随着信息技术的迅猛发展和网络的普及,我们的工作和生活方式都得到彻底改变,技术的进步在给我们带来便利的同时也带给我们无尽的烦恼,每天都有许多破坏信息安全的报告,80%的信息安全事故来自人们对网络安全知识的缺乏和内部管理的漏洞。因此,如何利用网络进行安全的通信,成为当前信息安全迫切需要解决的问题。
ISO27001标准告诉我们如何评定安全风险,建立信息安全管理体系,选择适宜的控制方法确保将风险减少到可以接受的程度。下面,笔者对这个标准的理解和认识谈谈个人的一点看法。
一、ISO27001标准的由来
1995年,英国标准协会(BSI)首次出版BS 7799—1《信息安全管理实践指南》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则。
1998年公布标准的第二部分BS 7799—2《信息安全管理体系规范》,它规定了信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可作为一个正式认证方案的根据。BS 7799—1与BS 7799—2经过修订于1999年重新予以发布,1999版标准考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS 7799-1:1999《信息安全管理实践指南》通过了国际标准化组织(ISO)的认可,正式成为国际标准——ISO/IECl7799—1:2000《信息技术信息安全管理实施细则》。2002年9月5日,BS 7799—2:2002草案经过广泛讨论之后,终于发布成为正式标准,BS 7799—2:1999同时被废止。2005年11月,IS0 27001:2005出版,取代了BS 7799—2:2002标准。
二、信息安全事件应对方法
传统的信息安全事件应对方法是,哪里出现问题,立即用技术手段去那里把问题解决。信息安全管理体系(ISMS)的方法是,事先进行风险的识别与评估,进行战略部署,采取防范措施(如表一)。
表一
| 传统的方法 | 转变 | 信息安全管理体系(ISMS)方法 |
| 反应式 | → | 主动式 |
| 点状方案 | → | 过程方法 |
| 终极目标方法 | → | 管理层面 |
| 技术层面 | → | 战略的规划 |
三、ISO27001的实施步骤
ISO27001标准的实施步骤如图1。
ISO27001标准采用PDCA模式:
①策划(建立ISMS):根据组织的整体方针和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序,以获得结果;
②实施和运行ISMS:实施和运行安全策略、控制、过程和程序;
③检查(监视和评审ISMS):适用时,根据安全策略、目标和以往的经验评估和测量过程业绩,向管理层报告结果,进行评审;
④保持和改进ISMS:根据内审、管理评审和其他信息采取纠正和预防措施,实现ISMS的持续改进(如表二).
表二
| PDCA模式 | 步骤 | 方法 |
| 定义范围 | 根据组织业务特征、地理位置、资产、技术等确定ISMS的范围 | |
| 定义方针 | 方针是信息安全活动的总方向和总原则,是建立目标的框架,应考虑业务、合同安全义务和法律法规要求 | |
| 确定风险评估的方法 | 识别适用的风险评估方法,确定风险接收准则,识别可接受的等级 | |
| 策划 | 识别风险 | 识别ISMS范围内的资产、资产的威胁、脆弱点以及机密性、完整性、可用性损失的影响 |
| 评估风险 | 评估安全失效可能造成的影响,评估安全失效发生的可能性,估计风险等级以及风险是否可接受 | |
| 识别并评估风险处理的措施 | 包括控制、规避、转嫁风险,接受残余风险 | |
| 为处理风险选择控制目标和控制措施 | 考虑接受风险的准则,选择控制目标和措施 | |
| 适用性声明 | 声明应包括选择的控制目标和措施,选择的原因,删减的合理性 | |
| 实施和运行 | 实施和运行ISMS | 提供资源,实施培训,提高意识,按策划的要求管理ISMS的运行 |
| 检查 | 监视和评审ISMS | 执行监视和评审程序,定期评审ISMS的有效性和测量控制措施的有效性,按计划实施内审和管理评审,识别改进的机会 |
| 保持和改进 | 保持和改进ISMS | 实施改进措施,不断总结经验教训,确保改进活动达到预期目的 |
四、ISO27001的控制重点
1.安全方针:制定信息安全方针,为信息安全提供管理指导和支持,并定期评审。
2.信息安全组织:建立信息安全基础设施,管理组织范围内的信息安全;维护被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时,确保信息的安全。
3.资产管理:核查所有信息资产,做好信息分类,确保信息资产受到适当程度的保护。
4.人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或误用设施的风险。
5.物理与环境安全:定义安全区域,防止对办公场所和信息的未授权访问、破坏和干扰;保护设备的安全,防止信息资产的丢失、损坏或被盗,以及对业务活动的干扰;同时,还要做好一般控制,防止信息和信息处理设施的损坏或被盗。
6.通讯和操作管理:制定操作规程和职责,确保信息处理设施的正确和安全操作;建立系统规划和验收准则,将系统失效的风险减到最低;防范恶意代码和移动代码,保护软件和信息的完整性;做好信息备份和网络安全管理,确保信息在网络中的安全,确保其支持性基础设施得到保护;建立媒体处置和安全的规程,防止资产损坏和业务活动的中断;防止信息和软件在组织之间交换时丢失、修改或误用。
7.访问控制:制定文件化的访问控制策略,避免信息系统的未授权访问,并让用户了解其职责和义务,包括网络访问控制、操作系统访问控制、应用系统和信息访问控制、监视系统访问和使用,定期检测未授权的活动;当使用移动办公和远程工作时,也要确保信息安全。
8.信息系统的获取、开发和维护:标识系统的安全要求,确保安全成为信息系统的内置部分;控制应用系统的安全,防止应用系统中用户数据的丢失、被修改或误用;通过加密手段保护信息的保密性、真实性和完整性;控制对系统文件的访问,确保系统文档的安全;严格控制开发和支持过程,维护应用系统软件和信息的安全。
9.信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措施,确保使用持续有效的方法管理信息安全事故。
10.业务连续性管理:目的是为了减少业务活动的中断,使关键业务过程免受主要故障或天灾的影响,并确保他们的及时恢复。
11.符合性:信息系统的设计、操作、使用和管理要符合法律法规的要求,符合组织安全方针和标准,还要控制系统审核,使系统审核过程的效力最大化、干扰最小化。
五、ISMS实施成功的因素
ISMS实施成功的因素如图2。
在有限的资金条件下,企业该如何做到投入与安全的平衡?目前,很多网络安全技术还处于探索阶段,如果人云亦云地简单购买安全产品,这个所谓的"IT黑洞"永远无法填满,信息安全管理是填补"IT黑洞"最经济有效的方式。虽然我国没有将ISO27001作为强制性国家标准引入,而是作为推荐性标准推行,但组织仍然可以将ISO27001作为衡量信息安全管理体系规范程度的一个标准和指标。
建立信息安全管理体系并获得经认可的认证机构的认证,不仅能提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作,并且能向客户及利益相关方展示组织对信息安全的承诺,增强投资方和股票持有者的投资信心,树立和增强企业的信息安全形象,提高企业的综合竞争力。
从1998年颁布BS 7799—2后,在全世界范围内得到广泛的认可,很多国家和地区开展了信息安全管理体系认证,不受地域、产业类别和公司规模的限制,获得认证的企业较多分布在电信、保险、银行、数据处理中心、IC制造和软件外包等行业。获得认证的好处是,保护企业的知识产权、商标、竞争优势;维护企业的声誉、品牌和客户信任;减少潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失;强化员工的信息安全意识,规范组织的信息安全行为;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。
