信息安全發(fā)展至今�,人們?cè)絹?lái)越認(rèn)識(shí)到安全管理在整個(gè)信息安全建設(shè)過(guò)程中的重要性�,而作為信息安全管理方面最著名的國(guó)際標(biāo)準(zhǔn)——iso27001(即之前所稱(chēng)的BS7799標(biāo)準(zhǔn)),則成為可以指導(dǎo)我們現(xiàn)實(shí)工作的最好的參照��。?
? ? BS7799是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British Standards Institute����,BSI)于1995年2月制定的信息安全管理標(biāo)準(zhǔn),分兩個(gè)部分���,其第一部分于2000年被iso組織采納,正式成為iso/IEC 17799標(biāo)準(zhǔn)����。該標(biāo)準(zhǔn)2005年經(jīng)過(guò)最新改版,發(fā)展成為iso/IEC 17799:2005標(biāo)準(zhǔn)。BS7799標(biāo)準(zhǔn)的第二部分經(jīng)過(guò)長(zhǎng)時(shí)間討論修訂��,也于2005年成為正式的iso標(biāo)準(zhǔn),即iso/IEC 27001:2005���。
? ? iso27000標(biāo)準(zhǔn)(即BS7799第一部分),是信息安全管理實(shí)施細(xì)則(Code of Practice for Information Security Management)�����,其中包含11個(gè)主題��,定義了133個(gè)安全控制����。iso17799:2005中的11個(gè)主題分別是:
? ? ? ◆ ?安全策略(Security policy)����;
? ? ? ◆ ?信息安全組織(Organization of information security)�����;
? ? ? ◆ ?資產(chǎn)管理(Asset management);
? ? ? ◆ ?人力資源安全 (Human resource security)�;
? ? ? ◆ ?物理和環(huán)境安全(Physical and environmental security)���;
? ? ? ◆ ?通信和操作管理(Communication and operation management)�����;
? ? ? ◆ ? 訪問(wèn)控制(Access control);
? ? ? ◆ ?信息系統(tǒng)獲取���、開(kāi)發(fā)和維護(hù)(Information systems acquisition, development and maintenance)�����;
? ? ? ◆ ?信息安全事件管理(Information security incident management)��;
? ? ? ◆ ?業(yè)務(wù)連續(xù)性管理(Business continuity management);
? ? ? ◆ ?符合性(Compliance)���。
? ? ? iso27001:2005標(biāo)準(zhǔn),是建立信息安全管理體系(ISMS)的一套規(guī)范(Specification for Information Security Management Systems),其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求���,指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),當(dāng)然,如果要得到BSI最終的認(rèn)證(對(duì)依據(jù)iso27001建立的ISMS進(jìn)行認(rèn)證)��,還有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程��。作為一套管理標(biāo)準(zhǔn)��,iso27001指導(dǎo)相關(guān)人員怎樣去應(yīng)用iso/IEC 17799,其最終目的,還在于建立適合企業(yè)需要的信息安全管理體系����。
?標(biāo)準(zhǔn)的起源和發(fā)展
? ? 信息安全管理實(shí)用規(guī)則iso/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)���,該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出�����,并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分:
? ? BS7799-1���,信息安全管理實(shí)施規(guī)則
? ? BS7799-2,信息安全管理體系規(guī)范。
? ? 第一部分對(duì)信息安全管理給出建議���,供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用;第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求�����,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求�����。
? ? 2000年,國(guó)際標(biāo)準(zhǔn)化組織(iso)在BS7799-1的基礎(chǔ)上制定通過(guò)了iso 17799標(biāo)準(zhǔn)��。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂�。iso組織在2005年對(duì)iso 17799再次修訂�����,BS7799-2也于2005年被采用為iso27001:2005。
標(biāo)準(zhǔn)的主要內(nèi)容
? ? iso/IEC17799-2000(BS7799-1)對(duì)信息安全管理給出建議�,供負(fù)責(zé)在其組織啟動(dòng)�����、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)����,并為組織之間的交往提供信任����。
? ? 標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)”��。它對(duì)一個(gè)組織具有價(jià)值�����,因此需要加以合適地保護(hù)���。信息安全防止信息受到的各種威脅�����,以確保業(yè)務(wù)連續(xù)性,使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小���,使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。
? ? 信息安全是通過(guò)實(shí)現(xiàn)一組合適控制獲得的�����??刂瓶梢允遣呗浴T例��、規(guī)程����、組織結(jié)構(gòu)和軟件功能。需要建立這些控制����,以確保滿(mǎn)足該組織的特定安全目標(biāo)��。
? ? iso/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用��,或者增加其他附加控制�。國(guó)際標(biāo)準(zhǔn)化組織(iso)在2005年對(duì)iso 17799進(jìn)行了修訂,修訂后的標(biāo)準(zhǔn)作為iso 27000標(biāo)準(zhǔn)族的第一部分——iso/IEC 27001�����,新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施�����,新增17點(diǎn)控制措施�,并重組部分控制措施而新增一章����,重組部分控制措施,關(guān)聯(lián)性邏輯性更好,更適合應(yīng)用;并修改了部分控制措施措辭�����。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié):
? ? 1)安全策略
? ? 2)信息安全的組織
? ? 3)資產(chǎn)管理
? ? 4)人力資源安全
? ? 5)物理和環(huán)境安全
? ? 6)通信和操作管理
? ? 7)訪問(wèn)控制
? ? 8)系統(tǒng)系統(tǒng)采集�����、開(kāi)發(fā)和維護(hù)
? ? 9)信息安全事故管理
? ? 10)業(yè)務(wù)連續(xù)性管理
? ? 11)符合性?
