第一講 ISO 17799/27001 標準簡介

轉自：谷安論壇

ISO 17799 /27001標準簡介


1、信息安全管理概況

       近年來，信息安全被破壞的現象很是廣泛。政府及國家的機密網絡被***垂手可得地進入，公司的機密信息出如今報紙上或被人在垃圾桶中發現，財務信息被公佈在網站上讓全部人瀏覽，銀行的資產經過網絡系統流向***貪婪的錢袋……象這樣的例子不勝枚舉，同時每一天咱們都能獲得來自世界的有關信息安全被破壞的報告。
       在信息及其處理設備高度發達的今天，全部的組織，不管其性質、大小、國營或私營，都依賴於信息而存在。 這些信息有的以紙面文件存在，有的用計算機軟硬盤存儲，甚至存貯在員工或工做人員的頭腦裏。無論您的組織是怎樣的性質，您的組織必定會有別的組織很是感性趣的信息。
        這些信息多是您的價格表，客戶信息，調研信息，市場計劃或商務戰略，您能夠試想一下您能夠離開這些信息多長時間？若是您在談判中的位置，標書底價，產品研究和發展計劃或我的信息落入別有用心的人的手中，將對您的組織產生什麼樣的影響？
    有的組織直到爲時已晚的時候才認識到信息安全被破壞形成的影響。您的組織也許看似安全，但信息能夠從不一樣的渠道泄露。
    世界經濟已意識到信息的力量、價值及保護信息的重要性。信息安全被破壞的報告正在與日俱增，這就是爲何ISO17799對於保護您的信息是如此重要。該標準提供了一個完整的切入、實施、維護和文件化組織內部的信息安全的框架。


2、什麼是ISO 17799/ 27001信息安全管理標準？

     ISO17799信息安全管理標準要求創建一個完整的信息安全管理體系。該管理體系在組織中創建一個完整的切入、實施、維護和文件化的管理框架。該管理標準提供給組織信息安全管理的最佳實踐指導。
ISO/IEC 17799（BS 7799）是組織一個關鍵的管理工具，它能夠用來識別管理和減少對組織信息安全的威脅。企業的信息如產品訂價、客戶信息、研究成果、市場開發計劃或發展戰略等是企業賴以生存的寶貴財富。當一個組織與另外一個組織合做的時候，對信息的保護尤其重要。當您的組織要把保密的信息與另外一組織分享的時候，您應當確定對方是否可以保證該信息的安全，一樣的您也應該保證對方的敏感信息的安全。
     ISO17799是從BS7799轉換來的，目前ISO17799的最新版本是ISO17799：2005，它包含了133個安全控制措施來幫助組織識別在運作過程當中對信息安全有影響的元素。這133多個控制措施被分紅11個方面，成爲組織實施信息安全管理的實用指南，這十一個方面分別是：
    

• 1、安全方針（ Security Policy ）
• 
  2、信息安全組織（Security Organization）
• 
  3、資產管理（Asset Management ）
• 
  4、人員安全（Personnel Security）
• 
  5、物理與環境安全（Physical and Environmental Security）
• 6、通訊與運營管理 (Communications and Operations Management)
• 7、訪問控制（Access Control）
• 
  8、系統開發與維護（Systems Development and Maintenance）
• 
  9、信息安全事故管理（Infomation Incident Management）
• 
  10、業務持續性管理（Business Continuity Management）
• 
  11、法律符合性（Compliance）
  
       ISO27001：2005是根據ISO17799：2005制定的一個 ISMS體系實施規範，並可以使用該規範對組織的信息安全管理體系進行審覈與認證。經過使用該規範能使組織創建信息安全管理體系，包括如下幾個步驟：
  
• 定義信息安全方針  ==>   信息安全方針文檔
• 定義ISMS範圍  ==>   ISMS範圍文檔
• 資產識別 ==>  資產清單
• 風險評估 ==> 風險評估文檔
• 選擇控制目標和控制措施  ==>   控制規劃
• 體系運行 ==>  運行計劃和運行記錄
• 體系審覈 ==>  審覈計劃與審覈記錄
• 管理評審 ==>  評審計劃與評審記錄
• 體系認證 ==>  認證申請及認證證書
  
  　　　　　　　　
      根據ISO17799肯定的內容，經過ISO 27001來實施和認證ISMS，並不就必定能保證組織能徹底擺脫信息安全遭破壞，但實施該標準使信息安全被破壞的可能性下降，所以下降 投資和信息安全事故發生後的被破壞的程度。
  
  
  
  3、創建ISMS體系對組織有什麼好處？
  
         保證信息安全不是僅有一個防火牆，或找一個24小時提供信息安全 服務的公司就能夠達到的。它須要全面的綜合管理。而引入信息安全管理體系就能夠協調各個方面信息管理，從而使管理更爲有效。
        信息安全管理體系標準(ISO27001)可有效保護信息資源,保護 信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準，相似於質量管理體系認證的 ISO9000標準。當您的組織經過了ISO27001的認證,就至關於經過ISO9000的質量認證通常，表示您的組織信息安全管理已創建了一套科學有效的管理體系做爲保障。
        經過進行ISO27001信息安全管理體系認證，能夠增進組織間電子電子商務往來的信用度，可以創建起網站和貿易伙伴之間的互相信任，隨着組織間的電子交流的增長經過信息安全管理的記錄能夠看到信息安全管理明顯的利益，併爲廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創造更大收益。
        組織按照ISO27001標準創建信息安全管理體系，會有必定的投入，可是若能經過認證機關的審覈，得到認證，將會得到有價值的回報。引入ISO27001標準會給組織帶來如下好處：
     
• 企業經過認證將能夠向其客戶、競爭對手、供應商、員工和投資方展現其在同行內的領導地位。
• 按期的監督審覈將確保組織的信息系統不斷地被監督和改善，並以此做爲加強信息安全性的依據。
• 信任、信用及信心：使客戶及利益相關方感覺到組織對信息安全的承諾。
• 60%的組織在過去的兩年內信息及信息系統遭到過破壞，創建信息安全管理體系能下降這種風險，經過第三方的認證能加強投資者及其餘利益相關方的投資信心。
• 經過認證可以向政府及行業主管部門證實組織對相關法律法規的符合性。
• 經過認證能保證和證實組織全部的部門對信息安全的承諾。
• 經過認證可改善全體的業績、消除不信任感和拓展業務。
• 得到國際承認的機構的認證證書，可獲得國際上的認可。
• 4、組織實施ISO27001的程序與模式  
•     ISO27001中詳細介紹了實施信息安全管理的方法和程序，用戶能夠參照這個完整的標準制定出本身的安全管理計劃和實施步驟。ISO27001能夠做爲大型、中型及小型組織的肯定在大多數狀況下所需的控制範圍的參考基準。修訂後的ISO27001充分考慮了信息處理技術尤爲是在網絡和通訊領域應用的近期發展，同時還強調了與業務相關的信息安全及信息安全的責任，擴展了新的控制。例如新版本包括關於電子商務、遠程工做和外購等領域的控制。
  
•       組織引入信息安全管理標準的關鍵在於組織的重視程度和制度落實狀況。組織在實施過程當中必定要注意，ISO27001裏描述的全部控制方式不可能適合組織中每一種狀況和組織中的每一個潛在用戶。所以，須要根據功能要求和組織自己的實際狀況進一步開發適合組織自身須要的控制目標與控制措施，就像依據ISO9000標準開發質量手冊和程序文件同樣。    信息安全管理體系能夠定義爲整個組織或組織的一部分，包括處理、存貯和傳輸數據所用到的相應的資產、系統、應用程序、服務、網絡和技術等。信息安全管理體系是整個管理體系的一部分，創建在業務風險的方法上，以開發、實施、完成、評審和維護信息安全。在ISO27001中信息安全管理體系可能包括：組織的整個信息系統；信息系統的某些部分；一個特定的信息系統；    ISMS選擇上面哪種範圍模式取決於組織的實際須要，一個組織可能須要爲其企業的不一樣部分、不一樣方面定義不一樣的ISMS。例如能夠爲公司與貿易伙伴的特定的貿易關係定義一個信息安全管理系統。ISO/IEC17799強調管理體系的有效性、經濟性、全面性、廣泛性和開放性,目的是爲但願達到必定管理效果的組織提供一種高質量、高實用性的參照。各單位以此爲參照創建本身的信息安全管理體系,能夠在別人經驗的基礎上根據本身的實際狀況選擇本身引入ISO27001的模式，以達到對信息進行良好管理的目的。組織在實施ISO27001時，能夠根據組織的需求和實際狀況，採用如下幾種模式：      組織按照ISO27001標準的要求，自我實施創建組織的安全管理體系，以達到保證組織信息安全的目的。組織按照ISO27001標準的要求，自我實施創建組織的安全管理體系，以達到保證組織信息安全的目的，而且經過ISO27001體系認證。組織經過安全諮詢顧問，來實施創建組織的安全管理體系，以達到保證組織信息安全的目的。組織經過安全諮詢顧問，來實施創建組織的安全管理體系，以達到保證組織信息安全的目的，而且經過ISO27001體系認證。