《ISO27001标准详解》由会员分享,可在线阅读,更多相关《ISO27001标准详解(146页珍藏版)》请在金锄头文库上搜索。
1、ISO27001标准详解,主题,信息安全管理体系管理框架,ISO27001控制措施,ISO27001与知识产权保护, 信息安全管理体系背景介绍信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: 一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力
2、受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。,ISO27001的内容, 信息安全管理体系背景介绍所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。
3、这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。,ISO27001的内容, 信息安全管理体系标准发展历史目前,在信息安全管理体系方面,ISO/IEC27001:2005-信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。 BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995信息安全管理实施细则,它提供了一套综合的、由信息安全
4、最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999信息安全管理实施细则通过了国际标准化组织ISO的认可,正式成为国际标准- ISO/IEC17799:2000信息技术-信息安全管理实施细则,后来该标准已升版为,ISO27001的内容, 信息安全管理体系标准发展历史ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO
5、14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。,ISO27001的内容, 信息安全管理体系要求 11个控制领域 39个控制目标 133个控制措施,ISO27001的内容, 必须的ISMS文件:1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明,ISO27001的内容,对外 增强顾客信心和
6、满意 改善对安全方针及要求的符合性 提供竞争优势对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力,形成文件的ISMS的益处, PDCA方法 纠正和预防措施 内部审核 ISMS管理评审,ISMS的持续改进, 0.1总则 0.2过程方法 过程方法的定义:组织内各过程系统的应用,连同这些过程的识别和相互作用及其管理,可以被称为“过程方法”。 过程方法鼓励其使用者以强调以下方面的重要性:,理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进,0 介绍,PDCA模型
7、, 1.1总则 本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求 1.2应用 适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减,但条款4、5、6、7和8是不能删减的,1 范围, ISO/IEC 17799:2005 信息技术安全技术信息安全管理实施指南,2 引用标准,信息 是经过加工的数据或消息,信息是对决策者有价值的数据 资产 任何对组织有价值的事物 可用性 确保授权用户可以在需要时可以获得信息和相关资产 保密性 确保信息仅为被授权的用户获得,3 术语和定义, 完整性 确保信息及其处理方法的准确性和完整性 信息安全 保护信息
8、的保密性、完整性、可用性;另外也包括其他属 性,如:真实性、可核查性、不可抵赖性和可靠性 信息安全事件 已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效的事件,或以前未知的与安全相关的情况,3术语和定义(续), 信息安全事故 信息安全事故是指一个或系列非期望的或非预期的信息安全事件,这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。 信息安全管理体系(ISMS) 全面管理体系的一部分,基于业务风险方法,旨在建立、实施、运行、监控、评审、维持和改进信息安全 适用性声明 基于风险评估和风险处理过程的结果和结论,描述与组织的信息安全管理体系相关并适用的控制目标和控制
9、的文件,3 术语和定义(续),残余风险 实施风险处置后仍旧残留的风险风险接受 接受风险的决定。风险分析 系统地使用信息以识别来源和估计风险。,3 术语和定义(续),风险评估 风险分析和风险评价的全过程。风险评价 将估计的风险与既定的风险准则进行比较以确定重要风险的过程。风险管理 指导和控制一个组织关于风险的协调活动。风险处置 选择和实施措施以改变风险的过程。14,3术语和定义(续),组织应根据整体业务活动和风险,建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系。为了适应标准的需要,过程运用PDCA模式,4.1 总要求, 确定ISMS范围(划分业务或重要资产均可) 确定信息安全方
10、针 定义系统化的风险评估方法 风险识别 风险评估 识别并评价风险处理,并对其处理进行选择 选择风险处理的控制目标和控制方式 编制适用性声明 获得剩余风险的管理认可,并授权实施和运行ISMS,4.2.1 建立和管理 ISMS, 阐明风险处理计划,它为信息安全风险管理(见第5章)指出了适当的管理措施、职责和优先级;,实施风险处理计划以达到确定的控制目标,应考虑资金需求以及角色和职责分配;实施所选择的控制方法以满足控制目标.确定如何测量所选择的一个/组控制措施的有效性,并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果实施培训和教育运作管理资源管理实施过程和其它控制以便能对安全事
11、故及时检查并做出反应,4.2.2 实施和运行 ISMS, 执行监视和评审程序和其它控制措施 对ISMS的有效性进行定期的评审 测量控制措施的有效性,以证实安全要求已得到满足 评审剩余风险水平和可接受风险 按照计划的间隔实施内部ISMS的审核 对ISMS实施规律性的管理评审 更新安全计划,考虑监视和评审活动的发现 记录对ISMS的有效性或绩效可能会产生影响的行为和事件,4.2.3 监控和评审 ISMS, 实施ISMS中已识别的改进措施 采用合适的纠正性和预防性措施 与所有相关方交流结果、行为和协议 确保改进活动达到预想的目标,4.2.4 维持和改进 ISMS, 4.3.1 总则 4.3.2文件控
12、制 4.3.3记录控制,4.3 文件要求, ISMS文件应包括: 文件化的安全方针和控制目标 ; ISMS的范围,支持ISMS的程序和控制措施 ; 支持ISMS 的程序和控制措施; 风险评估方法的描述 风险评估报告; 风险处理计划; 组织需要文件化的过程以确保信息安全过程得到有效计划、运行和实施; 本标准所要求的记录 适用性声明,4.3.1 总则,文件发布前要得到批准,以确保文件的适当性;根据需要评审和修订文件,并重新批准确保文件的更改和现行修订情况得到识别;确保在使用时能得到有关文件的适当版本;确保文件保持清晰,易于识别;确保文件可以为需要者所获得,并根据适用于他们类别的程序进行转移、存储和
13、最终的销毁;确保外来文件得到识别;确保文件的分发受控;防止废旧文件的非预期使用;若因任何原因而保留作废文件时,应做适当的标识,4.3.2 文件控制, 应建立并保持记录,以提供满足本规范的要求和信息安全管理体系有效运行的证据 建立程序文件,以规定记录的识别、贮存、保护、恢复、保存时间和处置所需的控制 如:记录控制程序 记录应清晰易读,具有标识和可追溯性 考虑任何相关的法律要求如:来访登记表(本)、审核记录、授权访问记录,4.3.3 记录控制,ISMS 文 件,方针范围、风险评价适用性声明,描述过程:,who,what,when,where,描述任务及具体的活动如何完成,提供符合ISMS条款3.6
14、要求的可感证据,第一层次,第二层次,第三层次,第四层次,安全手册,程,序,作业指导书检查表、表格,记,录,管理框架,与ISO27001条款4有关的方针, 第一层次(安全手册):管理框架概要,包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件 第二层次(程序):采用的程序,规定实施要求的控制方法。描述安全过程的“WHO、WHAT、WHEN、WHERE”以及部门间的控制方法;可以按照ISO27001顺序,也可按照过程顺序;引用下一层次文件25,ISMS 文 件, 第三层次:解释具体任务或活动的细节如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册,等等。 第四层次(记录):按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的,或者是ISO27001各个条款隐含的要求。例如:访问者登记簿、审核记录、访问的授权。26,ISMS 文 件,5.1管理承诺 5.2资源管理 5.2.1提供资源 5.2.2培训、意识和能力,5 管理职责, 管理者应通过如下所示向ISMS的建立、实施、运作、监管、审核、维持和改进提供承诺的证据:a) 建立信息安全方针;b) 确保信息安全目标和计划的建立;c) 为信息安全定岗并建立岗位职责;d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性,以及本组织的法律责任和持续改进的需求;,
