信息安全管理體系(InformationSecurityManagementSystems,ISMS)是組織整體管理體系的一個部分,是基于風險評估建立、實施、運行�、監(jiān)視���、評審�、保持和持續(xù)改進信息安全等一系列的管理活動,是組織在整體或特定范圍內(nèi)建立信息安全方針和目標�,以及完成這些目標所用的方法的體系。
GB/T22080/ISO/IEC27001是建立和維護信息安全管理體系的標準����,它要求組織通過一系列的過程,如確定信息安全管理體系范圍�����,制定信息安全方針和策略�����,明確管理職責��,以風險評估為基礎選擇控制目標和控制措施等�,是組織達到動態(tài)的、系統(tǒng)的�����、全員參與的���、制度化的�����,以預防為主的信息安全管理方式�����。
ISO27001定義
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議���,供負責在其組織啟動、實施或維護安全的人員使用�。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎,并為組織之間的交往提供信任��。
標準指出"象其他重要業(yè)務資產(chǎn)一樣���,信息也是一種資產(chǎn)"����。它對一個組織具有價值����,因此需要加以合適地保護����。信息安全防止信息受到的各種威脅�����,以確保業(yè)務連續(xù)性����,使業(yè)務受到損害的風險減至最小,使投資回報和業(yè)務機會最大�。
信息安全是通過實現(xiàn)一組合適控制獲得的�����?刂瓶梢允遣呗����、慣例、規(guī)程��、組織結構和軟件功能�����。需要建立這些控制�����,以確保滿足該組織的特定安全目標�����。
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素���,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用���,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂��,修訂后的標準作為ISO 27000標準族的第一部分--ISO/IEC 27001��,新標準去掉9點控制措施�����,新增17點控制措施���,并重組部分控制措施而新增一章����,重組部分控制措施,關聯(lián)性邏輯性更好��,更適合應用;并修改了部分控制措施措辭�。修改后的標準包括11個章節(jié):
1)安全策略。指定信息安全方針�,為信息安全提供管理指引和支持,并定期評審�����。
2)信息安全的組織�����。建立信息安全管理組織體系���,在內(nèi)部開展和控制信息安全的實施�����。
3)資產(chǎn)管理����。核查所有信息資產(chǎn),做好信息分類�����,確保信息資產(chǎn)受到適當程度的保護��。
4)人力資源安全�����。確保所有員工�,合同方和第三方了解信息安全威脅和相關事宜以及各自的責任��,義務�����,以減少人為差錯�,盜竊,欺詐或誤用設施的風險����。
5)物理和環(huán)境安全���。定義安全區(qū)域,防止對辦公場所和信息的未授權訪問���,破壞和干擾;保護設備的安全�,防止信息資產(chǎn)的丟失����,損壞或被盜,以及對企業(yè)業(yè)務的干擾;同時�,還要做好一般控制,防止信息和信息處理設施的損壞和被盜�����。
6)通信和操作管理��。制定操作規(guī)程和職責�����,確保信息處理設施的正確和安全操作;建立系統(tǒng)規(guī)劃和驗收準則��,將系統(tǒng)失效的風險降到最低;防范惡意代碼和移動代碼,保護軟件和信息的完整性;做好信息備份和網(wǎng)絡安全管理��,確保信息在網(wǎng)絡中的安全�,確保其支持性基礎設施得到保護;建立媒體處置和安全的規(guī)程,防止資產(chǎn)損壞和業(yè)務活動的中斷;防止信息和軟件在組織之間交換時丟失�,修改或誤用。
7)訪問控制��。制定訪問控制策略����,避免信息系統(tǒng)的非授權訪問�����,并讓用戶了解其職責和義務���,包括網(wǎng)絡訪問控制����,操作系統(tǒng)訪問控制�����,應用系統(tǒng)和信息訪問控制��,監(jiān)視系統(tǒng)訪問和使用,定期檢測未授權的活動;當使用移動辦公和遠程控制時��,也要確保信息安全����。
8)系統(tǒng)采集、開發(fā)和維護��。標示系統(tǒng)的安全要求�,確保安全成為信息系統(tǒng)的內(nèi)置部分,控制應用系統(tǒng)的安全��,防止應用系統(tǒng)中用戶數(shù)據(jù)的丟失�,被修改或誤用;通過加密手段保護信息的保密性,真實性和完整性;控制對系統(tǒng)文件的訪問����,確保系統(tǒng)文檔,源程序代碼的安全;嚴格控制開發(fā)和支持過程��,維護應用系統(tǒng)軟件和信息安全�����。
9)信息安全事故管理。報告信息安全事件和弱點��,及時采取糾正措施����,確保使用持續(xù)有效的方法管理信息安全事故,并確保及時修復���。
10)業(yè)務連續(xù)性管理��。目的是為減少業(yè)務活動的中斷�,是關鍵業(yè)務過程免收主要故障或天災的影響����,并確保及時恢復�。
11)符合性。信息系統(tǒng)的設計���,操作�,使用過程和管理要符合法律法規(guī)的要求���,符合組織安全方針和標準�����,還要控制系統(tǒng)審計�,使信息審核過程的效力最大化,干擾最小化����。
ISO27001的效益
1、通過定義��、評估和控制風險��,確保經(jīng)營的持續(xù)性和能力
2����、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任
3、通過遵守國際標準提高企業(yè)競爭能力����,提升企業(yè)形象
4、明確定義所有組織的內(nèi)部和外部的信息接口目標:謹防數(shù)據(jù)的誤用和丟失
5��、建立安全工具使用方針
6�����、謹防技術訣竅的丟失
7、在組織內(nèi)部增強安全意識
8��、可作為公共會計審計的證據(jù)
