1、精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-信息安全管理體系簡(jiǎn)介一、 ISO 27001 的產(chǎn)生背景和發(fā)展歷程ISO 27001 源于英國(guó)標(biāo)準(zhǔn)BS7799的第二部分，即BS7799-2 信息安全管理體系規(guī)范。英國(guó)標(biāo)準(zhǔn) BS7799是在 BSI/DISC 的 BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成。BS7799標(biāo)準(zhǔn)于 1993 年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于 1995 年英國(guó)首次出版BS7799-1 ：1995信息安全管理實(shí)施細(xì)則，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn)，并且適用

2、于大、中、小組織。1998 年英國(guó)公布標(biāo)準(zhǔn)的第二部分信息安全管理體系規(guī)范，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)，它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1 與 BS7799-2 經(jīng)過(guò)修訂于 1999 年重新予以發(fā)布， 1999 版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。2000 年 12 月， BS7799-1： 1999信息安全管理實(shí)施細(xì)則通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織 ISO 的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)-ISO/IEC 17799：2000信息技術(shù)信息安全管理實(shí)施細(xì)

3、則。2005 年 6 月， ISO 對(duì) ISO/IEC 17799 進(jìn)行了改版，新版標(biāo)準(zhǔn)為 ISO/IEC 17799 ： 2005信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則。 2002 年， BSI 對(duì) BS7799-2：2000信息安全管理體系規(guī)范進(jìn)行了改版，發(fā)布了 BS7799-2 ：2002信息安全管理體系規(guī)范。2005 年 10 月， BS7799-2： 2002 通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO 的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn) ISO/IEC 27001：2005信息技術(shù)安全技術(shù)信息安全管理體系要求。ISO 27001 發(fā)展歷程簡(jiǎn)要?dú)w納如下：n1993年， BS 7799 標(biāo)準(zhǔn)由英國(guó)貿(mào)易工業(yè)部立項(xiàng)。

4、n1995年， BS 7799-1 信息安全管理實(shí)施細(xì)則首次出版，標(biāo)準(zhǔn)提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施細(xì)則，其目的是作為確定各類信息系統(tǒng)通用控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小型組織。n1998 年，英國(guó)公布 BS 7799-2信息安全管理體系規(guī)范，本標(biāo)準(zhǔn)規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個(gè)組織信息安全管理體系評(píng)估的基礎(chǔ)，可以作為認(rèn)證的依據(jù)。-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-n1999年，在BSI/DISC(British StandardsInstitute/Delivering In

5、formation Solutions to Customers) BDD/2的指導(dǎo)下對(duì)BS 7799 這兩部分進(jìn)行了修訂和擴(kuò)展，取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999 涵蓋了以前版本的所有內(nèi)容，并在原有的基礎(chǔ)上擴(kuò)展了新的控制，新版本考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的最新發(fā)展，例如電子商務(wù)、移動(dòng)計(jì)算、遠(yuǎn)程工作等領(lǐng)域的控制。n2000年12 月， BS 7799-1:1999信息安全管理實(shí)施細(xì)則通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO 的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 17799:2000信息技術(shù)信息安全管理實(shí)施細(xì)則。n2002 年，為了

6、與其他管理標(biāo)準(zhǔn)協(xié)調(diào)一致，例如ISO9001:2000 和 ISO 14001:1996 ，以及引入并應(yīng)用PDCA過(guò)程模式，以建立、實(shí)施組織的信息安全管理體系，并持續(xù)改進(jìn)有效性，BSI 對(duì) BS 7799-2:1999 進(jìn)行了修訂，于2002 年9 月5 日發(fā)布BS 7799-2:2002。布為nISO/IEC 17799n2005 年 6 月，ISO 對(duì) ISO/IEC 17799:2000 進(jìn)行了修訂，發(fā)：2005信息技術(shù)安全技術(shù)信息安全管理實(shí)施細(xì)則。2005 年 10 月， BS 7799-2:2002 通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn) ISO/IEC 27001:200

7、5 信息技術(shù)安全技術(shù)信息安全管理體系要求。ISO27001 是什么？ISO27001是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。 最初源于英國(guó)標(biāo)準(zhǔn) BS7799，經(jīng)過(guò)十年的不斷改版，終于在 2005 年被國(guó)際標(biāo)準(zhǔn)化組織（ ISO）轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn)，于 2005 年 10 月 15 日發(fā)布為 ISO/IEC 27001:2005 。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施， 保障組織的信息安全， 采用 PDCA過(guò)程方法， 基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。其正式名稱為： ISO/IEC 27001:2005 信息技術(shù) - 安全技術(shù) - 信息安全管理體系 - 要求ISO 2

8、7000 系列標(biāo)準(zhǔn)介紹ISO已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC 27000 系列編號(hào)，類似于質(zhì)量管理體系的IS9000系列和環(huán)境管理體系的ISO14000 系列標(biāo)準(zhǔn)。規(guī)劃的 ISO27000 系列包含下列標(biāo)準(zhǔn)-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-ISO 27000 原理與術(shù)語(yǔ) PrinciplesandvocabularyISO27001信息安全管理體系要求ISMSRequirements ( 以BS7799-2 為基礎(chǔ) ) ISO 27002信息技術(shù)安全技術(shù)信息安全管理實(shí)踐規(guī)范 (ISO/IEC17799:2005)

9、 ISO27003信息安全管理體系風(fēng)險(xiǎn)管理 ISMSRiskmanagement ISO27004信息安全管理體系指標(biāo)與測(cè)量 ISMSMetricsand measurementISO27005信息安全管理體系實(shí)施指南 ISMS Implementationguidelines其中 ISO27001：2005 的最終標(biāo)準(zhǔn)草案（ FDIS）已經(jīng)在 2005 年 7 月發(fā)布，預(yù)計(jì)在2005 年底或 2006 年初作為正式國(guó)際標(biāo)準(zhǔn)發(fā)布。ISO27001 是 ISO27000 系列的主標(biāo)準(zhǔn)， 類似于 ISO9000 系列中的 ISO9001，各類組織可以按照 ISO27001 的要求建立自己的信息安全

10、管理體系 （ISMS），并通過(guò)認(rèn)證。目前的有效版本是 BS7799-2：2002。當(dāng) ISO27001 正式發(fā)布后， BS7799-2：2002將被撤銷。注：上述標(biāo)準(zhǔn)以ISO 發(fā)布的為準(zhǔn)。二、為什么需要信息安全信息及信息安全信息像其他重要的商務(wù)資產(chǎn)一樣，也是一種資產(chǎn)，對(duì)一個(gè)組織而言具有價(jià)值，因而需要被妥善保護(hù)。信息安全使信息避免一系列威脅，保障了組織商務(wù)的連續(xù)性，最大限度地減小組織的商務(wù)損失，順利獲取投資和商務(wù)回報(bào)。信息可以以多種形式存在。它可以是打印或?qū)懺诩埳希ㄈ纾簳?shū)面的財(cái)務(wù)報(bào)表等）；電子形式存貯 ( 如: 一個(gè)組織 ERP系統(tǒng)的備份磁帶 ) ；通過(guò)郵件或用電子手段傳輸； 顯示在膠片上； 表

11、達(dá)在會(huì)話中。不論信息采用什么方式或采取什么手段共享和存貯，因?yàn)樗袃r(jià)值，應(yīng)該得到妥善的保護(hù)。信息安全主要體現(xiàn)在以下三個(gè)方面：一是保密性。 保密性是指確保信息資料，特別是重要的信息資料，不流失，不被非本部門(mén)人員非法盜用。比如銀行的儲(chǔ)戶信息，醫(yī)院的病人就醫(yī)資料， 政府機(jī)關(guān)、安全部門(mén)的機(jī)密文件，企業(yè)的客戶資料、商務(wù)信息、專利、專有技術(shù)資料等等，應(yīng)該給誰(shuí)看， 不應(yīng)該給誰(shuí)看， 什么級(jí)別 / 部門(mén)的人員可以看什么密別的信息資料，如何-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-儲(chǔ)存保管，都應(yīng)制定具體的措施、規(guī)范，以防止因信息流失而造成不良影響和重大

12、經(jīng)濟(jì)損失。二是完整性。 所謂信息資料的完整性，是指信息資料不丟失、不少缺。比如采取一定的措施防止存貯在電腦中的磁盤(pán)文件不因操作不當(dāng)或病毒的侵襲而導(dǎo)致文件的殘缺或丟失。再如防止存貯的打印文件因霉變、蟲(chóng)蛀而殘缺、損壞，防止水災(zāi)、火災(zāi)、 ?而毀損文件和資料等。三是可用性。 可用性是指當(dāng)需要某一信息資料時(shí)，可馬上拿得到。比如采取一定的措施，防止因某一資料員不在場(chǎng)或其它例外情況下，因?yàn)槟貌坏剿璧馁Y料而導(dǎo)致停工或錯(cuò)失商機(jī)等。ISO 27001 標(biāo)準(zhǔn)把信息資料看作是公司的資產(chǎn)，其對(duì)公司的生存與發(fā)展起著關(guān)鍵作用，尤其是在知識(shí)經(jīng)濟(jì)和電子信息時(shí)代，確保信息安全更是非常有必要的。英國(guó)曾做過(guò)一項(xiàng)統(tǒng)計(jì)， 80%的信息

13、資料的損失是與人為因素有關(guān)的。所以防止人為因素造成的信息風(fēng)險(xiǎn)被作為信息安全的主要控制對(duì)象。ISO 27001 信息安全管理體系一個(gè)重要的方面是對(duì)信息風(fēng)險(xiǎn)的分析與管理。信息風(fēng)險(xiǎn)涉及可能造成信息損失的方方面面。比如電腦病毒有導(dǎo)致信息資料丟失或損壞的危險(xiǎn)，可規(guī)定定期進(jìn)行電腦病毒的檢查；外來(lái)人員進(jìn)入本公司，有導(dǎo)致信息資料失竊的危險(xiǎn)，可規(guī)定采用門(mén)口設(shè)密碼、電子卡等方式進(jìn)入公司；更新電腦軟件有導(dǎo)致信息資料無(wú)法讀取的風(fēng)險(xiǎn)，可規(guī)定在進(jìn)行電腦軟件的更新時(shí)對(duì)電腦軟件的兼容性進(jìn)行評(píng)估；聘請(qǐng)外公司人員為本公司工作，本公司信息資料有流失的危險(xiǎn)，在這種情況下須與外公司人員簽訂保密協(xié)議；在審核磁盤(pán)資料時(shí)，有可能導(dǎo)致磁盤(pán)文件

14、被更改，可設(shè)置程序保證審核人員使用只可讀不可改的文件或備份文件；以及防止內(nèi)部人員和工業(yè) ?的竊取，拷貝的軟盤(pán)與電腦分別存放于不同的房間， 作廢的文件資料監(jiān)視銷毀等。信息安全是通過(guò)執(zhí)行一套適當(dāng)?shù)目刂苼?lái)達(dá)到的。可以是方針、慣例、程序、組織結(jié)構(gòu)和軟件功能來(lái)實(shí)現(xiàn)，這些控制方式需要確定，才能保障組織特定的安全目標(biāo)的實(shí)現(xiàn)。 信息安全的重要性信息及其支持過(guò)程的系統(tǒng)和網(wǎng)絡(luò)都是組織的重要資產(chǎn)。 信息的機(jī)密性、 完整性和可用性對(duì)保持一個(gè)組織的競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商務(wù)形象都是至關(guān)重要的。任何組織及其信息系統(tǒng) （如一個(gè)組織的 ERP系統(tǒng)）和網(wǎng)絡(luò)都可能面臨著包括計(jì)算機(jī)輔助欺詐、刺探、陰謀破壞行為、火災(zāi)

15、、水災(zāi)等大范圍的安全威脅。隨著計(jì)-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-算機(jī)的日益發(fā)展和普及， 計(jì)算機(jī)病毒、 計(jì)算機(jī) ?、服務(wù)器的非法入侵破壞已變得日益普遍和錯(cuò)綜復(fù)雜。目前一些組織，特別是一些較大型公司的業(yè)務(wù)已經(jīng)完全依賴信息系統(tǒng)進(jìn)行生產(chǎn)業(yè)務(wù)管理，這意味著組織更易受到安全威脅的破壞。組織內(nèi)網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。有些組織的信息系統(tǒng)盡管在設(shè)計(jì)時(shí)可能已考慮了安全， 但僅僅依靠技術(shù)手段實(shí)現(xiàn)安全仍然是有限的，還應(yīng)當(dāng)通過(guò)管理和程序來(lái)支持。建立信息安全管理體系（ ISMS）對(duì)任何組織都具有重要意義任何組織，不論它在信

16、息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實(shí)際上在信息安全管理方面都還存在漏洞，例如：缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯；缺少跨部門(mén)的信息安全協(xié)調(diào)機(jī)制；保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確；雇員信息安全意識(shí)薄弱， 缺少防范意識(shí)， 外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所；組織信息系統(tǒng)管理制度不夠健全；組織信息系統(tǒng)主機(jī)房安全存在隱患， 如：防火設(shè)施存在問(wèn)題， 與危險(xiǎn)品倉(cāng)庫(kù)同處一幢辦公樓等；組織信息系統(tǒng)備份設(shè)備仍有欠缺；組織信息系統(tǒng)安全防范技術(shù)投入欠缺；軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺；計(jì)算機(jī)房、辦公場(chǎng)所等物理防范措施欠缺；檔案、記錄等缺少可靠貯存場(chǎng)所；缺少一旦發(fā)生意外時(shí)的保證生

17、產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃；. 等等通過(guò)以上信息管理方面的漏洞以及經(jīng)常見(jiàn)諸報(bào)端的種種信息安全事件表明，任何組織都急需建立信息安全管理體系，以保障其技術(shù)和商業(yè)機(jī)密，保障信息的完整性和可用性，最終保持其生產(chǎn)、經(jīng)營(yíng)活動(dòng)的連續(xù)性。建立信息安全管理體系的意義組織可以參照信息安全管理模型，按照先進(jìn)的信息安全管理標(biāo)準(zhǔn)ISO27001 標(biāo)準(zhǔn)建立組織完整的信息安全管理體系并實(shí)施與保持，達(dá)到動(dòng)態(tài)的、系統(tǒng)的、-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-全員參與、制度化的、以預(yù)防為主的信息安全管理方式，用最低的成本，使信息風(fēng)險(xiǎn)的發(fā)生概率和結(jié)果降低到可接受水平，

18、并采取措施保證業(yè)務(wù)不會(huì)因風(fēng)險(xiǎn)的發(fā)生而中斷。組織建立、實(shí)施與保持信息安全管理體系將會(huì)：強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為；對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)；在信息系統(tǒng)受到侵襲時(shí)，確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度；使組織的生意伙伴和客戶對(duì)組織充滿信心；三、信息安全管理體系建立和運(yùn)行步驟ISO 27001 標(biāo)準(zhǔn)要求組織建立并保持一個(gè)文件化的信息安全管理體系，其中應(yīng)闡述需要保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的渠道、控制目標(biāo)及控制方式和需要的保證程度。不同的組織在建立與完善信息安全管理體系時(shí)， 可根據(jù)自己的特點(diǎn)和具體情況，采取不同的步驟和方法。但總體來(lái)說(shuō)，建立信息安全管理體系一般

19、要經(jīng)過(guò)下列四個(gè)基本步驟：信息安全管理體系的策劃與準(zhǔn)備；信息安全管理體系文件的編制；信息安全管理體系運(yùn)行；信息安全管理體系審核與評(píng)審。如果考慮認(rèn)證過(guò)程其詳細(xì)的步驟如下：1.現(xiàn)場(chǎng)診斷2.確定信息安全管理體系的方針、目標(biāo)；3.明確信息安全管理體系的范圍， 根據(jù)組織的特性、 地理位置、 資產(chǎn)和技術(shù)來(lái)確定界限；4.對(duì)管理層進(jìn)行信息安全管理體系基本知識(shí)培訓(xùn)；5.信息安全體系內(nèi)部審核員培訓(xùn)；6.建立信息安全管理組織機(jī)構(gòu)；7.實(shí)施信息資產(chǎn)評(píng)估和分類， 識(shí)別資產(chǎn)所受到的威脅、 薄弱環(huán)節(jié)和對(duì)組織的影響，并確定風(fēng)險(xiǎn)程度；8.根據(jù)組織的信息安全方針和需要的保證程度通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定應(yīng)實(shí)施管理的風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)控制手段；

20、9.制定信息安全管理手冊(cè)和各類必要的控制程序；制定適用性聲明；-精品文檔-精品文檔就在這里- 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊(cè)，應(yīng)有盡有-制定商業(yè)可持續(xù)性發(fā)展計(jì)劃；審核文件、發(fā)布實(shí)施體系運(yùn)行，有效的實(shí)施選定的控制目標(biāo)和控制方式；內(nèi)部審核外部第一階段認(rèn)證審核外部第二階段認(rèn)證審核頒發(fā)證書(shū)體系持續(xù)運(yùn)行 / 年度監(jiān)督審核復(fù)評(píng)審核（證書(shū)三年有效）至于應(yīng)采取哪些控制方式則需要周密計(jì)劃， 并注意控制細(xì)節(jié)。 信息安全管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域獲取組織的技術(shù)機(jī)密，除物理控制外，還需要組織全體人員參與，加強(qiáng)控制。此外還需要供應(yīng)商

21、，顧客或股東的參與，需要組織以外的專家建議。信息、信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。當(dāng)前，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、?、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、 DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺(jué)。 組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的，所以僅依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息安全管理至少需要組織中的所