GB/T22080即 ISO27001信息安全管理體系標(biāo)準(zhǔn)解析一?信息安全的起源?發(fā)展和內(nèi)容結(jié)構(gòu)

一?ISO27001信息安全管理體系概述

自古以來(lái)信息就扮演著極為重要的角色,信息及信息的使用關(guān)乎國(guó)家?部族和組織的興衰?隨著世界文明進(jìn)入到全球信息社會(huì),信息通過(guò)網(wǎng)絡(luò)和信息系統(tǒng)傳播到不同的領(lǐng)域和角落,信息的交流推動(dòng)或制約著經(jīng)濟(jì)和社會(huì)的發(fā)展?

信息被認(rèn)為是當(dāng)今任何一個(gè)組織的生命之血脈,確保信息能為需要的人所獲取和使用的同時(shí),又能得到保護(hù)其安全是現(xiàn)代業(yè)務(wù)運(yùn)行的基本要求?

信息是一種資產(chǎn)?如同其他重要的業(yè)務(wù)資產(chǎn)一樣,是組織業(yè)務(wù)運(yùn)行的基礎(chǔ),需要加以保護(hù)?但它又不同于傳統(tǒng)觀念的資產(chǎn)?傳統(tǒng)類(lèi)的組織資產(chǎn)通常以實(shí)體形式存在,如 設(shè)備?建筑場(chǎng)所?文件?錢(qián)財(cái)?shù)?其安全保護(hù)的考慮主要關(guān)注于物理設(shè)防,如警衛(wèi)?封閉的空間?器械等?隨著信息技術(shù)的快速發(fā)展,當(dāng)今的組織資產(chǎn)廣泛增加了各 種基于電子媒體形式的資產(chǎn),如虛擬資產(chǎn)?知識(shí)產(chǎn)權(quán)等?資產(chǎn)的交易?轉(zhuǎn)移更是可以借助電子和網(wǎng)絡(luò),以數(shù)字傳輸?shù)姆绞綄?shí)現(xiàn),組織的財(cái)富以大量的電子數(shù)據(jù)的形式 存在?由于信息及信息的存儲(chǔ)?處理?傳輸和使用以及相關(guān)的設(shè)施和人員共同構(gòu)成了一個(gè)復(fù)雜的環(huán)境,保障信息安全已經(jīng)是一種系統(tǒng)性的工作,而不僅僅是針對(duì)信息 的保護(hù)?在當(dāng)前信息技術(shù)如此迅速發(fā)展和廣泛應(yīng)用的環(huán)境下,一個(gè)組織如何才能有效率地實(shí)現(xiàn)信息安全,抵御組織內(nèi)部和外部對(duì)信息資產(chǎn)和信息處理設(shè)施的各種威 脅,確保業(yè)務(wù)的成功運(yùn)行是各界普遍關(guān)注的焦點(diǎn)議題?

信息安全是一個(gè)很寬泛的概念,GB/T22080?ISO27001標(biāo)準(zhǔn)所定義的信息安全為“保持信息的保密性?完整性?可用性;另外也可包括例如真實(shí)性?可核查性?不可否認(rèn)性和可靠性等”?這種定義已經(jīng)得到廣泛認(rèn)同,其中 保密性(Confidentiality)?完整性(Integrity)?可用性(Availability)(簡(jiǎn)稱(chēng)CIA)是信息安全的最重要的三個(gè)維度?信息安全包括采取和管理適當(dāng)?shù)目刂拼胧?而所采取的控制措施是考慮了來(lái)源廣泛的威脅,其目的是保持組織業(yè)務(wù)的成功和連續(xù)性?

早期人們對(duì)保障信息安全的考慮往往著眼于技術(shù)手段,期望通過(guò)使用先進(jìn)的技術(shù)方法和工具來(lái)達(dá)到某種安全?然而在信息系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)中對(duì)信息安全難以預(yù)測(cè)和全 面解決?實(shí)踐證明單純采用技術(shù)手段來(lái)保護(hù)信息和信息系統(tǒng)安全的作用是有限的,在缺乏良好管理的支撐下,有些技術(shù)甚至是無(wú)效的?因此,保證組織信息安全的一 個(gè)明智選擇應(yīng)該是實(shí)施信息安全管理體系(Information Security Management Systems簡(jiǎn)稱(chēng)ISMS),通過(guò)ISO27001信息安全管理體系并結(jié)合各種適用的控制措施(包括管理?技術(shù)和運(yùn)行三方面)才是組織信息安全的真正保障?

ISO27001信息安全管理體系是一個(gè)組織為保護(hù)信息資產(chǎn)?實(shí)現(xiàn)其業(yè)務(wù)目標(biāo)而建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審?保持和改進(jìn)的管理架構(gòu),包括針對(duì)信息安全管理的組織結(jié)構(gòu)?方 針?規(guī)劃?職責(zé)?過(guò)程?規(guī)程和資源等各方面?管理體系的運(yùn)作下,通過(guò)持續(xù)的評(píng)估安全風(fēng)險(xiǎn)以及對(duì)信息資產(chǎn)保護(hù)要求的分析來(lái)了解風(fēng)險(xiǎn)是否處于組織可接受的水 平?確保安全控制措施的適用性和有效性,并在必要時(shí)有針對(duì)性地提升或更新安全措施,進(jìn)而形成一個(gè)對(duì)信息資產(chǎn)持續(xù)保護(hù)的環(huán)境?

組織建立?實(shí)施與保持信息安全管理體系將為組織帶來(lái)如下益處,包括:

1)強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為;

2)對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)地保護(hù),保持競(jìng)爭(zhēng)優(yōu)勢(shì);

3)在信息系統(tǒng)受到侵襲時(shí),確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低;

4)使組織的業(yè)務(wù)合作伙伴和客戶(hù)對(duì)組織充滿(mǎn)信心?

ISO27001信息安全管理體系的實(shí)施并非是一項(xiàng)簡(jiǎn)單易行的工作,ISMS的成功需要應(yīng)獲得組織管理層的支持,特別要關(guān)注以下基本原則:

1)對(duì)信息安全需要的認(rèn)知;

2)指派信息安全職責(zé);

3)協(xié)調(diào)管理承諾和利益相關(guān)方的利害關(guān)系;

4)增加社會(huì)價(jià)值;

5)通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定適當(dāng)?shù)目刂拼胧?使風(fēng)險(xiǎn)達(dá)到可接受的水平;

6)將安全作為一項(xiàng)基本要素融入信息網(wǎng)絡(luò)和系統(tǒng);

7)對(duì)信息安全事件的積極防范和檢測(cè);

8)對(duì)信息安全持續(xù)的再評(píng)估,并在適當(dāng)時(shí)加以調(diào)整?

建立并保持一個(gè)有效的ISO27001信息安全管理體系,應(yīng)采用信息安全管理的相關(guān)標(biāo)準(zhǔn)作為指南?信息安全管理標(biāo)準(zhǔn)來(lái)源于信息安全領(lǐng)域全球接受的良好實(shí)踐,通過(guò)標(biāo)準(zhǔn)可全面了 解信息安全管理方面行之有效的原則?方法和實(shí)踐,為組織基于自身環(huán)境確立其實(shí)現(xiàn)信息安全的路線(xiàn)?方針和具體運(yùn)作提供了指南?信息安全管理標(biāo)準(zhǔn)族是一種得到 廣泛接受和認(rèn)可的參照基準(zhǔn),可用于組織評(píng)估提升安全管理水平?此外,標(biāo)準(zhǔn)形成了信息安全領(lǐng)域的一種共同語(yǔ)言和概念基礎(chǔ),便于各方的交流?

二?信息安全管理國(guó)際標(biāo)準(zhǔn)的產(chǎn)生和發(fā)展

ISO/IEC27001標(biāo)準(zhǔn)于19993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng),于1995年英國(guó)首次出版BS7799-1:1995《信息安全管理實(shí)施細(xì)則》,它提供了一套綜合 的?由信息安全最佳慣例組成的實(shí)施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn),并且適用于大?中?小組織?

1998 年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求,它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基 礎(chǔ),它可以作為一個(gè)正式認(rèn)證方案的根據(jù)?ISO/IEC27000-1與ISO/IEC27000-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布,1999版考慮了信息處理技術(shù),尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā) 展,同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任?

2000年12月,ISO/IEC27000-1:1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可,正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC17799-1:2000《信息安全管理實(shí)施細(xì)則》?

2002年9月5日,ISO/IEC27000-2:2002草案經(jīng)過(guò)廣泛的討論之后,終于發(fā)布成為正式標(biāo)準(zhǔn),同時(shí)ISO27000-2:1999被廢止?

現(xiàn)在,ISO/IEC 27000:2005標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可,是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)?

2008年6月19日,由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等同采用ISO/IEC27001:2005《信息安全管理體系 要求》,僅有編輯性修改,成為國(guó)家推薦性標(biāo)準(zhǔn)GB/T22080—2008《信息安全管理體系 要求》?

2008年6月19日,由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等同采用ISO/IEC27002:2005《信息安全管理實(shí)用規(guī)則》,成為國(guó)家推薦性標(biāo)準(zhǔn)GB/T22081-2008《信息安全管理實(shí)用規(guī)則》?

三?GB/T22080-2008《信息安全管理體系 要求》的內(nèi)容結(jié)構(gòu)

GB/T22080標(biāo)準(zhǔn)的目的是為建立和運(yùn)行信息安全管理體系提供規(guī)范性的要求;通過(guò)ISMS的運(yùn)行(包括所采用一系列控制措施),控制和降低與信息資產(chǎn)相關(guān)的風(fēng)險(xiǎn)?

GB/T22080 標(biāo)準(zhǔn)的核心是基于持續(xù)的風(fēng)險(xiǎn)評(píng)估建立和實(shí)施信息安全管理體系,并對(duì)體系的運(yùn)行進(jìn)行監(jiān)督?評(píng)審和改進(jìn)?為此標(biāo)準(zhǔn)采納了質(zhì)量管理體系標(biāo)準(zhǔn)所共知的運(yùn)行原則 ———戴明的規(guī)劃—實(shí)施—檢查—處置(PDCA)模型作為實(shí)施?運(yùn)行?監(jiān)視和改進(jìn)信息安全管理體系的過(guò)程方法?這就使得GB/T22080與其他管理體系 標(biāo)準(zhǔn)(如GB/T19001質(zhì)量管理體系和GB/T24001環(huán)境管理體系等)保持協(xié)調(diào),便于使信息安全管理體系的實(shí)施和運(yùn)行與一個(gè)組織內(nèi)的其他管理體系 協(xié)調(diào)一致管理?

GB/T22080—2008標(biāo)準(zhǔn)的內(nèi)容結(jié)構(gòu)為:

前言

引言

1 范圍

2 規(guī)范性引用文件

3 術(shù)語(yǔ)和定義

4 信息安全管理體系(ISMS)

5 管理職責(zé)

6 ISMS內(nèi)部審核

7 ISMS的管理評(píng)審

8 ISMS改進(jìn)

附錄A(規(guī)范性附錄) 控制目標(biāo)和控制措施

附錄B(資料性附錄) OECD原則和本標(biāo)準(zhǔn)

附錄C(資料性附錄) GB/T19001-2000,GB/T24001-2004和本標(biāo)準(zhǔn)之間的對(duì)照參考文獻(xiàn)

標(biāo)準(zhǔn)第4章至第8章具體描述了一個(gè)組織在構(gòu)建和實(shí)施其信息安全管理體系中必須滿(mǎn)足的要求,涵蓋了管理體系的建立?實(shí)施?運(yùn)行?監(jiān)視?評(píng)審?保持和改進(jìn)?附錄 A的內(nèi)容則直接來(lái)源于GB/T22081第5章至第15章的目標(biāo)和控制措施,作為規(guī)范性的附錄組織應(yīng)從中選擇適用的控制目標(biāo)和措施并成為信息安全管理體系 的組織部分?

信息安全管理體系為一個(gè)組織的管理者提供了管理和控制信息資產(chǎn)安全?降低業(yè)務(wù)風(fēng)險(xiǎn)的手段;通過(guò)信息安全管理體系的實(shí)施來(lái)保障組織的信息安全,并持續(xù)地履行顧客?法律法規(guī)和利益相關(guān)方對(duì)信息安全的要求?

GB/T22080 提出的對(duì)實(shí)施?運(yùn)行和改進(jìn)ISO27001信息安全管理體系的要求,也是第三方認(rèn)證機(jī)構(gòu)對(duì)一個(gè)組織ISO27001信息安全管理體系進(jìn)行認(rèn)證的依據(jù)?通過(guò)認(rèn)證可以證實(shí)一個(gè)組織通過(guò)業(yè)務(wù)風(fēng)險(xiǎn) 分析建立并運(yùn)行了信息安全管理體系,實(shí)施有適當(dāng)?shù)目刂拼胧?安全風(fēng)險(xiǎn)處于受控管理之下,從而使利益相關(guān)方建立安全信任?

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢(xún)，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢(xún)、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線(xiàn)客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢(xún)法律法規(guī)，咨詢(xún)輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202109/ccaa_27659.html