第一讲 ISO 17799/27001 标准简介

转自：谷安论坛

ISO 17799 /27001标准简介


1、信息安全管理概况

       近年来，信息安全被破坏的现象很是广泛。政府及国家的机密网络被***垂手可得地进入，公司的机密信息出如今报纸上或被人在垃圾桶中发现，财务信息被公布在网站上让全部人浏览，银行的资产经过网络系统流向***贪婪的钱袋……象这样的例子不胜枚举，同时每一天咱们都能获得来自世界的有关信息安全被破坏的报告。
       在信息及其处理设备高度发达的今天，全部的组织，不管其性质、大小、国营或私营，都依赖于信息而存在。 这些信息有的以纸面文件存在，有的用计算机软硬盘存储，甚至存贮在员工或工做人员的头脑里。无论您的组织是怎样的性质，您的组织必定会有别的组织很是感性趣的信息。
        这些信息多是您的价格表，客户信息，调研信息，市场计划或商务战略，您能够试想一下您能够离开这些信息多长时间？若是您在谈判中的位置，标书底价，产品研究和发展计划或我的信息落入别有用心的人的手中，将对您的组织产生什么样的影响？
    有的组织直到为时已晚的时候才认识到信息安全被破坏形成的影响。您的组织也许看似安全，但信息能够从不一样的渠道泄露。
    世界经济已意识到信息的力量、价值及保护信息的重要性。信息安全被破坏的报告正在与日俱增，这就是为何ISO17799对于保护您的信息是如此重要。该标准提供了一个完整的切入、实施、维护和文件化组织内部的信息安全的框架。


2、什么是ISO 17799/ 27001信息安全管理标准？

     ISO17799信息安全管理标准要求创建一个完整的信息安全管理体系。该管理体系在组织中创建一个完整的切入、实施、维护和文件化的管理框架。该管理标准提供给组织信息安全管理的最佳实践指导。
ISO/IEC 17799（BS 7799）是组织一个关键的管理工具，它能够用来识别管理和减少对组织信息安全的威胁。企业的信息如产品订价、客户信息、研究成果、市场开发计划或发展战略等是企业赖以生存的宝贵财富。当一个组织与另外一个组织合做的时候，对信息的保护尤其重要。当您的组织要把保密的信息与另外一组织分享的时候，您应当确定对方是否可以保证该信息的安全，一样的您也应该保证对方的敏感信息的安全。
     ISO17799是从BS7799转换来的，目前ISO17799的最新版本是ISO17799：2005，它包含了133个安全控制措施来帮助组织识别在运作过程当中对信息安全有影响的元素。这133多个控制措施被分红11个方面，成为组织实施信息安全管理的实用指南，这十一个方面分别是：
    

• 1、安全方针（ Security Policy ）
• 
  2、信息安全组织（Security Organization）
• 
  3、资产管理（Asset Management ）
• 
  4、人员安全（Personnel Security）
• 
  5、物理与环境安全（Physical and Environmental Security）
• 6、通讯与运营管理 (Communications and Operations Management)
• 7、访问控制（Access Control）
• 
  8、系统开发与维护（Systems Development and Maintenance）
• 
  9、信息安全事故管理（Infomation Incident Management）
• 
  10、业务持续性管理（Business Continuity Management）
• 
  11、法律符合性（Compliance）
  
       ISO27001：2005是根据ISO17799：2005制定的一个 ISMS体系实施规范，并可以使用该规范对组织的信息安全管理体系进行审核与认证。经过使用该规范能使组织创建信息安全管理体系，包括如下几个步骤：
  
• 定义信息安全方针  ==>   信息安全方针文档
• 定义ISMS范围  ==>   ISMS范围文档
• 资产识别 ==>  资产清单
• 风险评估 ==> 风险评估文档
• 选择控制目标和控制措施  ==>   控制规划
• 体系运行 ==>  运行计划和运行记录
• 体系审核 ==>  审核计划与审核记录
• 管理评审 ==>  评审计划与评审记录
• 体系认证 ==>  认证申请及认证证书
  
  　　　　　　　　
      根据ISO17799肯定的内容，经过ISO 27001来实施和认证ISMS，并不就必定能保证组织能彻底摆脱信息安全遭破坏，但实施该标准使信息安全被破坏的可能性下降，所以下降 投资和信息安全事故发生后的被破坏的程度。
  
  
  
  3、创建ISMS体系对组织有什么好处？
  
         保证信息安全不是仅有一个防火墙，或找一个24小时提供信息安全 服务的公司就能够达到的。它须要全面的综合管理。而引入信息安全管理体系就能够协调各个方面信息管理，从而使管理更为有效。
        信息安全管理体系标准(ISO27001)可有效保护信息资源,保护 信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，相似于质量管理体系认证的 ISO9000标准。当您的组织经过了ISO27001的认证,就至关于经过ISO9000的质量认证通常，表示您的组织信息安全管理已创建了一套科学有效的管理体系做为保障。
        经过进行ISO27001信息安全管理体系认证，能够增进组织间电子电子商务往来的信用度，可以创建起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增长经过信息安全管理的记录能够看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。
        组织按照ISO27001标准创建信息安全管理体系，会有必定的投入，可是若能经过认证机关的审核，得到认证，将会得到有价值的回报。引入ISO27001标准会给组织带来如下好处：
     
• 企业经过认证将能够向其客户、竞争对手、供应商、员工和投资方展现其在同行内的领导地位。
• 按期的监督审核将确保组织的信息系统不断地被监督和改善，并以此做为加强信息安全性的依据。
• 信任、信用及信心：使客户及利益相关方感觉到组织对信息安全的承诺。
• 60%的组织在过去的两年内信息及信息系统遭到过破坏，创建信息安全管理体系能下降这种风险，经过第三方的认证能加强投资者及其余利益相关方的投资信心。
• 经过认证可以向政府及行业主管部门证实组织对相关法律法规的符合性。
• 经过认证能保证和证实组织全部的部门对信息安全的承诺。
• 经过认证可改善全体的业绩、消除不信任感和拓展业务。
• 得到国际承认的机构的认证证书，可获得国际上的认可。
• 4、组织实施ISO27001的程序与模式  
•     ISO27001中详细介绍了实施信息安全管理的方法和程序，用户能够参照这个完整的标准制定出本身的安全管理计划和实施步骤。ISO27001能够做为大型、中型及小型组织的肯定在大多数状况下所需的控制范围的参考基准。修订后的ISO27001充分考虑了信息处理技术尤为是在网络和通讯领域应用的近期发展，同时还强调了与业务相关的信息安全及信息安全的责任，扩展了新的控制。例如新版本包括关于电子商务、远程工做和外购等领域的控制。
  
•       组织引入信息安全管理标准的关键在于组织的重视程度和制度落实状况。组织在实施过程当中必定要注意，ISO27001里描述的全部控制方式不可能适合组织中每一种状况和组织中的每一个潜在用户。所以，须要根据功能要求和组织自己的实际状况进一步开发适合组织自身须要的控制目标与控制措施，就像依据ISO9000标准开发质量手册和程序文件同样。    信息安全管理体系能够定义为整个组织或组织的一部分，包括处理、存贮和传输数据所用到的相应的资产、系统、应用程序、服务、网络和技术等。信息安全管理体系是整个管理体系的一部分，创建在业务风险的方法上，以开发、实施、完成、评审和维护信息安全。在ISO27001中信息安全管理体系可能包括：组织的整个信息系统；信息系统的某些部分；一个特定的信息系统；    ISMS选择上面哪种范围模式取决于组织的实际须要，一个组织可能须要为其企业的不一样部分、不一样方面定义不一样的ISMS。例如能够为公司与贸易伙伴的特定的贸易关系定义一个信息安全管理系统。ISO/IEC17799强调管理体系的有效性、经济性、全面性、广泛性和开放性,目的是为但愿达到必定管理效果的组织提供一种高质量、高实用性的参照。各单位以此为参照创建本身的信息安全管理体系,能够在别人经验的基础上根据本身的实际状况选择本身引入ISO27001的模式，以达到对信息进行良好管理的目的。组织在实施ISO27001时，能够根据组织的需求和实际状况，采用如下几种模式：      组织按照ISO27001标准的要求，自我实施创建组织的安全管理体系，以达到保证组织信息安全的目的。组织按照ISO27001标准的要求，自我实施创建组织的安全管理体系，以达到保证组织信息安全的目的，而且经过ISO27001体系认证。组织经过安全咨询顾问，来实施创建组织的安全管理体系，以达到保证组织信息安全的目的。组织经过安全咨询顾问，来实施创建组织的安全管理体系，以达到保证组织信息安全的目的，而且经过ISO27001体系认证。