為什么要認(rèn)證ISO27001信息安全管理體系
一、ISO 27001的產(chǎn)生背景和發(fā)展歷程
ISO 27001源于英國標(biāo)準(zhǔn)BS7799的第二部分,即BS7799-2 《信息安全管理體系規(guī)范》。
BS7799標(biāo)準(zhǔn)由英國貿(mào)易工業(yè)部制定,BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn),并且適用于大、中、小組織。BS7799-2 《信息安全管理體系規(guī)范》規(guī)定信息安全管理體系要求與信息安全控制要求,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ),它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。 2000年12月,BS7799-1:1999《信息安全管理實(shí)施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國際標(biāo)準(zhǔn)-----ISO/IEC 17799:2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》。2005年6月,ISO 對ISO/IEC 17799進(jìn)行了改版,新版標(biāo)準(zhǔn)為 ISO/IEC 17799:2005《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施細(xì)則》。
2002年,BSI對BS7799-2:2000《信息安全管理體系規(guī)范》進(jìn)行了改版,發(fā)布了 BS7799-2:2002《信息安全管理體系規(guī)范》。
2005年10月,BS7799-2:2002通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國際標(biāo)準(zhǔn)ISO/IEC 27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》。
二、ISO27001是什么?
ISO27001是有關(guān)信息安全管理的國際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施,保障組織的信息安全,采用PDCA過程方法,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。其正式名稱為:《ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》
三、ISO 27000系列標(biāo)準(zhǔn)介紹
規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn)
ISO 27000 原理與術(shù)語Principles and vocabulary
ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎(chǔ))
ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理體系—風(fēng)險(xiǎn)管理ISMS Risk management ISO 27004 信息安全管理體系—指標(biāo)與測量ISMS Metrics and measurement ISO 27005 信息安全管理體系—實(shí)施指南ISMS Implementation guidelines
其中ISO27001:2005 、ISO27002:2005 的已經(jīng)在2005年發(fā)布為正式國際標(biāo)準(zhǔn)發(fā)布。
ISO27001是ISO27000系列的主標(biāo)準(zhǔn),類似于ISO9000系列中的ISO9001,各類組織可以按照ISO27001的要求建立自己的信息安全管理體系(ISMS),并通過認(rèn)證。目前的有效版本是BS7799-2:2002。當(dāng)ISO27001正式發(fā)布后,BS7799-2:2002將被撤銷。
注:上述標(biāo)準(zhǔn)以ISO發(fā)布的為準(zhǔn)。
四、為什么需要信息安全
信息及信息安全
信息像其他重要的商務(wù)資產(chǎn)一樣,也是一種資產(chǎn),對一個(gè)組織而言具有價(jià)值,因而需要被妥善保護(hù)。信息安全使信息避免一系列威脅,保障了組織商務(wù)的連續(xù)性,最大限度地減小組織的商務(wù)損失,順利獲取投資和商務(wù)回報(bào)。信息可以以多種形式存在。它可以是打印或?qū)懺诩埳希ㄈ纾簳娴呢?cái)務(wù)報(bào)表等);電子形式存貯(如:一個(gè)組織ERP系統(tǒng)的備份磁帶);通過郵件或用電子手段傳輸;顯示在膠片上;表達(dá)在會(huì)話中。不論信息采用什么方式或采取什么手段共享和存貯,因?yàn)樗袃r(jià)值,應(yīng)該得到妥善的保護(hù)。
信息安全主要體現(xiàn)在以下三個(gè)方面:
一是保密性。保密性是指確保信息資料,特別是重要的信息資料,不流失,不被非本部門人員非法盜用。比如銀行的儲(chǔ)戶信息,醫(yī)院的病人就醫(yī)資料,政府機(jī)關(guān)、安全部門的機(jī)密文件,企業(yè)的客戶資料、商務(wù)信息、專利、專有技術(shù)資料等等,應(yīng)該給誰看,不應(yīng)該給誰看,什么級(jí)別/部門的人員可以看什么密別的信息資料,如何儲(chǔ)存保管,都應(yīng)制定具體的措施、規(guī)范,以防止因信息流失而造成不良影響和重大經(jīng)濟(jì)損失。
二是完整性。所謂信息資料的完整性,是指信息資料不丟失、不少缺。比如采取一定的措施防止存貯在電腦中的磁盤文件不因操作不當(dāng)或病毒的侵襲而導(dǎo)致文件的殘缺或丟失。再如防止存貯的打印文件因霉變、蟲蛀而殘缺、損壞,防止水災(zāi)、火災(zāi)、盜竊而毀損文件和資料等。
三是可用性。可用性是指當(dāng)需要某一信息資料時(shí),可馬上拿得到。比如采取一定的措施,防止因某一資料員不在場或其它例外情況下,因?yàn)槟貌坏剿璧馁Y料而導(dǎo)致停工或錯(cuò)失商機(jī)等。
ISO 27001標(biāo)準(zhǔn)把信息資料看作是公司的資產(chǎn),其對公司的生存與發(fā)展起著關(guān)鍵作用,尤其是在知識(shí)經(jīng)濟(jì)和電子信息時(shí)代,確保信息安全更是非常有必要的。英國曾做過一項(xiàng)統(tǒng)計(jì),80%的信息資料的損失是與人為因素有關(guān)的。所以防止人為因素造成的信息風(fēng)險(xiǎn)被作為信息安全的主要控制對象。 ISO 27001信息安全管理體系一個(gè)重要的方面是對信息風(fēng)險(xiǎn)的分析與管理。信息風(fēng)險(xiǎn)涉及可能造成信息損失的方方面面。比如電腦病毒有導(dǎo)致信息資料丟失或損壞的危險(xiǎn),可規(guī)定定期進(jìn)行電腦病毒的檢查;外來人員進(jìn)入本公司,有導(dǎo)致信息資料失竊的危險(xiǎn),可規(guī)定采用門口設(shè)密碼、電子卡等方式進(jìn)入公司;更新電腦軟件有導(dǎo)致信息資料無法讀取的風(fēng)險(xiǎn),可規(guī)定在進(jìn)行電腦軟件的更新時(shí)對電腦軟件的兼容性進(jìn)行評(píng)估;聘請外公司人員為本公司工作,本公司信息資料有流失的危險(xiǎn),在這種情況下須與外公司人員簽訂保密協(xié)議;在審核磁盤資料時(shí),有可能導(dǎo)致磁盤文件被更改,可設(shè)置程序保證審核人員使用只可讀不可改的文件或備份文件;以及防止內(nèi)部人員和工業(yè)間諜的竊取,拷貝的軟盤與電腦分別存放于不同的房間,作廢的文件資料監(jiān)視銷毀等。
信息安全是通過執(zhí)行一套適當(dāng)?shù)目刂苼磉_(dá)到的。可以是方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來實(shí)現(xiàn),這些控制方式需要確定,才能保障組織特定的安全目標(biāo)的實(shí)現(xiàn)。
信息安全的重要性
信息及其支持過程的系統(tǒng)和網(wǎng)絡(luò)都是組織的重要資產(chǎn)。信息的機(jī)密性、完整性和可用性對保持一個(gè)組織的競爭優(yōu)勢、資金流動(dòng)、效益、法律符合性和商務(wù)形象都是至關(guān)重要的。
任何組織及其信息系統(tǒng)(如一個(gè)組織的ERP系統(tǒng))和網(wǎng)絡(luò)都可能面臨著包括計(jì)算機(jī)輔助欺詐、刺探、陰謀破壞行為、火災(zāi)、水災(zāi)等大范圍的安全威脅。隨著計(jì)算機(jī)的日益發(fā)展和普及,計(jì)算機(jī)病毒、計(jì)算機(jī)盜竊、服務(wù)器的非法入侵破壞已變得日益普遍和錯(cuò)綜復(fù)雜。
目前一些組織,特別是一些較大型公司的業(yè)務(wù)已經(jīng)完全依賴信息系統(tǒng)進(jìn)行生產(chǎn)業(yè)務(wù)管理,這意味著組織更易受到安全威脅的破壞。組織內(nèi)網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。
有些組織的信息系統(tǒng)盡管在設(shè)計(jì)時(shí)可能已考慮了安全,但僅僅依靠技術(shù)手段實(shí)現(xiàn)安全仍然是有限的,還應(yīng)當(dāng)通過管理和程序來支持。
建立信息安全管理體系(ISMS)對任何組織都具有重要意義
任何組織,不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù),實(shí)際上在信息安全管理方面都還存在漏洞,例如:
1. 缺少信息安全管理論壇,安全導(dǎo)向不明確,管理支持不明顯;
2. 缺少跨部門的信息安全協(xié)調(diào)機(jī)制;
3. 保護(hù)特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確;
4. 雇員信息安全意識(shí)薄弱,缺少防范意識(shí),外來人員很容易直接進(jìn)入生產(chǎn)和工作場所;
5. 組織信息系統(tǒng)管理制度不夠健全;
6. 組織信息系統(tǒng)主機(jī)房安全存在隱患,如:防火設(shè)施存在問題,與危險(xiǎn)品倉庫同處一幢辦公樓等;
7. 組織信息系統(tǒng)備份設(shè)備仍有欠缺;
8. 組織信息系統(tǒng)安全防范技術(shù)投入欠缺;
9. 軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺;
10. 計(jì)算機(jī)房、辦公場所等物理防范措施欠缺;
11. 檔案、記錄等缺少可靠貯存場所;
12. 缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃;
通過以上信息管理方面的漏洞以及經(jīng)常見諸報(bào)端的種種信息安全事件表明,任何組織都急需建立信息安全管理體系,以保障其技術(shù)和商業(yè)機(jī)密,保障信息的完整性和可用性,最終保持其生產(chǎn)、經(jīng)營活動(dòng)的連續(xù)性。
建立信息安全管理體系的意義
組織可以參照信息安全管理模型,按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO 27001標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持,達(dá)到動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息安全管理方式,用最低的成本,使信息風(fēng)險(xiǎn)的發(fā)生概率和結(jié)果降低到可接受水平,并采取措施保證業(yè)務(wù)不會(huì)因風(fēng)險(xiǎn)的發(fā)生而中斷。組織建立、實(shí)施與保持信息安全管理體系將會(huì):
1.強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為;
2.對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù),維持競爭優(yōu)勢;
3.在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;
4.使組織的生意伙伴和客戶對組織充滿信心;
五、信息安全管理體系建立和運(yùn)行步驟
ISO 27001標(biāo)準(zhǔn)要求組織建立并保持一個(gè)文件化的信息安全管理體系,其中應(yīng)闡述需要保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的渠道、控制目標(biāo)及控制方式和需要的保證程度。
不同的組織在建立與完善信息安全管理體系時(shí),可根據(jù)自己的特點(diǎn)和具體情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經(jīng)過下列四個(gè)基本步驟:
1.信息安全管理體系的策劃與準(zhǔn)備;
2.信息安全管理體系文件的編制;
3.信息安全管理體系運(yùn)行;
4.信息安全管理體系審核與評(píng)審。
如果考慮認(rèn)證過程其詳細(xì)的步驟如下:
1.現(xiàn)場診斷
2.確定信息安全管理體系的方針、目標(biāo);
3.明確信息安全管理體系的范圍,根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來確定界限;
4.對管理層進(jìn)行信息安全管理體系基本知識(shí)培訓(xùn);
5.信息安全體系內(nèi)部審核員培訓(xùn);
6.建立信息安全管理組織機(jī)構(gòu);
7.實(shí)施信息資產(chǎn)評(píng)估和分類,識(shí)別資產(chǎn)所受到的威脅、薄弱環(huán)節(jié)和對組織的影響,并確定風(fēng)險(xiǎn)程度;
8.根據(jù)組織的信息安全方針和需要的保證程度通過風(fēng)險(xiǎn)評(píng)估來確定應(yīng)實(shí)施管理的風(fēng)險(xiǎn),確定風(fēng)險(xiǎn)控制手段;
9.制定信息安全管理手冊和各類必要的控制程序 ;
10.制定適用性聲明;
11.制定商業(yè)可持續(xù)性發(fā)展計(jì)劃;
12.審核文件、發(fā)布實(shí)施
13.體系運(yùn)行,有效的實(shí)施選定的控制目標(biāo)和控制方式;
14.內(nèi)部審核
15.外部第一階段認(rèn)證審核
16.外部第二階段認(rèn)證審核
17.頒發(fā)證書
18.體系持續(xù)運(yùn)行/年度監(jiān)督審核
19.復(fù)評(píng)審核(證書三年有效)
至于應(yīng)采取哪些控制方式則需要周密計(jì)劃,并注意控制細(xì)節(jié)。信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域獲取組織的技術(shù)機(jī)密,除物理控制外,還需要組織全體人員參與,加強(qiáng)控制。此外還需要供應(yīng)商,顧客或股東的參與,需要組織以外的專家建議。
信息、信息處理過程及對信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對保持競爭優(yōu)勢、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。
當(dāng)前,越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅,諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計(jì)劃而不易被察覺。組織對信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞,公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。
許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來設(shè)計(jì)的,所以僅依靠技術(shù)手段來實(shí)現(xiàn)信息安全有其局限性,所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃,并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
