1概述
ISO/IEC27001信息安全管理體系由引言、正文以及附錄三個部分組成。
ISO/IEC27001信息安全管理體系的引言部分包括三個部分,即0.1總則、0.2過程方法、0.3與其他管理體系的兼容性。
“0.1總則”描述了制定ISO/IEC27001信息安全管理體系的用途和應用對象。為建立、實施、運行、監視、評審、保持和改進信息安全管理體系提供了模型。
這種模型是高度概括的,也不正對具體的行業,因此標準中指出:按照組織的需要實施ISMS,是本標準所期望的。簡單的情況可以采用簡單的ISMS,這意味著應用組織可以裁減使用。正文的第四章到第八章的內容基本可以認為是建立PDCA模型的過程。
“0.2的過程方法”對過程、過程方法以及該標準所采用的PDCA模型進行了描述。
標準開門見山地指明:本標準采用一種過程方法來建立、實施、運行、監督、評審、保持和改進一個組織的ISMS。這句話說明了本標準時采用的過程方法。
過程方法被廣泛的應用于目前所流行的標準中,ISO/IEC27001信息安全管理體系所應用的過程方法有其特別之處:
① 理解組織的信息安全要求和建立信息安全方針與目標的需要
② 從組織整體業務風險的角度,實施和運行控制措施,以管理組織的信息安全風險
③ 監視和評審ISMS的執行情況和有效性
④ 基于客觀測量的持續改進有很多現行的模型都可以滿足工程過程方法的要求,而本標準首先要滿足上述四點。
理解這四點時,應該注意:
① 從組織的整體出發,不能為了安全而安全,基于此,組織對安全的需求是不同的,絕對的安全或者過度的安全都是不必要的,甚至是浪費的。
② 信息安全風險的管理必須考慮整體業務風險,因為信息系統不是組織的全部,不去考慮整體的業務風險,就沒有站在組織的視角去理解信息安全,而且脫離整體業務考慮的控制,也不可能真正解決組織信息安全的問題。
③ 注重監視和評審,監視和評審時持續改進的基礎。如果缺乏對執行的有效的測量,改進就成了無的放矢。
“0.3與其他管理體系的兼容性”
目前國際化標準組織推出了四個管理體系標準
④ ISO27001信息安全管理體系
這四個管理體系都采用了系統的方法,即PDCA模型,越來越多的組織會選擇其中幾個甚至全部在組織內應用,顯然,讓各個體系各行其是是不現實的。
因此,標準指出:一個設計適當的管理體系可以滿足所有這些標準的要求。管理體系的整合已經成為大勢所趨。基于“三標(除信息安全)”的整合管理體系在國內比 較常見,也有大量的參考資料。基于“四標”的整合管理體系國內有實施,例如:國家電網浙江寧波電業局的基于流程的資料、職業健康安全、環境和信息安全四標 一體整合管理體系,但是目前還沒有公開資料。
2正文解析
ISO/IEC27001的正文分為8章,分別為:
① 范圍;
② 規范性引用文件;
③ 術語和定義;
④ 信息安全管理體系;
⑤ 管理職責;
⑥ 內部信息安全管理體系審核;
⑦ 信息安全管理體系的管理評審;
⑧ 信息安全管理體系的改進;
標準的開始就說明了下面的原則:本出版物不聲稱包括一個合同所有必要的規定。用戶負責對其進行正確的應用。符合標準本身并不獲得法律義務的豁免。
對管理流程的認證和對產品的認證是兩種不同的概念,后者注重結果,前者注重過程。理論上講,按照本標準的要求部署信息安全管理體系后,會防止信息安全事件的 發生,但是不能百分之百的保證,更不能理解為符合標準就獲得法律義務的豁免。管理流程是諸多經驗的總結,而且在實踐明也是有效的。
對于結果的證明是很難實現的,但是對于規范的流程是可以向客戶證明的。
信息安全管理體系正是提供了這樣一個完整的管理流程,我們無法保證這種方法是正確的或者是唯一的,但是至少在實踐中試行之有效的。
2.1范圍解析
ISO/IEC27001不專門針對某個行業,而是適用所有類型組織,對于具體行業中的應用,在ISO/IEC27000族標準中的其他標準中討論。標準的主要內容有兩個部分:
(1) 從組織的整體業務風險的角度,為建立、實施、監視、評審、保持和改進文件化的信息安全管理體系規定了詳細的要求。
(2) 為適應不同組織或其部門的需要而制定的安全控制措施的實施要求。
2.2規范性引用文件解析
ISO/IEC27001明確了ISO/IEC27002為其應用標準。
ISO/IEC27002:2005《信息安全管理實用規則》作為一個通用的信息安全控制措施集,是目前發布的兩個信息安全管理體系標準之一,這些控制措施涵蓋了信息安全的各個方面,為信息安全管理體系的建設提供了控制措施的選擇依據。
該標準把控制措施分為11個安全領域,分別是:
(1)安全方針
(2)信息安全組織
(3)資產管理
(4)人力資源安全
(5)物理和環境安全
(6)通信和操作管理
(7)訪問控制
(8)信息系統獲取開發和維護
(9)信息安全事故管理
(10)業務連續性管理
(11)符合性
這11個方面進一步分為39個安全類型和133條控制措施,每條控制措施的描述則包括了較為詳細的實施方法,因此該標準可以作為信息安全管理體系的實施指南。
1.安全方針解析
安全方針,是組織總體方針文件的一部分,其作用是一句業務要求和相關法律法規提供管理指導并支持信息安全。
信息安全方針是通過文件的方式進行體現。信息安全方針文件時組織信息管理者確定的信息安全方針文件化,應該包括下面內容:
① 信息安全的定義以及信息安全在信息共享機制下安全的重要性。
② 信息安全的整體目標以及管理者的意圖。
③ 信息安全的范圍。
④ 信息安全目標和原則。
⑤ 控制目標和控制錯的框架,包括風險評估和風險管理的結構。
⑥ 對于組織特別重要的安全方針策略、原則、標準和符合性要求的簡要說明。
⑦ 信息安全管理的一般和特定職責的定義。
⑧ 對于支持方針的文件的引用。
信息安全方針文件應該由管理者批準、發布并傳達給所有員工和外部相關方。在編寫信息安全方針文件時,必須注意到其預期讀者比較廣泛,因此必須以適合的、可訪問的和可理解的形式進行表達。
2.信息安全組織解析
組織分為內部組織和外部組織兩個大部分。
在組織內部應該通過組織結構和組織活動來支持信息安全,首先應建立管理框架,啟動和控制組織范圍內的信息安全的實施,管理者應批準信息安全方針、指派安全角 色以及協調和評審整個組織安全的實施。若需要,要在組織內建立專家信息安全建議庫,并發展與外部安全專家或者組織的聯系,以便跟上行業的趨勢、跟蹤標準和 評估方法,并且處理信息安全事件時,提供合適的聯絡點。
組織的外部的安全問題 也必須加以考慮,組織的信息處理設施和信息資產的安全不應該由于外部的產品或者服務而降低,任何外部對這種信息處理設施的訪問,對信息資產的處理和通信都 應該給以控制。對于外部各方的信息安全控制,以防止外部方隊組織信息處理設施進行訪問,對信息資產進行處理以及通信過程中的安全事件的發生。
3.資產管理解析
資產是組織內部所有有用的東西,因此,資產的概念是寬泛的。對于大部分組織來說,傳統資產的管理是完善的,但是對于信息本身來說卻沒有很好的管理。本標準在引言中就已經指出:信息是一種資產,像其他業務資產一樣,對組織具有價值。
要想把資產管理好,首先要識別所有的資產并形成完善的清單,而且要把資產重要性形成文件,這樣在實際的管理中就做到了心中有數。資產清單可以幫助組織從災難 中恢復所需要的信息,包含的項目有資產的類型、格式、位置、備份信息、許可證信息也業務價值等。這些項目不一定要在一個相同的清單中,它們可以分散到很多 清單中去,但是必須保證這些清單是相關聯的。
資產清單中包括了另一個重要的欄目、即資產的負責人。與信息處理設施有關的所有信息和資產應該由指定的部門或者人員承擔責任。
資產負債人應負責:
a)確保與信息處理設施相關的信息和資產進行了適當的分類;
b)確定并周期性評審訪問限制和分類,要考慮到可應用的訪問控制策略。
對 于普通的用戶而言,關心的是資產能提供合格的服務。那么,任何引導他們正確地使用資產?所有雇員、承包方人員和第三方人員應該遵循信息處理設施相關信息與 資產的可接受的使用規則。這其中包括很多方面,對所有的資產都應該有具體的使用規則和指南。在很多情況下,這些規則或指南,可能不是獨立的,可能被劃歸到 對信息系統的合格使用問題上。
4.人力資源安全解析
所有的管理活動都不能離開“人”這個主體的參與,事實上,一個組織重要的、有價值的信息相當一部分存在員工的大腦中,許多信息安全事件是由人而起的。“人”在信息安全活動中是最復雜、最難控制的保護對象。
信 息安全意識的好壞直接影響信息安全管理體系效果。組織的所有雇員,適當時,包括承包方和第三方人員,應該受到與其工作職能相關的適當的意識培訓和組織方針 策略程序的定期更新培訓。在所有的雇員、承包方人員和第三方人員在終止任用、合同或者協議時,應歸還他們使用的所有組織資產。這些資產主要包括:
a)軟件、公司文件和設備;
b)其他組織資產,例如移動計算設備、信用卡、訪問卡、軟件、手冊;
c)存儲于電子介質中的信息。
歸還資產和撤銷訪問權應是在終止或變化時必須執行的步驟。很多信息安全事故都是由于人員任用終止,而服務權沒有相應終止,由心懷怨恨的雇員引起的。
5.物理和環境安全解析
物理和環境的安全控制不僅是信息安全的需要,也是傳統安全的要求。一個組織無論是否考慮信息安全問題,都有吧物理和環境安全做好。
設備的環境安全部分涉及:安全邊界的定義,入口的控制,辦公室、房間和設施一直到外部環境威脅的安全保護,還包括工作的安全區域和公共訪問和交接區。
設備安全部分從設備購置后的安置和保護,到支持性設施的保護,再到布電纜投入運行,一直到最后的處置和再利用。之間包括了設備的正確維護、移動,以及場所外如何保證安全的問題。
6.通信和操作管理解析
這里的“通信”是廣義的通信的概念,主要是指信息是交換、溝通和交流等活動。操作是指對信息處理設備和設施、信息系統、軟件等的操作。
為了保證對所有的有需求的用戶可用,與信息處理和通信設施相關的系統活動要具備形成文件的程序,例如計算機啟動和關機程序、備份、設備維護、介質處理、計算機機房、郵件處置管理和物理安全等。要將操作程序和系統活動的文件化程序看做正式的文件,其變更由管理者授權。
操作程序文件和信息系統的變更一定要保持一致。而信息系統的各種操作可能比較繁雜,技術上可行時,信息系統應該使用相同的程序、工具和實用程序進行一致的管理。
對于信息處理設施、操作系統和應用軟件等變更應該由嚴格的控制。只有規范了變更程序,才能保證操作程序文件和實際操作的一致性,更重要的是這些變更可能會引入新的風險,必須有批準、記錄、備份等才能保證變更的安全性。
在分配職責時,應該盡量讓權限最小化,以盡量降低未授權或無意識的修改或者不當使用組織資產的機會。
7.訪問控制
訪問控制的目標是隊長對信息的訪問,目前已經發展成為保護信息安全的最重要的手段之一。對信息、信息處理設施和業務過程的訪問應在業務和安全要求的基礎上予 以控制。因此,訪問控制策略必須基于業務和訪問的安全要求,訪問控制規范要考慮到信息傳播授權的策略。在訪問策略中應該清晰地敘述每個用戶或者一組用戶訪 問控制規則和權力。訪問控制既是邏輯的也是物理的,應該引起考慮。
訪問控制策略要以用戶的訪問管理為基礎,首先應有正式的用戶注冊和注銷程序。未授權或者撤銷所有信息系統及服務的訪問。用戶注冊是用戶管理生命周期的開始,注冊必須使用唯一的ID與用戶行為聯系起來。
口令的分配和控制必須有正式的管理控制過程。口令的使用也必須培養良好的用戶習慣。管理者必須對用戶的訪問進行定期審查,某些用戶可能從一個部門掉到另一個部門,這時候必須重新分配用戶的訪問權。
8.信息系統獲取、開發和維護解析
本章主要對信息系統購置、開發建設以及系統運行維護過程中的信息安全有關方面提出了詳細的控制目標和控制措施。
安全應該貫穿信息系統的生命周期,從需求階段必須對安全提出要求。組織的大部分信息系統可能都是買的,那么購買產品之后就進行常規的測試和需求處理。與供貨商簽的合同上應該確切地標明安全需要。
應用中的正確處理的目的是防止應用系統中的信息的錯誤、遺失、未授權的修改以及誤用。其中三個方面的內容:輸入與輸出數據的驗證和內部處理的控制,與規范的程序編碼要求是完全一致的。
9.信息安全事件管理解析
無論采取什么樣的控制措施,都不可能達到百分之百的安全,總有可能發生信息安全事件,因此亡羊補牢式的信息安全事件便成了整個管理體系中的重要的一環。
信息安全事件猶如信息安全管理體系中的不合格品,必須采取措施加以預防。這就要求雇員、承包方和第三方人員都有盡可能快的按照正式的事件報告和上報程序,將信息安全事態和弱點報告給指定的聯系點,以便盡早采取措施,降低信息安全事件發生的可能性。
信息安全事件的檢測室事件管理的開始,應該建立正常的信息安全事件報告、事故應答和分類機制,在接到信息安全事件報告后著手采取措施。應建立管理職責和程 序,以確保能對信息安全事故作出快速、有效和有序的響應。應建立一套機制來量化、監視和評審信息安全事故,積累事故的歷史數據,可以有效的估算發生的頻率 和發生后的損失,而且可以有效的采取措施防止事故的再次發生。
10.業務連續性管理解析
對企業來說,業務連續性管理是一項重要的、綜合的管理,涉及企業的諸多方面,是信息安全活動中很重要的一個方面。
防止業務活動中斷,保護關鍵業務過程免受信息系統重大失誤或災難的影響,并確保他們的及時恢復。為通過和恢復控制的組合,將對機構的影響減少到最低水平,并能從信息資產的損失中恢復到可以接受的程度,實現業務連續性管理過程。
11.符合性解析
滿足我國當前的法律法規中關于信息安全方面的要求是任何組織必須要做到的,其次是滿足合同要求、組織制定的規章制度和技術要求等。
對于法律法規方面的要求,應從組織的法律顧問或者合格的法律從業人員處獲得特定的法律要求建議。法律要求因國家而異,而且對于在一個國家產生的信息發送到另一個國家的法律要求也不同。法律方面的要求也包括知識產權、記錄保持、數據以及密碼控制等方面。
對于組織自身安全策略和標準以及技術符合性,則應定期評審信息系統的安全,這種評審應按照適當的安全策略進行。審核技術平臺好信息系統,看其是否符合適用的安全實施標準和文件化的安全控制措施。
3附錄部分
ISO/IEC27001 的附錄分為附錄A、附錄B和附錄C三部分。附錄A為規范性附錄,列出了實施信息安全管理系統的控制目標和控制措施,與中文部分內容一樣,在附錄A中選擇控 制目標和控制措施是規定的信息安全管理系統過程的一部分。附錄B和附錄C屬于資料性附錄,附錄B中的列表經濟合作與發展組織原則和該標準的對照,附錄C列 出了ISO/IEC27001與ISO9001:2000以及ISO:2004之間的對照。附錄B和附錄C的內容僅供參考。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
