信息安全管理体系认证简介

信息安全管理体系认证简介

一．信息安全管理

随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。如今，遍布全球的互联网使得组织机构不仅内在依赖IT 系统，还不可避免地与外部的IT 系统建立了错综复杂的联系，但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生，这些给组织的经营管理、生存甚至国家安全都带来严重的影响。所以，对信息加以保护，防范信息的损坏和泄露，已成为当前组织迫切需要解决的问题。

俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

二．信息安全管理体系标准发展历史及主要内容

目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001

是由英国标准BS7799转换而成的。

BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，它可以作

为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于 1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。 2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO 的认可，正式成为国际标准----- ISO/IEC17799：2000《信息技术-信息安全管理实施细则》，该标准现已升版为ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年，BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。

依据ISO/IEC27001：2005建立信息安全管理体系并获得认证正成为世界潮流。ISO/IEC27001：2005标准包括11大管理要项、39个控制目标和133项控制措施，为组织提供全方位的信息安全保障。 保密性可用性信息系统的获取

信息资产

完整性安全方针

信息安全组织资产管理

人力资源安全物理和环境安全

通信与操作安全

访问控制

开发和维护信息安全事件管理

业务持续性管理符合性

1. 安全方针――管理层应对信息安全提出明确目标，并制定出可操作的安

全管理策略，为信息安全提供管理指导和支持。

2. 安全组织――在组织内建立信息安全组织、管理与第三方有关、及外包

管理安全问题。

3. 资产分类与管理――对与信息技术有关的资产进行分类，加强与信息技

术有关的资产分类管理，并对这些资产就价值和重要性进行分类标识，实施不同安全措施对这些资产进行保护。

4. 人力资源安全――明确工作人员在招聘、雇佣、解聘过程中所涉及的信

息保密等安全问题，加强对工作人员信息安全培训与教育，提高工作人员安全防范意识，减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。

5. 物理和环境安全――分析安全威胁来源，划分物理安全区域，加强对后

台计算机服务器与用户桌面计算机的保护，防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁，并制定计算机设备引进、日常运行、销毁处理程序和办法。

6. 通信与操作管理――覆盖应用系统日常运营和维护程序、服务水平管理、

网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等，确保信息处理设施正确和安全运行。

7. 访问控制――定义用户存取控制策略，管理用户存取过程，包括对网络

存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。

8. 系统的获取、开发和维护――明确应用系统安全需求，包括输入数据校

验、输出数据校验、业务处理过程校验、传输数据认证等;确定加密控制办法，包括加密、数字签名、不可否认服务、密钥管理等管控办法;确定系统文件的安全保护办法，以及开发和支持过程的安全管理办法。确保将安全纳入信息系统的整个生命周期。

9. 信息安全事件管理――确保安全事件发生后有正确的处理流程和报告方

式。

10. 业务持续性管理――定义业务持续性管理过程，业务持续性和影响过程

分析，制定和执行切实可行的业务持续性计划，定期测试、维护、演练、重新评估业务持续性计划。防止业务活动的中断，并保护关键的业务过程免受重大故障或灾难的影响。

11. 符合性――识别现有适用的法律法规，保护个人信息的隐私;使用合法

的、正版的系统软件与应用软件;加强计算机安全审计，保障技术和安全

策略的合规性的合规性。避免违反任何刑法和民法、法律法规或合同义

务以及任何安全要求。

三．信息安全管理体系认证

BS7799-2 从1998年颁布后，在全世界范围内得到广泛的认可。目前已有40多个国家和地区开展信息安全管理体系的认证。根据信息安全管理体系国际使用者协会（ISMS International User Group）的最新统计，到2005年底，全球通过信息安全管理体系BS 7799-2认证的组织已经超过2000家。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

对组织来说，符合ISO27001/BS7799 标准并且获得信息安全管理体系认证证书，虽然不能证明组织达到了100％的安全，但通过信息安全管理体系的认证能够强有力保障组织的信息资产的保密性、完整性和可用性，并能带来如下好处：

⏹加强公司信息资产的安全性、保障业务持续性与紧急恢复

⏹强化员工的信息安全意识，规范组织信息安全行为

⏹减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损

失

⏹维护企业的声誉、品牌和客户信任，维持竞争优势

⏹满足客户和法律法规要求