《信息安全管理体系要求》由会员分享,可在线阅读,更多相关《信息安全管理体系要求(5页珍藏版)》请在金锄头文库上搜索。
1、信息安全管理体系要求-ISO/IEC27O01:2005介绍1 发展:一个重要的里程碑ISO/IEC 27001:2005 的名称是 “Information technology- Security techniques-Information security management systems-requirements,可 翻译为“信息技术- 安全技术-信息安全管理体系 要求”。在ISO/IEC 27001:2005标准出现之前,组织只能按照英国标准研究院(British Standard Institute,简称 BSI)的 BS 7799-2:2002 标准,进行认 证。现在,组织
2、可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志 着ISMS的发展和认证已向前迈进了一大步:从英国认证认可迈进国际认证认可。 ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球 信息安全武器。2 目的:认证ISO/IEC 27001:2005 标准设计用于认证目的,它可帮助组织建立和维护ISMS。标准的4 - 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标 准4 - 8章的所有要求,那么该组织就可以向ISMS认证机构申请ISMS认证。如 果认证机构对组织的 ISMS 进行审核(初审)后,其结果是符合 ISO/IEC 27001:20
3、05的要求,那么它就会颁发ISMS证书,声明该组织的ISMS符合 ISO/IEC 27001:2005标准的要求。然而,ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准(质量管理体系 标准)不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 - 8章有 许多信息安全管理要求。这些要求是“强制性要求。只要有任何一条要求得不 到满足,就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比 之下,ISO/IEC 9001:2002标准的第7章的某些要求(或条款),只要合理,可允 许其质量管理体系(QMS)作适当删减。
4、因此,不管是第一方审核、第二方审核,还是第三方审核,评估组织的 ISMS 对ISO/IEC 27001:2005标准的符合性是十分严格的。i. 特点:信息资产风险评估ISO/IEC 27001:2005 标准适用于所有类型的组织,而不管组织的性质和规模 如何。该新标准的特点之一是基于组织的资产风险评估。也就是说,该标准要求 组织通过业务风险评估的方法,来建立、实施、运行、监视、评审、保持和改进 其ISMS,确保其信息资产的保密性、可用性和完整性。(1) 信息资产ISO/IEC 27001:2005 所指“信息”可包括所有形式的数据、文件、通信件(如 email 和传真等)、交谈(如电话等)、消
5、息、录音带和照片等。信息资产是被认 为对组织具有“价值”的,以任何方式存储的信息。通常,系统(如信息系统和 数据库等)也可作为一类信息资产。(2) 安全风险 组织的信息资产可面临许多威胁,包括人员(内部人员和外人员)误操作(不管有意的,还是无意的)、盗窃、恶意代码和自然灾害等。另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括 员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级 信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏,而使其造成损失, 包括经济损失、公司形象损失和顾客信心损失等。(3) 风险评估与处理ISO/IEC 27001:2005 标准
6、要求组织利用风险评估的方法,确定每一个关键信 息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,减 缓风险。风险评估和风险处理是 ISO/IEC 27001:2005标准要求的两个相互关联的必 须的活动。一个组织建立ISMS体系,要进行信息资产风险评估和风险处理。其 主要过程是:1) 制定组织的 ISMS 方针和风险接受准则;2) 定义组织的风险评估方法;3) 识别要保护的信息资产,并进行登记;4) 识别安全风险,包括识别资产所面临的威胁、组织的脆弱点和造成的影响5) 对照组织的风险接受准则,评价和确定已估算的风险的严重性、可否接受;6) 形成风险评估报告;7) 制定风险处理
7、计划,选择风险控制措施;标准明确规定,有 4种风险处理方法:采用适当的控制措施、接受风险、 避免风险和转移风险;8) 执行风险处理计划,将风险降低到可接受的级别。从理论上,风险只能降低(或减少),而不能完全消除。选择控制措施的原 则是既能使本组织的资产受到与其价值和保密等级相符的保护,将其所受的风险 降低到可接受的水准,又能使所需要的费用在该组织的预算范围之内,使该组织 能够保持良好的竞争力和成功运作的状态。另外,风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资 产、技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行。ii. 要求:基于过程“PDCA”过程图1 ISMS
8、“PDCA”过程周期规划Plan建立ISMS监视和评审 ISMS保持和、改进ISMS处置 / Act ;相关方受控的信息安全检査 Check%=一 L国际标准化组织(ISO)使用Plan-Do-Check-Act (即计划-实施-检查-纠正)过程模型组织ISO/IEC 27001:2005标准。这个标准4 - 8章规定了 ISMS的建立、实施与运行、监督与评审、维护与改进所要遵循的活动(过程),并形成一个周期,称“ PDCA ”周期,如图1(2) 过程方法过程是指使用资源把输入转为输出的一组活动。更通俗地说,过程就是将 原料(输入)加工成产品(输出)的工作(活动)。输入之所以能转为输出是因 为
9、开展了某些工作或活动。ISO/IEC 27001:2005标准4 - 8章规定了一组ISMS过程。该标准也要求组织 使用“过程方法”来管理和控制其ISMS过程。即:1)组织必须对应4 - 8章的相应要求,建立其实际的ISMS过程;2)组织的 ISMS 需按“过程方法”进行管理和控制。这意味着组织的 ISMS 要包含有许多符合该标准 4 - 8 章规定的、相互协调 的过程。通常,一个过程的输出便是另一个过程的输入。通过这些输出和输入把 各个 ISMS 过程“粘”在一起,而形成一个相互依赖的统一整体。标准还规定,某些ISMS过程要用形成文件的程序加以控制。(3) 过程要求ISO/IEC 27001:2005标准4 - 8章规定了一组ISMS过程。因此,从另一个角 度,ISO/IEC 27001:2005标准的要求就是过程要求。组织的ISMS必要满足这些 过程要求。注:与ISO/IEC 27001:2005正文内容不同,ISO/IEC 27001:2005附录A的内容属 于控制要求。
