ISO27001信息安全管理體系建設研究

20世紀90年代以來,科學技術(shù)的高度發(fā)展已經(jīng)毋庸置疑地把我們帶進了信息時代,隨著信息以爆炸式的速度不斷在我們生活中的每一個角落中涌現(xiàn),如何管理信息,確保信息的安全為世人矚目,信息安全管理則成為了當前全球的熱門話題?傳統(tǒng)的信息安全著眼于常規(guī)的信息系統(tǒng)安全設備,諸如防火墻?VPN?入侵檢測系統(tǒng)?防病毒系統(tǒng)?認證系統(tǒng)等,構(gòu)成了信息安全的防護屏障?事實上,要保證信息安全需要有三個方面的工作要做,這就是需要技術(shù)?管理與法制?所以僅僅依靠技術(shù)保障信息安全的做法是不會達到應有效果的,“三分技術(shù),七分管理”這個在其他領域總結(jié)出來的實踐經(jīng)驗和原則,在信息領域也同樣適用?因此,在信息安全的重要性日益突出?信息安全手段日新月異的今天,加強信息安全管理工作就顯得尤為重要?

一?建立ISO27001信息安全管理體系的作用與意義

ISO27001信息安全管理體系ISMS(Information Securitry Management Systems)是組織在整體或特定范圍內(nèi)建立ISO27001信息安全方針和ISO27001目標,以及完成這些目標所用方法的體系?它是基于業(yè)務風險方法,來建立?實施?運行?監(jiān)視?評審?保持和改進組織的信息安全系統(tǒng),其目的是保障組織的信息安全?它是直接管理活動的結(jié)果,表示成方針?原則?目標?方法?過程?核查表(Check lists)等要素的集合,是涉及到人?程序和信息技術(shù)(Information Technology)系統(tǒng)?

建立健全ISO27001信息安全管理體系對企業(yè)的安全管理工作和企業(yè)的發(fā)展意義重大?首先,此體系的建立將提高員工信息安全意識,提升企業(yè)信息安全管理的水平,增強組織抵御災難性事件的能力,是企業(yè)信息化建設中的重要環(huán)節(jié),必將大大提高信息管理工作的安全性和可靠性,使其更好地服務于企業(yè)的業(yè)務發(fā)展?其次,通過信息安全管理體系的建設,可有效提高對信息安全風險的管控能力,通過與等級保護?風險評估等工作接續(xù)起來,使得信息安全管理更加科學有效?最后,ISO27001信息安全管理體系的建立將使得企業(yè)的管理水平與國際先進水平接軌,從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐?

參照信息安全管理模型,按照先進的ISO27001信息安全管理標準建立的全面規(guī)劃?明確目的?正確部署的?組織完整的信息安全管理體系,達到動態(tài)的?系統(tǒng)的?全員參與?制度化的?以預防為主的信息安全管理方式,實現(xiàn)用最低的成本,保障信息安全合理水平,從而保證業(yè)務的有效性與連續(xù)性?組織建立?實施與保持ISO27001信息安全管理體系產(chǎn)生的作用主要有下幾點:

·強化員工的信息安全意識,規(guī)范組織信息安全行為;

·對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護,維持競爭優(yōu)勢;

·在信息系統(tǒng)受到侵襲時,確保業(yè)務持續(xù)開展并將損失降到最低程度;

·使組織的生意伙伴和客戶對組織充滿信心;

·如果通過體系認證,表明ISO27001體系符合標準,證明組織有能力保障重要信息,提高組織的知名度與信任度;

·促使管理層堅持貫徹ISO27001信息安全保障體系?

二?我國信息安全管理現(xiàn)狀

我國歷來非常重視信息安全保密工作,并且從敏感性,特殊性和戰(zhàn)略性的高度把信息安全保密工作自始至終置于黨和國家的絕對領導之下?中央機要管理部門,國家安全機關,公安機關和國家保密主管部門分工協(xié)作,各司其職,形成了維護國家信息安全的管理體系?

為加強信息安全管理工作,中央批準成立了兩個非常重要的機構(gòu),一個是國家信息安全產(chǎn)品測評認證中心,負責管理和運行國家信息安全的測評認證體系,對信息安全產(chǎn)品,信息系統(tǒng),對提供信息安全服務的單位以及提供信息安全服務的人員進行測試,考試和認證?第二個重要機構(gòu)是國家計算機網(wǎng)絡與信息安全管理中心,負責管理和運行國家計算機網(wǎng)絡的內(nèi)容監(jiān)控和應急協(xié)調(diào)工作?這兩個機構(gòu)目前都在國家信息安全管理中發(fā)揮著技術(shù)支撐的作用?

為了更好地推進我國信息安全管理工作,國家相關部門引進了國際上著名的ISO/IEC27001:2005《信息安全管理體系要求》和ISO/IEC17799:2005《信息安全管理實用規(guī)則》?ISO/IEC15408:1999《IT安全評估準則》?SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等信息安全管理標準,并制定了中華人民共和國國家標準GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》?GB/T18336:2001-信息技術(shù)安全性評估準則和GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批重要的信息安全管理方面的標準?為配合信息安全管理的需要,國家?相關部門?行業(yè)和地方政府相繼制定了《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定》?《商用密碼管理條例》?《互聯(lián)網(wǎng)信息服務管理辦法》?《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》?《計算機病毒防治管理辦法》?《互聯(lián)網(wǎng)電子公告服務管理規(guī)定》?《軟件產(chǎn)品管理辦法》?《電信網(wǎng)間互聯(lián)管理暫行規(guī)定》?《電子簽名法》等有關信息安全管理的法律法規(guī)文件?

我國國務院信息化工作辦公室(國信辦)還在于2006年3月啟動了“信息安全管理標準應用(ISMS)試點工作,驗證國際上通用的信息安全管理標準(ISO/IEC27001:2005《信息安全管理體系要求》和ISO/IEC17799:2005《信息安全管理實用規(guī)則》)在我國的適用性和合理性,相信這項工作將為國家信息安全主管部門制定相關管理政策提供很重要的客觀依據(jù),將會為政府機關?稅務系統(tǒng)?大型制造企業(yè)?證券交易系統(tǒng)?醫(yī)療保險系統(tǒng)?住房公積金管理等行業(yè)和系統(tǒng)建立實施ISMS提供寶貴的經(jīng)驗和借鑒,將會為推動我國信息安全管理工作的順利進行起到積極的作用?

雖然信息安全管理工作正在積極的推動與建設,但是在信息安全管理工作中目前存在的不少的問題,信息安全管理現(xiàn)狀仍還比較混亂,主要表現(xiàn)為:

·缺乏權(quán)威?統(tǒng)一?專門的組織?規(guī)劃?管理和實施協(xié)調(diào)的立法管理機構(gòu),致使我國現(xiàn)有的一些信息安全管理方面的法律法規(guī)不成體系和執(zhí)行難度較大?

·信息安全管理并沒有在IT系統(tǒng)建設過程中充分考慮,導致后期安全建設和管理工作比較被動,同時業(yè)務的發(fā)展及IT的建設與信息安全管理建設不對稱;

·目前大部分的安全建設多局限于局部性地使用安全產(chǎn)品,或使用有洞補洞的方式被動地解決問題,缺乏科學的?全面的安全管理規(guī)劃;

·目前的技術(shù)人員多偏重于網(wǎng)路?主機及應用系統(tǒng)開發(fā),安全管理的力量薄弱;

·信息安全管理的一個重要方面是運用法律法規(guī)的約定方法去進行管理,但是多數(shù)企業(yè)沒有切實可行的管理辦法?

·信息安全管理不僅僅是CIO或CFO的事情,這項工作更應該引入企業(yè)高層領導的重視與參與,但是多數(shù)企業(yè)的領導還是沒有時間和精力顧及這方面的工作?

三?信息安全管理標準

1?國際信息安全管理標準

ISO和IEC是世界范圍的標準化組織,各國的相關標準化組織都是其成員,他們通過各技術(shù)委員會,參與相關標準的制定?近年來,國際ISO/IEC和西方一些國家開始發(fā)布和改版一系列信息安全管理標準,使安全管理標準進入了一個繁忙的改版期?這表明,信息安全管理標準已經(jīng)從零星的?隨意的?指南性標準,逐漸衍變成為層次化?體系化?覆蓋信息安全管理全生命周期的信息安全管理體系?

ISO/IEC聯(lián)合技術(shù)委員會子委員會27(ISO/IECJTC1SC27)是信息安全領域最權(quán)威和國際認可的標準化組織,它已經(jīng)為信息安全保障領域發(fā)布了一系列的國際標準和技術(shù)報告,目前最主要的標準是ISO/IEC13335?ISO/IEC27000系列等?

ISO/IECJTC1SC27的信息安全管理標準(ISO13335)《IT安全管理方針》系列(第一至第五部分),已經(jīng)在國際社會中開發(fā)了很多年?5個部分組成分別如下:ISO/IEC13335-1:1996《IT安全的概念與模型》;ISO/IEC13335-2:1997《IT安全管理和計劃制定》;ISO/IEC13335-3:1998《IT安全管理技術(shù)》;ISO/IEC13335-4:2000《安全措施的選擇》;ISO/IEC13335-5《網(wǎng)絡安全管理方針》?27000系列綜合信息安全管理系統(tǒng)要求?風險管理?度量和測量以及實施指南等一系列國際標準,是目前國際信息安全管理標準研究的重點?27000系列當前已經(jīng)發(fā)布和在研究的有6個,分別為:1?ISO/IEC27000《信息安全管理體系基礎和詞匯》;2?ISO/IEC27001:2005《信息安全管理體系要求》;3?ISO/IEC27002(17799:2005)《信息安全管理實用規(guī)則》;4?ISO/IEC27003《信息安全管理體系實施指南》;5?ISO/IEC27004《信息安全管理測量》;6?ISO/IEC27005《信息安全風險管理》?隨著ISO/IEC27000系列標準的規(guī)劃和發(fā)布,ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系?

2?我國信息安全管理相關標準

與國外相比,我國的信息安全領域的標準制定工作起步較晚,但隨著2002年全國信息安全標準化技術(shù)委員會的成立,信息安全相關標準的建設工作開始走向了規(guī)范化管理和發(fā)展的快車道?在全國信息安全標準化技術(shù)委員會中,成立了信息安全標準體系與協(xié)調(diào)工作組(WG1)?鑒別與授權(quán)工作組(WG4)?信息安全評估工作組(WG5)和信息安全管理工作組(WG7)四個工作組,它們在對我國信息安全保障體系建設和信息安全產(chǎn)業(yè)的發(fā)展方面,起到了積極作用?在我國,另一個與信息安全標準有關的組織就是中國通信標準化協(xié)會下設的網(wǎng)絡與信息安全技術(shù)工作委員會,下設四個工作組,即有線網(wǎng)絡安全工作組(WG1)?無線網(wǎng)絡安全工作組(WG2)?安全管理工作組(WG3)?安全基礎設施工作組(WG4)?

近年來,我國對信息安全標準的制定與實施工作非常重視,不僅引進了國際上著名的ISO/IEC27001:2005《信息安全管理體系要求》和ISO/IEC17799:2005《信息安全管理實用規(guī)則》?ISO/IEC15408:1999《IT安全評估準則》?SSE-CMM《系統(tǒng)安全工程能力成熟度模型》等信息安全管理標準?而且,為了更好地推進我國信息安全管理工作,相關部門還制定了中華人民共和國國家標準GB17895-1999《計算機信息系統(tǒng)安全保護等級劃分準則》?GB/T18336:2001-信息技術(shù)安全性評估準則和GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》等一批重要的信息安全管理方面的標準?

近年來(特別是2005年),信息安全管理標準化工作中主要的研究熱點包括:信息安全國際標準的轉(zhuǎn)化(主要是國際ISO/IEC17799和ISO/IEC13335的采標工作),風險管理指南的標準化工作(主要是風險評估和風險管理指南的標準化工作),以及信息系統(tǒng)評估的標準制定工作(主要是信息系統(tǒng)安全保障評估框架標準的編制工作等),對促進信息安全管理工作起到了良好的推進作用?

四?信息安全管理體系模型

ISO27001信息安全管理體系模型一般被認為是安全策略的正式陳述(formal presentation),并由系統(tǒng)組織強制實施,用以檢驗安全策略的完整性和一致性,它描述的是組織為貫徹實施安全策略而必須采取的所有安全機制的組合?信息安全管理是一個持續(xù)發(fā)展的過程,像其他管理過程那樣,它也遵循著一般性的循環(huán)模式,信息安全管理體系模型就是我們常說的PDCA模型,見圖5.1?

5.1PDCA模型

計劃(Plan)——這是信息安全管理周期的起點,作為安全管理的準備階段,為后續(xù)活動提供基礎和依據(jù)?計劃階段的活動包括:建立組織機構(gòu),明晰責任,確定安全目標?戰(zhàn)略和策略,進行風險評估,選擇安全措施,并在明確安全需求的基礎上制定安全計劃?業(yè)務連續(xù)性計劃?意識培訓等信息安全管理程序和過程?

實施(Do)——實施階段是實現(xiàn)計劃階段確定目標的過程,包括安全策略?所選擇的安全措施或控制?安全意識和培訓程序等?

檢查(Check)——信息安全實施過程的效果如何,需要通過監(jiān)視?審計?復查?評估等手段來進行檢查,檢查的依據(jù)就是計劃階段建立的安全策略?目標?程序,以及標準?法律法規(guī)和實踐經(jīng)驗,檢查的結(jié)果是進一步采取措施的依據(jù)?

改進(Action)——如果檢查發(fā)現(xiàn)安全實施的效果不能滿足計劃階段建立的需求,或者有意外事件發(fā)生,或者某些因素引起了新的變化,經(jīng)過管理層認可,需要采取應對措施進行改進,并按照已經(jīng)建立的響應機制來行事,必要時進入新的一輪信息安全管理周期,以便持續(xù)改進和發(fā)展信息安全?

五?ISO27001信息安全管理體系建設思路

ISO27001信息安全管理體系(ISMS)是一個系統(tǒng)化?程序化和文件化的管理體系,屬于風險管理的范疇,體系的建立需要基于系統(tǒng)?全面?科學的安全風險評估?ISM體現(xiàn)預防控制為主的思想,強調(diào)遵守國家有關信息安全的法律法規(guī),強調(diào)全過程和動態(tài)控制,本著控制費用與風險平衡的原則,合理選擇安全控制方式保護組織所擁有的關鍵信息資產(chǎn),確保信息的保密性?完整性和可用性,從而保持組織的競爭優(yōu)勢和業(yè)務運作的持續(xù)性?

構(gòu)建ISO27001信息安全管理體系(ISMS)不是一蹴而就的,也不是每個企業(yè)都使用一個統(tǒng)一的模板,不同的組織在建立與完善信息安全管理體系時,可根據(jù)自己的特點和具體情況,采取不同的步驟和方法?但總體來說,建立信息安全管理體系一般要經(jīng)過以下幾個主要步驟:

1?ISO27001信息安全管理體系策劃與準備

策劃與準備階段主要是做好建立信息安全管理體系的各種前期工作?內(nèi)容包括教育培訓?擬定計劃?安全管理發(fā)展情況調(diào)研,以及人力資源的配置與管理?

2?確定ISO27001信息安全管理體系適用的范圍

信息安全管理體系的范圍就是需要重點進行管理的安全領域?組織需要根據(jù)自己的實際情況,可以在整個組織范圍內(nèi)?也可以在個別部門或領域內(nèi)實施?在本階段的工作,應將組織劃分成不同的信息安全控制領域,這樣做易于組織對有不同需求的領域進行適當?shù)男畔踩芾?在定義適用范圍時,應重點考慮組織的適用環(huán)境?適用人員?現(xiàn)有IT技術(shù)?現(xiàn)有信息資產(chǎn)等?

3?現(xiàn)狀調(diào)查與風險評估

依據(jù)有關信息安全技術(shù)與管理標準,對信息系統(tǒng)及由其處理?傳輸和存儲的信息的機密性?完整性和可用性等安全屬性進行調(diào)研和評價,以及評估信息資產(chǎn)面臨的威脅以及導致安全事件發(fā)生的可能性,并結(jié)合安全事件所涉及的信息資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響?

4?建立信息安全管理框架

建立ISO27001信息安全管理體系要規(guī)劃和建立一個合理的信息安全管理框架,要從整體和全局的視角,從信息系統(tǒng)的所有層面進行整體安全建設,從信息系統(tǒng)本身出發(fā),根據(jù)業(yè)務性質(zhì)?組織特征?信息資產(chǎn)狀況和技術(shù)條件,建立信息資產(chǎn)清單,進行風險分析?需求分析和選擇安全控制,準備適用性聲明等步驟,從而建立安全體系并提出安全解決方案?

5?ISO27001信息安全管理體系文件編寫

建立并保持一個文件化的ISO27001信息安全管理體系是ISO/IEC27001:2005標準的總體要求,編寫信息安全管理體系文件是建立信息安全管理體系的基礎工作,也是一個組織實現(xiàn)風險控制?評價和改進信息安全管理體系?實現(xiàn)持續(xù)改進不可少的依據(jù)?在信息安全管理體系建立的文件中應該包含有:安全方針文檔?適用范圍文檔?風險評估文檔?實施與控制文檔?適用性聲明文檔?

6?ISO27001信息安全管理體系的運行與改進

ISO27001信息安全管理體系文件編制完成以后,組織應按照文件的控制要求進行審核與批準并發(fā)布實施,至此,信息安全管理體系將進入運行階段?在此期間,組織應加強運作力度,充分發(fā)揮體系本身的各項功能,及時發(fā)現(xiàn)體系策劃中存在的問題,找出問題根源,采取糾正措施,并按照更改控制程序要求對體系予以更改,以達到進一步完善信息安全管理體系的目的?

7?ISO27001信息安全管理體系審核

體系審核是為獲得審核證據(jù),對體系進行客觀的評價,以確定滿足審核準則的程度所進行的系統(tǒng)的?獨立的并形成文件的檢查過程?體系審核包括內(nèi)部審核和外部審核(第三方審核)?內(nèi)部審核一般以組織名義進行,可作為組織自我合格檢查的基礎;外部審核由外部獨立的組織進行,可以提供符合要求(如ISO/IEC27001)的認證或注冊?

ISO27001信息安全管理體系的建立是一個目標疊加的過程,是在不斷發(fā)展變化的技術(shù)環(huán)境中進行的,是一個動態(tài)的?閉環(huán)的風險管理過程,要想獲得有效的成果,需要從評估?防護?監(jiān)管?響應到恢復,這些都需要從上到下的參與和重視,否則只能是流于形式與過程,起不到真正有效的安全控制的目的和作用?

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202109/ccaa_27668.html