ISO27001
英國標準協會提出的標準
信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分: BS7799-1,信息安全管理實施規則 BS7799-2,信息安全管理體系規範。
信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)於1995年2月提出,並於1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:
BS7799-1,信息安全管理實施規則
BS7799-2,信息安全管理體系規範。
第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
隨著在世界範圍內,信息化水平的不斷發展,信息安全逐漸成為人們關注的焦點,世界範圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準,國際標準化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。目前,在信息安全管理方面,英國標準ISO27001:2005已經成為世界上應用最廣泛與典型的信息安全管理標準,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成,最新版本為ISO27001:2013。
ISO27001標準於1993年由英國貿易工業部立項,於1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制範圍的唯一參考基準,並且適用於大、中、小組織。
1998年英國公布標準的第二部分《信息安全管理體系規範》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。BS 7799-1與BS 7799-2經過修訂於1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網路和通信領域應用的近期發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。
2000年12月,BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準-----ISO/IEC17799:2000《信息技術-信息安全管理實施細則》。2002年9月5日,BS 7799-2:2002草案經過廣泛的討論之後,終於發布成為正式標準,同時BS 7799-2:1999被廢止。2004年9月5日,BS 7799-2:2002正式發布。
2005年,BS 7799-2:2002終於被ISO組織所採納,於同年10月推出ISO/IEC 27001:2005.
2005年6月,ISO/IEC 17799:2000經過改版,形成了新的ISO/IEC 17799:2005,新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。ISO/IEC 17799:2005已更新並在2007年7月1日正式發布為ISO/IEC 27002:2005,這次更新只是在標準上的號碼,內容並沒有改變。
現在,ISO27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。目前除英國之外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準;日本、瑞士、盧森堡等國也表示對ISO27000:2005標準感興趣,我國的台灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司已採用了此標準對自己的信息安全進行系統的管理。截至2002年9月,全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。
2000年,國際標準化組織(ISO)在BS7799-1的基礎上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也於2005年被採用為ISO27001:2005。
ISO27001認證好處:
信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準,類似於質量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當於通過ISO9000的質量認證一般,表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證,可以帶來以下幾個好處:
引入信息安全管理體系就可以協調各個方面信息管理,從而使管理更為有效。保證信息安全不是僅有一個防火牆,或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。
通過進行ISO27001信息安全管理體系認證,可以增進組織間電子電子商務往來的信用度,能夠建立起網站和貿易夥伴之間的互相信任,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,並為廣大用戶和服務提供商提供一個基礎的設備管理。同時,把組織的干擾因素降到最小,創造更大收益。
通過認證能保證和證明組織所有的部門對信息安全的承諾。
通過認證可改善全體的業績、消除不信任感。
獲得國際認可的機構的認證證書,可得到國際上的承認,拓展您的業務。
組織按照ISO27001標準建立信息安全管理體系,會有一定的投入,但是若能通過認證機關的審核,獲得認證,將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善,並以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。
通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。
自2005年國際標準化組織(簡稱:ISO)將BS 7799轉化為ISO 27001:2005發布以來,此標準在國際上獲得了空前的認可,相當數量的組織採納並進行了信息安全管理體系的認證, 至2011年底,國際上頒發的ISO 27001認證證書總數約為15625張(其中,BSI的市場佔有率達約為45.65%)。在我國,自從2008年將ISO 27001:2005轉化為國家標準GB/T 22080:2008以來,信息安全管理體系認證在國內進一步獲得了全面推廣,至2011年底,國內頒發認證證書數量是1107張。越來越多的行業和組織認識到信息安全的重要性,並把它作為基礎管理工作之一開展起來。
然而過去的幾年中,IT領域和通信行業發生了非常大的變革,出現了全面的業務和技術的融合。移動網際網路蓬勃興起、智能手機的廣泛採用、雲計算技術的風起雲湧,帶來了全新的網路威脅、數據泄漏和欺詐的風險。面對這樣的變化和趨勢,使得信息安全管理體系標準的更新也變得日益重要。
ISO對標準的更新,一般是以三年為一個周期,但因為ISO 27001::2005標準發布后的巨大成功,以及ICT行業的飛躍發展,使得這個標準的更新變得非常謹慎,至今已有7年。從ISO組織發布的最新信息可以看到,ISO 27001標準的更新籌備實際上已經在2008年開始,任命了工作組(JTC 1/SC 27 WG 1);2009年正式啟動更新。目前,處於該標準草案(Committee Draft)正在編寫委員會討論層面(30.20:2012-06-20),預計新版發布時間會在 2013-10-19,那時我們就可以一睹它的全新面貌了。
從ISO 27001標準新版更新的一些說明材料中,可以看出這次ISO 27001標準改版將會具有以下幾個特徵:
採用ISO導則83。ISO導則83,規範了今後ISO管理體系認證標準的基本框架;採用導則83頒布的第一個標準是2012年5月15日發布的業務連續管理體系標準——ISO 22301:2012。
導則83對今後的標準提出了新的框架要求,如下圖示,標註了ISO27001新版與2005版結構的對比和差異:
ISO27001
標準第4-7章,說明管理體系的一般要求,包括:組織的情境、領導力、策劃和支持;標準第8章,描述ISMS實施要求,包括信息安全風險評估和處置;標準第9章,描述監視,測量和評審活動的要求;標準第10章,描述改善活動的要求;其中,取消了預防措施。信息安全風險管理與ISO 31000風險管理保持一致新版的ISO 27001標準中信息安全風險管理要求與ISO 31000:2009 (Risk management——Principles and guidelines) 保持一致,並遵從其中的定義。
在新版標準中明確了以下要求:
信息安全風險評估:組織應確定如何確定其信息安全風險評估和處置過程的可靠性。信息安全風險處理:適用時,組織應調整信息安全風險評估和處置過程,以及採用的方法,以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO 27001依然會保留SOA和附錄A控制目標、控制措施的架構;因此,毫無疑問,ISO 27001的新版修訂一定會與ISO 27002的修訂同步進行。
事實上,關於控制措施和控制目標的修訂,也是應對新的變化的信息安全威脅和風險必須的選擇;這部分的更新,在修訂項目中,接受了大量的修改建議,爭論也相當大,目前還沒有最後的結論。
持續發展27系列支持性標準ISO 27001從誕生第一天開始就不是孤立的,為了支持信息安全管理體系標準,ISO27系列發布了一系列普遍適用和行業適用的參考標準。如下圖:
截止目前,一些支持性標準目前的狀態如下表:
標準 | 名稱 | 狀態 |
ISO 27000 | Overview and vocabulary | DIS |
ISO 27001 | Requirements | CD |
ISO 27002 | Code of practice for information security management | WD |
古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名於世,他曾經寫道“一切皆流,無物常住”,過去幾年中,國際上幾乎所有行業和組織面臨的信息安全風險的局勢無不體現了赫氏的這一學說。變化和發展是永恆的,信息安全風險總是處在持續演進中,攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標準都在不斷發展,我們唯一要做的就是保持警惕,隨時準備抵禦風險。
認監委批准的認證公司
截止到2011年5月11日,國家認監委對ISO27001認證管控非常嚴格,至今只允許8家認證機構進行認證,分別是:
中國信息安全認證中心
北京埃爾維質量認證中心
華夏認證中心
中國電子技術標準化研究所
上海質量體系審核中心
廣州賽寶認證中心服務有限公司
英國標準協會(BSI)
北京挪華威認證有限公司(DNV)
通標標準技術服務有限公司(SGS)
上海英格爾認證有限公司(ICAS)
ISO27001認證企業
到2010年3月底,全球已經通過認證的公司
Number of Certificates Per Country
Japan | 3480 | Saudi Arabia | 13 | Peru | 3 |
China | 166 | Singapore | 13 | Portugal | 3 |
India | 495 | Slovenia | 13 | Argentina | 2 |
UK | 444 | Netherlands | 12 | Bosnia Herzegovina | 2 |
Germany | 136 | Pakistan | 11 | Belgium | 2 |
Korea | 106 | Bulgaria | 10 | Cyprus | 2 |
USA | 95 | Indonesia | 10 | Isle of Man | 2 |
Czech Republic | 85 | Norway | 10 | Kazakhstan | 2 |
Hungary | 70 | Russian Federation | 10 | Morocco | 2 |
Italy | 60 | Kuwait | 9 | Ukraine | 2 |
Poland | 56 | Sweden | 9 | Armenia | 1 |
Spain | 40 | Iran | 8 | Bangladesh | 1 |
Austria | 32 | Slovakia | 8 | Belarus | 1 |
Australia | 29 | Bahrain | 7 | Denmark | 1 |
Ireland | 29 | Colombia | 7 | Dominican Republic | 1 |
Thailand | 28 | Croatia | 6 | Kyrgyzstan | 1 |
Greece | 27 | Switzerland | 6 | Lebanon | 1 |
Malaysia | 27 | Canada | 5 | Luxembourg | 1 |
Mexico | 26 | South Africa | 5 | Macedonia | 1 |
Romania | 26 | Sri Lanka | 5 | Mauritius | 1 |
Brazil | 23 | Lithuania | 4 | Moldova | 1 |
Turkey | 21 | Oman | 4 | New Zealand | 1 |
UAE | 19 | Qatar | 4 | Sudan | 1 |
Philippines | 15 | Vietnam | 4 | Uruguay | 1 |
Iceland | 14 | Chile | 3 | Yemen | 1 |
France | 13 | Egypt | 3 | ||
Gibraltar | 3 | Total | 5785 | ||
The total number of ISO/IEC 27001 certificates is now 6385,The total number of China includes Hong Kong/macau/Taiwan, the number ofTaiwan is 385, the number ofHong Kong is 31 and the number ofmacau is 3.
認證機構
頒發ISO27001信息安全管理體系證書的認證機構必需是經過CNCA國家認證監督委員會(認監委)授權的認證機構方可在國內進行審核發證,所有通過認證且合法的證書均可在CNCA的網站上進行查詢。國外的認證機構如果沒有在國內CNCA備案,即使認證機構得到了認可單位是UKAS或者ANAB等等的認可,也是不符合中國的法律法規的,視為違規操作,被發現將會被CNCA處罰並公示證書在國內無效。經CNCA授權的認證機構可以在CNCA網站上查詢。
關於認證機構與認可機構
認證,認證是指由認證機構證明產品、服務、管理體系符合相關技術規範、相關技術規範的強制性要求或者標準的合格評定活動。認證機構,是經國家認證認可監督管理委員會(CNCA)批准可以在中國境內合法開展管理體系認證和產品認證的專業機構。就是說取得此項認證資質的企業或單位才可以進行審核活動。比如BSI,DNV,北京新世紀認證有限公司,華夏認證中心有限公司等等,他們屬於認證機構。認證機構是經CNCA授權的,認可機構管理認證機構。
認可,是正式表明合格評定機構具備實施特定合格評定工作能力的第三方證明。通俗地講,認可是指認可機構按照相關國際標準或國家標準,對從事認證、檢測和檢查等活動的合格評定機構實施評審,證實其滿足相關標準要求,進一步證明其具有從事認證、檢測和檢查等活動的技術能力和管理能力,並頒發認可證書。中國的認可機構是CNAS,英國的認可機構是UKAS,美國的認可機構是ANAB。
獲得CNAS認可的認證機構名錄如下:中國質量認證中心,上海質量體系審核中心,北京賽西認證有限責任公司,廣州賽寶認證中心服務有限公司,北京新世紀認證有限公司,華夏認證中心有限公司,中國信息安全認證中心,上海挪華威認證有限公司
註:一般說來,證書是由認證機構頒發,認證機構要得到認可機構的授權,認可機構要得到認監委(CNCA)的授權,因此在中國的認證最高管理單位是CNCA。但是有些認證機構經CNCA備案授權,並沒有獲得CNAS的認可,這樣在國內開展被授權的審核業務也是可以的。
國際認證
APM Group(APMG) 代表英國商務部(OGC)在全球進行ISO 27001 Foundation、PRINCE2、P3O-Portfolio, Program and Project Offices、 MSP、M_o_R和ITIL的資質認證工作。業務遍布全球,分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設有分公司。APMG中國是英國APMG公司在中國的全資機構及唯一代表機構。
主要內容
標準的主要內容
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎,並為組織之間的交往提供信任。
標準指出“象其他重要業務資產一樣,信息也是一種資產”。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。
內容章節
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001,新標準去掉9點控制措施,新增17點控制措施,並重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;並修改了部分控制措施措辭。修改後的標準包括11個章節:
1)安全策略。指定信息安全方針,為信息安全提供管理指引和支持,並定期評審。
2)信息安全的組織。建立信息安全管理組織體系,在內部開展和控制信息安全的實施。
3)資產管理。核查所有信息資產,做好信息分類,確保信息資產受到適當程度的保護。
4)人力資源安全。確保所有員工,合同方和第三方了解信息安全威脅和相關事宜以及各自的責任,義務,以減少人為差錯,盜竊,欺詐或誤用設施的風險。
5)物理和環境安全。定義安全區域,防止對辦公場所和信息的未授權訪問,破壞和干擾;保護設備的安全,防止信息資產的丟失,損壞或被盜,以及對企業業務的干擾;同時,還要做好一般控制,防止信息和信息處理設施的損壞和被盜。
6)通信和操作管理。制定操作規程和職責,確保信息處理設施的正確和安全操作;建立系統規劃和驗收準則,將系統失效的風險降到最低;防範惡意代碼和移動代碼,保護軟體和信息的完整性;做好信息備份和網路安全管理,確保信息在網路中的安全,確保其支持性基礎設施得到保護;建立媒體處置和安全的規程,防止資產損壞和業務活動的中斷;防止信息和軟體在組織之間交換時丟失,修改或誤用。
7)訪問控制。制定訪問控制策略,避免信息系統的非授權訪問,並讓用戶了解其職責和義務,包括網路訪問控制,操作系統訪問控制,應用系統和信息訪問控制,監視系統訪問和使用,定期檢測未授權的活動;當使用移動辦公和遠程控制時,也要確保信息安全。
8)系統採集、開發和維護。標示系統的安全要求,確保安全成為信息系統的內置部分,控制應用系統的安全,防止應用系統中用戶數據的丟失,被修改或誤用;通過加密手段保護信息的保密性,真實性和完整性;控制對系統文件的訪問,確保系統文檔,源程序代碼的安全;嚴格控制開發和支持過程,維護應用系統軟體和信息安全。
9)信息安全事故管理。報告信息安全事件和弱點,及時採取糾正措施,確保使用持續有效的方法管理信息安全事故,並確保及時修復。
10)業務連續性管理。目的是為減少業務活動的中斷,是關鍵業務過程免受主要故障或天災的影響,並確保及時恢復。
11)符合性。信息系統的設計,操作,使用過程和管理要符合法律法規的要求,符合組織安全方針和標準,還要控制系統審計,使信息審核過程的效力最大化,干擾最小化。
ISO27001的效益
1、通過定義、評估和控制風險,確保經營的持續性和能力
2、減少由於合同違規行為以及直接觸犯法律法規要求所造成的責任
3、通過遵守國際標準提高企業競爭能力,提升企業形象
4、明確定義所有組織的內部和外部的信息介面目標:謹防數據的誤用和丟失
5、建立安全工具使用方針
6、謹防技術訣竅的丟失
7、在組織內部增強安全意識
8、可作為公共會計審計的證據
認識ISO27001國際標準
ISO27001(BS7799/ISO17799)國際標準究竟是什麼?它如何幫助一個組織更加有效地管理信息安全?BS7799/ISO27001和ISO9001之間有什麼聯繫?初次涉獵信息安全管理領域應該掌握哪些內容,以便組織發起信息安全管理項目?如何獲得BS7799國際標準認證?
IT治理和信息安全
近年來企業高層對內部治理需求越來越實際而具體。隨著信息技術普遍滲透到企業組織中的各個方面,企業越來越依賴IT系統來處理和儲存各種信息,以保證業務正常運營,由此IT系統在企業治理中的作z用越來越明晰,IT治理也逐漸被大多數企業認可,成為董事會和企業內部共同關注的領域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環節實施的前提。
與此同時,和信息安全相關的國際標準已經出台,成為標準IT治理框架中的一大基石。
信息安全和法律法規
業內人士對ISO27001認證趨之若鶩,這其中有兩個關鍵性的驅動因素:一是日益嚴峻的信息安全威脅,二是不斷增長的信息保護相關法規的需求。
本質上說,信息安全威脅是全球化的。一般來說,它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在網際網路的環境中自動生成並釋放。更嚴重的問題是,其他各種形式的危險也在整日威脅數據安全,包括從外部攻擊行為到內部破壞、偷盜等一系列危險。
過去的十年內,圍繞信息和數據安全問題建立起來的法律法規體系從無到有、不斷壯大,其中包括專門針對個人數據保護問題的,也有針對企業財政、運營和風險管理體系建立的法規保障問題的。一套正式規範的信息安全管理體系應當可以提供最佳實踐部署指導。目前,建立這樣的管理體系逐漸成為諸多合規項目的必要條件,與此同時,針對該管理體系的認證逐漸成為各種組織(包括政府部門)的熱門需求,這份認證可以為他們帶來重要的潛在商業合同。
信息安全和技術
絕大多數人認為信息安全是一個純粹的有關技術的話題,只有那些技術人員,尤其是計算機安全技術人員,才能夠處理任何保障數據和計算機安全的相關事宜。這固然有一定道理。不過,實際上,恰恰是計算機用戶本身需要考慮這樣的問題:避免哪些威脅?在信息安全和信息通暢中如何平衡取捨?的確如此,一旦用戶給出答案,計算機安全專家就可以設計並執行一個技術方案以達成用戶需求。
在組織內部,管理層應當負責決策,而不是IT部門。一個規範的信息安全管理體系必須明確指出,組織機構董事會和管理層應當負責相關信息安全管理體系的決策,同時,這個體系也應當能夠反映這種決策,並且在運行過程中能夠提供證據證明其有效性。
所以機構組織內部的信息安全管理體系的建立項目不必由一個技術專家來領導。事實上,技術專家在很多情況下起到相反的作用,可能會阻礙項目進程。因此,這個項目應該由質量管理經理、總經理或者其他負責機構內部重大職能的執行主管負責主持。
1995年,英國標準協會(BSI)發布BS7799標準,即ISMS(信息安全管理體系),旨在規範、引導信息安全管理體系的發展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術、任何企業和產品供應商的價值中立的管理體系。只要實施得當,BS7799標準將幫助企業檢查並確認其信息安全管理手段和實施方案的有效性。
從企業外部來看,BS7799關注信息的可用性、機密性和完整性,至今這仍然是這項標準致力達到的目標。BS7799集中關注企業組織層面上的風險規避(一定程度上主要是商業和金融風險),而不包括避免每一個潛在風險的保護措施——儘管它們至關重要。
BS7799最初僅有一份文檔,且具有明顯的實踐指南性質。也就是說,它為組織提供信息安全指引,但沒有形成規範,不能為外部第三方審計和認證等提供依據。隨著越來越多的企業開始認識到來自信息安全的威脅波及範圍越來越廣,影響程度越來越大,並且關於數據和隱私權保護的法律法規不斷出台,信息安全標準認證的需求開始不斷增加。
這種需求的增加最終促成了該項標準第二部分的出台,即標準規範。實踐指南和標準規範之間的關係是這樣的:標準規範是認證方案的基礎,同時標準規範要求實踐者遵從實踐指南的指引。
這個實踐指南最近被修訂為ISO/IEC 17799:2005,標準規範也被修訂為ISO/IEC 27001:2005,逐步得到國際認同。
許多國家也已發布了自己的相關標準,比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可,這促使了本土化標準的消退(除了基於兩個標準號碼基礎上的本土化標準以外)。
認證與遵從
一個組織可以僅遵從ISO17799來建立和發展ISMS(信息安全管理體系),因為實踐指南中的內容是普遍適用的。然而,由於ISO17799並非基於認證框架,它不具備關於通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講,這就表明一個正在獨立運用ISO17799的機構組織,完全符合實踐指南的要求,但是這並不足以讓外界認可其已經達到認證框架所制定的認證要求。不同的是,一個正在同時運用ISO27001和ISO17799標準的機構組織,可以建立一個完全符合認證具體要求的ISMS,同時這個ISMS體系也符合實踐指南的要求,於是,這一組織就可以獲得外界的認同,即獲得認證。
ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這一標準中的編號系統和文件管理需求的設計初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說,組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構,來提供ISO27001認證服務。正是因為這個緣故,在ISMS體系建立的過程中,質量管理的經驗舉足輕重。
但是有一點需要注意,一個組織如果沒有事先擁有並使用任何形式的管理體系,並不意味著該組織不能進行ISO27001認證。這種情況下,該組織就應當從經濟利益考慮,選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委託授權,才能為認證組織提供認證服務,併發放認證證書。大多數國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進行ISMS認證的機構均記錄在案。
風險評估應對計劃
任何一個ISMS體系的建立和開發都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業務模式、運營目標、形象特點和內部文化,他們對待風險的態度傾向也大相徑庭。換句話說,同一個東西,一個機構組織認為是必須提防的威脅,在另一個組織看來可能是一個必須抓住的機遇。同樣地,各個機構組織對於既有風險防護的投入也參差不齊。基於以上或者其他原因,每個運行ISMS的組織,其內部成員必須對風險評估有一個共識,這個風險評估的方法論、結果發現和推薦解決方式都必須得到董事會的首肯。
ISMS項目和PDCA流程
ISMS項目很複雜,可能持續若干個月甚至若干年,涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短,成功的案例比較少。從務實的角度考慮,這表明在項目計劃過程中,必須儘早對這些僅有的指導性的書籍和案例進行分析和研究。
ISO27001標準指導一個企業如何著手開展ISMS項目,並且關注整個項目進程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即計劃(Plan)-執行(Do)-檢查(Check)-提升(Act)過程,意在說明業務流程應當是不斷改進的,該方法使得職能部門經理可以識別出那些需要修正的環節並進行修正。這個流程以及流程的改進,都必須遵循這樣一個過程:先計劃,再執行,而後對其運行結果進行評估,緊接著按照計劃的具體要求對該評估進行複查,而後尋找到任何與計劃不符的結果偏差(即潛在改進的可能性),最後向管理層提出如何運行的最終報告。
ISO27001認證審核費用及周期
除了組織自身投入之外,ISO27001 認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之後,認證機構會初步了解組織現狀,確定審核範圍,提出審核報價。認證機構的報價通常是根據其投入的時間和人員來確定的,決定因素包括:
1、受審核組織的員工數量;
2、納入審核範圍的信息量;
3、場所數量;
4、組織與外界的關聯;
5、組織 IT 的複雜性;
6、組織類型和業務性質等。
除了費用問題,認證審核的周期通常也是組織比較關心的。一般來說,從組織啟動 ISMS建設項目開始,到最終通過審核,至少要有半年時間(不包括獲取證書的時間)。對於很多因為外部驅動力而決心實施 ISO27001 認證項目的組織來說,提早進行規劃是必要的。
ISO 27001為企業雲計算安全保駕護航。
近幾年來,IT領域出現了全面的業務和技術的融合,許多全新的技術名詞開始進入大眾視野。作為第三次IT浪潮的代表,雲計算技術的風起雲湧為人類生活、生產方式和商業模式帶來了巨大的改變。據Gartner公司最新一季度的IT支出報告稱,鑒於2011年全球公有雲服務市場規模突破了910億美元,預計2012年底這一數字將增加19%,達到1090億美元。來自Gartner的雲計算領域觀察員Ed Anderson認為,2016年全球雲計算產業很可能增長率將超過100%,市場規模達到2070億美元。
伴隨著雲計算的高速發展與普及,隨之而來的全新網路威脅、數據泄漏和欺詐的風險,在全球範圍內引發了諸多危機:2011年3月,谷歌Gmail郵箱爆發大規模的用戶數據泄漏事件,約有15萬用戶的使用信息受到不同程度的破壞;無獨有偶,2011年4月,全球最大的網路零售商亞馬遜也發生史上最嚴重的宕機事件,導致其雲服務中斷持續了近四天,業務損失十分嚴重。由此可見,想要獲得真正全面的雲計算服務,安全問題是重中之重。如何並有效地避免雲計算所帶來的安全隱患,國際上關於“雲”的組織聯盟都在積極地做出努力,在對相關技術水平提出更高要求的同時,如何更好的建立企業自身的信息安全管理標準體系也成為了行業日益關注的焦點。
作為目前國際上具有代表性的信息安全管理體系標準,ISO 27001已在世界各地的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司得到了廣泛應用,該標準重新定義了對信息安全管理體系(ISMS) 的要求,旨在幫助企業確保有足夠並具有針對性的安全控制選擇。通過信息安全管理體系的建立、運行和改進,可以進一步規範企業相關的信息管理工作,從而確保企業雲計算服務的安全問題。
此外,開展ISO 27001的培訓也是十分必要的,而且要從不同的層面開展針對性的培訓。首先,需要開展管理層的培訓,讓管理者對信息安全管理體系有一個初步的了解,讓領導們初步了解信息安全管理體系的理念和作用,企業高層的大力支持,才能順利進行,因為信息安全體系架構的實施和運行,比如會跨越不同的部門,在部門與部門的協調上,就需要上層領導的協調了。此外,讓各部門主要信息安全專員參與標準的內審員培訓,從而讓內審核員認識信息安全體系應該做哪些工作,哪些是重點工作,並且在培訓中進行討論,形成統一的認識。
通過實施ISO27001信息安全管理體系,將為企業帶來多方面的益處:包括證明企業內部控制具備獨立保障,並滿足公司信息管理和業務連續性要求;獨立證明已遵守各項適用法律法規;通過滿足合同要求以提供競爭優勢,並向客戶展示其雲計算安全已受到保護;在使信息安全流程、程序和文件材料正式化的同時,能夠獨立地證明您的雲服務相關風險已得到妥善識別、評估和管理;證明高級管理層對其信息安全的承諾;定期的評估流程有助於不斷監控企業的績效並最終得到改善。
2013新版變化
現版的信息安全管理系統ISO 27001:2005標準已經使用了8年,日前ISO組織(國際標準化組織)終於將新版ISO 27001:2013 DIS版(國際標準草案Draft International Standard)草稿向公眾開放並徵求意見,預計在今年6-7月會發布DIS最終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日,在新版公布后的18至24個月內是轉換緩衝期,即原有已取得證書的企業最遲需要在2015年10月19日前轉換到新版標準。
安言諮詢技術總監張威表示,此次改版與舊版相比主要有三大差異:一、管理體系更容易整合;二、融入企業面臨的新挑戰;三、更多指引延伸參考。說明如下:
(1)易整合:以前各管理系統對管理制度面的要求有不太一致的描述方式,且章節不一。例如管理制度的PDCA(Plan,Do,Check,Act)、政策與高級支持等管理制度面要求不同。在新版當中採取Annex SL做結構性要求,讓不同管理系統易於接軌、整合。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據,目前已經有ISO 22301(前BS 25999營運持續管理系統)和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。
(2)新要求:ISO 27001:2005原本有11個領域(domain)、133項控制措施,新版DIS目前調整為14個領域(A.5-A.18)、113個控制措施(未來仍可能有改動)。新增的領域是將原分散在各領域中的部分控制目標級別提升,組成新領域,如加密與供應鏈管理因其重要性而被獨立出來成為新領域;或是將原有領域分拆,如將通訊與作業管理分開成兩個獨立的領域,以反映目前信息安全的發展趨勢。而控制措施的減少則是通過合併重複的項目來進行,像變更管理在不同的領域中有重複就予以合併。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發項目管理的信息安全要求等。
(3)更多參考:此次ISO也新增許多指引供企業參考,組織可以通過不同的面以及風險進行深度的強化,通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號(001-044),例如金融服務、數字鑒識、供應鏈管理(4本)、軟體開發測試等,主管機關可參考這些指引做升級的要求。
對於目前正在準備ISO 27001的企業,建議無須等待新版,按照原訂進度先取得27001:2005驗證,在緩衝期結束前轉到新版即可,新版會向下兼容接軌。
IS027001認證將來的發展和變化
按照BSI的規劃(包括ISO的考慮),未來兩年裡,以ISO/IEC 27001為核心的信息安全管理標準將逐漸發展成為一套完整的標準族,具體包括:
ISO/IEC 27000,基礎和術語。
ISO]IEC 27001,信息安全管理體系要求,已於2005年10月15日正式發布(ISO/IEC27001:2005)。
ISO/IEC 27002,信息安全管理體系最佳實踐,將會在2007年4月直接由ISO/IEC
17799:2005(已於2005年6月15日正式發行)轉換而來。
ISO/IEC 27003,ISMS實施指南,正在開發。
ISO/IEC 27004,信息安全管理測量和改進,正在開發。
ISO/IEC 27005,信息安全風險管理指南,以2005年底剛剛推出的BS7799-3(基於ISO/IEC 13335-2)為藍本;
這些標準或指南,互相支持和參照,共同為組織實施信息安全最佳實踐和建立信息安全管理體系而發揮作用。