iso27001 isms信息安全管理体系项目介绍

《iso27001 isms信息安全管理体系项目介绍》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

ISO27001:2011信息安全管理体系简介一、ISO27001的产生背景和发展历程ISO27001是什么？ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为正式的国际标准，于2005年10月15日发布为ISO/IEC27001:2005。该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。其正式名称为：《ISO/IEC27001:2005信息技术-安全技术-信息安全管理体系-要求》ISO27001源于英国标准BS7799的第二部分，即BS7799-2《信息安全管理体系规范》。英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。ISO27001发展历程简要归纳如下：1993年，BS7799标准由英国贸易工业部立项。1995年，BS7799-1《信息安全管理实施细则》首次出版，标准提供了一套综合的、由信息安全最佳惯例组成的实施细则，其目的是作为确定各类信息系统通用控制范围的唯一参考基准，并且适用于大、中、小型组织。1998年，英国公布BS7799-2《信息安全管理体系规范》，本标准规定信息安全管理体系要求与信息安全控制要求，它是一个组织信息安全管理体系评估的基础，可以作为认证的依据。1999年，在BSI/DISC(BritishStandardsInstitute/DeliveringInformationSolutionstoCustomers)BDD/2的指导下对BS7799这两部分进行了修订和扩展，取代了BS7799-1:1995和BS7799-2:1998。BS7799:1999涵盖了以前版本的所有内容，并在原有的基础上扩展了新的控制，新版本考虑了信息处理技术，尤其是在网络和通信领域应用的最新发展，例如电子商务、移动计算、远程工作等领域的控制。2000年12月，BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准——ISO/IEC17799:2000《信息技术—信息安全管理实施细则》。1/12 2002年，为了与其他管理标准协调一致，例如ISO9001:2000和ISO14001:1996，以及引入并应用PDCA过程模式，以建立、实施组织的信息安全管理体系，并持续改进有效性，BSI对BS7799-2:1999进行了修订，于2002年9月5日发布BS7799-2:2002。2005年6月，ISO对ISO/IEC17799:2000进行了修订，发布为ISO/IEC17799：2005《信息技术—安全技术—信息安全管理实施细则》。2005年10月，BS7799-2:2002通过了国际标准化组织ISO的认可，正式成为国际标准—ISO/IEC27001:2005《信息技术—安全技术—信息安全管理体系要求》。ISO27000系列标准介绍ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的IS9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准•ISO27000原理与术语Principlesandvocabulary•ISO27001信息安全管理体系—要求ISMSRequirements(以BS7799-2为基础)•ISO27002信息技术—安全技术—信息安全管理实践规范(ISO/IEC17799:2005)•ISO27003信息安全管理体系—风险管理ISMSRiskmanagement•ISO27004信息安全管理体系—指标与测量ISMSMetricsandmeasurement•ISO27005信息安全管理体系—实施指南ISMSImplementationguidelines其中ISO27001：2005的最终标准草案（FDIS）已经在2005年7月发布，预计在2005年底或2006年初作为正式国际标准发布。ISO27001是ISO27000系列的主标准，类似于ISO9000系列中的ISO9001，各类组织可以按照ISO27001的要求建立自己的信息安全管理体系（ISMS），并通过认证。目前的有效版本是BS7799-2：2002。当ISO27001正式发布后，BS7799-2：2002将被撤销。注：上述标准以ISO发布的为准。2/12 二、为什么需要信息安全◆信息及信息安全信息像其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。信息安全使信息避免一系列威胁，保障了组织商务的连续性，最大限度地减小组织的商务损失，顺利获取投资和商务回报。信息可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮(如:一个组织ERP系统的备份磁带)；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。不论信息采用什么方式或采取什么手段共享和存贮，因为它有价值，应该得到妥善的保护。信息安全主要体现在以下三个方面：一是保密性。保密性是指确保信息资料，特别是重要的信息资料，不流失，不被非本部门人员非法盗用。比如银行的储户信息，医院的病人就医资料，政府机关、安全部门的机密文件，企业的客户资料、商务信息、专利、专有技术资料等等，应该给谁看，不应该给谁看，什么级别/部门的人员可以看什么密别的信息资料，如何储存保管，都应制定具体的措施、规范，以防止因信息流失而造成不良影响和重大经济损失。二是完整性。所谓信息资料的完整性，是指信息资料不丢失、不少缺。比如采取一定的措施防止存贮在电脑中的磁盘文件不因操作不当或病毒的侵袭而导致文件的残缺或丢失。再如防止存贮的打印文件因霉变、虫蛀而残缺、损坏，防止水灾、火灾、盗窃而毁损文件和资料等。三是可用性。可用性是指当需要某一信息资料时，可马上拿得到。比如采取一定的措施，防止因某一资料员不在场或其它例外情况下，因为拿不到所需的资料而导致停工或错失商机等。ISO27001标准把信息资料看作是公司的资产，其对公司的生存与发展起着关键作用，尤其是在知识经济和电子信息时代，确保信息安全更是非常有必要的。3/12 英国曾做过一项统计，80%的信息资料的损失是与人为因素有关的。所以防止人为因素造成的信息风险被作为信息安全的主要控制对象。ISO27001信息安全管理体系一个重要的方面是对信息风险的分析与管理。信息风险涉及可能造成信息损失的方方面面。比如电脑病毒有导致信息资料丢失或损坏的危险，可规定定期进行电脑病毒的检查；外来人员进入本公司，有导致信息资料失窃的危险，可规定采用门口设密码、电子卡等方式进入公司；更新电脑软件有导致信息资料无法读取的风险，可规定在进行电脑软件的更新时对电脑软件的兼容性进行评估；聘请外公司人员为本公司工作，本公司信息资料有流失的危险，在这种情况下须与外公司人员签订保密协议；在审核磁盘资料时，有可能导致磁盘文件被更改，可设置程序保证审核人员使用只可读不可改的文件或备份文件；以及防止内部人员和工业间谍的窃取，拷贝的软盘与电脑分别存放于不同的房间，作废的文件资料监视销毁等。信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。◆信息安全的重要性信息及其支持过程的系统和网络都是组织的重要资产。信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。任何组织及其信息系统（如一个组织的ERP系统）和网络都可能面临着包括计算机辅助欺诈、刺探、阴谋破坏行为、火灾、水灾等大范围的安全威胁。随着计算机的日益发展和普及，计算机病毒、计算机盗窃、服务器的非法入侵破坏已变得日益普遍和错综复杂。目前一些组织，特别是一些较大型公司的业务已经完全依赖信息系统进行生产业务管理，这意味着组织更易受到安全威胁的破坏。组织内网络的互连及信息资源的共享增大了实现访问控制的难度。有些组织的信息系统尽管在设计时可能已考虑了安全，但仅仅依靠技术手段实现安全仍然是有限的，还应当通过管理和程序来支持。4/12 ◆建立信息安全管理体系（ISMS）对任何组织都具有重要意义任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理方面都还存在漏洞，例如：1.缺少信息安全管理论坛，安全导向不明确，管理支持不明显；2.缺少跨部门的信息安全协调机制；3.保护特定资产以及完成特定安全过程的职责还不明确；4.雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；5.组织信息系统管理制度不够健全；6.组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；7.组织信息系统备份设备仍有欠缺；8.组织信息系统安全防范技术投入欠缺；9.软件知识产权保护欠缺；10.计算机房、办公场所等物理防范措施欠缺；11.档案、记录等缺少可靠贮存场所；12.缺少一旦发生意外时的保证生产经营连续性的措施和计划；…….等等通过以上信息管理方面的漏洞以及经常见诸报端的种种信息安全事件表明，任何组织都急需建立信息安全管理体系，以保障其技术和商业机密，保障信息的完整性和可用性，最终保持其生产、经营活动的连续性。三、信息安全管理体系建立和运行步骤ISO27001标准要求组织建立并保持一个文件化的信息安全管理体系，其中应阐述需要保护的资产、组织风险管理的渠道、控制目标及控制方式和需要的保证程度。不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四5/12 个基本步骤：*信息安全管理体系的策划与准备；*信息安全管理体系文件的编制；*信息安全管理体系运行；*信息安全管理体系审核与评审。如果考虑认证过程其详细的步骤如下：1.现场诊断；2.确定信息安全管理体系的方针、目标；3.明确信息安全管理体系的范围，根据组织的特性、地理位置、资产和技术来确定界限；4.对管理层进行信息安全管理体系基本知识培训；5.信息安全体系内部审核员培训；6.建立信息安全管理组织机构；7.实施信息资产评估和分类，识别资产所受到的威胁、薄弱环节和对组织的影响，并确定风险程度；8.根据组织的信息安全方针和需要的保证程度通过风险评估来确定应实施管理的风险，确定风险控制手段；9.制定信息安全管理手册和各类必要的控制程序；10.制定适用性声明；11.制定商业可持续性发展计划；12.审核文件、发布实施13.体系运行，有效的实施选定的控制目标和控制方式；14.内部审核15.外部第一阶段认证审核16.外部第二阶段认证审核17.颁发证书6/12 18.体系持续运行/年度监督审核19.复评审核（证书三年有效）至于应采取哪些控制方式则需要周密计划，并注意控制细节。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的专家建议。信息、信息处理过程及对信息起支持作用的信息系统和信息网络都是重要的商务资产。信息的保密性、完整性和可用性对保持竞争优势、资金流动、效益、法律符合性和商业形象都是至关重要的。当前，越来越多的组织及其信息系统和网络面临着包括计算机诈骗、间谍、蓄意破坏、火灾、水灾等大范围的安全威胁，诸如计算机病毒、计算机入侵、DoS攻击等手段造成的信息灾难已变得更加普遍,有计划而不易被察觉。组织对信息系统和信息服务的依赖意味着更易受到安全威胁的破坏，公共和私人网络的互连及信息资源的共享增大了实现访问控制的难度。许多信息系统本身就不是按照安全系统的要求来设计的，所以仅依靠技术手段来实现信息安全有其局限性，所以信息安全的实现必须得到管理和程序控制的适当支持。确定应采取哪些控制方式则需要周密计划，并注意细节。信息安全管理至少需要组织中的所有雇员的参与，此外还需要供应商、顾客或股东的参与和信息安全的专家建议。四、ISO27001/组织信息安全管理体系建设的必要性“信息”作为一种商业资产，其重要性也是与日俱增。信息安全，按照国际标准化组织提出的ISO/IEC27000中的概念，需要保证信息的保密性、完整性和可用性。时至今日，“信息”作为一种商业资产，其所拥有的价值对于一个组织而言毋庸置疑，重要性也是与日俱增。信息安全，按照国际标准化组织提出的ISO/IEC27000中的概念，需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲，就是要保护信息免受来自各方面的威胁，从而确保一个组织或机构可持续发展。7/12 组织面临的问题组织对于信息系统依赖性不断增长，以及在信息系统上运作业务的风险，使得信息安全越来越得到重视。然而事实上，目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储，再到智能手机、PDA，以及无线网络等，安全问题出现的途径也是千奇百怪。每一项新技术，每一类新产品的推广伴随着新的问题。组织在面临着日趋复杂的威胁的同时，遭受的攻击次数也日益增多。正因为如此，信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要，该标准经过十多年的发展，已经形成了一个完整规范的体系。对组织而言，建立信息安全管理体系，是一个非常系统的过程，从资产评估、风险分析、引入控制到后期的改进，呈现出一个非常逻辑的架构。通过对大型组织CIO的调查显示，他们普遍面对的问题是，“我们很清楚的知道内部的安全风险问题，可是我们不知道怎么去识别并规避风险。因此我们迫切希望引入信息安全管理体系，甚至于去获得认证。”可以说，信息安全管理体系的建立和健全，目的就是降低信息风险对经营带来的危害，并将其投资和商业利益最大化。信息安全管理体系标准2005年改版后的ISO/IEC27001共有133个控制点，39个控制措施，11个控制域。其中11个控制域包括：1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全8/12 6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性可见，信息安全不仅仅是个技术问题，而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施，还需要借助于技术以外的其它手段，如规范安全标准和进行信息安全管理。因此，组织在选择合作伙伴的时候，就该找那种理解需求、真正能帮助解决问题的，只有那种有着多年的咨询和项目经验、丰富的服务和产品的公司，才够格成为可信任的伙伴。普通的顾问公司，常常就是提供咨询、解决方案，折腾一通后，再推荐一些产品。而产品的实际效能如何，是否能有效解决问题，顾问公司并不清楚。而厂商，总是会推销一大堆产品给组织，而这些产品是否真的符合组织实际要求，成为各方争论的焦点。这些产品之间，或者会有功能重叠，又或者会有冲突和兼容性问题。解决方案如今，一些厂商整合了丰富的知识和经验，提供客户咨询、运营、服务和产品等，帮助客户成功。国内的安全厂商通过更加务实的态度，以“保障关键应用、提升IT价值”为理念，切实地理解客户的需求，有效地帮助客户解决问题。参照ISO/IEC27001，总结出了完整的信息安全模型。依据模型，组织可以得到一个细致的流程，再也不用摸黑走路。9/12 通过咨询，为客户提供高端的信息安全咨询与评估服务，识别出信息资产以及存在的风险，找出所存在的问题和深层次的需求，以便明确后续应采取什么行动去解决问题。采用相关安全产品，能保护组织的任意区域，如移动用户、远程分支、内部网络、很难管理的桌面和服务器、个人的行为状况等。具有完善的功能模块，有防火墙、VPN、IPS/IDS、内容过滤、网络行为管理等。利用这些功能模块，组织能全局有效地管理安全，并跨系统、平台和区域实施一致的策略。委托运营，针对一些自我管理和技术能力不强的组织，委托运营是其最佳选择。组织不再被具体的细节拖入泥沼中，只需提出问题和希望的结果，所有的中间过程都由委托承担者完成。后续服务，安全管理的实现肯定是个长期的过程，那种完成项目就开溜的做法，对组织来说是种灾难。只有通过后续的服务，不断地改进，不断地发现新问题，才能推动目标不断地前进。总之，我们欣喜的看到，国内的安全厂商通过积极努力，提供的整体解决方案，可增强组织主动管理其信息安全的能力，降低组织信息所面临的风险。结语建立信息安全管理体系并获得认证，能提高组织自身的安全管理水平，将组织的安全风险控制在可接受的范围内，减少因安全事件带来的破坏和损失。更重要的，是可以保证组织业务的持续性。10/12 认证机构介绍及证书样本赛宝认证中心是经中国认监委批准、国内外多个组织认可和授权、专业从事第三方认证和培训服务的权威机构，具有独立的法人资格。其前身为成立于1956年的“中国电子产品可靠性与环境试验研究所”审查部，该研究所是中国第一家专业从事产品质量与可靠性研究的国家级科研机构。自1979年将“认证”概念引入中国至今，赛宝认证中心已向国内外数千家企业颁发各类证书上万张。涉及的行业包括：电子电器、通信、软件、旅游、汽车、机械、金属制品、能源化工、食品饮料、教育、房产物业、物流商贸、医疗卫生、家具家私、金融证券保险、塑料橡胶、公共行政、服装纺织等。服务的客户分布：中国各个行政区域、香港特别行政区、台湾、马来西亚、新加坡、泰国、韩国、日本、美国、加拿大、英国、丹麦、荷兰、澳大利亚等国家和地区。赛宝认证中心已从事和即将开展的业务：ISO9000质量管理体系认证ISO14000环境管理体系认证OHSMS(OHSAS18000)职业健康与安全管理体系认证TL9000电信行业质量体系认证汽车行业质量管理体系认证ISO/IEC20000IT服务管理体系ISO27001/BS7799信息安全管理体系认证软件过程能力（CMMI/SPCA）咨询、培训、评估计算机信息系统集成资质认证信息系统工程监理资质评审IECQ国际电工委员会电子元器件质量认证产品质量认证各类管理、认证培训服务优秀的客户群是赛宝认证中心最宝贵的资源……11/12 单位荣誉:2006年中国CMM/CMMI咨询机构五强2007年中国CMM/CMMI咨询年度评选”最佳服务”奖中国软件出口(外包)推动机构2008年“中国CMMI咨询机构年度评选调查”中荣获“中国CMMI咨询机构前十强”。“中国CMMI咨询机构年度评选调查”中荣获“最佳服务质量奖”。（第二届）中国软件生产力风云榜“行业推荐交付保障咨询认证服务机构”中国软件出口（外包）推动机构2009年中国软件产业发展推动机构“中国CMMI咨询机构前十强”中国软件生产力风云榜“行业推荐交付保障服务机构”2010年中国软件行业“值得信赖交付服务保障机构奖”中国软件行业“极具影响力交付服务保障机构奖”中国IT服务管理论坛“2010年度企业社会责任奖”2011年荣获“推动中国软件和服务外包发展十年杰出机构”中国软件行业（CMMI服务）优秀提供商第九届中国软服会中国软件和信息服务业年度最佳服务机构奖中国软件和信息服务业最具影响力的培训品牌中国软件和信息服务业最具影响力的咨询评估品牌我中心两审核案例分别入选CCAA（中国认证认可协会）优秀案例（全国4个）和良好案例（全国30个）12/12