ISOIEC27000系列标准介绍.docx

ISO/IEC27000系列标准介绍一、 背景病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边程度不同的发生过。因此，保护信息资产，解决信息安全问题，已经成了企业必须高度重视并着力解决的问题。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。例如,与企业员工相关的信息安全问题、信息安全和效益的平衡问题、信息安全目标、业务连续性、信息安全法规遵从等问题,只靠产品和技术是解决不了的。有效解决信息安全问题,还要靠“三分技术、七分管理”。ISO国际标准化组织近10年来针对信息安全和信息安全管理体系（）先后发布了一系列的国际标准，下面列出其中的一部分：1 ISO/IEC 27001(Information security management system-fundamentals and vocabulary 信息安全管理体系-基础和术语：提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的其他每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC 27000则主要用于实现这种协调。2 ISO/IEC27001:2005:Information technology-security techniques-Information security management systems-Requirements (信息安全管理体系要求）于2005年10月15日正式发布，是ISMS的要求标准，内容共分章和个附录，其中重要附录中的内容直接引用并与其前身ISO/IEC17799：2005第5到15章一致。3 ISO/IEC27001:2005:Information technology-Security techniques-Code of practice for Information security management (信息安全管理实用规则）ISO/IEC27002是国际标准化组织ISO/IEC最早发布的ISMS系列标准之一(原先为ISO/IEC17799，2005年正式更名为ISO/IEC27002）。它从信息安全的诸多方面，总结了11个方面一百多项信息安全控制措施，是信息安全管理最佳实践。二、 ISO/IEC27002的主要内容 ISO/IEC27002:2005是一个通用的信息安全控制措施集，这些控制措施涵盖了信息安全的方方面面，是解决信息安全问题的最佳实践。标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，循序渐进，从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施，标准还给出了详细的实施方面的信息，以方便标准的用户使用。从内容和结构上看,标准分为四个部分：(一) 引言部分。主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险8个方面内容。(二) 标准的通用要素部分（13章）。第1章是标准的范围，给出了该标准的内容概述、用途及目标。第2章是术语和定义，介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。(三) 风险评估和处理部分。该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。(四) 控制措施部分（515章）。这是标准的主体部分,包括11个领域的控制措施章节，分别是： 1、安全方针（控制目标：1个，控制措施：2个） 2、信息安全管理机构（控制目标：2个，控制措施：11个） 3、资产管理（控制目标：2个，控制措施：5个） 4、人力资源安全（控制目标：3个，控制措施：9个） 5、物理和环境安全（控制目标：2个，控制措施：13个） 6、通信和操作管理（控制目标：10个，控制措施：32个） 7、访问控制（控制目标：7个，控制措施：25个） 8、信息系统获取、开发和维护（控制目标：6个，控制措施：16个） 9、信息安全事件管理（控制目标：1个，控制措施：5个） 10、业务连续性管理（控制目标：2个，控制措施：5个）11、法规遵从符合性（控制目标：3个，控制措施：10个）上列内容作为信息安全管理的最佳实践，既有专用性的特点，也有通用性特点。说它具有专用性，是因为作为信息安全管理体系标准族（ISMS标准）中的一员，目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的，ISO/IEC27001:2005中的规范性附录A就是ISO/IEC27002:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织，应根据ISO/IEC27001:2005的要求，选择ISMS范围，制定信息安全方针和目标，实施风险评估，根据风险评估的结果，选择控制目标和控制措施，制定和实施风险处理计划，执行内部审核和管理评审，以持续改进。ISO/IEC27002:2005的通用性，体现在标准中提出的控制措施是从信息安全工作实践中总结出来的,是最佳实践。任何规模、任何性质的有信息安全要求的组织，不管其是否建设ISMS，都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。另外，ISO/IEC27002:2005提出的控制目标和控制措施，对一个人具体的组织并不一定全部适用，也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC27002:2005以外的控制目标和控制措施。例如，有人就主张，上列11个领域还应增加4个领域，包括：12、信息安全教育和培训，13、外部合作方的安全，14、加密控制，15、检查、监督和审计。三、 ISO/IEC27001:2005介绍ISO/IEC27001:2005标准设计用于认证目的，它可帮助组织建立和维护ISMS。标准的48章定义了一组ISMS要求。如果组织认为其ISMS满足该标准48章的所有要求，那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核（初审）后，其结果是符合ISO/IEC27001:2005的要求，那么它就会颁发ISMS证书，声明该组织的ISMS符合ISO/IEC27001:2005标准的要求。不管是第一方审核、第二方审核，还是第三方审核，评估组织的ISMS对ISO/IEC27001:2005标准的符合性是十分严格的。ISO/IEC27001:2005标准适用于所有类型的组织，而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说，该标准要求组织通过业务风险的方法，来建立、实施、运行、监视、评审、保持和改进其ISMS，确保其信息资产的安全(保密性、可用性和完整性）。信息资产ISO/IEC27001:2005所指“信息”可包括所有形式的数据、文件、通信件（如email和传真等）、交谈（如电话等）、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的，以任何方式存储的信息。通常，系统（信息系统和数据库等）也可作为一类信息资产。安全风险组织的信息资产可面临许多威胁，包括人员（内部人员和外部人员）误操作（不管有意的，还是无意的）、盗窃、恶意代码和自然灾害等。另一方面，组织本身存在某些可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。ISO/IEC27001:2005标准要求组织采用合适的风险评估方法，确定每一个关键信息资产的风险，并根据各类信息资产的重要程度和价值，选择适当的控制措施，减缓风险。风险评估和风险处理是ISO/IEC27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS，要进行信息资产风险评估和风险处理。主要工作包括：1、 制定组织的ISMS方针和风险接受准则；2、 选择或定义组织的风险评估方法；3、 识别要保护的信息资产，并进行登记；4、 识别安全风险，包括识别资产所面临的威胁、组织的脆弱点和造成的影响等；5、 对照组织的风险接受准则，评价和确定已估算的风险的严重性、可否接受；6、 形成风险评估报告；7、 制定风险处理计划，选择风险控制措施；标准明确规定，有4种风险处理方法：采用适当的控制措施、接受风险、避免风险和转移风险；8、 执行风险处理计划，将风险降低到可接受的程度。从理论上，风险只能降低（或减少），而不能安全消除。选择控制措施的原则是即能使本组织的资产受到与其价值和保密等级相符的保护，将其所受的风险降低到可接受的水准，又能使所需要的费用在该组织的预算范围之内，使该组织能够保持良好的竞争力和成功运作的状态。另外，风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时，风险评估应重新进行。ISO/IEC27001:2005标准48章规定了ISMS建立、实行与运行、监督与评审、维护与改进所要遵循的活动（过程），并形成一个周期，称“PDCA”（Plan-Do-Check-Act）周期，如图1：PDCA方法，既用于ISMS的建立和实施，也用于ISMS的管理和持续改进。四、 建立ISMSISO27001标准指出，管理体系应包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC27001：2005 37）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素，包括：1、 信息安全管理机构通过信息安全管理机构，可建立各级安全管理组织、确定相关人员职责、策划信息安全活动和实践等。2、 ISMS文件包括ISMS方针、过程、程序文件和其它必须的文件等。3、 资源包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。下面分别对前二个要素作一点说明(一) 信息安全管理机构标准没有规定信息安全管理机构的名称，因此名称并不重要。可以与IT服务管理体系与管理机构合并，例如，任命管理者代表、设立质量管理部等。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别信息安全管理机构：1) 高层：以总裁副总裁或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。2) 中层：负责该组织日常信息安全的管理与监督活动。3) 基层：各部门指定一位兼职的信息安全管理员，实施对其本部门的日常信息安全监视和检查工作。(二) 4.2ISMS建立过程按照ISO/IEC 27001：2005“4.2.1建立ISMS”条款的要求，建立ISMS的步骤包括：1) 定义ISMSde范围和边界，形成ISMS的范围文件；2) 定义ISMS方针（包括建立风险评估的准则等），形成ISMS方针文件；3) 确定风险评估方法；4) 识别要保护的信息资产的风险，包括识别： a）资产及其负责人； b）资产所面临的威胁； c）组织的脆弱点； d）资产保密性、完整性和可用性的丧失造成的影响。5) 分析和评价安全风险，形成风险评估报告文件，包括要保护的信息资产清单；6) 识别和评估风险处理的可选措施，形成风险评估报告文件；7) 根据风险处理计划，选择风险处理控制目标和措施，形成相关的文件；8) 管理者正式批准所有残余风险；9) 管理者授权ISMS的实施和运行；10) 编制适用性声明。(三) 4.3ISMS文件 ISMS文件是ISMS的主要要素，既要与ISO/IEC27001：2005保持一致，又要符合本组织的信息安全的需要。对一般员工来说，在其实际工作中，可以不过问国际信息安全管理标准-ISO/IEC27001：2005，但必须按照ISMS文件的要求执行工作。1、 ISMS文件的类型 根据ISO/IEC27001：2005标准的要求，ISMS文件分为四种类型：1) 方针类文件(Policies）包括： a）ISMS方针(ISMS policy）； b）信息安全方针(information security policy）。2) 程序类文件(Procedure）3) 记录(Records）记录是提供客观证据的一种特殊类型的文件。通常，记录发生于过去，是相关程序文件运行产生的结果(或输出）。记录通常是表格形式。4) 适用性声明文件(Statement of Applicability，简称）ISO/IEC27001：2005标准的附录提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施，实施的组织只要有正当理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明(说明），并形成适用性声明文件。2、 必须的文件“必须的文件”是指ISO/IEC27001：2005“4.3.1总则”明确规定的，一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents）。“4.3.1总则”要求ISMS文件必须包括9方面的内容：1) ISMS方针ISMS 方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的职责等。2) ISMS的范围3) 支持ISMS的程序和控制措施；4) 风险评估方法的描述；5) 风险评估报告；6) 风险处理计划；7) 控制措施有效性的测量程序；8) 本标准所需要的记录；9) 适用性声明。3、 可选的文件除了上述必须的文件外，组织可以跟据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。这些文件就是所谓的可选的文件（Discretionary documents）。这类文件的内容可随组织的不同而有所不同，主要取决于：1) 组织的业务活动及风险；2) 安全要求的严格程度；3) 管理的体系的范围和复杂程度。这里，需要特别提出的是，ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何，通常可跟据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处理这些风险的可能方法，包括形成相关文件。4、 文件的符合性 ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此：1) 参考相关法律法规要求和标准要求在编写ISMS文件时，编写者应参考相关法律法规要求和标准的相应条款的要求，例如，在编写ISMS方针时，要参考ISO/IEC 27001 “4.2.1义ISMS方针”编写适用性声明时，要参考ISO/IEC27001“4.2.1j准