三零卫士

三零视角

借助ISO/IEC 27001建立信息安全管理体系（ISMS）

　　借助ISO/IEC 27001建立信息安全管理体系（ISMS）
　陈长松

　　我国在国务院信息化工作办公室的领导下，于2006年2月至2007年1月在上海市、北京市、深圳证券交易所、福建地税、武汉钢铁（集团）公司等几个单位进行了 ISMS建立试点工作。期间，上海三零卫士承担了武汉钢铁（集团）公司的ISMS建立咨询工作。

　　本文作者陈长松博士参与多项国家及地方信息安全及服务标准的编制，并参加了武汉钢铁（集团）公司的ISMS建立咨询和上海国际机场股份有限公司的安全管理体系咨询。作者系统地介绍了ISO/IEC 27001的起源、发展、主要内容和标准的适用性，以及如何用ISO/IEC 27001建立信息安全管理体系（ISMS）。
　　随着我国信息化建设的推进，包括金融、政府、军队、企业在内的各种组织对信息系统和网络的依赖越来越大，这使得组织面临着日益严重的安全威胁显得更为脆弱。这些威胁不仅包括计算机辅助欺诈、间谍活动、破坏、火灾或水灾，还包括了诸如计算机病毒、黑客捣乱、DoS攻击等等。
　　因此，各组织不断借助技术手段来构建安全的信息系统。但是，专家指出信息安全“三分技术，七分管理”，单纯通过技术手段来获得信息系统的安全性是远远不够的，组织还应该用合适的管理和规程来支持信息安全，在要求规范和设计阶段把信息安全控制结合进去，把信息安全控制做得更加便宜和有效。同时，信息安全管理需要整个组织内所有员工的参加，甚至包括供应商、消费者或利益相关方的参与。
组织要如何建立安全要求呢？如何评定安全风险呢？应该选择哪些控制方法来确保将风险减少到可以接受的程度呢？如何循环改进信息安全管理？ISO/IEC 27001《信息安全管理体系要求》，为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型，其附录及ISO/IEC 17799《信息安全管理实用规则》针对信息安全管理给出了详细的、文件化的、易操作的建议，给组织的信息安全管理提供了最佳实践指导。

　　一、标准的起源和发展
　　ISO/IEC 17799和27001的前身为英国的BS7799标准：BS7799-1，信息安全管理实施规则；BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。
　　BS7799-1标准由英国标准协会（BSI）于 1995年2月提出、1995年5月修订而成的。1999 年英国重新修改了该标准。2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI 进行了重新的修订。2005年，修改自BS7799-2 的ISO 27002发布，同年，ISO 17799也进行了修订。
　　在我国，2002年4月成立的“全国信息安全标准化技术委员会（TC260）”中，信息安全管理（含工程与开发）工作组（WG7）负责对信息安全的行政、技术、人员等管理提出规范要求及指导指南，它包括信息安全管理指南、信息安全管理实施规范、人员培训教育及录用要求、信息安全社会化服务管理规范、信息安全保险业务规范框架和安全策略要求与指南。 2002年7月，推荐性国家标准《信息技术信息安全管理实用规则》的起草工作纳入了该工作组，该标准为修改采用ISO/IEC17799国际标准，上海三零卫士参与了标准的编制， 2005年GB/T 19716《信息安全管理实用规则》正式发布。目前，ISO 27001和新版本的ISO 17799的国标化正在编制中。目前，ISO正围绕着ISO 27001和ISO 17799（将发展为ISO 27002）编制27000标准族，将包含：
　　ISO/IEC 27000 概述和词汇
　　ISO/IEC 27001 信息安全管理体系要求
　　ISO/IEC 27002 信息安全管理体系实用规则
　　ISO/IEC 27003 信息安全管理体系实施指南
　　ISO/IEC 27004 信息安全管理度量
　　ISO/IEC 27005 信息安全风险管理
　　ISO/IEC 27006 ISMS认证机构的认可要求 ISO/IEC 27007 信息安全管理体系审核指南

　　二、标准的主要内容
　　1、ISO/IEC 27001《信息安全管理体系要求》
　　 ISO/IEC 27001标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。该标准采用了“规划（Plan） -实施（Do）-检查（Check）-处置（Act）” （PDCA）模型，该模型可应用于所有的ISMS 过程。

规划（建立ISM）	建立与管理风险和改进信息安全有关的 ISMS方针、目标、过程和程序，以提供与组织总方针和总目标相一致的结果
实施（实施和运行 ISMS）	实施和运行ISMS方针、控制措施、过程和程序。
检查（监视和评审 ISMS）	对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审。
处置（保持和改进 ISMS）	基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS。

　　2、ISO/IEC 17799《信息安全管理实用规则》
　　ISO/IEC 17799给出了信息安全管理的指南和一般原则，是作为建立组织的安全准则和有效安全管理惯例的实用指南。ISO/IEC 17799除了对风险评估和风险处理提出要求之外，包含了11 个控制域，134个安全控制措施，这些控制措施可以帮助用户识别对信息安全有影响的元素，用户可以根据适用的法律法规、章程和自己的需求加以选择和使用。这11个方面分别是：
　　（1）安全方针：根据业务目标制定清晰的方针指导，并通过在整个组织中颁布和维护信息安全方针来表明对信息安全的支持和承诺。
　　（2）信息安全组织：建立信息安全管理的组织机构，指派安全角色并协调安全的实施；同时也对外部方对组织信息安全影响进行控制。
　　（3）资产管理：对资产进行分类、标记，并实现和保持对资产的适当保护。
　　（4）人力资源安全：在人员任用（暂时的或长期的）、工作角色的指定、工作角色的变化、合同的分配及所有这些安排的终止的过程中，岗位安全职责的落实和人员的安全管理。
　　（5）物理和环境安全：防止对组织场所和信息的未授权物理访问、损坏和干扰，防止资产的丢失、损坏、失窃或危及资产安全以及组织活动的中断，包括供电及电缆设施的安全。
　　（6）通信和操作管理：建立所有信息处理设施的管理和操作职责和程序，适当时还需考虑职责分离；确保第三方实施、运行和保持的服务中的安全措施；加强规划和验收的管理，保足够能力和资源的可用性；要有预防措施，以防范和检测恶意代码和未授权的移动代码；以及做好备份、网络控制、介质、信息交换的安全；还应建立好监视和审计技术，检查所采用控制措施的有效性。
　　（7）访问控制：应建立访问控制策略并形成文件，并从用户访问管理、网络访问控制、操作系统访问控制、应用系统和信息的访问控制、移动计算和远程工作等方面进行安全控制。
　　（8）信息系统获取、开发和维护：对信息系统的全生命周期进行信息安全管理，在项目需求阶段识别所有安全要求，并证明安全要求的合理性，对这些安全要求加以商定，将这些安全要求形成文档作为信息系统整体业务情况的一部分，并在开发和运行过程中进行控制。
　　（9）信息安全事件管理：确保与信息系统有关的信息安全事项和弱点能够以某种方式传达，以便及时采取纠正措施；对信息安全事件有一致和有效的方法进行管理，总结和改进。
　　（10）业务连续性管理：制定和实施业务连续性计划，以确保重要的运行能及时恢复，同时包括连续性计划的测试、维护和再评估。
　　（11）符合性：信息系统的设计、运行、使用和管理都要受法令、法规，及合同安全要求的限制，应识别并遵循可用法律，确保系统符合组织的安全策略及标准，并控制系统审核，使系统审核过程的效力最大化，干扰最小化。

　　三、标准的适用性
　　ISO/IEC 27001和17799提供了建立信息安全管理体系的要求，以及一套综合的、由信息安全最佳实施组成的实施规则，不仅有利于提高组织的信息安全管理水平，规范信息安全人员的行为，提高广大人员的安全意识与水平；还为开发组织的安全标准和有效的安全管理做法提供公共基础，并提供了组织间交往的信任。它广泛地涵盖了几乎所有的安全议题，是一套很好的信息系统安全管理规范，非常适合于作为工商业及大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。
　　建立信息安全管理体系，能切实提高组织的信息安全管理水平，提高全员信息安全意识，降低信息安全风险，保证信息的保密性、完整性和可用性。尤其是通过第三方的认证，更能向其他各方证明其信息安全管理能力，同时提高上下游企业的安全可控性。因此越来越多的组织参考 ISO/IEC 27001和17799来建立信息安全管理体系，截止到2008年2月，全球有4203个单位获得了ISO 27001或者BS7799的认证（数据来源 http://www.iso27001certificates.com/），而且这个数字正以更快的速度增长。
　　我国在国务院信息化工作办公室的领导下，于2006年2月至2007年1月在上海市、北京市、深圳证券交易所、福建地税、武汉钢铁（集团）公司等几个单位进行了ISMS建立试点工作，期间，上海三零卫士承担了武汉钢铁（集团）公司的ISMS建立咨询工作。
　　其后，越来越多的单位意识到建立ISMS的重要性，北京市奥运城市相关的重点单位也纷纷通过建立ISMS来提高其信息安全管理水平；上海国际机场股份有限公司也借助ISO17799完善安全管理制度，并辅以技术措施提高信息安全保护能力，同时还将ISO 27001的管理要求融入到 ISO 9000和机场SMS（安全管理体系）之中。

　　四、三零ISMS及信息安全风险评估咨询服务
　　上海三零卫士信息安全有限公司作为专业的安全服务提供商，一直致力于国际、国家标准以及地方标准的制定和应用。作为全国安标委 WG7组成员单位之一，三零卫士积极参与了《信息技术信息安全管理实用规则》以及《信息安全管理体系要求》及风险评估相关国家标准的起草工作，并将此标准的精髓科学地应用于各信息系统建设中，以完善的技术措施、运行措施和管理措施相结合建设信息安全体系。三零卫士基于ISO/IEC 27001和17799，以及 OCTAVE（Operationally Critical Threat, Asset, and Vulnerability Evaluation，可操作的关键威胁、资产和薄弱点评估）、《信息安全风险评估规范》等标准，为政府机关、金融、电力、大中型企业等提供信息安全管理体系建立和信息安全风险评估咨询服务，包括：对客户组织与ISO 27001认证要求的差距进行评估和分析；
　　◆ 为组织建立适合的风险管理方法，并协助进行风险评估和控制；
　　◆ 建立信息安全管理制度和工作程序，协助客户开发并实施符合ISO 27001标准认证要求的ISMS；
　　◆ 为客户员工提供信息安全相关的意识教育和技术培训；
　　◆ 协助客户准备和通过ISO 27001的认证

上一篇　　　　　返回　　　　　下一篇

风险评估的主要目的包括：识别组织面临的各种风险；评估风险概率和可能带来的负面影响；确定组织承受风险的能力；确定风险消减和控制的优先等级；推荐风险消减对策--30服务曾承接了新华社的风险评估服务。