一、信息安全管理體系概述
自古以來信息就扮演著極為重要的角色,信息及信息的使用關乎國家、部族和組織的興衰。隨著世界文明進入到全球信息社會,信息通過網絡和信息系統傳播到不同的領域和角落,信息的交流推動或制約著經濟和社會的發展。
信息被認為是當今任何一個組織的生命之血脈,確保信息能為需要的人所獲取和使用的同時,又能得到保護其安全是現代業務運行的基本要求。
信息是一種資產。如同其他重要的業務資產一樣,是組織業務運行的基礎,需要加以保護。但它又不同于傳統觀念的資產。傳統類的組織資產通常以實體形式存在,如 設備、建筑場所、文件、錢財等。其安全保護的考慮主要關注于物理設防,如警衛、封閉的空間、器械等。隨著信息技術的快速發展,當今的組織資產廣泛增加了各 種基于電子媒體形式的資產,如虛擬資產、知識產權等。資產的交易、轉移更是可以借助電子和網絡,以數字傳輸的方式實現,組織的財富以大量的電子數據的形式 存在。由于信息及信息的存儲、處理、傳輸和使用以及相關的設施和人員共同構成了一個復雜的環境,保障信息安全已經是一種系統性的工作,而不僅僅是針對信息 的保護。在當前信息技術如此迅速發展和廣泛應用的環境下,一個組織如何才能有效率地實現信息安全,抵御組織內部和外部對信息資產和信息處理設施的各種威 脅,確保業務的成功運行是各界普遍關注的焦點議題。
信息安全是一個很寬泛的概念,GB/T22080、ISO27001標 準所定義的信息安全為“保持信息的保密性、完整性、可用性;另外也可包括例如真實性、可核查性、不可否認性和可靠性等”。這種定義已經得到廣泛認同,其中 保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)(簡稱CIA)是信息安全的最重要的三個 維度。信息安全包括采取和管理適當的控制措施,而所采取的控制措施是考慮了來源廣泛的威脅,其目的是保持組織業務的成功和連續性。
早期人們對保障信息安全的考慮往往著眼于技術手段,期望通過使用先進的技術方法和工具來達到某種安全。然而在信息系統的設計和開發中對信息安全難以預測和全 面解決。實踐證明單純采用技術手段來保護信息和信息系統安全的作用是有限的,在缺乏良好管理的支撐下,有些技術甚至是無效的。因此,保證組織信息安全的一 個明智選擇應該是實施信息安全管理體系(Information Security Management Systems簡稱ISMS),通過信息安全管理體系并結合各種適用的控制措施(包括管理、技術和運行三方面)才是組織信息安全的真正保障。
ISO27001信息安全管理體系是一個組織為保護信息資產、實現其業務目標而建立、實施、運行、監視、評審、保持和改進的管理架構,包括針對信息安全管理的組織結構、方 針、規劃、職責、過程、規程和資源等各方面。管理體系的運作下,通過持續的評估安全風險以及對信息資產保護要求的分析來了解風險是否處于組織可接受的水 平、確保安全控制措施的適用性和有效性,并在必要時有針對性地提升或更新安全措施,進而形成一個對信息資產持續保護的環境。
組織建立、實施與保持信息安全管理體系將為組織帶來如下益處,包括:
1)強化員工的信息安全意識,規范組織信息安全行為;
2)對組織的關鍵信息資產進行全面系統地保護,保持競爭優勢;
3)在信息系統受到侵襲時,確保業務持續開展并將損失降到最低;
4)使組織的業務合作伙伴和客戶對組織充滿信心。
信息安全管理體系的實施并非是一項簡單易行的工作,ISMS的成功需要應獲得組織管理層的支持,特別要關注以下基本原則:
1)對信息安全需要的認知;
2)指派信息安全職責;
3)協調管理承諾和利益相關方的利害關系;
4)增加社會價值;
5)通過風險評估來確定適當的控制措施,使風險達到可接受的水平;
6)將安全作為一項基本要素融入信息網絡和系統;
7)對信息安全事件的積極防范和檢測;
8)對信息安全持續的再評估,并在適當時加以調整。
建立并保持一個有效的信息安全管理體系,應采用信息安全管理的相關標準作為指南。信息安全管理標準來源于信息安全領域全球接受的良好實踐,通過標準可全面了 解信息安全管理方面行之有效的原則、方法和實踐,為組織基于自身環境確立其實現信息安全的路線、方針和具體運作提供了指南。信息安全管理標準族是一種得到 廣泛接受和認可的參照基準,可用于組織評估提升安全管理水平。此外,標準形成了信息安全領域的一種共同語言和概念基礎,便于各方的交流。
二、信息安全管理國際標準的產生和發展
ISO/IEC 27001標準于19993年由英國貿易工業部立項,于1995年英國首次出版BS7799-1:1995《信息安全管理實施細則》,它提供了一套綜合 的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,并且適用于大、中、小組織。
1998 年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基 礎,它可以作為一個正式認證方案的根據。ISO/IEC 27000-1與ISO/IEC27000-2經過修訂于1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網絡和通信領域應用的近期發 展,同時還非常強調了商務涉及的信息安全及信息安全的責任。
2000年12月,ISO/IEC 27000-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準ISO/IEC17799-1:2000《信息安全管理實施細則》。
2002年9月5日,ISO/IEC27000-2:2002草案經過廣泛的討論之后,終于發布成為正式標準,同時ISO27000-2:1999被廢止。
現在,ISO/IEC 27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。
2008年6月19日,由全國信息安全標準化技術委員會等同采用ISO/IEC27001:2005《信息安全管理體系 要求》,僅有編輯性修改,成為國家推薦性標準GB/T22080—2008《信息安全管理體系 要求》。
2008年6月19日,由全國信息安全標準化技術委員會等同采用ISO/IEC27002:2005《信息安全管理實用規則》,成為國家推薦性標準GB/T22081-2008《信息安全管理實用規則》。
三、GB/T22080-2008《信息安全管理體系 要求》的內容結構
GB/T22080標準的目的是為建立和運行信息安全管理體系提供規范性的要求;通過ISMS的運行(包括所采用一系列控制措施),控制和降低與信息資產相關的風險。
GB/T22080 標準的核心是基于持續的風險評估建立和實施信息安全管理體系,并對體系的運行進行監督、評審和改進。為此標準采納了質量管理體系標準所共知的運行原則 ———戴明的規劃—實施—檢查—處置(PDCA)模型作為實施、運行、監視和改進信息安全管理體系的過程方法。這就使得GB/T22080與其他管理體系 標準(如GB/T19001質量管理體系和GB/T24001環境管理體系等)保持協調,便于使信息安全管理體系的實施和運行與一個組織內的其他管理體系 協調一致管理。
GB/T22080—2008標準的內容結構為:
前言
引言
1 范圍
2 規范性引用文件
3 術語和定義
4 信息安全管理體系(ISMS)
5 管理職責
6 ISMS內部審核
7 ISMS的管理評審
8 ISMS改進
附錄A(規范性附錄) 控制目標和控制措施
附錄B(資料性附錄) OECD原則和本標準
附錄C(資料性附錄) GB/T19001-2000,GB/T24001-2004和本標準之間的對照參考文獻
標 準第4章至第8章具體描述了一個組織在構建和實施其信息安全管理體系中必須滿足的要求,涵蓋了管理體系的建立、實施、運行、監視、評審、保持和改進。附錄 A的內容則直接來源于GB/T22081第5章至第15章的目標和控制措施,作為規范性的附錄組織應從中選擇適用的控制目標和措施并成為信息安全管理體系 的組織部分。
信息安全管理體系為一個組織的管理者提供了管理和控制信息資產安全、降低業務風險的手段;通過信息安全管理體系的實施來保障組織的信息安全,并持續地履行顧客、法律法規和利益相關方對信息安全的要求。
GB/T22080 提出的對實施、運行和改進信息安全管理體系的要求,也是第三方認證機構對一個組織信息安全管理體系進行認證的依據。通過認證可以證實一個組織通過業務風險 分析建立并運行了信息安全管理體系,實施有適當的控制措施,安全風險處于受控管理之下,從而使利益相關方建立安全信任。
共有條評論 網友評論