随着信息技术的迅猛发展和网络的普及,我们的工作和生活方式都得到彻底改变,技术的进步在给我们带来便利的同时也带给我们无尽的烦恼,每天都有许多信息安全被破坏的报告,据调查统计80%的信息安全事故来自人们对网络安全知识的缺乏和内部管理的漏洞,因此如何利用网络进行安全的通信,成为当前信息安全迫切需要解决的问题。
ISO27001:2005标准告诉我们如何评定安全风险,建立信息安全管理体系,选择适宜的控制方法来确保将风险减少到可以接受的程度。
一、ISO27001:2005标准的由来
1995年,英国标准协会(BSI)首次出版BS 7799-1《信息安全管理实践指南》,它提供了一套综合的、由信息安全******惯例组成的实施规则,1998年公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS7799-1:1999《信息安全管理实践指南》通过了国际标准化组织ISO的认可,正式成为国际标准——ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,BS7799-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时BS7799-2:1999被废止。2005年11月ISO27001:2005出版,取代了BS 7799-2:2002标准。
二、信息安全事件应对方法
信息安全事件传统应对方法是,哪里出现问题,立即用技术手段去那里把问题解决。而ISMS(信息安全管理体系)方法是,事先进行风险的识别与评估,进行战略部署,采取防范措施(见表1)。
三、ISO27001:2005的实施步骤
ISO27001:2005标准的实施步骤(见图1)。
ISO27001:2005标准采用PDCA模式:1)策划(建立ISMS):根据组织的整体方针和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序,以获得结果;2)实施和运行ISMS:实施和运行安全策略、控制、过程和程序;3)检查(监视和评审ISMS):适用时,根据安全策略、目标和以往经验评估和测量过程业绩,向管理层报告结果,进行评审;4)保持和改进ISMS:根据内审、管理评审和其他信息采取纠正和预防措施,实现ISMS的持续改进(见表2)。
四、ISO27001:2005的控制重点
1、安全方针:制定信息安全方针,为信息安全提供管理指导和支持,并定期评审。
2、信息安全组织:建立信息安全基础设施,来管理组织范围内的信息安全;维护被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,确保信息的安全。
3、资产管理:核查所有信息资产,做好信息分类,确保信息资产受到适当程度的保护。
4、人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或误用设施的风险。
5、物理与环境安全:定义安全区域,防止对办公场所和信息的未授权访问、破坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或被盗,以及对业务活动的干扰;同时还要做好一般控制,防止信息和信息处理设施的损坏或被盗。
6、通讯和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统失效的风险减到最低;防范恶意代码和移动代码,保护软件和信息的完整性;做好信息备份和网络安全管理,确保信息在网络中的安全,确保其支持性基础设施得到保护;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
7、访问控制:制定文件化的访问控制策略,避免信息系统的未授权访问,并让用户了解其职责和义务,包括网络访问控制、操作系统访问控制、应用系统和信息访问控制、监视系统访问和使用,定期检测未授权的活动;当使用移动办公和远程工作时,也要确保信息安全。
8、信息系统的获取、开发和维护:标识系统的安全要求,确保安全成为信息系统的内置部分;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;通过加密手段保护信息的保密性、真实性和完整性;控制对系统文件的访问,确保系统文档的安全;严格控制开发和支持过程,维护应用系统软件和信息的安全。
9、信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措施,确保使用持续有效的方法管理信息安全事故。
10、业务连续性管理:目的是为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响,并确保他们的及时恢复。
11、符合性:信息系统的设计、操作、使用和管理要符合法律要求,符合组织安全方针和标准,还要控制系统审核,使系统审核过程的效力******化,干扰最小化。
五、ISMS实施成功的因素(见图2)
在有限的资金条件下,企业该如何做到投入与安全的平衡?目前很多网络安全技术还处于探索阶段,如果人云亦云地简单购买安全产品,那这个所谓的“IT黑洞”永远无法填满,信息安全管理是填补“IT黑洞”最经济有效的方式。虽然我国没有将ISO27001:2005作为强制性国家标准引入,而是作为推荐性标准推行,但组织仍然可以将ISO27001:2005作为衡量信息安全管理体系规范程度的一个标准和指标。
建立信息安全管理体系并获得经认可的认证公司的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作,并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信心,树立和增强企业的信息安全形象,提高企业的综合竞争力。
从1998年颁布BS 7799-2后,在全世界范围内得到广泛的认可,很多国家和地区开展了信息安全管理体系认证,不受地域、产业类别和公司规模的限制,获得认证的企业较多分布在电信、保险、银行、数据处理中心、IC制造和软件外包等行业。获得认证的好处是,保护企业的知识产权、商标、竞争优势;维护企业的声誉、品牌和客户信任;减少潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;强化员工的信息安全意识,规范组织的信息安全行为;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
