ISO/IEC27001知识体系
1.?? ISMS概述…. 3
1.1??????? 什么是ISMS.. 3
1.2??????? 为什么需要ISMS.. 4
1.3 如何建立ISMS?? 6
1.???? ISMS概述
1.1?? 什么是ISMS
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系 要求)的第3章术语和定义中,对ISMS的定义如下:
ISMS(信息安全管理体系):是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。
ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
单纯从定义理解,可能无法立即掌握ISMS的实质,我们可以把ISMS理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括ISMS管理机构、ISMS文件以及资源等,ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。
1.2?? 为什么需要ISMS
今天,我们已经身处信息时代,在这个时代,“计算机和网络”已经成为组织重要的生产工具,“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。
可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势:
2005年6月19日,万事达公司宣布,储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售,每条100美元,并可能被用于金融欺诈活动。
2005年5月19日,深圳市中级人民法院对华为公司诉其前员工案作出终审判决,维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工,因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英,最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。
2005年7月12日下午2时35分,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修,至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。
2006年5月8日上午8时左右,中国工程院院士,著名的传染病学专家钟南山在上班的路上,被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面,电脑里还存着正在研制的新药方案,要是这个研究方案变成一种新药,那是几个亿的价值啊”。
(以上案例均来自互联网)
这几个案例仅仅是冰山一角,打开电视、翻翻报纸、浏览一下互联网,类似这样的事件几乎每天都在发生。从这些案例可以看出,信息资产一旦遭到破坏,将给组织带来直接的经济损失、损害组织的声誉和公众形象,使组织丧失市场机会和竞争力,更为甚者,会威胁到组织的生存。
因此,保护信息资产,解决信息安全问题,已经成为组织必须考虑的问题。
信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,如防病毒、防火墙、入侵检测、隐患扫描等,仍然无法避免一些信息安全事件的发生,组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题,信息安全成本和效益的平衡问题,信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。
人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月,国际标准化组织发布一个信息安全管理的标准-ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management)”,2005年6月,国际标准化组织对该标准进行了修订,颁布了ISO/IEC17799:2005(现已更名为ISO/IEC27002:2005),10月,又发布了ISO/IEC27001:2005“信息安全管理体系要求(Information Security Management System Requirement)”。
自此,ISMS在国际上确立并发展起来。今天,ISMS已经成为信息安全领域的一个热门话题。
1.3?? 如何建立ISMS
组织的业务目标和信息安全要求紧密相关。实际上,任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此,如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005 ISMS,已成为时代的需要。
从简单分析ISO/IEC 27001:2005标准的要求入手,下面的内容论述了建立一个符合标准要求的ISMS的要点。
1.3.1???? 正确理解ISMS的含义和要素
ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001:2005标准的要求之后,才有可能建立一个符合要求的完善的ISMS。
ISMS的含义
在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系)和EMS(环境管理体系)等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组成部分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。
ISMS的要素
标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。我们将其归纳后,ISMS的要素要包括:
1)??????? 信息安全管理机构
通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。
2)??????? ISMS文件
包括ISMS方针、过程、程序和其它必须的文件等。
3)??????? 资源
包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。
ISMS的建立要确保这些ISMS要素得到满足。
1.3.2???? 建立信息安全管理机构
1)??????? 信息安全管理机构的名称
标准没有规定信息安全管理机构的名称,因此名称并不重要。从目前的情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如QMS和EMS等。因此,最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。
2)??????? 信息安全管理机构的级别
信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看,对于中等以上规模的组织,最好设立三个不同级别的信息安全管理机构:
a)????? 高层:以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。
b)????? 中层:负责该组织日常信息安全的管理与监督活动。
c)????? 基层:基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。
1.3.3???? 执行标准要求的ISMS建立过程
按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求,建立ISMS的步骤包括:
1)??????? 定义ISMS的范围和边界,形成ISMS的范围文件;
2)??????? 定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件;
3)??????? 定义组织的风险评估方法;
4)??????? 识别要保护的信息资产的风险,包括识别:
a) 资产及其责任人;
b)资产所面临的威胁;
c) 组织的脆弱点;
d)? 资产保密性、完整性和可用性的丧失造成的影响。
5)??????? 分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息资产清单;
6)??????? 识别和评价风险处理的可选措施,形成《风险处理计划》文件;
7)??????? 根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文件;
8)??????? 管理者正式批准所有残余风险;
9)??????? 管理者授权ISMS的实施和运行;
10)??? 准备适用性声明。
1.3.4???? 完成所需要的ISMS文件
ISMS文件是ISMS的主要要素,既要与ISO/IEC 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是ISO/IEC 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-ISO/IEC 27001:2005,但必须按照ISMS文件的要求执行工作。
(1) ISMS文件的类型
根据ISO/IEC 27001:2005标准的要求,ISMS文件有三种类型。
1)??????? 方针类文件(Policies)
方针是政策、原则和规章。主要是方向和路线上的问题,包括:
a) ISMS方针(ISMS policy);
b)信息安全方针(information security policy)。
2)??????? 程序类文件(Procedures)
3)??????? 记录(Records)
记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。
4)??????? 适用性声明文件(Statement of Applicability, 简称SOA)
ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施ISMS的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。
(2) 必须的文件
“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容:
1)??????? ISMS方针
ISMS方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。
2)??????? ISMS的范围
3)??????? 支持ISMS的程序和控制措施;
4)??????? 风险评估方法的描述;
5)??????? 风险评估报告;
6)??????? 风险处理计划;
7)??????? 控制措施有效性的测量程序;
8)??????? 本标准所要求的记录;
9)??????? 适用性声明。
(3) 可选的文件
除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的可选的文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于:
1)??????? 组织的业务活动及风险;
2)??????? 安全要求的严格程度;
3)??????? 管理的体系的范围和复杂程度。
这里,需要特别提出的是,ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何,通常可根据风险评估决定。如果风险评估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。
(4) 文件的符合性
ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此:
1)??????? 参考相关法律法规要求和标准要求
在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写ISMS方针时,要参考ISO/IEC 27001 “4.2.1b) 定义ISMS方针”;编写适用性声明时,要参考ISO/IEC 27001 “4.2.1 j) 准备适用性声明”;编写文件控制程序时,要参考ISO/IEC 27001 “4.3.2文件控制”等等。
2)??????? 将本组织的最好实践形成文件
为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。
3)??????? 保持一致性
a) 同一个文件中,上下文不能有不一致或矛盾的地方
b) 同一个体系的不同文件之间不能有矛盾的地方
c) 不同体系的文件之间不能有不一致的地方
如果组织同时运行多个管理体系,例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。此外,在文字的表达上,应准确,无二义。
