ISO27000/BS7799是信息安全管理体系要求的标准。它可以帮助公司识别,管理和减少信息通常所面临的各种威胁.
ISO27000/BS7799的十个章节概述如下:
安全方针 - 为信息安全提供管理指导和支持。
安全组织 - 在公司内管理信息安全。
资产分类与管理 - 对公司的信息资产采取适当的保护措施。
人员安全 - 减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。
实体和环境安全 - 防止对商业场所及信息未经授权的访问、损坏及干扰。
通讯与运作管理 - 确保信息处理设施正确和安全运行。
访问控制 - 管理对信息的访问。
系统的建立和维护 - 确保将安全纳入信息系统。
商业活动连续性管理 - 防止商业活动的中断,并保护关键的业务过程免受重大故障或灾难的影响。
符合法律 - 避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。
使用ISO27000/BS7799作为信息安全管理标准,由BSI认证。
一、什么是信息安全
信息安全(Information security):是指信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。 保密性定义为保障信息仅仅为那些被授权使用的人获取。 完整性定义为保护信息及其处理方法的准确性和完整性。 可用性定义为保障授权使用人在需要时可以获取信息和使用相关的资产。 信息的保密性是针对信息被允许访问(Access)对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息一般为敏感信息或秘密,秘密可以根据信息的重要性及保密要求分为不同的密级,例如国家根据秘密泄露对国家经济、安全利益产生的影响(后果)不同,将国家秘密分为秘密、机密和绝密三个等级,组织可根据其信息安全的实际,在符合《国家保密法》的前提下将其信息划分为不同的密级;对于具体的信息的保密性有时效性,如秘密到期解密等。 信息完整性一方面是指信息在利用、传输、贮存等过程中不被篡改、丢失、缺损等,另一方面是指信息处理的方法的正确性。不正当的操作,如误删除文件,有可能造成重要文件的丢失。 信息的可用性是指信息及相关的信息资产在授权人需要的时候,可以立即获得。例如通信线路中断故障会造成信息的在一段时间内不可用,影响正常的商业运作,这是信息可用性的破坏。 不同类型的信息及相应资产的信息安全在保密性、完整性及可用性方面关注点不同,如组织的专有技术、市场营销计划等商业秘密对组织来讲保守机密尤其重要;而对于工业自动控制系统,控制信息的完整性相对其保密性重要得多。
二、为什么需要信息安全
信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。 然而,越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁,诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。 组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏,公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。 许多信息系统本身就不是按照安全系统的要求来设计的,所以仅依靠技术手段来实现信息安全有其局限性,所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划,并注意细节。信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。 在信息系统设计阶段就将安全要求和控制一体化考虑,则成本会更低、效率会更高。
三、建立信息安全管理体系的意义
组织可以参照信息安全管理模型,按照先进的信息安全管理标准ISO27000/BS7799标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性。 组织建立、实施与保持信息安全管理体系将会产生如下作用:
* 强化员工的信息安全意识,规范组织信息安全行为;
* 对组织的关键信息资产进行全面系统的保护,维持竞争优势;
* 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度;
* 使组织的生意伙伴和客户对组织充满信心,
* 如果通过体系认证,表明体系符合标准,证明组织有能力保障重要信息,提高组织的知名度与信任度;
* 促使管理层坚持贯彻信息安全保障体系。
四、ISO27000/BS7799标准概述
ISO27000/BS7799标准是由英国标准协会(BSI)制定的信息安全管理标准,是目前国际上具有代表性的信息安全管理体系标准,标准包括如下两部分: ISO27000/BS7799-1:1999 《信息安全管理实施细则》 ISO27000/BS7799-2:2002 《信息安全管理体系规范》 ISO27000/BS7799-1:1999 《信息安全管理实施细则》是组织建立并实施信息安全管理体系的一个指导性的准则, 主要为组织制定其信息安全策略和进行有效的信息安全控制提供的一个大众化的最佳惯例。ISO27000/BS7799-2:2002 《信息安全管理体系规范》规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。即本标准适用以下场合: 组织按照本标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展; 作为寻求信息安全管理体系第三方认证的标准。 ISO27000/BS7799标准第二部分明确提出安全控制要求,标准第一部分对应给出了通用的控制方法(措施),因此可以说,标准第一部分为第二部分的具体实施提供了指南。但标准中的控制目标、控制方式的要求并非信息安全管理的全部,组织可以根据需要考虑另外的控制目标和控制方式。 其中ISO27000/BS7799-1:1999 于2000年12月通过国际标准化组织(ISO)认可,正式成为国际标准,即ISO/IEC17799:2000 《信息技术-信息安全管理实施细则》。 “组织”这一术语贯穿BS 7799标准的始终,它既包括盈利组织,也包括非盈利组织,如公共部门或公共组织。
五、为什么说信息安全认证是实现信息安全目标的最佳途径?
ISO27000/BS7799-2:2002信息安全管理体系规范向组织提出了一系列认证的要求,在总则中提出组织应建立并保持一个文件化的信息安全管理体系,阐述被保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证等级;通过建立管理架构并加以实施来达到识别控制目标和控制方式,并形成文件和记录。
ISO27000/BS7799-2:2002的控制细则包括十个部分。
1、安全方针:为信息安全提供管理指导和支持;
2、组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,保障组织的信息安全;
3、 资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息资产受到适当程度的保护;
4、人员安全:在工作说明和资源方面,减少因人为错误、盗窃、欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训;
5、实物与环境安全:确定安全区域,防止非授权访问、破坏、干扰商务场所和信息;通过保障设备安全,防止资产的丢失、破坏、资产危害及商务活动的中断;采用通用的控制方式,防止信息或信息处理设施损坏或失窃;
6、通信和操作方式管理:明确操作程序及其责任,确保信息处理设施的正确、安全操作;加强系统策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息处理和通讯服务的完整性和有效性通过;加强网络管理确保网络中的信息安全及其辅助设施受到保护;通过保护媒体处理的安全,防止资产损坏和商务活动的中断;加强信息和软件的交换的管理,防止组织间在交换信息时发生丢失、更改和误用;
7、访问控制:按照访问控制的商务要求,控制信息访问;加强用户访问管理,防止非授权访问信息系统;明确用户职责,防止非授权的用户访问;加强网络访问控制,保护网络服务程序;加强操作系统访问控制,防止非授权的计算机访问;加强应用访问控制,防止非授权访问系统中的信息;通过监控系统的访问与使用,监测非授权行为;在移动式计算和电传工作方面,确保使用移动式计算和电传工作设施的信息安全;
8、系统开发与维护:明确系统安全要求,确保安全性已构成信息系统的一部份;加强应用系统的安全,防止应用系统用户数据的丢失、被修改或误用;加强密码技术控制,保护信息的保密性、可靠性或完整性;加强系统文件的安全,确保IT方案及其支持活动以安全的方式进行;加强开发和支持过程的安全,确保应用系统软件和信息的安全;
9、商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响;
10、符合:符合法律法规要求,避免刑法、民法、有关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考虑因素,使效果最大化,并使系统审核过程的影响最小化。
在国际标准ISO/IEC17799给出了为实现信息安全认证所需的各项措施的详细指导,具有很强的可操作性和指导性。
说到底,信息安全工作的目的就是在法律、法规、政策的支持与指导下,通过采用合适的安全技术与安全管理措施,提供安全需求的保证,而ISO27000/BS7799信息安全认证标准正是总和了这些要求。组织可以根据自身特点,在ISO/IEC17799指导下,实现信息安全的要求。