一、信息安全管理體系概述

　　自古以來信息就扮演著極為重要的角色，信息及信息的使用關(guān)乎國家、部族和組織的興衰。隨著世界文明進(jìn)入到全球信息社會，信息通過網(wǎng)絡(luò)和信息系統(tǒng)傳播到不同的領(lǐng)域和角落，信息的交流推動或制約著經(jīng)濟(jì)和社會的發(fā)展。

　　信息被認(rèn)為是當(dāng)今任何一個組織的生命之血脈，確保信息能為需要的人所獲取和使用的同時，又能得到保護(hù)其安全是現(xiàn)代業(yè)務(wù)運行的基本要求。

　　信息是一種資產(chǎn)。如同其他重要的業(yè)務(wù)資產(chǎn)一樣，是組織業(yè)務(wù)運行的基礎(chǔ)，需要加以保護(hù)。但它又不同于傳統(tǒng)觀念的資產(chǎn)。傳統(tǒng)類的組織資產(chǎn)通常以實體形式存在，如 設(shè)備、建筑場所、文件、錢財?shù)取Ｆ浒踩Ｗo(hù)的考慮主要關(guān)注于物理設(shè)防，如警衛(wèi)、封閉的空間、器械等。隨著信息技術(shù)的快速發(fā)展，當(dāng)今的組織資產(chǎn)廣泛增加了各 種基于電子媒體形式的資產(chǎn)，如虛擬資產(chǎn)、知識產(chǎn)權(quán)等。資產(chǎn)的交易、轉(zhuǎn)移更是可以借助電子和網(wǎng)絡(luò)，以數(shù)字傳輸?shù)姆绞綄崿F(xiàn)，組織的財富以大量的電子數(shù)據(jù)的形式 存在。由于信息及信息的存儲、處理、傳輸和使用以及相關(guān)的設(shè)施和人員共同構(gòu)成了一個復(fù)雜的環(huán)境，保障信息安全已經(jīng)是一種系統(tǒng)性的工作，而不僅僅是針對信息 的保護(hù)。在當(dāng)前信息技術(shù)如此迅速發(fā)展和廣泛應(yīng)用的環(huán)境下，一個組織如何才能有效率地實現(xiàn)信息安全，抵御組織內(nèi)部和外部對信息資產(chǎn)和信息處理設(shè)施的各種威 脅，確保業(yè)務(wù)的成功運行是各界普遍關(guān)注的焦點議題。

　　信息安全是一個很寬泛的概念，GB/T22080、ISO27001標(biāo) 準(zhǔn)所定義的信息安全為“保持信息的保密性、完整性、可用性;另外也可包括例如真實性、可核查性、不可否認(rèn)性和可靠性等”。這種定義已經(jīng)得到廣泛認(rèn)同，其中 保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)(簡稱CIA)是信息安全的最重要的三個 維度。信息安全包括采取和管理適當(dāng)?shù)目刂拼胧扇〉目刂拼胧┦强紤]了來源廣泛的威脅，其目的是保持組織業(yè)務(wù)的成功和連續(xù)性。

　　早期人們對保障信息安全的考慮往往著眼于技術(shù)手段，期望通過使用先進(jìn)的技術(shù)方法和工具來達(dá)到某種安全。然而在信息系統(tǒng)的設(shè)計和開發(fā)中對信息安全難以預(yù)測和全 面解決。實踐證明單純采用技術(shù)手段來保護(hù)信息和信息系統(tǒng)安全的作用是有限的，在缺乏良好管理的支撐下，有些技術(shù)甚至是無效的。因此，保證組織信息安全的一 個明智選擇應(yīng)該是實施信息安全管理體系(Information Security Management Systems簡稱ISMS)，通過信息安全管理體系并結(jié)合各種適用的控制措施(包括管理、技術(shù)和運行三方面)才是組織信息安全的真正保障。

　　ISO27001信息安全管理體系是一個組織為保護(hù)信息資產(chǎn)、實現(xiàn)其業(yè)務(wù)目標(biāo)而建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)的管理架構(gòu)，包括針對信息安全管理的組織結(jié)構(gòu)、方 針、規(guī)劃、職責(zé)、過程、規(guī)程和資源等各方面。管理體系的運作下，通過持續(xù)的評估安全風(fēng)險以及對信息資產(chǎn)保護(hù)要求的分析來了解風(fēng)險是否處于組織可接受的水 平、確保安全控制措施的適用性和有效性，并在必要時有針對性地提升或更新安全措施，進(jìn)而形成一個對信息資產(chǎn)持續(xù)保護(hù)的環(huán)境。

　　組織建立、實施與保持信息安全管理體系將為組織帶來如下益處，包括：

　　1)強化員工的信息安全意識，規(guī)范組織信息安全行為;

　　2)對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)地保護(hù)，保持競爭優(yōu)勢;

　　3)在信息系統(tǒng)受到侵襲時，確保業(yè)務(wù)持續(xù)開展并將損失降到最低;

　　4)使組織的業(yè)務(wù)合作伙伴和客戶對組織充滿信心。

　　信息安全管理體系的實施并非是一項簡單易行的工作，ISMS的成功需要應(yīng)獲得組織管理層的支持，特別要關(guān)注以下基本原則：

　　1)對信息安全需要的認(rèn)知;

　　2)指派信息安全職責(zé);

　　3)協(xié)調(diào)管理承諾和利益相關(guān)方的利害關(guān)系;

　　4)增加社會價值;

　　5)通過風(fēng)險評估來確定適當(dāng)?shù)目刂拼胧癸L(fēng)險達(dá)到可接受的水平;

　　6)將安全作為一項基本要素融入信息網(wǎng)絡(luò)和系統(tǒng);

　　7)對信息安全事件的積極防范和檢測;

　　8)對信息安全持續(xù)的再評估，并在適當(dāng)時加以調(diào)整。

　　建立并保持一個有效的信息安全管理體系，應(yīng)采用信息安全管理的相關(guān)標(biāo)準(zhǔn)作為指南。信息安全管理標(biāo)準(zhǔn)來源于信息安全領(lǐng)域全球接受的良好實踐，通過標(biāo)準(zhǔn)可全面了 解信息安全管理方面行之有效的原則、方法和實踐，為組織基于自身環(huán)境確立其實現(xiàn)信息安全的路線、方針和具體運作提供了指南。信息安全管理標(biāo)準(zhǔn)族是一種得到 廣泛接受和認(rèn)可的參照基準(zhǔn)，可用于組織評估提升安全管理水平。此外，標(biāo)準(zhǔn)形成了信息安全領(lǐng)域的一種共同語言和概念基礎(chǔ)，便于各方的交流。

　　二、信息安全管理國際標(biāo)準(zhǔn)的產(chǎn)生和發(fā)展

　　ISO/IEC 27001標(biāo)準(zhǔn)于19993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS7799-1:1995《信息安全管理實施細(xì)則》，它提供了一套綜合 的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織。

　　1998 年英國公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基 礎(chǔ)，它可以作為一個正式認(rèn)證方案的根據(jù)。ISO/IEC 27000-1與ISO/IEC27000-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā) 展，同時還非常強調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。

　　2000年12月，ISO/IEC 27000-1:1999《信息安全管理實施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)ISO/IEC17799-1:2000《信息安全管理實施細(xì)則》。

　　2002年9月5日，ISO/IEC27000-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn)，同時ISO27000-2：1999被廢止。

　　現(xiàn)在，ISO/IEC 27000：2005標(biāo)準(zhǔn)已得到了很多國家的認(rèn)可，是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。

　　2008年6月19日，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等同采用ISO/IEC27001:2005《信息安全管理體系 要求》，僅有編輯性修改，成為國家推薦性標(biāo)準(zhǔn)GB/T22080—2008《信息安全管理體系 要求》。

　　2008年6月19日，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等同采用ISO/IEC27002:2005《信息安全管理實用規(guī)則》，成為國家推薦性標(biāo)準(zhǔn)GB/T22081-2008《信息安全管理實用規(guī)則》。

　　三、GB/T22080-2008《信息安全管理體系 要求》的內(nèi)容結(jié)構(gòu)

　　GB/T22080標(biāo)準(zhǔn)的目的是為建立和運行信息安全管理體系提供規(guī)范性的要求;通過ISMS的運行(包括所采用一系列控制措施)，控制和降低與信息資產(chǎn)相關(guān)的風(fēng)險。

　　GB/T22080 標(biāo)準(zhǔn)的核心是基于持續(xù)的風(fēng)險評估建立和實施信息安全管理體系，并對體系的運行進(jìn)行監(jiān)督、評審和改進(jìn)。為此標(biāo)準(zhǔn)采納了質(zhì)量管理體系標(biāo)準(zhǔn)所共知的運行原則 ———戴明的規(guī)劃—實施—檢查—處置(PDCA)模型作為實施、運行、監(jiān)視和改進(jìn)信息安全管理體系的過程方法。這就使得GB/T22080與其他管理體系 標(biāo)準(zhǔn)(如GB/T19001質(zhì)量管理體系和GB/T24001環(huán)境管理體系等)保持協(xié)調(diào)，便于使信息安全管理體系的實施和運行與一個組織內(nèi)的其他管理體系 協(xié)調(diào)一致管理。

　　GB/T22080—2008標(biāo)準(zhǔn)的內(nèi)容結(jié)構(gòu)為：

　　前言

　　引言

　　1　范圍

　　2　規(guī)范性引用文件

　　3　術(shù)語和定義

　　4　信息安全管理體系(ISMS)

　　5　管理職責(zé)

　　6　ISMS內(nèi)部審核

　　7　ISMS的管理評審

　　8　ISMS改進(jìn)

　　附錄A(規(guī)范性附錄)　控制目標(biāo)和控制措施

　　附錄B(資料性附錄)　OECD原則和本標(biāo)準(zhǔn)

　　附錄C(資料性附錄)　GB/T19001-2000，GB/T24001-2004和本標(biāo)準(zhǔn)之間的對照參考文獻(xiàn)

　　標(biāo) 準(zhǔn)第4章至第8章具體描述了一個組織在構(gòu)建和實施其信息安全管理體系中必須滿足的要求，涵蓋了管理體系的建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)。附錄 A的內(nèi)容則直接來源于GB/T22081第5章至第15章的目標(biāo)和控制措施，作為規(guī)范性的附錄組織應(yīng)從中選擇適用的控制目標(biāo)和措施并成為信息安全管理體系 的組織部分。

　　信息安全管理體系為一個組織的管理者提供了管理和控制信息資產(chǎn)安全、降低業(yè)務(wù)風(fēng)險的手段;通過信息安全管理體系的實施來保障組織的信息安全，并持續(xù)地履行顧客、法律法規(guī)和利益相關(guān)方對信息安全的要求。

　　GB/T22080 提出的對實施、運行和改進(jìn)信息安全管理體系的要求，也是第三方認(rèn)證機構(gòu)對一個組織信息安全管理體系進(jìn)行認(rèn)證的依據(jù)。通過認(rèn)證可以證實一個組織通過業(yè)務(wù)風(fēng)險 分析建立并運行了信息安全管理體系，實施有適當(dāng)?shù)目刂拼胧踩L(fēng)險處于受控管理之下，從而使利益相關(guān)方建立安全信任。