ISO27001标准族介绍
1.?? ISMS标准
1.1 ?ISMS标准体系-ISO/IEC27000族简介
1.2 ? 信息安全管理实用规则-ISO/IEC27002:2005介绍
1.3 信息安全管理体系要求-ISO/IEC27001:2005介绍
1.???? ISMS标准
1.1?? ISMS标准体系-ISO/IEC27000族简介
ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题,按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。
ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划,该系列标准的序号已经预留到27019,其中将27000~27009留给ISMS基本标准,27010~27019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。
1.1.1???? ISMS国际标准化组织
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 信息技术委员会/安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织,我国是该组织的P成员国。ISO/IEC JTC1/SC27成立后设有三个工作组:
l? WG1:需求、安全服务及指南工作组
l? WG2:安全技术与机制工作组
l? WG3:信息系统、部件和产品相关的安全评估准则工作组
在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上,通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案,将原来的三个工作组调整为现在五个工作组:
l? WG1:ISMS标准工作组
l? WG2:安全技术与机制工作组
l? WG3:信息系统、部件和产品相关的安全评估准则工作组
l? WG4:安全控制与服务工作组
l? WG5:身份管理与隐私保护技术工作组
SC27组织机构的这次调整,专门将WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南,充分体现了ISMS的发展在全球范围内受到高度重视。
1.1.2???? 已经发布的ISMS标准-ISO/IEC27001和ISO/IEC27002
目前国际标准化组织已经正式发布的ISMS国际标准有两个:ISO/IEC27001和ISO/IEC27002,它们是ISMS的核心标准。
l? ISO/IEC27001:2005:信息安全管理体系要求
Information technology-Security techniques-Information security management systems-Requirements
l? ISO/IEC27002:2005:信息安全管理实用规则
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样,是ISMS的要求标准,内容共分8章和3个附录,其中附录A中的内容直接引用并与ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005适用于所有类型的组织(如企事业单位、政府机关等)。它从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001:2005是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。
ISO/IEC17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799:2005,原来版本同时废止。ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。
根据今年召开的第18届SC27全体会议决议,将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。
1.1.3???? ISMS标准的类型
根据ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards 管理体系标准合理性和制定导则)和ISO/IEC的相关导则,ISO/IEC JTC1/SC27/WG1将ISMS标准分为4类:
l? Type A – Vocabulary Standard?????? A类-词汇标准
l? Type B – Requirements Standard???? B类-要求标准
l? Type C – Guidelines Standard?????? C类-指南标准
l? Type D – Related Standard????????? D类-相关标准
A类-词汇标准:主要提供标准族中所有标准所涉及的基础信息,包括通用术语、基本原则等内容。ISO/IEC27000同ISO 9000(质量管理体系 基础和术语)类似,属于此类标准。
B类-要求标准:主要提供管理体系的相关规范,它能够使一个组织证明其满足内部和外部要求的能力。ISO/IEC27001同ISO 9001(质量管理体系 要求)、ISO 14001(环境管理体系 规范及使用指南)、OHSAS 18001(职业健康安全管理体系 规范)等标准一样,属于此类标准。
C类-指南标准:此类标准目的是为一个组织实施要求标准提供相关的指南,ISO/IEC27002、ISO/IEC27003等同ISO 9004(质量管理体系 业绩改进指南)、ISO 14004(环境管理体系 原则、体系和支持技术通用指南)、OHSMS 18002(职业健康安全管理体系 指南)等标准一样,属于此类标准。
D类-相关标准:此类标准严格说不是管理体系标准族中的标准,他们主要提供关于特定方面或相关支持技术的进一步的指导,此类标准一般独立开发,与要求类标准和指南类标准无明显的关联。ISO/IEC27006同ISO19011(质量和环境管理体系审核指南)等标准一样属于此类。
1.1.4???? 制订中的ISO/IEC27000系列标准介绍
截至2006年5月18日,ISO/IEC JTC1/SC27/WG1正在制定中的标准包括5个,分别是:
ISO/IEC 27000
ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。
ISO/IEC 27000目前处于WD(工作组草案)阶段,正在SC27内研究并征求意见。
ISO/IE 27003
ISO/IEC27003(Information security management system implementation guidance 信息安全管理体系实施指南),属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息,使用者主要为组织内负责实施ISMS的人员。
该标准给出了ISMS实施的关键成功因素,实施过程依照ISO/IEC27001要求的PDCA模型进行,并进一步介绍了各个阶段的活动内容及详细实施指南。
ISO/IEC 27003目前也处在WD阶段,正在SC27内研究并征求意见。
ISO/IEC 27004
ISO/IEC27004(Information security management measurements 信息安全管理测量),属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。
该标准将测量分为两个类别:有效性测量和过程测量,列出了多种测量方法,例如调查问卷、观察、知识评估、检查、二次执行、测试(包括设计测试和运行测试)以及抽样等。
该标准定义了ISMS的测量过程:首先要实施ISMS的测量,应定义选择测量措施,同时确定测量的对象和验证准则,形成测量计划;实施ISMS测量的过程中,应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展;在ISMS的检查和处置阶段,也应对测量措施加以改进,这就要求首先定义测量过程的评价准则,对测量过程加以监控,并定期实施评审。
目前该标准已经处于CD(委员会草案)阶段,预计将于2008年完成。
ISO/IEC 27005
ISO/IEC27005(Information security risk management 信息安全风险管理),属于C类标准。该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。
该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱性以及风险评估的方法,并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。
目前该标准处于Final CD(最终委员会草案)阶段。
ISO/IEC 27006
ISO/IEC27005(Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理体系认证机构的认可要求),属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。
目前该标准处于Final CD(最终委员会草案)阶段。
1.2?? 信息安全管理实用规则-ISO/IEC27002:2005介绍
ISO/IEC27002是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一(当时称之为ISO/IEC17799,2007年4月正式更名为ISO/IEC 27002)。它从信息安全的诸多方面,总结了一百多项信息安全控制措施,并给出了详细的实施指南,为组织采取控制措施、实现信息安全目标提供了选择,是信息安全的最佳实践。
1.2.1???? ISO/IEC27002的由来
组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基础上,英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版,2000年12月被采纳成为国际标准,即ISO/IEC17799:2000。2005年6月15日,该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC 27002。
同时伴随着ISO/IEC27002发展的还有另一个标准,即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年修订后发布1999版。2000年12月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。2005年10月,这个标准被采纳成为国际标准ISO/IEC27001:2005。
1.2.2???? ISO/IEC27002的范围
ISOS/IEC27002为组织实施信息安全管理提供建议,供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施,组织应考虑本国的法律法规以及组织的实际情况来选择使用。参照本标准,组织可以开发自己的信息安全准则和有效的安全管理方法,并提供不同组织间的信任。
1.2.3???? ISO/IEC27002的主要内容
ISO/IEC27002:2005是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的最佳实践。
标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便标准的用户使用。
值得注意的是,标准中推荐的这133个控制措施,并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。
从内容和机构上看,可以将标准分为四个部分:
一、引言部分。
主要介绍了信息安全的基础知识,包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。
二、标准的通用要素部分(1~3章)。
第1章是标准的范围,给出了该标准的内容概述、用途及目标。第2章是术语和定义,介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。
三、风险评估和处理部分。
该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。
四、控制措施部分(5~15章)。
这是标准的主体部分,包括11个控制措施章节,分别是:
5????????? 安全方针(控制目标:1个,控制措施: 2个)
6????????? 信息安全组织(控制目标:2个,控制措施:11个)
7????????? 资产管理(控制目标:2个,控制措施: 5个)
8????????? 人力资源安全(控制目标:3个,控制措施:9个)
9????????? 物理和环境安全(控制目标:2个,控制措施:13个)
10????? 通信和操作管理(控制目标:10个,控制措施:32个)
11????? 访问控制(控制目标:7个,控制措施:25个)
12????? 信息系统获取、开发和维护(控制目标:6个,控制措施:16个)
13????? 信息安全事件管理(控制目标:2个,控制措施:5个)
14????? 业务连续性管理(控制目标:1个,控制措施: 5个)
15符合性(控制目标:3个,控制措施:10个)
1.2.4???? ISO/IEC27002的使用说明
ISO/IEC27002:2005作为信息安全管理的最佳实践,它的应用既有专用性的特点,也有通用性特点。
说它具有专用性,是因为作为信息安全管理体系标准族(ISMS标准)中的一员,目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的,ISO/IEC27001:2005中的规范性附录A就是ISO/IEC27002:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织,应根据ISO/IEC27001:2005的要求,选择ISMS范围,制定信息安全方针和目标, 实施风险评估,根据风险评估的结果,选择控制目标和控制措施,制定和实施风险处理计划,执行内部审核和管理评审,以持续改进。
ISO/IEC27002:2005的通用性,体现在标准中提出的控制措施是从信息安全工作实践中总结出来的,是最佳实践。任何规模、任何性质的有信息安全要求的组织,不管其是否建设ISMS,都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。
另外,ISO/IEC27002:2005中提出的控制目标和控制措施,对一个具体的组织并不一定全部适用,也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC27002:2005以外的控制目标和控制措施。
1.2.5???? 我国采用ISO/IEC17799情况的说明
我国政府主管部门十分重视信息安全管理国家标准的制定。2002年,全国信息安全标准化技术委员会(www.tc260.org.cn)成立之初,其第七工作组(WG7)就开始了ISO/IEC17799的研究和制标工作。2005年6月15日,我国发布了国家标准“GB/T19716-2005信息安全管理实用规则”,修改采用ISO/IEC17799:2000。
2006年,根据ISMS国际标准的发展和我国的实际需要,全国信息安全标准化技术委员会又提出了GB/T19716-2005的修订计划和对应ISO/IEC27001:2005等相关ISMS标准的制定和研究计划。相信不久,对应最新ISMS国际标准的国家标准就会发布,以供大家遵照使用。
1.3?? 信息安全管理体系要求-ISO/IEC27001:2005介绍
1.3.1???? 发展:一个重要的里程碑
ISO/IEC 27001:2005的名称是 “Information technology- Security techniques-Information security management systems-requirements ”,可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。
在ISO/IEC 27001:2005标准出现之前,组织只能按照英国标准研究院(British Standard Institute,简称BSI)的BS 7799-2:2002标准,进行认证。现在,组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步:从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。
1.3.2???? 目的:认证
ISO/IEC 27001:2005标准设计用于认证目的,它可帮助组织建立和维护ISMS。标准的4 – 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4 – 8章的所有要求,那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核(初审)后,其结果是符合ISO/IEC 27001:2005的要求,那么它就会颁发ISMS证书,声明该组织的ISMS符合ISO/IEC 27001:2005标准的要求。
然而,ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准(质量管理体系标准)不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 – 8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足,就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下,ISO/IEC 9001:2002标准的第7章的某些要求(或条款),只要合理,可允许其质量管理体系(QMS)作适当删减。
因此,不管是第一方审核、第二方审核,还是第三方审核,评估组织的ISMS对ISO/IEC 27001:2005标准的符合性是十分严格的。
1.3.3???? 特点:信息资产风险评估
ISO/IEC 27001:2005标准适用于所有类型的组织,而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说,该标准要求组织通过业务风险评估的方法,来建立、实施、运行、监视、评审、保持和改进其ISMS,确保其信息资产的保密性、可用性和完整性。
(1) 信息资产
ISO/IEC 27001:2005所指“信息”可包括所有形式的数据、文件、通信件(如email和传真等)、交谈(如电话等)、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的,以任何方式存储的信息。通常,系统(如信息系统和数据库等)也可作为一类信息资产。
(2) 安全风险
组织的信息资产可面临许多威胁,包括人员(内部人员和外人员)误操作 (不管有意的,还是无意的)、盗窃、恶意代码和自然灾害等。
另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏,而使其造成损失,包括经济损失、公司形象损失和顾客信心损失等。
(3) 风险评估与处理
ISO/IEC 27001:2005标准要求组织利用风险评估的方法,确定每一个关键信息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,减缓风险。
风险评估和风险处理是ISO/IEC 27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系,要进行信息资产风险评估和风险处理。其主要过程是:
1)??????? 制定组织的ISMS方针和风险接受准则;
2)??????? 定义组织的风险评估方法;
3)??????? 识别要保护的信息资产,并进行登记;
4)??????? 识别安全风险,包括识别资产所面临的威胁、组织的脆弱点和造成的影响等;
5)??????? 对照组织的风险接受准则,评价和确定已估算的风险的严重性、可否接受;
6)??????? 形成风险评估报告;
7)??????? 制定风险处理计划,选择风险控制措施;
标准明确规定,有4种风险处理方法:采用适当的控制措施、接受风险、避免风险和转移风险;
8)??????? 执行风险处理计划,将风险降低到可接受的级别。
从理论上,风险只能降低(或减少),而不能完全消除。选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护,将其所受的风险降低到可接受的水准,又能使所需要的费用在该组织的预算范围之内,使该组织能够保持良好的竞争力和成功运作的状态。
另外,风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行。
1.3.4???? 要求:基于过程
(1) “PDCA”过程
图1 ISMS“PDCA”过程周期
国际标准化组织(ISO)使用Plan-Do-Check-Act (即计划-实施-检查-纠正)过程模型组织ISO/IEC 27001:2005标准。这个标准4 – 8章规定了ISMS的建立、实
施与运行、监督与评审、维护与改进所要遵循的活动(过程),并形成一个周期,称“PDCA”周期,如图1
(2) 过程方法
过程是指使用资源把输入转为输出的一组活动。更通俗地说,过程就是将原料(输入)加工成产品(输出)的工作(活动)。输入之所以能转为输出是因为开展了某些工作或活动。
ISO/IEC 27001:2005标准4 – 8章规定了一组ISMS过程。该标准也要求组织使用“过程方法”来管理和控制其ISMS过程。即:
1)??????? 组织必须对应4 – 8章的相应要求,建立其实际的ISMS过程;
2)??????? 组织的ISMS需按“过程方法”进行管理和控制。
这意味着组织的ISMS要包含有许多符合该标准4 – 8章规定的、相互协调的过程。通常,一个过程的输出便是另一个过程的输入。通过这些输出和输入把各个ISMS过程“粘”在一起,而形成一个相互依赖的统一整体。
标准还规定,某些ISMS过程要用形成文件的程序加以控制。
(3) 过程要求
ISO/IEC 27001:2005标准4 – 8章规定了一组ISMS过程。因此,从另一个角度,ISO/IEC 27001:2005标准的要求就是过程要求。组织的ISMS必要满足这些过程要求。
注:与ISO/IEC 27001:2005正文内容不同,ISO/IEC 27001:2005附录A的内容属于控制要求。
