GB/T22080即 ISO27001信息安全管理体系标准解析

 一、ISO27001信息安全管理体系概述

自古以来信息就扮演着极为重要的角色,信息及信息的使用关乎国家、部族和组织的兴衰。随着世界文明进入到全球信息社会,信息通过网络和信息系统传播到不同的领域和角落,信息的交流推动或制约着经济和社会的发展。
 
信息被认为是当今任何一个组织的生命之血脉,确保信息能为需要的人所获取和使用的同时,又能得到保护其安全是现代业务运行的基本要求。
 
信息是一种资产。如同其他重要的业务资产一样,是组织业务运行的基础,需要加以保护。但它又不同于传统观念的资产。传统类的组织资产通常以实体形式存在,如 设备、建筑场所、文件、钱财等。其安全保护的考虑主要关注于物理设防,如警卫、封闭的空间、器械等。随着信息技术的快速发展,当今的组织资产广泛增加了各 种基于电子媒体形式的资产,如虚拟资产、知识产权等。资产的交易、转移更是可以借助电子和网络,以数字传输的方式实现,组织的财富以大量的电子数据的形式 存在。由于信息及信息的存储、处理、传输和使用以及相关的设施和人员共同构成了一个复杂的环境,保障信息安全已经是一种系统性的工作,而不仅仅是针对信息 的保护。在当前信息技术如此迅速发展和广泛应用的环境下,一个组织如何才能有效率地实现信息安全,抵御组织内部和外部对信息资产和信息处理设施的各种威 胁,确保业务的成功运行是各界普遍关注的焦点议题。
 
信息安全是一个很宽泛的概念,GB/T22080、ISO27001标准所定义的信息安全为保持信息的保密性、完整性、可用性;另外也可包括例如真实性、可核查性、不可否认性和可靠性等”。这种定义已经得到广泛认同,其中 保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)(简称CIA)是信息安全的最重要的三个维度。信息安全包括采取和管理适当的控制措施,而所采取的控制措施是考虑了来源广泛的威胁,其目的是保持组织业务的成功和连续性。
 
早期人们对保障信息安全的考虑往往着眼于技术手段,期望通过使用先进的技术方法和工具来达到某种安全。然而在信息系统的设计和开发中对信息安全难以预测和全 面解决。实践证明单纯采用技术手段来保护信息和信息系统安全的作用是有限的,在缺乏良好管理的支撑下,有些技术甚至是无效的。因此,保证组织信息安全的一 个明智选择应该是实施信息安全管理体系(Information Security Management Systems简称ISMS),通过ISO27001信息安全管理体系并结合各种适用的控制措施(包括管理、技术和运行三方面)才是组织信息安全的真正保障。
 
ISO27001信息安全管理体系是一个组织为保护信息资产、实现其业务目标而建立、实施、运行、监视、评审、保持和改进的管理架构,包括针对信息安全管理的组织结构、方 针、规划、职责、过程、规程和资源等各方面。管理体系的运作下,通过持续的评估安全风险以及对信息资产保护要求的分析来了解风险是否处于组织可接受的水 平、确保安全控制措施的适用性和有效性,并在必要时有针对性地提升或更新安全措施,进而形成一个对信息资产持续保护的环境。
 
组织建立、实施与保持信息安全管理体系将为组织带来如下益处,包括:
1)强化员工的信息安全意识,规范组织信息安全行为;
2)对组织的关键信息资产进行全面系统地保护,保持竞争优势;
3)在信息系统受到侵袭时,确保业务持续开展并将损失降到最低;
4)使组织的业务合作伙伴和客户对组织充满信心。
 
ISO27001信息安全管理体系的实施并非是一项简单易行的工作,ISMS的成功需要应获得组织管理层的支持,特别要关注以下基本原则:
1)对信息安全需要的认知;
2)指派信息安全职责;
3)协调管理承诺和利益相关方的利害关系;
4)增加社会价值;
5)通过风险评估来确定适当的控制措施,使风险达到可接受的水平;
6)将安全作为一项基本要素融入信息网络和系统;
7)对信息安全事件的积极防范和检测;
8)对信息安全持续的再评估,并在适当时加以调整。
 
建立并保持一个有效的ISO27001信息安全管理体系,应采用信息安全管理的相关标准作为指南。信息安全管理标准来源于信息安全领域全球接受的良好实践,通过标准可全面了 解信息安全管理方面行之有效的原则、方法和实践,为组织基于自身环境确立其实现信息安全的路线、方针和具体运作提供了指南。信息安全管理标准族是一种得到 广泛接受和认可的参照基准,可用于组织评估提升安全管理水平。此外,标准形成了信息安全领域的一种共同语言和概念基础,便于各方的交流。
 
二、信息安全管理国际标准的产生和发展
ISO/IEC27001标准于19993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合 的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准,并且适用于大、中、小组织。
 
1998 年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基 础,它可以作为一个正式认证方案的根据。ISO/IEC27000-1与ISO/IEC27000-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发 展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
 
2000年12月,ISO/IEC27000-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO/IEC17799-1:2000《信息安全管理实施细则》。
 
2002年9月5日,ISO/IEC27000-2:2002草案经过广泛的讨论之后,终于发布成为正式标准,同时ISO27000-2:1999被废止。
现在,ISO/IEC 27000:2005标准已得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。
 
2008年6月19日,由全国信息安全标准化技术委员会等同采用ISO/IEC27001:2005《信息安全管理体系 要求》,仅有编辑性修改,成为国家推荐性标准GB/T220802008《信息安全管理体系 要求》。
 
2008年6月19日,由全国信息安全标准化技术委员会等同采用ISO/IEC27002:2005《信息安全管理实用规则》,成为国家推荐性标准GB/T22081-2008《信息安全管理实用规则》。
 
三、GB/T22080-2008《信息安全管理体系 要求》的内容结构
GB/T22080标准的目的是为建立和运行信息安全管理体系提供规范性的要求;通过ISMS的运行(包括所采用一系列控制措施),控制和降低与信息资产相关的风险。
 
GB/T22080 标准的核心是基于持续的风险评估建立和实施信息安全管理体系,并对体系的运行进行监督、评审和改进。为此标准采纳了质量管理体系标准所共知的运行原则 戴明的规划实施检查处置(PDCA)模型作为实施、运行、监视和改进信息安全管理体系的过程方法。这就使得GB/T22080与其他管理体系 标准(如GB/T19001质量管理体系和GB/T24001环境管理体系等)保持协调,便于使信息安全管理体系的实施和运行与一个组织内的其他管理体系 协调一致管理。
 
GB/T22080-2008标准的内容结构为:
前言
引言
1 范围
2 规范性引用文件
3 术语和定义
4 信息安全管理体系(ISMS)
5 管理职责
6 ISMS内部审核
7 ISMS的管理评审
8 ISMS改进
附录A(规范性附录) 控制目标和控制措施
附录B(资料性附录) OECD原则和本标准
附录C(资料性附录) GB/T19001-2000,GB/T24001-2004和本标准之间的对照参考文献
 
标准第4章至第8章具体描述了一个组织在构建和实施其信息安全管理体系中必须满足的要求,涵盖了管理体系的建立、实施、运行、监视、评审、保持和改进。附录 A的内容则直接来源于GB/T22081第5章至第15章的目标和控制措施,作为规范性的附录组织应从中选择适用的控制目标和措施并成为信息安全管理体系 的组织部分。
 
信息安全管理体系为一个组织的管理者提供了管理和控制信息资产安全、降低业务风险的手段;通过信息安全管理体系的实施来保障组织的信息安全,并持续地履行顾客、法律法规和利益相关方对信息安全的要求。
 
GB/T22080 提出的对实施、运行和改进ISO27001信息安全管理体系的要求,也是第三方认证机构对一个组织ISO27001信息安全管理体系进行认证的依据。通过认证可以证实一个组织通过业务风险 分析建立并运行了信息安全管理体系,实施有适当的控制措施,安全风险处于受控管理之下,从而使利益相关方建立安全信任。
收缩