一�����、ISO 27001的產(chǎn)生背景和發(fā)展歷程
ISO 27001源于英國(guó)標(biāo)準(zhǔn)BS7799的第二部分��,即BS7799-2 《信息安全管理體系規(guī)范》����。
BS7799標(biāo)準(zhǔn)由英國(guó)貿(mào)易工業(yè)部制定,BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》提供了一套綜合的��、由信息安全最佳慣例組成的實(shí)施規(guī)則�����,其目的是作為確定各類(lèi)信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn)�����,并且適用于大、中��、小組織���。BS7799-2 《信息安全管理體系規(guī)范》規(guī)定信息安全管理體系要求與信息安全控制要求�����,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)�����,它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。 2000年12月�����,BS7799-1:1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可��,正式成為國(guó)際標(biāo)準(zhǔn)-----ISO/IEC 17799:2000《信息技術(shù)—信息安全管理實(shí)施細(xì)則》���。2005年6月�,ISO 對(duì)ISO/IEC 17799進(jìn)行了改版�����,新版標(biāo)準(zhǔn)為 ISO/IEC 17799:2005《信息技術(shù)—安全技術(shù)—信息安全管理實(shí)施細(xì)則》。
2002年��,BSI對(duì)BS7799-2:2000《信息安全管理體系規(guī)范》進(jìn)行了改版����,發(fā)布了 BS7799-2:2002《信息安全管理體系規(guī)范》。
2005年10月��,BS7799-2:2002通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可�,正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001:2005《信息技術(shù)—安全技術(shù)—信息安全管理體系要求》。
二�����、ISO27001是什么����?
ISO27001是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施���,保障組織的信息安全�����,采用PDCA過(guò)程方法���,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念�,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理���。其正式名稱(chēng)為:《ISO/IEC 27001:2005 信息技術(shù)-安全技術(shù)-信息安全管理體系-要求》
三�、ISO 27000系列標(biāo)準(zhǔn)介紹
規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn)
ISO 27000 原理與術(shù)語(yǔ)Principles and vocabulary
ISO 27001 信息安全管理體系—要求 ISMS Requirements (以BS 7799-2為基礎(chǔ))
ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)范 (ISO/IEC 17799:2005)
ISO 27003 信息安全管理體系—風(fēng)險(xiǎn)管理ISMS Risk management ISO 27004 信息安全管理體系—指標(biāo)與測(cè)量ISMS Metrics and measurement ISO 27005 信息安全管理體系—實(shí)施指南ISMS Implementation guidelines
其中ISO27001:2005 ����、ISO27002:2005 的已經(jīng)在2005年發(fā)布為正式國(guó)際標(biāo)準(zhǔn)發(fā)布。
ISO27001是ISO27000系列的主標(biāo)準(zhǔn)���,類(lèi)似于ISO9000系列中的ISO9001,各類(lèi)組織可以按照ISO27001的要求建立自己的信息安全管理體系(ISMS)�����,并通過(guò)認(rèn)證�。目前的有效版本是BS7799-2:2002。當(dāng)ISO27001正式發(fā)布后�����,BS7799-2:2002將被撤銷(xiāo)。
注:上述標(biāo)準(zhǔn)以ISO發(fā)布的為準(zhǔn)。
四、為什么需要信息安全
信息及信息安全
信息像其他重要的商務(wù)資產(chǎn)一樣��,也是一種資產(chǎn)�,對(duì)一個(gè)組織而言具有價(jià)值,因而需要被妥善保護(hù)��。信息安全使信息避免一系列威脅����,保障了組織商務(wù)的連續(xù)性�����,最大限度地減小組織的商務(wù)損失���,順利獲取投資和商務(wù)回報(bào)��。信息可以以多種形式存在�。它可以是打印或?qū)懺诩埳希ㄈ纾簳?shū)面的財(cái)務(wù)報(bào)表等)����;電子形式存貯(如:一個(gè)組織ERP系統(tǒng)的備份磁帶);通過(guò)郵件或用電子手段傳輸�;顯示在膠片上��;表達(dá)在會(huì)話中��。不論信息采用什么方式或采取什么手段共享和存貯��,因?yàn)樗袃r(jià)值�,應(yīng)該得到妥善的保護(hù)����。
信息安全主要體現(xiàn)在以下三個(gè)方面:
一是保密性。保密性是指確保信息資料���,特別是重要的信息資料��,不流失�����,不被非本部門(mén)人員非法盜用。比如銀行的儲(chǔ)戶(hù)信息���,醫(yī)院的病人就醫(yī)資料�����,政府機(jī)關(guān)�����、安全部門(mén)的機(jī)密文件����,企業(yè)的客戶(hù)資料、商務(wù)信息����、**、專(zhuān)有技術(shù)資料等等�,應(yīng)該給誰(shuí)看,不應(yīng)該給誰(shuí)看���,什么級(jí)別/部門(mén)的人員可以看什么密別的信息資料�,如何儲(chǔ)存保管����,都應(yīng)制定具體的措施、規(guī)范���,以防止因信息流失而造成不良影響和重大經(jīng)濟(jì)損失��。
二是完整性����。所謂信息資料的完整性,是指信息資料不丟失�、不少缺。比如采取一定的措施防止存貯在電腦中的磁盤(pán)文件不因操作不當(dāng)或病毒的侵襲而導(dǎo)致文件的殘缺或丟失����。再如防止存貯的打印文件因霉變、蟲(chóng)蛀而殘缺��、損壞�,防止水災(zāi)、火災(zāi)���、盜竊而毀損文件和資料等����。
三是可用性�����?���?捎眯允侵府?dāng)需要某一信息資料時(shí),可馬上拿得到���。比如采取一定的措施����,防止因某一資料員不在場(chǎng)或其它例外情況下����,因?yàn)槟貌坏剿璧馁Y料而導(dǎo)致停工或錯(cuò)失商機(jī)等。
ISO 27001標(biāo)準(zhǔn)把信息資料看作是公司的資產(chǎn)�����,其對(duì)公司的生存與發(fā)展起著關(guān)鍵作用���,尤其是在知識(shí)經(jīng)濟(jì)和電子信息時(shí)代���,確保信息安全更是非常有必要的。英國(guó)曾做過(guò)一項(xiàng)統(tǒng)計(jì)�,80%的信息資料的損失是與人為因素有關(guān)的。所以防止人為因素造成的信息風(fēng)險(xiǎn)被作為信息安全的主要控制對(duì)象��。
ISO 27001信息安全管理體系一個(gè)重要的方面是對(duì)信息風(fēng)險(xiǎn)的分析與管理。信息風(fēng)險(xiǎn)涉及可能造成信息損失的方方面面���。比如電腦病毒有導(dǎo)致信息資料丟失或損壞的危險(xiǎn)����,可規(guī)定定期進(jìn)行電腦病毒的檢查����;外來(lái)人員進(jìn)入本公司,有導(dǎo)致信息資料失竊的危險(xiǎn)�,可規(guī)定采用門(mén)口設(shè)密碼、電子卡等方式進(jìn)入公司���;更新電腦軟件有導(dǎo)致信息資料無(wú)法讀取的風(fēng)險(xiǎn)�����,可規(guī)定在進(jìn)行電腦軟件的更新時(shí)對(duì)電腦軟件的兼容性進(jìn)行評(píng)估���;聘請(qǐng)外公司人員為本公司工作,本公司信息資料有流失的危險(xiǎn)��,在這種情況下須與外公司人員簽訂保密協(xié)議;在審核磁盤(pán)資料時(shí)�,有可能導(dǎo)致磁盤(pán)文件被更改,可設(shè)置程序保證審核人員使用只可讀不可改的文件或備份文件���;以及防止內(nèi)部人員和工業(yè)間諜的竊取,拷貝的軟盤(pán)與電腦分別存放于不同的房間���,作廢的文件資料監(jiān)視銷(xiāo)毀等����。
信息安全是通過(guò)執(zhí)行一套適當(dāng)?shù)目刂苼?lái)達(dá)到的�。可以是方針�����、慣例����、程序、組織結(jié)構(gòu)和軟件功能來(lái)實(shí)現(xiàn)�,這些控制方式需要確定,才能保障組織特定的安全目標(biāo)的實(shí)現(xiàn)��。
信息安全的重要性
信息及其支持過(guò)程的系統(tǒng)和網(wǎng)絡(luò)都是組織的重要資產(chǎn)。信息的機(jī)密性�����、完整性和可用性對(duì)保持一個(gè)組織的競(jìng)爭(zhēng)優(yōu)勢(shì)�、資金流動(dòng)、效益�����、法律符合性和商務(wù)形象都是至關(guān)重要的�����。
任何組織及其信息系統(tǒng)(如一個(gè)組織的ERP系統(tǒng))和網(wǎng)絡(luò)都可能面臨著包括計(jì)算機(jī)輔助欺詐��、刺探��、陰謀破壞行為�����、火災(zāi)��、水災(zāi)等大范圍的安全威脅���。隨著計(jì)算機(jī)的日益發(fā)展和普及�����,計(jì)算機(jī)病毒����、計(jì)算機(jī)盜竊����、服務(wù)器的非法入侵破壞已變得日益普遍和錯(cuò)綜復(fù)雜。
目前一些組織�,特別是一些較大型公司的業(yè)務(wù)已經(jīng)完全依賴(lài)信息系統(tǒng)進(jìn)行生產(chǎn)業(yè)務(wù)管理,這意味著組織更易受到安全威脅的破壞�。組織內(nèi)網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。
有些組織的信息系統(tǒng)盡管在設(shè)計(jì)時(shí)可能已考慮了安全�,但僅僅依靠技術(shù)手段實(shí)現(xiàn)安全仍然是有限的,還應(yīng)當(dāng)通過(guò)管理和程序來(lái)支持�。
對(duì)ISO27001信息安全體系認(rèn)證的常見(jiàn)幾個(gè)問(wèn)題進(jìn)行了解答:
一:ISO 27001的目的是什么?ISO 27001旨在為信息保護(hù)提供統(tǒng)一和集中控制的管理體系�。此外,通過(guò)有效監(jiān)控IT安全風(fēng)險(xiǎn)�����,可降低各類(lèi)業(yè)務(wù)流程所面臨的威脅。
二:獲得ISO 27001認(rèn)證對(duì)公司有什么益處�����?防止企業(yè)遭受網(wǎng)絡(luò)攻擊�����;
防止數(shù)據(jù)丟失�,從而杜絕財(cái)務(wù)和聲譽(yù)損失。
確保符合法律��,減少黑客攻擊�����,最大程度降低黑客訪問(wèn)敏感信息的能力���。
三:ISO27001認(rèn)證的其他優(yōu)勢(shì)包括:
信息的保密性 競(jìng)爭(zhēng)優(yōu)勢(shì) 最大程度降低IT風(fēng)險(xiǎn)和潛在損害 發(fā)現(xiàn)和消除薄弱環(huán)節(jié) IT風(fēng)險(xiǎn)控制 確保滿(mǎn)足合規(guī)要求 降低成本
四:ISMS指什么���?
信息安全管理系統(tǒng)(ISMS)是綜合了技術(shù)和人為因素的一套系統(tǒng)方法。根據(jù)企業(yè)所規(guī)定的保護(hù)需求����,幫助企業(yè)建立持續(xù)優(yōu)化方案和監(jiān)管流程�。ISO 27001詳細(xì)說(shuō)明了信息安全管理系統(tǒng)的實(shí)施要求和文件要求���。
五:ISO 27001認(rèn)證需要評(píng)估哪些內(nèi)容���?
信息安全指南 人力資源安全 資產(chǎn)管理 物理和環(huán)境安全 訪問(wèn)控制 密碼 運(yùn)行安全 通信安全 物理和環(huán)境安全 系統(tǒng)獲取、開(kāi)發(fā)和維護(hù) 供應(yīng)商關(guān)系 信息安全事件管理 業(yè)務(wù)連續(xù)性管理的信息安全 符合性
六:ISO 27001證書(shū)的有效期多長(zhǎng)����?
證書(shū)的有效期為三年。通過(guò)年度監(jiān)督審核和在三年期滿(mǎn)前重新認(rèn)證���,可確保貴公司持續(xù)改進(jìn)流程。
七:企業(yè)如何做到信息安全���?
企業(yè)需要根據(jù)最低標(biāo)準(zhǔn)采取網(wǎng)絡(luò)安全措施�。此外��,還需滿(mǎn)足有關(guān)技術(shù)和組織規(guī)定�����,確保數(shù)據(jù)的可用性���、完整性����、真實(shí)性和保密性。如遇黑客攻擊���,必須立即報(bào)告��。
客服咨詢(xún)
158-0008-7775 
