���,甚至喪失�����。信息安全來自“三分技術�����,七分管理”�����,必須注重信息安全管理�,而且信息安全管理需要組織所有員工 的參與����,還需要供應商��、客戶的參與��,以及組織以外的專家建議�����。
信息安全管理是指導和控制組織的關于信息安全風險的相互協調的活動����, 關于信息安全風險的指導和控制活動通常包括制定信息安全方針��、進行風險評估�、確定控制目標����、選擇控制方式�����、實施風險控制�、獲得安全保證等�����。信息安全管理實際上是風險管理的過程����,管理的基礎是風險識別與評估���。
系統的信息安全管理體現以 下原則:
• 制定信息安全方針為信息安全管理提供導向和支持����;
• 以風險評估為基礎選擇控制目標與控制方式�;
• 考慮控制費用與風險平衡的原則���,將風險降低到組織可接受的水平�;
• 預防控制為主 的思想�����;
• 業務持續性原則�����,即從故障與災難中恢復業務運作�����,減少故障與災難對關 鍵業務過程的影響��;
• 動態管理原則���,即對風險實施動態管理�;
• 全員參與的原則��;
遵循管理的一般循環模式 ——Plan (策劃) -Do(執行)-Check(檢查)-Act(措施)的持續改進模式��。
ISO27001標準簡介
世界廣泛采用的關于信息安全管理體系的英國標準——BS 7799-2:2002��,經修訂后�,于2005年10月15日作為國際標準ISO/IEC27001:2005發布��。
本文旨在向組織指出標準的變化及在實際應用中的意義����,協助組織做好向新標準過渡的準備���。
新標準的正式標題是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技術-安全技術-信息安全管理體系-要求》這意味著它不僅僅是IT標準�����,標題中的“信息技術-安全技術”表明它還是以ISO委員會(JTC1/SC27)的名義發表的��。該標準的焦點還是放在貫穿組織的信息安全管理上�。盡管大部分控制在實際中會在IT部門或IT組織內部實現����,但總體上標準執行的重點仍應放在業務信息的風險上�����。
標準的主要改變在于它現在是國際公認的����,這意味著除了英國標準的國際認可���,組織可以構建一個全球性的框架來管理他們的信息安全����。不管是為了組織自身的商業信息�����,如財政信息�,知識產權�,職員資料等等��,或者是客戶或第三方與組織間溝通的信息�����,標準都是適用的����。實際上��,它是組織能夠對他們的信息安全管理系統進行客觀獨立評估的唯一國際標準�����。
新版的國際標準已經有一系列更新來闡明鞏固原始英國標準——BS 7799-2:2002的要求����。這些更新主要集中在以下范圍:風險評估��、合同責任��、范圍���、管理決策以及所選控制措施有效性的測量等�。對于采用BS7799-2:2002的組織來說��,新版的國際標準并沒有太大的影響����。最大的影響就是要求對所選的控制措施或控制措施組合的有效性進行測量�����。(詳見ISO/IEC 27001:2005的4.2.2 d)
下面是該標準重大改變的解釋概要��。附錄A是一個顯示BS 7799-2:2002和 ISO/IEC 27001:2005之間的變化的表格�������!禝SO/IEC 27001:2005》����。
范圍和界線
在執行信息安全管理體系的時候��,組織所要做的第一件事就是定義ISMS的范圍���,F在國際標準要求組織定義ISMS的范圍和界線[4.2.1 a]�����,包括被排除在范圍外的詳細說明及理由�。盡管富有經驗的BSI審核員在評估過程中也會尋找這些東西�,但是現在把這個要求加到標準中了�,如果組織打算超越根據2002版標準取得的認證而達到新標準的要求��,就必須把這個要求考慮在內��。
評估風險
該國際標準的基礎是:信息的保護是基于業務信息的風險����,該風險能促使組織運用合適的措施來保護業務的安全���。很少有業務信息會暴露在多種風險之下�����,因此太多的安全措施可能使公司花費過多的成本�。
標準的一個重大改變是組織現在需要詳細說明(并文件化)風險評估的步驟[4.2.1 c]�,這也意味著挑選并文件化風險評估方法將會使風險評估“產生可比較���、可重復的結果” [4.2.1 c 和 4.3.1 d]��。目前已通過BS 7799-2:2002認證的組織不會把這點看成一個比較大的變化�,因為在評估過程中已經考慮過它了�����。打算通過BS 7799-2:2002認證的組織可能會把它看成該國際標準的新要求�。
風險評估按照計劃的時間間隔[4.2.3 d]進行復查�����,對風險評估和風險處理計劃[7.3 b]的更新進行復查管理已經是標準的要求����。這個要求必須作為組織信息安全管理體系的管理復查的一部分[7.1]�����,至少一年完成一次�����。
在對BS 7799-2:2002版標準進行審核的過程中����,審核員應該根據ISMS的方針和目標[4.3.1]�,尋找所選擇的控制措施與風險評估結果和風險處理程序之間的關系����。盡管BS 7799-2:2002標準提到過這點����,但現在已經在國際標準中闡明了���。想獲得BS 7799-2:2002認證的組織可以把它看作國際標準的新要求�����。
合同責任
除了法律法規的要求��,該國際標準還特別強調在所有ISMS所有過程中的合同責任��,包括風險評估��、風險處理����、控制選擇�����、記錄控制��、資源����、ISMS的監視和復查���、以及文件要求�。
通過BS 7799-2認證的組織現在需要做什么����?
需要特別注意的是:新的國際標準是雙重的����,既可以是ISO/IEC 27001:2005�,又可以是 BS 7799-2:2005����。這種情況會持續一段時間(預期2年左右)���,這就意味著BS 7799-2:2005認證和ISO/IEC 27001:2005認證沒有什么不同��。然而����,目前所有通過現行的BS 7799-2:2002認證的組織必須考慮2005版本的變化�,及時更新他們信息安全管理體系��。
通過BS 7799-2:2002認證的組織會逐步轉換到ISO/IEC 27001認證���。轉換期限多久現在還不得而知��,要等待國際認可論壇(IAF)��,或國家認可機構(如UKAS)發表正式聲明來公布�����。實際上��,在以后的監督審核中��,會把這些不同點考慮在內��;如果合適的話�,建議客戶取得ISO/IEC 27001:2005標準的認證��。
如果在轉換期內客戶不及時轉換到新標準�,一直停留在舊標準�����,審核員可以把與ISO的不一致作為“注釋/觀察項”記錄在案���。一旦轉換期結束���,觀察項就上升為不符合項���,證書的注冊就存在了風險����。
新標準發布后����,就可以依據ISO/IEC 27001:2005進行認證了��。
附錄A變化摘要
|
BS7799部分2:2002(條款號)
|
ISO/IEC 27001:2005(條款號)
|
變化和差異的注解
|
|
1.2應用
|
1.2應用
|
確定對ISO/IEC 27001條款4-8的刪減都是不可接受的���,解釋在何種情況下對控制進行了刪減是可能的��。
|
|
3術語和定義
|
3術語和定義
|
從ISO/IEC 13335-1:2004���,ISO/IEC TR 18044:2004和ISO/IEC指南 73:2002中添加定義�����。
改變部分現有定義以配合ISO/IEC 13335-1:2004標準���。重新明確定義了“風險處理”和“適用性聲明”���。
|
|
4.2.1 建立ISMS項目a)定義ISMS的范圍
|
4.2.1 建立ISMS
項目a)定義ISMS的范圍和界線
|
現在,定義了ISMS的“范圍和界線”的要求�����。要求包括:1���、說明在范圍內的部分2�����、解釋被排除在范圍外的理由����。
|
|
項目c)定義風險評估的系統方法
|
在項目c) 中的第二句“定義組織的風險評估方法”被刪除后新增了一條��。
|
新增一條對現有的要求進行闡明和補充���。
同時聲明風險評估方法應產生可比較�����、可重復的結果���。
|
|
項目g)為風險處理選擇控制目標及控制���。
|
項目g)“為風險處理選擇控制目標及控制”已經被延伸了���。
|
現有的要求加上了這樣的闡釋:選擇應該考慮到在法律�、法規及合同的要求范圍內接受風險的標準��。
|
|
項目h)準備適用性聲明�����。
|
項目j)添加了新項目j)2)“準備適用性聲明”���。
|
闡明了現有關于適用性聲明的要求���。
現在強調它要包括當前實施的控制目標及控制����。
|
|
4.22實施和運作ISMS
|
4.22實施和運作ISMS
新增項目d) 定義如何測量有效性��。
|
這可能是實施和運作ISMS過程中最大的改變���,要求定義如何測量控制及控制組合的有效性�,要求詳細列出測量方法使控制效果評估產生可比較�����、可重復的結果���。
|
|
4.2.3監控和評審ISMS
項目a)執行監控程序及其它的控制��。
|
4.2.3監控和評審ISMS
項目a) 4)添加了“執行監控程序及其它的控制以探測安全事件”�����。
項目c)添加了“測量控制的效力”����。
|
闡明了有助于預防安全事故的安全事件探測���。
包括使用指標�。
|
|
項目c)評審剩余風險和可接受風險����。
|
新增項目d) 5)按計劃的時間間隔評審風險評估�����,評審剩余風險和可接受風險����,評審時要考慮現行控制的有效性的變化��。
新增項目g)更新安全計劃
|
與4.2.2.d結合以監控ISMS的效力�����。
現有要求的闡述����,幫助監測現行控制的效果���。
闡述和補充了以下要求:根據監控評審活動的發現來監控評審ISMS以更新安全計劃的要求����。
|
|
4.31概要
|
4.31概要第一段
|
闡明:文件要包括管理決策的記錄���,活動要根據管理決策和方針進行�����,記錄/結果是可重復的���。
|
|
|
第二段
|
新增一句說明所選擇的控制與風險評估和風險處理過程的關系�����,以及與ISMS方針和目標的關系�����。
|
|
|
新增項目d)風險評估方法的描述
|
風險評估方法的描述要包含在文件中�����。
|
|
項目e)文件化的程序
|
項目g)“文件化的程序”已經被更新了
|
闡明并補充了描述如何測量控制的有效性的要求�。
|
|
4.3.2文件控制
|
4.3.2文件控制
新增項目f) 確保文件是可用的
|
闡述了確保使用者可以獲得所需文件的要求�����,及文件的轉移存儲和最終處置要按照合適的等級來處理����。
|
|
5.1管理承諾
|
5.1管理承諾
新增項目g)保證ISMS內部審核得到管理�����。
|
在管理承諾中聲明確保ISMS內部審核得到管理��。
|
|
條款6.1 到6.3
|
條款7.1 到7.3
|
移動的章節
|
|
條款7.1 到7.3
|
條款8.1 到8.3
|
移動的章節
|
|
6.2評審輸入
|
7.2評審輸入
新增項目f) 有效性測量的結果
|
移動的章節
新增了有效性測量的結果����。
|
|
6.3評審輸出
|
7.3評審輸出
新增項目b)更新風險評估和風險處理計劃���。
|
移動的章節
闡明確保更新風險評估和風險處理計劃�����。
|
|
項目c) 必要時�����,修改影響信息安全的程序����,以響應對ISMS造成影響的內外事件�。
|
項目c) 必要時���,修改影響信息安全的程序和控制��,以響應對ISMS造成影響的內外事件����。包括合同責任的改變�����。
|
闡明包括合同責任的改變��。
|
|
|
新增項目e)改進控制有效性的測量方法���。
|
加進了“改進控制效力的測量方法�����!钡穆暶��。
|
|
6.4 ISMS內部審核
|
6.4ISMS內部審核
|
現在是第六章的唯一要求�����。
|
|
7.3預防措施
|
8.3預防措施
項目8.3b)“評估采取措施預防不符合發生的必要性”
|
移動的章節
闡明預防措施��。評估采取措施預防不符合發生的必要性
|
|
附錄A
|
附錄A
|
根據ISO/IEC 17799:2005的修訂版本更新附錄A
|
|
附錄B和表B1
|
附錄B
|
除了說明OECD原則和本國際標準之間的關系的表格外�����,其他被刪除���。刪除的部分可能被ISO/IEC作為發展成新指南的基礎����。
|
|
附錄C
|
附錄C
|
更新后的版本
|
|
附錄D
|
|
從ISO/IEC 27001:2005版本中刪除��。
|
ISO27000系列標準介紹(1)
ISO已為信息安全管理體系標準預留了ISO/IEC 27000系列編號����,類似于質量管理體系的ISO9000系列和環境管理體系的ISO14000系列標準��。規劃的ISO27000系列包含下列標準:
ISO27000
ISO27001
ISO27002
ISO27003
ISO27004
ISO27005
ISO27006
ISO27007
上述標準中��,ISO 27001是ISO 27000系列的主標準�����,類似于ISO 9000系列中的ISO9001�,各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系(ISMS)��,并通過認證���。目前的有效版本是ISO/IEC 27001:2005���。
注:上述標準以ISO發布的為準��。
ISO27000系列標準介紹(2)
Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
信息技術—安全技術—信息安全管理體系—概況與術語
該標準目前已完成委員會草案��,計劃2007年11月完成最終標準草案����,2008年5月發布��。
標準介紹:
該標準對應用于信息安全管理體系的ISO/IEC27000系列標準的概況�����、狀態和關系提供說明���,并規定了與ISO/IEC 27000 ISMS系列標準相關的術語���。
ISO/IEC 27000標準有三個章節����,第一章是標準的范圍說明���,第二章對ISO27000系列的各個標準進行了介紹�,說明了各個標準之間的關系�,包括:ISO27000����,ISO27001����,ISO27002���,ISO27003���,ISO27004�,ISO27005��,ISO27006����。第三章給出了與ISO27000系列標準相關的術語和定義���,共63個���。
ISO/IEC 27001
Information technology -- Security techniques -- Information security management systems --Requirements
信息技術—安全技術—信息安全管理體系—要求
該標準源于BS7799-2�,主要提出ISMS的基本要求��,已于2005年10月正式發布���。
標準介紹:
ISO27001用于為建立����、實施�����、運行���、監視����、評審�、保持和改進信息安全管理體系(Information Security Management System��,簡稱ISMS)提供模型�。采用ISMS應當是一個組織的一項戰略性決策���。一個組織的ISMS的設計和實施受業務需求和目標�����、安全需求��、所采用的過程以及組織的規模和結構的影響���。上述因素及其支持過程會不斷發生變化�。期望信息安全管理體系可以根據組織的需求而測量����,例如簡單的情形可采用簡單的ISMS解決方案�����。
ISO27001標準可以作為評估組織滿足顧客����、組織本身及法律法規的信息安全要求的能力的依據�����,無論是組織自我評估還是評估供方能力��,都可以采用�����,也可以用作獨立第三方認證的依據�����。
ISO/IEC 27002
Information technology -- Security techniques -- Code of practice for information security management
信息技術—安全技術—信息安全管理實踐規則
該標準將取代 ISO /IEC 17799:2005 �,直接由ISO/IEC 17799:2005更改標準編號為ISO/IEC 27002�,計劃2007年4月實施�。
標準介紹:
本標準為在組織內啟動�、實施���、保持和改進信息安全管理提供指南和通用的原則�����。本標準概述的目標提供了有關信息安全管理通常公認的目標的通用指南�����。
本標準的控制目標和控制措施預期被實施以滿足由風險評估所識別的要求���。本標準可以作為一個實踐指南服務于開發組織的安全標準和有效的安全管理實踐�,幫助構建組織間活動的信心����。
本標準包含的實施規則可以認為是開發組織具體指南的起點����。本實施規則中的控制和指導并不全都是適用的�����。而且�,可能需要本標準中未包括的附加控制和指南���。當開發包括附加控制和指南的文件時�����,包括對本標準適用的條款進行交叉引用可能是有用的�����,該交叉引用便于審核員和商業伙伴進行符合性核查��。
ISO/IEC 27003
Information technology -- Security techniques -- Information security management systems implementation guidance
信息技術—安全技術—信息安全管理體系實施指南
標準介紹:
該標準為按照ISO/IEC 27001建立�、實施�、運作�����、監控�、評審����、維持和改進信息安全管理體系提供應用實施指南�。
該標準適用于所有類型�、所有規模和所有業務形式的機構���。各類組織可以利用本標準��,實施符合ISO/IEC 27001的信息安全管理體系��。
ISO/IEC 27004
Information technology -- Security techniques -- Information security management —Measurements
信息技術—安全技術—信息安全管理—測量
該標準闡述信息安全管理的測量和指標����,用于測量信息安全管理的實施效果�,預計2008年5月發布���。 該標準目前處于委員會草案狀態���。
標準介紹:
本標準提供指南和建議��,用于評估按照ISO/IEC 27001建立的ISMS��、控制目標以及控制措施的有效性��。
管理者可以使用本標準作為有效的測量方法�����,判斷信息安全管理體系的有效性�����。測量結果可以作為評審現有控制有效性的輸入����,以決定是否需要更改或改進���。
ISO/IEC 27005
Information technology -- Security techniques --Information security risk management
信息技術—安全技術—信息安全風險管理
該標準以BS7799-3和ISO13335為基礎�,預計2007年11月發布�。該標準目前處于最終委員會狀態�����。
標準介紹:
本標準描述了信息安全風險管理的要求�,可以用于風險評估���,識別安全要求�����,支撐信息安全管理體系的建立和維持�。
ISO/IEC 27006
Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems
信息技術—安全技術—信息安全管理體系審核認證機構要求
標準介紹:
該標準對提供ISMS認證的機構提出要求�����,所有提供ISMS認證服務的機構需要按照該標準的要求證明其能力和可靠性�。
ISO/IEC 27007
Information technology -- Security techniques – ISMS auditor guidelines
信息技術—安全技術—信息安全管理體系審核員指南
ISO27001信息安全管理系統標準
在日趨網絡化的世界里��,「信息」對建立競爭優勢起著舉足輕重的作用���。但它同時也是柄雙刃劍�����,當信息被意外或刻意的傳給惡意的接收者時�,同樣的信息也可能導致一所機構倒閉����。在當今的信息時代��,科技無疑為我們解決了不少問題�。
國際標準組織(ISO)應此類需求��,制定了ISO27001:2005標準�,為如何建立����、推行��、維持及改善信息安全管理系統提供幫助��。信息安全管理系統(ISMS)是高層管理人員用以監察及控制信息安全��、減少商業風險和確保保安系統持續符合企業�����、客戶及法律要求的一個體系�。ISO/IEC 27001:2005 能協助機構保護專利信息�����,同時也為制定統一的機構保安標準搭建了一個平臺���,更有助于提升安全管理的實務表現和增強機構間商業往來的信心與信任�。
什么機構可采用 ISO/IEC 27001:2005 標準����?
任何使用內部或外部電腦系統��、擁有機密資料及/或依靠信息系統進行商業活動地機構�,均可采用 ISO/IEC 27001:2005標準���。簡單的說�����,也就是那些需要處理信息����、并認識到信息保護重要性的機構��。
ISO/IEC 27001 的控制目標及措施
ISO/IEC 27001制定的宗旨是確保機構信息的機密性��、完整性及可用性��,為達成上述宗旨����,該標準共提出了39個控制目標及134項控制措施����,推行ISO/IEC 27001標準的機構可在其中選擇適用于其業務的控制措施�����,同時也可增加其他的控制措施����。而與ISO/IEC 27001相輔的 ISO 17799:2005 標準是信息安全管理的實務守則���,為如何推行控制措施提供指引�����。
