信息安全管理体系抵御风险
新版信息安全管理体系标准分为11个控制区域,39个控制目标,133个控制措施。这是一个完整的、全方位的、系统的管理体系,它可以帮助公司识别、管理和减少信息所面临的各种风险。
控制域一:安全策略
这是一个为信息安全提供管理指导和支持的控制域,它要回答的是信息安全管理到底要干什么的问题,我们可以把它理解为意图、目的或者方向。这里的策略是多级的,既有宏观的策略,又有针对每一个细节的二级甚至更低层策略。
控制域二:组织信息安全
这里的组织不仅包括推行管理体系的主体即内部组织,还包括外部关系,与客户、供应商的关系
控制域三:资产管理
信息安全管理体系是一个以风险评估为基础的,而风险是与资产共生的。这里的资产不仅包括本组织中想保护的信息资产,还包括信息依存的介质,介质所依存的设备和设备所处的环境,以及能接触到的环境、介质、设备的人。为了能够全面管理风险,资产识别应覆盖全部。过程方法是通常被采纳的方法。
资产管理中,还包括信息资产分级分类、资产责任等方面。
控制域四:人力资源安全
人作为特殊的一种信息载体,是管理体系的主体,也是管理体系中最难管理的一个环节。新版标准从人员在组织中的生命周期的三个阶段识别了相应的控制措施:包括聘用前的职责描述、人员筛选以及聘用条件约束等;在职期间的管理职责和教育训练,以及离职时的相关要求。
控制域五:物理和环境的安全
如前所述,物理环境是整个组织正常运营的支撑,保障信息安全时,物理环境的安全需要同样进行控制。这其中包括组织环境周界划分、出入管控、安全区域等管理措施,此外,针对设备的安置和维护工作也有相应的控制。
控制域六:日常运作和通讯
信息是在组织的各项业务中产生的,保护信息安全的目的就在于保证业务的延续性,组织日常的运作是信息安全管理的主要组成部分。这包括日常的操作、变更的控制、容量的规划、备份、恶意软件防护、存储介质处理、信息交换、电子商务以及监控等管理要求。
控制域七:访问控制
当今信息安全管理区别于传统的保密,就是通过访问控制,在保障信息的机密性的同时,保持可用性和完整性。因此访问控制是信息安全管理之中的主要技术体现。
标准从访问控制策略开始,规范了用户管理、用户职责的方法,并从网络、操作系统、应用系统和信息等层次给出了各级访问控制的要求。此外,对于移动办公和远程工作也进行了规范。
控制域八:系统的获得、开发与维护
信息的安全与信息所主要存在的信息系统息息相关,信息系统本身设计开发的安全性,维护当中的安全性,以及获得一个新的信息系统时所需要关注的安全要求,都在本控制域当中描述。
控制域九:信息安全意外事件管理
信息安全意外事件的管理在旧版中散落在人员管理和运营管理当中,新版将这部分整合为一个新的控制域。它包括两个方面的控制目标,一个是信息安
全事件的报告,另一个是针对信息安全意外事件的管理以及从意外事件的处理当中取得经验。控制域十:业务连续性管理
业务连续性管理是应对那些可能导致业务中断的事件,通过制定一套业务连续性管理计划,构建一个业务连续管理的氛围和文化,在出现重大故障和灾害时,依照组织的业务需求,保持关键业务的连续。信息安全管理的业务连续性是组织整体的业务连续性管理的重要组成部分。
控制域十一:合法性
符合性是指对法律法规的符合性,对自身策略方针的符合性,以及技术符合性。符合性作为最后一个控制域实则是所有控制的基础,没有符合性也就无从谈起有效性和效率。
现实需求催生新标准
&nb
1992年前后,有越来越多的组织希望有一个管理体系来管理信息安全。1995年,英国标准协会(BSI)出版了信息安全管理体系实施指南BS7799-1;1998年,信息安全管理体系规范部分BS7799-2出版,这是一个可以认证的标准。1999年BS7799的两部分整合改版。2000年,通过国际标准化组织(ISO)的快速程序,BS7799被采纳为ISO的标准即ISO17799∶2000。今年6月,改版后的ISO17799∶2005正式发行,10月14日,BS7799-2也被采纳为ISO27001∶2005。
ISO17799作为信息安全管理体系的标准,已经为国内众多组织采纳和实施,为各相关组织提供了全方位保障信息安全的最佳实践指导和规范。目前,ISO17799:2000已经被采纳为我国的国家标准,标准号为GB/T 19716-2005信息安全管理实用规则,该标准已经于2005年10月正式颁布实施。
8个差别使新版更加人性化和便于操作
差异一:增加一个全新的控制域———信息安全意外事件管理
如前所述,新增的控制域整合了旧版的一些控制措施,并根据最佳实践,用两个方面的控制目标来体现系统化的安全意外事件管理:一个是信息安全事件的报告,另一个是针对信息安全意外事件的管理以及从意外事件的处理当中取得经验。
差异二:增加16个控制措施
新增的16个控制措施是:客户关系中的安全要求、资产的保管责任、资产的使用、人力资源的管理职责、人员离职的职责终止、人员离职的资产归还、人员离职的权限回收、识别物理环境中的威胁因素、第三方服务交付的管理、监控服务交付、对交付服务的变更控制、防范恶意移动代码、信息交换的策略、电子商务的在线交易、保护监控系统的日志、技术脆弱点的管理。
差异三:突出的一个控制域
人员管理部分的变化最大,新版按照人员在组织当中的生命周期,描述了人员管理的控制措施。对于聘用前的控制措施,与旧版差异不大。在职中的控制措施,除了旧版的教育训练,还增加了人力资源的管理职责,此外,人员的范围也有扩大,新版的人员包括长期职员、临时职员、合同工、服务商的现场服务人员。人员管理中变化最大的是离职或转职时的管理,首先要保障离职与职责终止的同步,避免不必要的操作失误,也防止故意的破坏;其次是资产的归还;最后是权限的回收,在现实环境中,转职时的权限回收普遍存在问题,这也是暴露的风险,因此新版要求明确转职也要及时回收权限,避免权限滥用。
&nbs
p; 差异四:强化的两个控制目标服务专业化职业化的发展趋势,使得我们越来越多地使用外部的服务,比如清洁和保安常常外包,而IT维护的外包也正在普及中,当前业务流程外包正在成为风潮。在使用这些外包服务时,或者提供这些外包服务中应该有的安全控制,是当前最佳实践的发展之一。新版标准在此处新增了一个控制目标用以规范此类管理。据BSI英国标准协会中国区BS7799产品经理成芳介绍,在IT服务管理的标准BS15000当中,有比较详细的服务交付流程管理,组织如果考虑加强对服务的管理,可以同样参考BS15000标准。
资产管理是另外一个强化的控制目标,旧版在正文中阐述了资产需要有所有人,新版中特别增加了两个控制措施,用以强调资产的保管责任,以及资产的使用。强化这两个控制措施,主要是希望掌握资产的状态,以及确保使用当中的适当性。
&nbs
信息安全意外事件的管理是最大的重组,此外,监控的要求也从访问控制中移动到了日常运营和通讯管理之中。还有保密协议,从人员管理移动到了组织安全之中。
差异六:架构和表达方式更加人性化
新版的整体架构组织更加贴近常人的思维,例如人员管理的清晰顺序,以及事件管理的升级方向等。而作为指南的ISO17799的控制措施描述架构更加友好,旧版的控制措施和其他信息是写在一处的,新版清晰地分开控制措施、实施指南、其他信息。
差异七:条款编号及描述变化
由于ISO17799∶2005当中新增了关于风险评估和管理的描述,所以控制措施的起始点是第五章,因而所有的控制措施编号都与旧版不同。
在上述主要变化之外,还有一部分控制措施的描述有变化,据粗略统计,涉及变化的大概有总条款数的三分之一。
差异八:删除了9个控制措施
有一些不再适宜作为通用实践的控制措施被删除,例如反胁迫报警器。还有一些控制措施被新的控制措施取代,例如外部服务管理的控制措施,被一个新的服务交付管理控制目标所取代。此外,旧版加密的控制总共有4个控制措施,现在被合并为一个。
相关链接
什么是信息
信息是组织的血液,存在方式各异。可以是打印、手写,也可以是电子、演示和口述的。
什么是信息安全
信息安全是保障信息的机密性、完整性和可用性。信息安全不是有一个终端防火墙,或者找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。当今商业竞争日趋激烈,来源于不同渠道的信息威胁到信息的一致性,它们来自内部、外部,意外的,还可能是恶意的。随着信息储存、发送新技术的广泛使用,我们面临的各种风险也在增高。
什么是信息安全管理体系
信息安全管理体系(ISMS)是系统地对组织的敏感信息进行管理,涉及到人、程序和信息技术(IT)系统。目前,国际上使用的信息安全管理体系实施指南标准号为ISO 17799∶2005,要求部分标准号为ISO27001∶2005,它适用于组织内部和客户。
意义
 
; ISMS的导入过程是繁复的、耗时的,然而正是这样繁复的过程,才能从细节上进行全方位的管理。繁复的导入过程之后,企业获得了哪些益处呢?我们说过程是繁复的,结果是精炼的,职责权限明晰,当每个人都知道自己可以做什么,知道自己不可以做什么,知道遇到意外时该怎么做,知道自己正在做什么之后,整个管理就达到了精炼的层次。
从一个繁复的过程开始,经历了全员的细致工作,沉积了具体而又可行的一套管理体系之后,组织的信息安全管理将走入精炼的阶段。精炼在管理于无形,精炼在运营于流畅,精炼在员工于自发。一套成功的ISMS体系,为明天的业务提供信心保障。不仅IC业者可以从ISMS之中获得益处,任何有需要保护自身信息安全的组织都可以考虑采纳此标准,让信息安全,让明天的业务永续。
未来发展趋势
据英国标准协会(BSI)中
ISO 27005则将以BS7799:3作为蓝本,预计的发行时间也将是2007年。
关于认证
基于BS7799-2∶2002的认证已经在全球广泛开展,截至2005年9月,全球已经发出1769份认证证书,其中中国13份。据了解,这项认证已经得到了众多组织的关注,发展速度极快,从统计数字看,2004年2月~2005年2月颁发证书数量增加了近1倍,而到今年9月新增的数字,则已经超过了去年全年的数字。
那么,对于组织来讲获得认证能证明什么呢?有关专家认为,获得认证则表明由第三方认证机构验证过组织所构建的信息安全管理体系已经符合了相关标准的要求,也就是说从公信力的角度来证明组织的信息安全管理已经是符合标准。
据介绍,鉴于由BS7799-2:2002转化而来的ISO27001已经发布,对于已经持有认证证书的组织,升级转版时限为18个月,也就是组织可以在2007年4月份之前,选择在后续的跟踪审核时完成升级转版工作。而从2006年4月以后,就不再提供针对旧版标准的新认证,需要针对新版ISO27001:2005进行认证。