ISO27001标准详解

ISO27001标准详解信息安全管理体系背景介绍信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：一.直接损失：丢失订单，减少直接收入，损失生产率；二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。ISO27001的内容信息安全管理体系背景介绍所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。ISO27001的内容信息安全管理体系标准发展历史目前，在信息安全管理体系方面，ISO/IEC27001:2005--信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC17799：2000《信息技术-信息安全管理实施细则》，后来该标准已升版为ISO27001的内容信息安全管理体系标准发展历史ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。2005年，BS7799-2:2002正式转换为国际标准ISO/IEC27001：2005。ISO27001的内容信息安全管理体系要求11个控制领域39个控制目标133个控制措施ISO27001的内容必须的ISMS文件：1、ISMS方针文件，包括ISMS的范围；2、风险评估程序和风险处理程序；3、文件控制程序和记录控制程序；4、内部审核程序和管理评审程序（尽管没有强制）；5、纠正措施和预防措施控制程序；6、控制措施有效性的测量程序；7、适用性声明ISO27001的内容对外增强顾客信心和满意改善对安全方针及要求的符合性提供竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力形成文件的ISMS的益处PDCA方法纠正和预防措施内部审核ISMS管理评审ISMS的持续改进Page10PDCA（戴明环）PDCA（Plan、Do、Check和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19世纪30年代构想的，后来被戴明（EdwardsDeming）采纳、宣传并运用于持续改善产品质量的过程当中。1、P（Plan）--计划，确定方针和目标，确定活动计划；2、D（Do）--执行，实地去做，实现计划中的内容；3、C（Check）--检查，总结执行计划的结果，注意效果，找出问题；4、A（Action）--行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个PDCA循环。Page11PDCA特点大环套小环，小环保大环，推动大循环PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。Page12PDCA特点(续)不断前进、不断提高PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。PDCA质量水平螺旋上升的PDCAPage13PDCA和ISMS的结合Page14重点章节本标准的重点章节是4－8章。前三章的内容结构如下所示：引言0.1总则0.2过程方法0.3与其他管理体系的兼容性1范围1.1总则1.2应用2规范性引用文件3术语和定义0.1总则0.2过程方法过程方法的定义：组织内各过程系统的应用，连同这些过程的识别和相互作用及其管理，可以被称为“过程方法”。过程方法鼓励其使用者以强调以下方面的重要性：理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进0引言1.1总则本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求1.2应用适用于各种类型、不同规模和提供不同产品的组织可以考虑删减，但条款4、5、6、7和8是不能删减的1范围ISO/IEC17799：2005信息技术－安全技术－信息安全管理实施指南2引用标准信息是经过加工的数据或消息，信息是对决策者有价值的数据资产任何对组织有价值的事物可用性确保授权用户可以在需要时可以获得信息和相关资产保密性确保信息仅为被授权的用户获得3术语和定义完整性确保信息及其处理方法的准确性和完整性信息安全保护信息的保密性、完整性、可用性；另外也包括其他属性，如：真实性、可核查性、不可抵赖性和可靠性信息安全事件已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效的事件，或以前未知的与安全相关的情况3术语和定义（续）信息安全事故信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。信息安全管理体系（ISMS）全面管理体系的一部分，基于业务风险方法，旨在建立、实施、运行、监控、评审、维持和改进信息安全适用性声明基于风险评估和风险处理过程的结果和结论，描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件3术语和定义（续）残余风险实施风险处置后仍旧残留的风险风险接受接受风险的决定。风险分析系统地使用信息以识别来源和估计风险。3术语和定义（续）风险评估风险分析和风险评价的全过程。风险评价将估计的风险与既定的风险准则进行比较以确定重要风险的过程。风险管理指导和控制一个组织关于风险的协调活动。风险处置选择和实施措施以改变风险的过程。3术语和定义（续）Page234信息安全管理体系4.1总要求一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。4.2建立和管理ISMS4.2.1建立ISMS(PLAN)定义ISMS的范围定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明（SoA）取得管理层对残留风险的承认，并授权实施和操作ISMSPDCAPage244信息安全管理体系(续)4.2.2实施和运行ISMS(DO)制定风险处理计划实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源（参见5.2）实施能够激发安全事件检测和响应的程序和控制PDCAPage254信息安全管理体系(续)4.2.3监控和评审ISMS(CHECK)执行监视程序和控制对ISMS的效力进行定期复审复审残留风险和可接受风险的水平按照预定计划进行内部ISMS审计定期对ISMS进行管理复审记录活动和事件可能对ISMS的效力或执行力度造成影响PDCAPage264信息安全管理体系(续)4.2.4保持和改进ISMS(ACT)对ISMS实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标PDCAPage274信息安全管理体系(续)4.3文件要求总则文件控制记录控制ISO27001标准所要求建立的ISMS是一个文件化的体系，ISO27001认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。ISMS文件方针范围、风险评价适用性声明描述过程：who,what,when,where描述任务及具体的活动如何完成提供符合ISMS条款3.6要求的可感证据第一层次第二层次第三层次第四层次安全手册程序作业指导书检查表、表格记录管理框架与ISO27001条款4有关的方针Page294信息安全管理体系(续)ISO27001标准要求的ISMS文件体系应该是一个层次化的体系，通常是由四个层次构成的：信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS是按照ISO27001标准要求建立并运行的。信息安全手册包含各个一级文件。一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）：信息安全方针风险评估报告适用性声明（SoA）二级文件：各类程序文件。至少包括（可能不限于此）：风险评估流程风险管理流程风险处理计划管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定文件及材料控制程序安全事件处理流程三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS得以持续运行的有力证据，由各个相关部门自行维护。5.1管理承诺5.2资源管理5.2.1提供资源5.2.2培训、意识和能力5管理职责管理者应通过如下所示向ISMS的建立、实施、运作、监管、审核、维持和改进提供承诺的证据：a)建立信息安全方针；b)确保信息安全目标和计划的建立；c)为信息安全定岗并建立岗位职责；d)向本组织宣传达到信息安全目标和符合信息安全方针的重要性，以及本组织的法律责任和持续改进的需求；e)为ISMS的发展、实施、运作和维持提供充足的资源；f)确定接受风险的准则和可接受的风险等级；g)确保ISMS内部审核的实施；h)进行ISMS管理评审。5.1管理承诺组织应确定并提供以下方面所需资源：建立、实施、运作和维持ISMS；确保信息安全程序支持业务需要；识别和定位法