信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出 现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
·直接损失:丢失订单,减少直接收入,损失生产率;
·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的 严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼 数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预 防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展
目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。
经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1:。
2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。
表1 ISO27000标准族现行
|
|
标准编号 |
标准名称 |
现行状态 |
|
1 |
ISO27000 |
信息技术 – 安全技术 - 信息安全管理体系 - 概论及术语 |
2009年出版 |
|
2 |
ISO27001 |
信息技术 – 安全技术 - 信息安全管理体系 - 要求 |
2013年出版 |
|
3 |
ISO/IEC 27002 |
信息技术 – 安全技术 - 信息安全管理 - 为规范 |
2013年出版 |
|
4 |
ISO/IEC 27003 |
信息技术 – 安全技术 - 信息安全管理体系 - 实施指南 |
2010年出版 |
|
5 |
ISO/IEC 27004 |
信息技术 – 安全技术 - 信息安全管理- 测量 |
2009年出版 |
|
6 |
ISO/IEC 27005 |
信息技术 – 安全技术 - 信息安全风险管理 |
2011年出版 |
|
7 |
ISO/IEC 27006 |
信息技术 – 安全技术 - 认证机构要求 |
2011年出版 |
|
8 |
ISO/IEC 27007 |
信息技术 – 安全技术 - 信息安全管理体系审核指南 |
2011年出版 |
|
9 |
ISO/IEC TR 27008 |
信息安全控制措施审核指南 |
2011年出版 |
|
10 |
ISO/IEC 27010 |
行业间交流的信息安全管理 |
2012年出版 |
|
11 |
ISO/IEC 27011 |
信息技术 – 安全技术 - 基于ISO/IEC 27002通讯行业信息安全管理体系 |
2008年出版 |
|
12 |
ISO/IEC 27013 |
信息技术 – 安全技术 - ISO/IEC 20000-1及 ISO/IEC 27001一体化实施指南 |
2012年出版 |
|
13 |
ISO/IEC 27014 |
信息安全治理框架 |
工作组草案 |
|
14 |
ISO/IEC TR 27015 |
金融及保险行业信息安全管理体系 |
2012年出版 |
|
15 |
ISO/IEC 27031 |
信息技术 – 安全技术 – 业务连续性的ICT准备能力指南 |
2011年出版 |
|
16 |
ISO/IEC 27032 |
信息技术 – 安全技术 – 网络空间安全指南 |
2012年出版 |
|
17 |
ISO/IEC 27033-1 |
信息技术 – 安全技术 – 网络安全 – 第1部分:概述和概念 |
2009年出版 |
|
18 |
ISO/IEC 27033-2 |
信息技术 – 安全技术 – 网络安全 – 第2部分:设计和实施网络安全指南 |
2012年出版 |
|
19 |
ISO/IEC 27033-3 |
信息技术 – 安全技术 – 网络安全 – 第3部分:参考网络情境 – 威胁、设计技术和控制活动 |
2010年出版 |
|
20 |
ISO/IEC 27033-4 |
信息技术 – 安全技术 – 网络安全 – 第4部分:使用安全网关确保网络间的通信安全 – 威胁、设计技术和控制活动 |
工作组草案 |
|
21 |
ISO/IEC 27034-1 |
应用安全 – 第1部分:概述和概念 |
2011年出版 |
|
22 |
ISO/IEC 27034-2 |
应用安全 – 第2部分:组织规范性框架 |
批准的新项目 |
|
23 |
ISO/IEC 27034-3 |
应用安全 – 第3部分:应用安全管理过程 |
批准的新项目 |
|
24 |
ISO/IEC 27034-4 |
应用安全 – 第4部分:应用安全确认 |
批准的新项目 |
|
25 |
ISO/IEC 27034-5 |
应用安全 – 第5部分:协议和应用安全控制的数据结构 |
批准的新项目 |
|
26 |
ISO/IEC 27035 |
信息技术 – 安全技术 – 信息安全事件管理 |
2011年出版 |
|
27 |
ISO/IEC 27036 |
信息技术 – 安全技术 – 外包安全指南 |
批准的新项目 |
|
28 |
ISO/IEC 27037 |
识别、收集、获取和保存数字证据指南 |
2012年出版 |
|
29 |
ISO/IEC 27038 |
信息技术 – 安全技术 – 数字化修订详述 |
批准的新项目 |
3、ISO27001标准内容简介
ISO27001:2013标准包括14控制领域(见表2)、35个控制目标和113项控制措施,为组织提供全方位的信息安全保障。
表2 ISO27001:2013版标准控制目标
|
控制域 |
控制目标 |
|
A.5 安全方针 |
A.5.1信息安全方针 |
|
A.6 信息安全组织 |
A.6.1 内部组织 |
|
A.7 人力资源安全 |
A.7.1 雇佣前 |
|
A.8 资产管理 |
A.8.1 资产责任 |
|
A.9 访问控制 |
A.9.1 安全区域 |
|
A.10 密码学 |
A.10.1 密码控制 |
|
A.11 物理和环境安全 |
A.11.1安全区域 |
|
A.12 操作安全 |
A.12.1 操作规程和职责 |
|
A.13 通信安全 |
A.13.1 网络安全管理 |
|
A.14 系统获取、开发和维护 |
A.14.1 信息系统的安全需求 |
|
A.15 供应商关系 |
A.15.1 供应商关系的信息安全 |
|
A.16 信息安全事件管理 |
A.16.1 信息安全事件和改进的管理 |
|
A.17 业务连续性管理的信息安全方面 |
A.17.1 信息安全连续性 |
| A.18 符合性 |
A.18.1 符合法律和合同要求 |
4、标准特点
ISO27001:2013版新标准特点:
- 1)采用新结构, 在ISO27001:2013新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用,将未企业管理体系融合提供了统一的体系架构,管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。
- 2)控制更精简
ISO27001:2013附录A中将旧版133个控制项缩减到113个,合并了类型的控制措施(如变更管理),新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等,以反映目前信息安全的发展趋势。。
ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求,与企业的信息系统的管理实
践结合更紧密。 ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。
- 3)提供更多参考