為什么要認證ISO27001信息安全管理體系
一、ISO 27001的產生背景和發展歷程
ISO 27001源于英國標準BS7799的第二部分,即BS7799-2 《信息安全管理體系規范》。
BS7799標準由英國貿易工業部制定,BS 7799-1:1995《信息安全管理實施細則》提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定各類信息系統通用控制范圍的唯一參考基準,并且適用于大、中、小組織。BS7799-2 《信息安全管理體系規范》規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。 2000年12月,BS7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準-----ISO/IEC 17799:2000《信息技術—信息安全管理實施細則》。2005年6月,ISO 對ISO/IEC 17799進行了改版,新版標準為 ISO/IEC 17799:2005《信息技術—安全技術—信息安全管理實施細則》。
2002年,BSI對BS7799-2:2000《信息安全管理體系規范》進行了改版,發布了 BS7799-2:2002《信息安全管理體系規范》。
2005年10月,BS7799-2:2002通過了國際標準化組織ISO的認可,正式成為國際標準ISO/IEC 27001:2005《信息技術—安全技術—信息安全管理體系要求》。
二、ISO27001是什么?
ISO27001是有關信息安全管理的國際標準。該標準可用于組織的信息安全管理體系的建立和實施,保障組織的信息安全,采用PDCA過程方法,基于風險評估的風險管理理念,全面系統地持續改進組織的安全管理。其正式名稱為:《ISO/IEC 27001:2005 信息技術-安全技術-信息安全管理體系-要求》
三、ISO 27000系列標準介紹
規劃的ISO27000系列包含下列標準
ISO 27000 原理與術語Principles and vocabulary
ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎)
ISO 27002 信息技術—安全技術—信息安全管理實踐規范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理體系—風險管理ISMS Risk management ISO 27004 信息安全管理體系—指標與測量ISMS Metrics and measurement ISO 27005 信息安全管理體系—實施指南ISMS Implementation guidelines
其中ISO27001:2005 、ISO27002:2005 的已經在2005年發布為正式國際標準發布。
ISO27001是ISO27000系列的主標準,類似于ISO9000系列中的ISO9001,各類組織可以按照ISO27001的要求建立自己的信息安全管理體系(ISMS),并通過認證。目前的有效版本是BS7799-2:2002。當ISO27001正式發布后,BS7799-2:2002將被撤銷。
注:上述標準以ISO發布的為準。
四、為什么需要信息安全
信息及信息安全
信息像其他重要的商務資產一樣,也是一種資產,對一個組織而言具有價值,因而需要被妥善保護。信息安全使信息避免一系列威脅,保障了組織商務的連續性,最大限度地減小組織的商務損失,順利獲取投資和商務回報。信息可以以多種形式存在。它可以是打印或寫在紙上(如:書面的財務報表等);電子形式存貯(如:一個組織ERP系統的備份磁帶);通過郵件或用電子手段傳輸;顯示在膠片上;表達在會話中。不論信息采用什么方式或采取什么手段共享和存貯,因為它有價值,應該得到妥善的保護。
信息安全主要體現在以下三個方面:
一是保密性。保密性是指確保信息資料,特別是重要的信息資料,不流失,不被非本部門人員非法盜用。比如銀行的儲戶信息,醫院的病人就醫資料,政府機關、安全部門的機密文件,企業的客戶資料、商務信息、專利、專有技術資料等等,應該給誰看,不應該給誰看,什么級別/部門的人員可以看什么密別的信息資料,如何儲存保管,都應制定具體的措施、規范,以防止因信息流失而造成不良影響和重大經濟損失。
二是完整性。所謂信息資料的完整性,是指信息資料不丟失、不少缺。比如采取一定的措施防止存貯在電腦中的磁盤文件不因操作不當或病毒的侵襲而導致文件的殘缺或丟失。再如防止存貯的打印文件因霉變、蟲蛀而殘缺、損壞,防止水災、火災、盜竊而毀損文件和資料等。
三是可用性。可用性是指當需要某一信息資料時,可馬上拿得到。比如采取一定的措施,防止因某一資料員不在場或其它例外情況下,因為拿不到所需的資料而導致停工或錯失商機等。
ISO 27001標準把信息資料看作是公司的資產,其對公司的生存與發展起著關鍵作用,尤其是在知識經濟和電子信息時代,確保信息安全更是非常有必要的。英國曾做過一項統計,80%的信息資料的損失是與人為因素有關的。所以防止人為因素造成的信息風險被作為信息安全的主要控制對象。 ISO 27001信息安全管理體系一個重要的方面是對信息風險的分析與管理。信息風險涉及可能造成信息損失的方方面面。比如電腦病毒有導致信息資料丟失或損壞的危險,可規定定期進行電腦病毒的檢查;外來人員進入本公司,有導致信息資料失竊的危險,可規定采用門口設密碼、電子卡等方式進入公司;更新電腦軟件有導致信息資料無法讀取的風險,可規定在進行電腦軟件的更新時對電腦軟件的兼容性進行評估;聘請外公司人員為本公司工作,本公司信息資料有流失的危險,在這種情況下須與外公司人員簽訂保密協議;在審核磁盤資料時,有可能導致磁盤文件被更改,可設置程序保證審核人員使用只可讀不可改的文件或備份文件;以及防止內部人員和工業間諜的竊取,拷貝的軟盤與電腦分別存放于不同的房間,作廢的文件資料監視銷毀等。
信息安全是通過執行一套適當的控制來達到的。可以是方針、慣例、程序、組織結構和軟件功能來實現,這些控制方式需要確定,才能保障組織特定的安全目標的實現。
信息安全的重要性
信息及其支持過程的系統和網絡都是組織的重要資產。信息的機密性、完整性和可用性對保持一個組織的競爭優勢、資金流動、效益、法律符合性和商務形象都是至關重要的。
任何組織及其信息系統(如一個組織的ERP系統)和網絡都可能面臨著包括計算機輔助欺詐、刺探、陰謀破壞行為、火災、水災等大范圍的安全威脅。隨著計算機的日益發展和普及,計算機病毒、計算機盜竊、服務器的非法入侵破壞已變得日益普遍和錯綜復雜。
目前一些組織,特別是一些較大型公司的業務已經完全依賴信息系統進行生產業務管理,這意味著組織更易受到安全威脅的破壞。組織內網絡的互連及信息資源的共享增大了實現訪問控制的難度。
有些組織的信息系統盡管在設計時可能已考慮了安全,但僅僅依靠技術手段實現安全仍然是有限的,還應當通過管理和程序來支持。
建立信息安全管理體系(ISMS)對任何組織都具有重要意義
任何組織,不論它在信息技術方面如何努力以及采納如何新的信息安全技術,實際上在信息安全管理方面都還存在漏洞,例如:
1. 缺少信息安全管理論壇,安全導向不明確,管理支持不明顯;
2. 缺少跨部門的信息安全協調機制;
3. 保護特定資產以及完成特定安全過程的職責還不明確;
4. 雇員信息安全意識薄弱,缺少防范意識,外來人員很容易直接進入生產和工作場所;
5. 組織信息系統管理制度不夠健全;
6. 組織信息系統主機房安全存在隱患,如:防火設施存在問題,與危險品倉庫同處一幢辦公樓等;
7. 組織信息系統備份設備仍有欠缺;
8. 組織信息系統安全防范技術投入欠缺;
9. 軟件知識產權保護欠缺;
10. 計算機房、辦公場所等物理防范措施欠缺;
11. 檔案、記錄等缺少可靠貯存場所;
12. 缺少一旦發生意外時的保證生產經營連續性的措施和計劃;
通過以上信息管理方面的漏洞以及經常見諸報端的種種信息安全事件表明,任何組織都急需建立信息安全管理體系,以保障其技術和商業機密,保障信息的完整性和可用性,最終保持其生產、經營活動的連續性。
建立信息安全管理體系的意義
組織可以參照信息安全管理模型,按照先進的信息安全管理標準ISO 27001標準建立組織完整的信息安全管理體系并實施與保持,達到動態的、系統的、全員參與、制度化的、以預防為主的信息安全管理方式,用最低的成本,使信息風險的發生概率和結果降低到可接受水平,并采取措施保證業務不會因風險的發生而中斷。組織建立、實施與保持信息安全管理體系將會:
1.強化員工的信息安全意識,規范組織信息安全行為;
2.對組織的關鍵信息資產進行全面系統的保護,維持競爭優勢;
3.在信息系統受到侵襲時,確保業務持續開展并將損失降到最低程度;
4.使組織的生意伙伴和客戶對組織充滿信心;
五、信息安全管理體系建立和運行步驟
ISO 27001標準要求組織建立并保持一個文件化的信息安全管理體系,其中應闡述需要保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。
不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經過下列四個基本步驟:
1.信息安全管理體系的策劃與準備;
2.信息安全管理體系文件的編制;
3.信息安全管理體系運行;
4.信息安全管理體系審核與評審。
如果考慮認證過程其詳細的步驟如下:
1.現場診斷
2.確定信息安全管理體系的方針、目標;
3.明確信息安全管理體系的范圍,根據組織的特性、地理位置、資產和技術來確定界限;
4.對管理層進行信息安全管理體系基本知識培訓;
5.信息安全體系內部審核員培訓;
6.建立信息安全管理組織機構;
7.實施信息資產評估和分類,識別資產所受到的威脅、薄弱環節和對組織的影響,并確定風險程度;
8.根據組織的信息安全方針和需要的保證程度通過風險評估來確定應實施管理的風險,確定風險控制手段;
9.制定信息安全管理手冊和各類必要的控制程序 ;
10.制定適用性聲明;
11.制定商業可持續性發展計劃;
12.審核文件、發布實施
13.體系運行,有效的實施選定的控制目標和控制方式;
14.內部審核
15.外部第一階段認證審核
16.外部第二階段認證審核
17.頒發證書
18.體系持續運行/年度監督審核
19.復評審核(證書三年有效)
至于應采取哪些控制方式則需要周密計劃,并注意控制細節。信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進入組織的辦公區域獲取組織的技術機密,除物理控制外,還需要組織全體人員參與,加強控制。此外還需要供應商,顧客或股東的參與,需要組織以外的專家建議。
信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。
當前,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。
許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
