您好!今天是   | 门户首页 | 设为主页 | 收藏本站
当前位置: 首页 > 特色服务 > 验厂辅导与体系认证 > 体系认证 > 信息正文
信息安全管理体系标准业务介绍 时间:2014-05-15    来源:赛宝认证中心 1 背景介绍
  信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出 现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
·直接损失:丢失订单,减少直接收入,损失生产率;
·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
  所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
  俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的 严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼 数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预 防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展
  目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
  2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。
  经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1:。
  2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。
表1  ISO27000标准族现行

 


序号

标准编号

标准名称

现行状态

1

ISO27000

信息技术 – 安全技术 - 信息安全管理体系 - 概论及术语

2009年出版

2

ISO27001

信息技术 – 安全技术 - 信息安全管理体系 - 要求

2013年出版

3

ISO/IEC 27002

信息技术 – 安全技术 - 信息安全管理 - 为规范

2013年出版

4

ISO/IEC 27003

信息技术 – 安全技术 - 信息安全管理体系 - 实施指南

2010年出版

5

ISO/IEC 27004

信息技术 – 安全技术 - 信息安全管理- 测量

2009年出版

6

ISO/IEC 27005

信息技术 – 安全技术 - 信息安全风险管理

2011年出版

7

ISO/IEC 27006

信息技术 – 安全技术 - 认证机构要求

2011年出版

8

ISO/IEC 27007

信息技术 – 安全技术 - 信息安全管理体系审核指南

2011年出版

9

ISO/IEC TR 27008

信息安全控制措施审核指南

2011年出版

10

ISO/IEC 27010

行业间交流的信息安全管理

2012年出版

11

ISO/IEC 27011

信息技术 – 安全技术 - 基于ISO/IEC 27002通讯行业信息安全管理体系

2008年出版

12

ISO/IEC 27013

信息技术 – 安全技术 -  ISO/IEC 20000-1及 ISO/IEC 27001一体化实施指南

2012年出版

13

ISO/IEC 27014

信息安全治理框架

工作组草案

14

ISO/IEC TR 27015

金融及保险行业信息安全管理体系

2012年出版

15

ISO/IEC 27031

信息技术 – 安全技术 – 业务连续性的ICT准备能力指南

2011年出版

16

ISO/IEC 27032

信息技术 – 安全技术 – 网络空间安全指南

2012年出版

17

ISO/IEC 27033-1

信息技术 – 安全技术 – 网络安全 – 第1部分:概述和概念

2009年出版

18

ISO/IEC 27033-2

信息技术 – 安全技术 – 网络安全 – 第2部分:设计和实施网络安全指南

2012年出版

19

ISO/IEC 27033-3

信息技术 – 安全技术 – 网络安全 – 第3部分:参考网络情境 – 威胁、设计技术和控制活动

2010年出版

20

ISO/IEC 27033-4

信息技术 – 安全技术 – 网络安全 – 第4部分:使用安全网关确保网络间的通信安全 – 威胁、设计技术和控制活动

工作组草案

21

ISO/IEC 27034-1

应用安全 – 第1部分:概述和概念

2011年出版

22

ISO/IEC 27034-2

应用安全 – 第2部分:组织规范性框架

批准的新项目

23

ISO/IEC 27034-3

应用安全 – 第3部分:应用安全管理过程

批准的新项目

24

ISO/IEC 27034-4

应用安全 – 第4部分:应用安全确认

批准的新项目

25

ISO/IEC 27034-5

应用安全 – 第5部分:协议和应用安全控制的数据结构

批准的新项目

26

ISO/IEC 27035

信息技术 – 安全技术 – 信息安全事件管理

2011年出版  

27

ISO/IEC 27036

信息技术 – 安全技术 – 外包安全指南

批准的新项目

28

ISO/IEC 27037

识别、收集、获取和保存数字证据指南

2012年出版

29

ISO/IEC 27038

信息技术 – 安全技术 – 数字化修订详述

批准的新项目

 

3ISO27001标准内容简介
  ISO27001:2013标准包括14控制领域(见表2)、35个控制目标和113项控制措施,为组织提供全方位的信息安全保障。
表2  ISO27001:2013版标准控制目标

 

控制域

控制目标

A.5 安全方针

A.5.1信息安全方针

A.6 信息安全组织

A.6.1 内部组织
A.6.2 移动设备和远程工作

A.7 人力资源安全

A.7.1 雇佣前
A.7.2 雇佣期间
A.7.3 雇佣终止或变更

A.8 资产管理

A.8.1 资产责任
A.8.2 信息分类
A.8.3 介质处置

A.9 访问控制

A.9.1 安全区域
A.9.2 用户访问管理
A.9.3 用户职责
A.9.4系统和应用访问控制

A.10 密码学

A.10.1 密码控制

A.11 物理和环境安全

A.11.1安全区域
A.11.2 设备

A.12 操作安全

A.12.1 操作规程和职责
A.12.2 恶意软件防护
A.12.3 备份
A.12.4 日志和监视
A.12.5 运行软件控制
A.12.6 技术脆弱性管理
A.12.7 信息系统审计考虑

A.13 通信安全

A.13.1 网络安全管理
A.13.2 信息交换

A.14 系统获取、开发和维护

A.14.1 信息系统的安全需求
A.14.2 开发和支持过程中的安全
A.14.3 测试数据

A.15 供应商关系

A.15.1 供应商关系的信息安全
A.15.2 供应商服务交付管理

A.16 信息安全事件管理

A.16.1 信息安全事件和改进的管理

A.17 业务连续性管理的信息安全方面

A.17.1 信息安全连续性
A.17.2 冗余

A.18 符合性

A.18.1 符合法律和合同要求
A.18.2 信息安全评审

 

4、标准特点
ISO27001:2013版新标准特点:

  •   1)采用新结构, 在ISO27001:2013新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用,将未企业管理体系融合提供了统一的体系架构,管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。

 

1

 

  1.   2)控制更精简

  ISO27001:2013附录A中将旧版133个控制项缩减到113个,合并了类型的控制措施(如变更管理),新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等,以反映目前信息安全的发展趋势。。
  ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求,与企业的信息系统的管理实 践结合更紧密。 ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。

  1.   3)提供更多参考
  此次ISO也新增许多指引供企业参考,组织可以通过不同的方面以及风险进行深度的强化,通过 ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号(001-044),例如金融服务、数字鉴识、供应链管理、软件开发测试等,企业组织可参考这些指引做升级的要求。
分享到:
首页 | 基地介绍 | 政策服务 | 信息服务 | 特色服务 | 联系我们
浙江省经济和信息化委员会    版权所有  浙ICP备05039765
地址:浙江省杭州市体育场路479号  邮编:310006