信息安全管理體系(InformationSecurityManagementSystems,ISMS)是組織整體管理體系的一個(gè)部分,是基于風(fēng)險(xiǎn)評(píng)估建立���、實(shí)施、運(yùn)行����、監(jiān)視、評(píng)審���、保持和持續(xù)改進(jìn)信息安全等一系列的管理活動(dòng)���,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo),以及完成這些目標(biāo)所用的方法的體系�����。
GB/T22080/ISO/IEC27001是建立和維護(hù)信息安全管理體系的標(biāo)準(zhǔn)��,它要求組織通過一系列的過程,如確定信息安全管理體系范圍�,制定信息安全方針和策略,明確管理職責(zé)���,以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)選擇控制目標(biāo)和控制措施等�����,是組織達(dá)到動(dòng)態(tài)的、系統(tǒng)的���、全員參與的、制度化的�,以預(yù)防為主的信息安全管理方式。
ISO27001定義
ISO/IEC17799-2000(BS7799-1)對(duì)信息安全管理給出建議�,供負(fù)責(zé)在其組織啟動(dòng)���、實(shí)施或維護(hù)安全的人員使用��。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)����,并為組織之間的交往提供信任�。
標(biāo)準(zhǔn)指出"象其他重要業(yè)務(wù)資產(chǎn)一樣��,信息也是一種資產(chǎn)"。它對(duì)一個(gè)組織具有價(jià)值�,因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅����,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小��,使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。
信息安全是通過實(shí)現(xiàn)一組合適控制獲得的������?刂瓶梢允遣呗浴T例�����、規(guī)程����、組織結(jié)構(gòu)和軟件功能����。需要建立這些控制,以確保滿足該組織的特定安全目標(biāo)�����。
ISO/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)做過程中對(duì)信息安全有影響的元素����,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用�����,或者增加其他附加控制。國(guó)際標(biāo)準(zhǔn)化組織(ISO)在2005年對(duì)ISO 17799進(jìn)行了修訂���,修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分--ISO/IEC 27001���,新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施,新增17點(diǎn)控制措施�,并重組部分控制措施而新增一章�,重組部分控制措施,關(guān)聯(lián)性邏輯性更好�����,更適合應(yīng)用;并修改了部分控制措施措辭��。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié):
1)安全策略��。指定信息安全方針����,為信息安全提供管理指引和支持,并定期評(píng)審。
2)信息安全的組織�����。建立信息安全管理組織體系,在內(nèi)部開展和控制信息安全的實(shí)施�����。
3)資產(chǎn)管理�����。核查所有信息資產(chǎn)�����,做好信息分類,確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)���。
4)人力資源安全。確保所有員工�,合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任�,義務(wù)����,以減少人為差錯(cuò),盜竊�,欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。
5)物理和環(huán)境安全��。定義安全區(qū)域�����,防止對(duì)辦公場(chǎng)所和信息的未授權(quán)訪問,破壞和干擾;保護(hù)設(shè)備的安全����,防止信息資產(chǎn)的丟失����,損壞或被盜,以及對(duì)企業(yè)業(yè)務(wù)的干擾;同時(shí)�����,還要做好一般控制��,防止信息和信息處理設(shè)施的損壞和被盜����。
6)通信和操作管理。制定操作規(guī)程和職責(zé)���,確保信息處理設(shè)施的正確和安全操作;建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則��,將系統(tǒng)失效的風(fēng)險(xiǎn)降到最低;防范惡意代碼和移動(dòng)代碼���,保護(hù)軟件和信息的完整性;做好信息備份和網(wǎng)絡(luò)安全管理�����,確保信息在網(wǎng)絡(luò)中的安全���,確保其支持性基礎(chǔ)設(shè)施得到保護(hù);建立媒體處置和安全的規(guī)程,防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷;防止信息和軟件在組織之間交換時(shí)丟失�,修改或誤用�。
7)訪問控制。制定訪問控制策略�����,避免信息系統(tǒng)的非授權(quán)訪問����,并讓用戶了解其職責(zé)和義務(wù)����,包括網(wǎng)絡(luò)訪問控制��,操作系統(tǒng)訪問控制��,應(yīng)用系統(tǒng)和信息訪問控制,監(jiān)視系統(tǒng)訪問和使用���,定期檢測(cè)未授權(quán)的活動(dòng);當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)����,也要確保信息安全。
8)系統(tǒng)采集�����、開發(fā)和維護(hù)�。標(biāo)示系統(tǒng)的安全要求,確保安全成為信息系統(tǒng)的內(nèi)置部分��,控制應(yīng)用系統(tǒng)的安全����,防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失�����,被修改或誤用;通過加密手段保護(hù)信息的保密性,真實(shí)性和完整性;控制對(duì)系統(tǒng)文件的訪問���,確保系統(tǒng)文檔,源程序代碼的安全;嚴(yán)格控制開發(fā)和支持過程�,維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。
9)信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)��,及時(shí)采取糾正措施�,確保使用持續(xù)有效的方法管理信息安全事故����,并確保及時(shí)修復(fù)�。
10)業(yè)務(wù)連續(xù)性管理��。目的是為減少業(yè)務(wù)活動(dòng)的中斷�,是關(guān)鍵業(yè)務(wù)過程免收主要故障或天災(zāi)的影響�,并確保及時(shí)恢復(fù)。
11)符合性�����。信息系統(tǒng)的設(shè)計(jì)�����,操作����,使用過程和管理要符合法律法規(guī)的要求���,符合組織安全方針和標(biāo)準(zhǔn),還要控制系統(tǒng)審計(jì)����,使信息審核過程的效力最大化���,干擾最小化��。
ISO27001的效益
1��、通過定義���、評(píng)估和控制風(fēng)險(xiǎn),確保經(jīng)營(yíng)的持續(xù)性和能力
2�、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3、通過遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力�����,提升企業(yè)形象
4��、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5、建立安全工具使用方針
6���、謹(jǐn)防技術(shù)訣竅的丟失
7、在組織內(nèi)部增強(qiáng)安全意識(shí)
8����、可作為公共會(huì)計(jì)審計(jì)的證據(jù)
