ISO27001认证
国际标准组织(ISO)应此类需求,制定了 ISO 27001:2005标准,为如何建立、推行、维持及改善信息安全管理系统提供帮助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、客户及法律要求的一个体系。ISO/IEC 27001:2005 能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了一个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。
什么机构可采用 ISO/IEC 27001:2005 标准?
任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用 ISO/IEC 27001:2005标准。简单的说,也就是那些需要处理信息、并认识到信息保护重要性的机构。
ISO/IEC 27001 的控制目标及措施
ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其他的控制措施。而与ISO/IEC 27001相辅的 ISO 17799:2005 标准是信息安全管理的实务守则,为如何推行控制措施提供指引。
ISO 27001 控制范围 | 目标 | 控制措施 |
安全政策 | 1 | 2 |
安全管理的组织工作 | 2 | 11 |
资产管理 | 2 | 5 |
人力资源安全 | 3 | 9 |
实体及环境安全 | 2 | 13 |
通讯及操作管理 | 10 | 33 |
进入及使用控制 | 7 | 25 |
系统发展及维护 | 6 | 16 |
信息安全事故管理 | 2 | 5 |
营运持续性计划 | 1 | 5 |
符合性 | 3 | 10 |
39 | 134 |
ISO/ IEC 27001:2005 的架构
ISO/ IEC 27001:2005 标准在 2005 年 10 月公布,同时取缔了多国采纳的英国标准BS 7799-2:2002 ,但新旧标准的要求并无太大分别。ISO / IEC 27001:2005 标准以 Edward Deming 博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。
I. 计划
计划最重要的部分是设定涵盖的范畴及区域,它可以是:
覆盖整个组织并涉及多个地点的办事处及/或厂房
只涉及一个办事处或厂房
只涉及一个多元化服务供应商的其中一个业务
计划的主要工作包括信息安全管理系统、风险评估、风险管理、风险处理措施和适用性报告。
信息安全管理系统是运营风险整体管理系统的其中一部分,目的是建立、实施、推行、检讨、维持及改善信息安全。
机构在信息的机密性、完整性和可用性三方面的目标各是什么呢?什么程度的风险是可接受的?是否存在任何限制,如法律、法规或机构内部程序?信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。
风险评估 根据需要保护的信息和可接受的风险程度来识别真正的风险,并就这些风险出现的可能性与其影响的严重性作出评估,从而辨别出机构需要管理的风险,即下图红色部分内的风险。
风险管理 / 风险处理
完成风险评估后,便要决定如何处理这些风险。
适用性报告 (Statement of Applicability)
识别出所有的保安措施,指出哪些对机构而言是适用或不适用的,并说明原因。必须针对风险评估的结果来选择控制措施。
II. 实施
选定了控制措施后,便需落实推行,同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应,并确保所有员工都了解信息安全的重要性,且确保其接受了适当的培训,及有能力执行他们负责的保安任务。此外,还要妥善管理所需的资源。
III. 核查
核查的目的是确保控制措施都已推行,并能达到既定的目标。尽管有多种可行的核查方法,但只有内部审核与管理检讨是强制性的要求。
IV. 采取行动
最后便需对核查结果采取适当的行动,相关的行动可以是:
修正
预防
改善
总结
ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具,协助其避免信息保安的失误,从而降低了相应的风险。正式推行ISO/IEC 27001:2005 并取得有关咨询的机构将受益匪浅,以下列举其中数项:
由于按照国际标准实施适当的控制措施,机构便能自行将信息保安的失误率降至最低
以系统化的方法处理符合法律的问题,从而减低所需承担的法律责任风险
以系统化的方法计划及管理运营的持续性
增加客户、合作伙伴和相关人士对机构的信心
提升营运收入,并为机构带来更多商机
BS7799, ISO17799与ISO27001的关系
信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准——ISO27001(即之前所称的BS7799标准),则成为可以指导我们现实工作的最好的参照。
BS7799是英国标准协会(British Standards Institute,BSI)于1995年2月制定的信息安全管理标准,分两个部分,其第一部分于2000年被ISO组织采纳,正式成为ISO/IEC 17799标准。该标准2005年经过最新改版,发展成为ISO/IEC 17799:2005标准。BS7799标准的第二部分经过长时间讨论修订,也于2005年成为正式的ISO标准,即ISO/IEC 27001:2005。
ISO17799:2005标准(即BS7799第一部分),是信息安全管理实施细则(Code of Practice for Information Security Management),其中包含11个主题,定义了133个安全控制。ISO17799:2005中的11个主题分别是:
◆ 安全策略(Security policy);
◆ 信息安全组织(Organization of information security);
◆ 资产管理(Asset management);
◆ 人力资源安全 (Human resource security);
◆ 物理和环境安全(Physical and environmental security);
◆ 通信和操作管理(Communication and operation management);
◆ 访问控制(Access control);
◆ 信息系统获取、开发和维护(Information systems acquisition, development and maintenance);
◆ 信息安全事件管理(Information security incident management);
◆ 业务连续性管理(Business continuity management);
◆ 符合性(Compliance)。
ISO27001:2005标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的咨询(对依据ISO27001建立的ISMS进行咨询),还有一系列相应的注册咨询过程。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业需要的信息安全管理体系。
下一篇标题:CMMI认证
上一篇标题:ISO20000认证
