信息安全管理体系要求-ISO IEC27001 2005介绍

信息安全管理体系要求-ISO IEC27001 2005介绍

1 发展:一个重要的里程碑发展:一个重要的里程碑

ISO/IEC 27001:2005的名称是 "Information technology- Security

techniques-Information security management systems-requirements",可翻译为"信息技术- 安全技术-信息安全管理体系要求".

在 ISO/IEC 27001:2005标准出现之前,组织只能按照英国标准研究院 (British Standard Institute,简称 BSI)的 BS 7799-2:2002 标准,进行认证.现在,组织可以获得全球认可的 ISO/IEC 27001:2005标准的认证.这标志着 ISMS 的发展和认证已向前迈进了一大步: 从英国认证认可迈进国际认证认可. ISMS 的发展和认证进入一个重要的里程碑.这个新 ISMS 标准正成为最新的全球信息安全武器.

2 目的:认证

ISO/IEC 27001:2005标准设计用于认证目的,它可帮助组织建立和维护 ISMS.标准的4 - 8 章定义了一组 ISMS 要求.如果组织认为其 ISMS 满足该标准 4 - 8 章的所有要求,那么该组织就可以向 ISMS 认证机构申请 ISMS 认证.如果认证机构对组织的 ISMS 进行审核(初审)后,其结果是符合 ISO/IEC 27001:2005的要求,那么它就会颁发 ISMS 证书,声明该组织的 ISMS 符合 ISO/IEC 27001:2005标准的要求.

然而,ISO/IEC 27001:2005标准与 ISO/IEC 9001:2002 标准(质量管理体系标准)不同.ISO/IEC 27001:2005标准的要求十分"严格".该标准 4 - 8 章有许多信息安全管理要求.这些要求是"强制性要求".只要有任何一条要求得不到满足,就不能声称该组织的 ISMS 符合 ISO/IEC 27001:2005标准的要求.相比之下,ISO/IEC 9001:2002 标准的第 7 章的某些要求(或条款) ,只要合理,可允许其质量管理体系(QMS)作适当删减.

因此, 不管是第一方审核, 第二方审核, 还是第三方审核, 评估组织的 ISMS 对

ISO/IEC 27001:2005标准的符合性是十分严格的.

i.特点: 特点:信息资产风险评估

ISO/IEC 27001:2005标准适用于所有类型的组织,而不管组织的性质和规模如何.

该新标准的特点之一是基于组织的资产风险评估.也就是说,该标准要求组织通过业务风险评估的方法,来建立,实施,运行,监视,评审,保持和改进其 ISMS,确保其信息资产的保密性,可用性和完整性.

(1)信息资产

ISO/IEC 27001:2005所指 "信息" 可包括所有形式的数据, 文件, 通信件 (如email 和传真等) ,交谈(如电话等) ,消息,录音带和照片等.信息资产是被认为对组织具有"价值"的,以任何方式存储的信息.通常,系统(如信息系统和数据库等)也可作为一类信息资产.

(2)安全风险

组织的信息资产可面临许多威胁, 包括人员 (内部人员和外人员) 误操作 (不管有意的,还是无意的),盗窃,恶意代码和自然灾害等.

另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括员工缺乏安全意识,基础设施中的弱点和控制中的弱点等.这就导致组织的密级信息资产和应用系统可能遭受未授权访问, 修改, 泄露或破坏, 而使其造成损失, 包括经济损失,公司形象损失和顾客信心损失等.

(3)风险评估与处理

ISO/IEC 27001:2005标准要求组织利用风险评估的方法,确定每一个关键信息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,减缓风险.

风险评估和风险处理是 ISO/IEC 27001:2005标准要求的两个相互关联的必须的活动.一个组织建立 ISMS 体系,要进行信息资产风险评估和风险处理.其主要过程是:

1) 制定组织的 ISMS 方针和风险接受准则;

2) 定义组织的风险评估方法;

3) 识别要保护的信息资产,并进行登记;

4) 识别安全风险,包括识别资产所面临的威胁,组织的脆弱点和造成的影响等;

5) 对照组织的风险接受准则, 评价和确定已估算的风险的严重性, 可否接受;

6) 形成风险评估报告;

7) 制定风险处理计划,选择风险控制措施; 标准明确规定,有 4 种风险处理方法:采用适当的控制措施,接受风险, 避免风险和转移风险;

8) 执行风险处理计划,将风险降低到可接受的级别.

从理论上,风险只能降低(或减少) ,而不能完全消除.选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护, 将其所受的风险降低到可接受的水准,又能使所需要的费用在该组织的预算范围之内,使该组织能够保持良好的竞争力和成功运作的状态.

另外,风险是动态的.风险评估活动应定期进行.特别是在出现新的信息资产,技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行.

ii.要求:基于过程

（1） "PDCA"过程 "

图 1 ISMS"PDCA"过程周期

"

国际标准化组织(ISO)使用 Plan-Do-Check-Act (即计划-实施-检查-纠正)过程模型组织 ISO/IEC 27001:2005标准.这个标准 4 - 8 章规定了 ISMS 的建立,实施与运行,监督与评审,维护与改进所要遵循的活动(过程),并形成一个周期,称"PDCA"周期,如图 1

(2) 过程方法

过程是指使用资源把输入转为输出的一组活动.更通俗地说,过程就是将原料(输入)加工成产品(输出)的工作(活动).输入之所以能转为输出是因为开展了某些工作或活动.

ISO/IEC 27001:2005标准 4 - 8 章规定了一组 ISMS 过程. 该标准也要求组织使用"过程方法"来管理和控制其 ISMS 过程.即:

1) 组织必须对应 4 - 8 章的相应要求,建立其实际的 ISMS 过程;