信息安全管理體系認證簡介

一．    信息安全管理

隨著以計算機和網絡通信為代表的信息技術（IT）的迅猛發展，政府部門、金融機構、企事業單位和商業組織對IT 系統的依賴也日益加重，信息技術幾乎滲透到了世界各地和社會生活的方方面面。如今，遍布全球的互聯網使得組織機構不僅內在依賴IT 系統，還不可避免地與外部的IT 系統建立了錯綜復雜的聯系，但系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等事情時有發生，這些給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。所以，對信息加以保護，防范信息的損壞和泄露，已成為當前組織迫切需要解決的問題。

俗話說“三分技術七分管理”。目前組織普遍采用現代通信、計算機、網絡技術來構建組織的信息系統。但大多數組織的*高管理層對信息資產所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位，如系統的運行、維護、開發等崗位不清，職責不分，存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以，我們需要一個系統的、整體規劃的信息安全管理體系，從預防控制的角度出發，保障組織的信息系統與業務之安全與正常運作。

二．    信息安全管理體系標準發展歷史及主要內容

目前，在信息安全管理體系方面，ISO/IEC27001:2005――信息安全管理體系標準已經成為世界上應用*廣泛與典型的信息安全管理標準。ISO/IEC27001是由英國標準BS7799轉換而成的。

BS7799標準于1993年由英國貿易工業部立項，于1995年英國*次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全*佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的參考基準，適用于大、中、小組織。1998年英國公布標準的第二部分BS 7799-2《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于 1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。 2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準----- ISO/IEC17799：2000《信息技術-信息安全管理實施細則》，該標準現已升版為ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式發布，2002版標準主要在結構上做了修訂，引入了PDCA(Plan-Do-Check-Act)的過程管理模式，建立了與ISO 9001、ISO 14001和OHSAS 18000等管理體系標準相同的結構和運行模式。2005年，BS 7799-2: 2002正式轉換為國際標準ISO/IEC27001：2005。

依據ISO/IEC27001：2005建立信息安全管理體系并獲得認證正成為世界潮流。ISO/IEC27001：2005標準包括11大管理要項、39個控制目標和133項控制措施，為組織提供全方位的信息安全保障。

1.        安全方針――管理層應對信息安全提出明確目標，并制定出可操作的安全管理策略，為信息安全提供管理指導和支持。

2.     安全組織――在組織內建立信息安全組織、管理與第三方有關、及外包管理安全問題。

3.     資產分類與管理――對與信息技術有關的資產進行分類，加強與信息技術有關的資產分類管理，并對這些資產就價值和重要性進行分類標識，實施不同安全措施對這些資產進行保護。

4.     人力資源安全――明確工作人員在招聘、雇傭、解聘過程中所涉及的信息保密等安全問題，加強對工作人員信息安全培訓與教育，提高工作人員安全防范意識，減少人為錯誤、偷竊、欺詐或濫用信息及處理設施的風險。

5.     物理和環境安全――分析安全威脅來源，劃分物理安全區域，加強對后臺計算機服務器與用戶桌面計算機的保護，防止因水、火、盜竊、雷電、電力供應、化學腐蝕等因素帶來的安全威脅，并制定計算機設備引進、日常運行、銷毀處理程序和辦法。

6.     通信與操作管理――覆蓋應用系統日常運營和維護程序、服務水平管理、網絡管理、存儲介質管理、防惡意軟件攻擊保護、系統和數據備份與恢復管理、信息交換管理等，確保信息處理設施正確和安全運行。

7.     訪問控制――定義用戶存取控制策略，管理用戶存取過程，包括對網絡存取控制、操作系統、應用系統及移動設備和遠程工作設備進行存取控制。

8.     系統的獲取、開發和維護――明確應用系統安全需求，包括輸入數據校驗、輸出數據校驗、業務處理過程校驗、傳輸數據認證等;確定加密控制辦法，包括加密、數字簽名、不可否認服務、密鑰管理等管控辦法;確定系統文件的安全保護辦法，以及開發和支持過程的安全管理辦法。確保將安全納入信息系統的整個生命周期。

9.     信息安全事件管理――確保安全事件發生后有正確的處理流程和報告方式。

10.  業務持續性管理――定義業務持續性管理過程，業務持續性和影響過程分析，制定和執行切實可行的業務持續性計劃，定期測試、維護、演練、重新評估業務持續性計劃。防止業務活動的中斷，并保護關鍵的業務過程免受重大故障或災難的影響。

11.  符合性――識別現有適用的法律法規，保護個人信息的隱私;使用合法的、正版的系統軟件與應用軟件;加強計算機安全審計，保障技術和安全策略的合規性的合規性。避免違反任何刑法和民法、法律法規或合同義務以及任何安全要求。

三．    信息安全管理體系認證

BS7799-2 從1998年頒布后，在全世界范圍內得到廣泛的認可。目前已有40多個國家和地區開展信息安全管理體系的認證。根據信息安全管理體系國際使用者協會（ISMS International User Group）的*新統計，到2005年底，全球通過信息安全管理體系BS 7799-2認證的組織已經超過2000家。

信息安全對每個企業或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看，較多的是涉及電信、保險、銀行、數據處理中心、IC制造和軟件外包等行業。

對組織來說，符合ISO27001/BS7799 標準并且獲得信息安全管理體系認證證書，雖然不能證明組織達到了100％的安全，但通過信息安全管理體系的認證能夠強有力保障組織的信息資產的保密性、完整性和可用性，并能帶來如下好處：

n  加強公司信息資產的安全性、保障業務持續性與緊急恢復

n  強化員工的信息安全意識，規范組織信息安全行為

n  減少可能潛在的風險隱患，減少信息系統故障、人員流失帶來的經濟損失

n  維護企業的聲譽、品牌和客戶信任，維持競爭優勢

n  滿足客戶和法律法規要求

• 上一篇：沒有了;
• 下一篇：ISO20000IT服務管理體系認證