經(jīng)典word整理文檔，僅參考，雙擊此處可刪除頁(yè)眉頁(yè)腳。本資料屬于網(wǎng)絡(luò)整理，如有侵權(quán)，請(qǐng)聯(lián)系刪除，謝謝！................................................................9...........................................14...........................................18...........................................................................23..........................................................................24著ISMS國(guó)際標(biāo)準(zhǔn)的制修訂，ISMS迅速被全球接受和認(rèn)可，成為世界各國(guó)、各種類型、各種規(guī)模的組織解決信息安全問(wèn)題的一個(gè)有效方法。ISMS認(rèn)證隨之成為組織向社會(huì)及其相關(guān)方證明其信息安全水平和能力的一種有效途徑。在ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005（信息安全管理體系要求）的第3章術(shù)語(yǔ)和定義中，對(duì)ISMS的定義如下：ISMS風(fēng)險(xiǎn)方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源。ISOGUIDE72:2001（Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）中管理體系的定義，將ISMS相互作用的要素。ISMS同其他MS（如QMS、EMS、OHSMS）一樣，有許多共同的要素，其原理、方法、過(guò)程和體系的結(jié)構(gòu)也基本一致。單純從定義理解，可能無(wú)法立即掌握ISMS的實(shí)質(zhì)，我們可以把ISMS理解素）構(gòu)成，這些“部件”包括ISMSISMSISMS通過(guò)這些“部件”之間的相互作用來(lái)實(shí)現(xiàn)其“保障信息安全”的功能。賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)。來(lái)越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息的事件好像經(jīng)常在我們身邊發(fā)生。下面的案例更清晰的表現(xiàn)了這種趨勢(shì)：2005年6月19日，萬(wàn)事達(dá)公司宣布，儲(chǔ)存有大約4千萬(wàn)信用卡客戶信出售，每條100美元，并可能被用于金融欺詐活動(dòng)。2005年5月19日，深圳市中級(jí)人民法院對(duì)華為公司訴其前員工案作出終審判決，維持深圳市南山區(qū)人民法院2004年12月作出的一審判決。3名前華為公司員工，因辭職后帶走公司技術(shù)資料并以此贏利。這3名高學(xué)歷的IT界科技精英，最終因侵犯商業(yè)秘密罪將分別在牢房里度過(guò)兩到三年光陰。2005年7月12日下午2時(shí)35分，承載著超過(guò)200萬(wàn)用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然同時(shí)大面積中斷。北京網(wǎng)通隨即投入大量人力物力緊急搶修，至3時(shí)30分左右開始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了20萬(wàn)北京網(wǎng)民。2006年5月8日上午8鐘南山在上班的路上，被劫匪很柔和地?fù)屪吡耸种械墓P記本電腦。事后鐘院士說(shuō)“一個(gè)科技工的作品、心血都在電腦里面，電腦里還存著正在研制的新藥方案，要是這個(gè)研究方案變成一種新藥，那是幾個(gè)億的價(jià)值啊。（以上案例均來(lái)自互聯(lián)網(wǎng)）這幾個(gè)案例僅僅是冰山一角，打開電視、翻翻報(bào)紙、瀏覽一下互聯(lián)網(wǎng)，類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出，信息資產(chǎn)一旦遭到破壞，會(huì)和競(jìng)爭(zhēng)力，更為甚者，會(huì)威脅到組織的生存。因此，保護(hù)信息資產(chǎn)，解決信息安全問(wèn)題，已經(jīng)成為組織必須考慮的問(wèn)題。安全產(chǎn)品，如防病毒、防火墻、入侵檢測(cè)、隱患掃描等，仍然無(wú)法避免一些信息續(xù)性、信息安全相關(guān)法規(guī)符合性等問(wèn)題，依靠產(chǎn)品和技術(shù)是解決不了的。ISMS應(yīng)運(yùn)而生。2000年12月，國(guó)際標(biāo)準(zhǔn)化組織發(fā)布一個(gè)信息安全管理的標(biāo)準(zhǔn)－ISO/IEC17799:2000“信息安全管理實(shí)用規(guī)則（Codeofpracticeforinformationsecuritymanagement2005年6月，國(guó)際標(biāo)準(zhǔn)化組織對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO/IEC27002:200510月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求（InformationSecurityManagementSystemRequirement自此，ISMS在國(guó)際上確立并發(fā)展起來(lái)。今天，ISMS已經(jīng)成為信息安全領(lǐng)域的一個(gè)熱門話題。息安全已是各種組織改進(jìn)其競(jìng)爭(zhēng)能力的一個(gè)新的挑戰(zhàn)任務(wù)。組織建立一個(gè)基于ISO/IEC27001:2005ISMS，已成為時(shí)代的需要。從簡(jiǎn)單分析ISO/IEC27001:2005個(gè)符合標(biāo)準(zhǔn)要求的ISMS的要點(diǎn)。1.3.1正確理解ISMS的含義和要素ISMS建設(shè)人員只有正確地理解ISMS的含義、要素和ISO/IEC27001:2005標(biāo)準(zhǔn)的要求之后，才有可能建立一個(gè)符合要求的完善的。ISMS的含義在ISO/IEC27001標(biāo)準(zhǔn)中，已對(duì)ISMS做出了明確的定義。通俗地說(shuō)，組織有一個(gè)總管理體系，ISMS是這個(gè)總管理體系的一部分，或總管理體系的一個(gè)子體系。ISMS的建立是以業(yè)務(wù)風(fēng)險(xiǎn)方法為基礎(chǔ)，其目的是建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全。如果一個(gè)組織有多個(gè)管理體系，例如包括ISMS（質(zhì)量管理體系）和EMS個(gè)子管理體系必須相互配合、協(xié)調(diào)一致地工作，才能實(shí)現(xiàn)該組織的總目標(biāo)。ISMS的要素標(biāo)準(zhǔn)還指出，管理體系包括“組織的結(jié)構(gòu)、方針、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、ISO/IEC27001:2005互依賴、協(xié)調(diào)一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：1)信息安全管理機(jī)構(gòu)通過(guò)信息安全管理機(jī)構(gòu)，可建立各級(jí)安全組織、確定相關(guān)人員職責(zé)、策劃信息安全活動(dòng)和實(shí)踐等。2)ISMS文件包括ISMS方針、過(guò)程、程序和其它必須的文件等。3)資源包括建立與實(shí)施ISMSISMS的建立要確保這些ISMS要素得到滿足。1.3.2建立信息安全管理機(jī)構(gòu)1)信息安全管理機(jī)構(gòu)的名稱標(biāo)準(zhǔn)沒(méi)有規(guī)定信息安全管理機(jī)構(gòu)的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經(jīng)運(yùn)行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機(jī)構(gòu)合并于現(xiàn)有管理體系的管理機(jī)構(gòu)，實(shí)行一元化領(lǐng)導(dǎo)。2)信息安全管理機(jī)構(gòu)的級(jí)別信息安全管理機(jī)構(gòu)的級(jí)別應(yīng)根據(jù)組織的規(guī)模和復(fù)雜性而決定。從管理效果看，對(duì)于中等以上規(guī)模的組織，最好設(shè)立三個(gè)不同級(jí)別的信息安全管理機(jī)構(gòu)：a)的方向和提供管理承諾和必要的資源。b)中層：負(fù)責(zé)該組織日常信息安全的管理與監(jiān)督活動(dòng)。c)日常信息安全監(jiān)視和檢查工作。1.3.3執(zhí)行標(biāo)準(zhǔn)要求的ISMS建立過(guò)程按照ISO/IEC27001:2005“4.2.1建立ISMS”條款的要求，建立ISMS的步驟包括：1)定義ISMS的范圍和邊界，形成ISMS的范圍文件；2)定義ISMS方針（包括建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則等）,形成ISMS方針文件；3)定義組織的風(fēng)險(xiǎn)評(píng)估方法；4)識(shí)別要保護(hù)的信息資產(chǎn)的風(fēng)險(xiǎn)，包括識(shí)別：）資產(chǎn)及其責(zé)任人；b）資產(chǎn)所面臨的威脅；）組織的脆弱點(diǎn)；d）資產(chǎn)保密性、完整性和可用性的喪失造成的影響。5)分析和評(píng)價(jià)安全風(fēng)險(xiǎn)，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》文件，包括要保護(hù)的信息資產(chǎn)清單；6)識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施，形成《風(fēng)險(xiǎn)處理計(jì)劃》文件；7)根據(jù)風(fēng)險(xiǎn)處理計(jì)劃，選擇風(fēng)險(xiǎn)處理控制目標(biāo)和控制措施，形成相關(guān)的文件；8)管理者正式批準(zhǔn)所有殘余風(fēng)險(xiǎn)；9)管理者授權(quán)ISMS的實(shí)施和運(yùn)行；10)準(zhǔn)備適用性聲明。1.3.4完成所需要的ISMS文件ISMS文件是ISMS的主要要素，既要與ISO/IEC27001:2005保持一致，又要符合本組織的信息安全的需要。實(shí)際上，ISMS文件是本組織“度身定做”的適合本組織需要的實(shí)際的信息安全管理標(biāo)準(zhǔn)，是ISO/IEC27001:2005的具體體現(xiàn)。對(duì)一般員工來(lái)說(shuō)，在其實(shí)際工作中，可以不過(guò)問(wèn)國(guó)際信息安全管理標(biāo)準(zhǔn)-ISO/IEC27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。(1)ISMS文件的類型根據(jù)ISO/IEC27001:2005標(biāo)準(zhǔn)的要求，ISMS文件有三種類型。1)方針類文件（Policies）方針是政策、原則和規(guī)章。主要是方向和路線上的問(wèn)題，包括：）方針（ISMSb）信息安全方針（informationsecuritypolicy2)程序類文件（Procedures）3)記錄（Records）記錄是提供客觀證據(jù)的一種特殊類型的文件。通常,記錄發(fā)生于過(guò)去，4)適用性聲明文件（StatementofApplicability,簡(jiǎn)稱SOA）ISO/IEC27001:2005標(biāo)準(zhǔn)的附錄AISMS的組織只要有正當(dāng)性理由，可以只選擇適合本組織使用的那些部分，而不適成《適用性聲明》文件。(2)必須的文件“必須的ISMS文件”是指ISO/IEC27001:2005“4.3.1總則”明確規(guī)定的，mandatorydocuments4.3.1總則”要求ISMS文件必須包括9方面的內(nèi)容：1)ISMS方針I(yè)SMS方針是組織的頂級(jí)文件，規(guī)定該組織如何管理和保護(hù)其信息資產(chǎn)的原則和方向，以及各方面人員的職責(zé)等。2)ISMS的范圍3)支持ISMS的程序和控制措施；4)風(fēng)險(xiǎn)評(píng)估方法的描述；5)風(fēng)險(xiǎn)評(píng)估報(bào)告；6)風(fēng)險(xiǎn)處理計(jì)劃；7)控制措施有效性的測(cè)量程序；8)本標(biāo)準(zhǔn)所要求的記錄；9)適用性聲明。(3)可選的文件文件（Discretionarydocuments）。這類文件的內(nèi)容可隨組織的不同而有所不同，主要取決于:1)組織的業(yè)務(wù)活動(dòng)及風(fēng)險(xiǎn)；2)安全要求的嚴(yán)格程度；3)管理的體系的范圍和復(fù)雜程度。這里，需要特別提出的是，ISMS的特點(diǎn)之一是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。組織需要哪些ISMS文件及其復(fù)雜程度如何，通常可根據(jù)風(fēng)險(xiǎn)評(píng)估決定。如果風(fēng)險(xiǎn)評(píng)括形成相關(guān)文件。(4)文件的符合性ISMS文件的符合性包括符合相關(guān)法律法規(guī)的要求、符合ISO/IEC27001:2005標(biāo)準(zhǔn)4-8章的所有要求和符合本組織的實(shí)際要求。為此：1)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)要求在編寫ISMS文件時(shí)，編寫者應(yīng)參考相關(guān)法律法規(guī)要求和標(biāo)準(zhǔn)的相應(yīng)條ISMSISO/IEC27001“4.2.1b）定義ISMSISO/IEC27001“4.2.1j）準(zhǔn)ISO/IEC27001“4.3.2文件控制”等等。2)將本組織的最好實(shí)踐形成文件為了易于操作，編寫者最好把本組織當(dāng)前的最好實(shí)踐寫下來(lái)，補(bǔ)充標(biāo)準(zhǔn)的要求，形成統(tǒng)一格式的文件。3)保持一致性a）同一個(gè)文件中，上下文不能有不一致或矛盾的地方b）同一個(gè)體系的不同文件之間不能有矛盾的地方）不同體系的文件之間不能有不一致的地方QMS系（EMS）和ISMS等，那么各個(gè)體系的文件之間應(yīng)相互協(xié)調(diào)，避免產(chǎn)生不一致的地方。此外，在文字的表達(dá)上，應(yīng)準(zhǔn)確，無(wú)二義。標(biāo)準(zhǔn)體系－ISMS是近兩年來(lái)在管理體系和信息安全領(lǐng)域興起的一個(gè)熱門話題，按照ISO/IEC27001建立和實(shí)施ISMS并積極申請(qǐng)認(rèn)證成為許多組織解決其信息安全問(wèn)題的選擇。ISO/IEC27000族是國(guó)際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來(lái)的系列相關(guān)國(guó)際標(biāo)準(zhǔn)的總稱。根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的最新計(jì)劃，該系列標(biāo)準(zhǔn)的序號(hào)已經(jīng)預(yù)留到27019，其中將27000～27009留給ISMS27010～27019預(yù)留給ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔。可見(jiàn)ISMS標(biāo)準(zhǔn)將來(lái)會(huì)是一個(gè)龐大的家族。2.1.1ISMS國(guó)際標(biāo)準(zhǔn)化組織ISO/IEC（國(guó)際標(biāo)準(zhǔn)化組織/國(guó)際電工委員會(huì)信息技術(shù)委員會(huì)/安全技術(shù)分委員會(huì)/第一工作組）是制定和修訂ISMS標(biāo)準(zhǔn)的國(guó)際組織，我國(guó)是該組織的P成員國(guó)。ISO/IECJTC1/SC27成立后設(shè)有三個(gè)工作組：WG1：需求、安全服務(wù)及指南工作組WG2：安全技術(shù)與機(jī)制工作組WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組在2006年5月8日至17日西班牙馬德里舉行的SC27第32屆工作組會(huì)議和第182005年11月在馬來(lái)西亞會(huì)議上提出的調(diào)整SC27組織結(jié)構(gòu)的提案，將原來(lái)的三個(gè)工作組調(diào)整為現(xiàn)在五個(gè)工作組：WG1：ISMS標(biāo)準(zhǔn)工作組WG2：安全技術(shù)與機(jī)制工作組WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組WG4：安全控制與服務(wù)工作組WG5：身份管理與隱私保護(hù)技術(shù)工作組SC27WG1做為ISMS發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南，充分體現(xiàn)了ISMS的發(fā)展在全球范圍內(nèi)受到高度重視。2.1.2已經(jīng)發(fā)布的ISMS標(biāo)準(zhǔn)－ISO/IEC27001和ISO/IEC27002目前國(guó)際標(biāo)準(zhǔn)化組織已經(jīng)正式發(fā)布的ISMS國(guó)際標(biāo)準(zhǔn)有兩個(gè)：ISO/IEC27001和，它們是ISMS的核心標(biāo)準(zhǔn)。ISO/IEC27001:2005：信息安全管理體系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-RequirementsISO/IEC27002:2005：信息安全管理實(shí)用規(guī)則Informationtechnology-Securitytechniques-CodeofpracticeforInformationsecuritymanagementISO/IEC27001于2005年10月15日正式發(fā)布。它同ISO9001的性質(zhì)一樣，是ISMS8章和3A中的內(nèi)容直接引用并與ISO/IEC17799:2005第5到15章一致。ISO/IEC27001:2005它從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。ISO/IEC27001:2005是組織建立和實(shí)施ISMS的依據(jù)，也是ISMS認(rèn)證機(jī)構(gòu)實(shí)施審核的依據(jù)。ISO/IEC17799于2000年12月1日正式發(fā)布，2005年6月15日發(fā)布修訂版即ISO/IEC17799:2005ISO/IEC17799的2005年版本比2000年版本在結(jié)構(gòu)和內(nèi)容上都有較大的變化。根據(jù)今年召開的第18屆SC27全體會(huì)議決議，將于2007年4月將ISO/IEC17799的標(biāo)準(zhǔn)序號(hào)更改為ISO/IEC27002。2.1.3ISMS標(biāo)準(zhǔn)的類型根據(jù)ISOGUIDE72:2001（Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）和ISO/IEC的相關(guān)導(dǎo)則，ISO/IECJTC1/SC27/WG1將ISMS標(biāo)準(zhǔn)分為4類：TypeA–StandardTypeB–RequirementsStandardTypeC–GuidelinesStandardTypeD–RelatedStandardA類－詞匯標(biāo)準(zhǔn)B類－要求標(biāo)準(zhǔn)C類－指南標(biāo)準(zhǔn)D類－相關(guān)標(biāo)準(zhǔn)AISO/IEC27000同ISO9000（質(zhì)量管理體系基礎(chǔ)和術(shù)語(yǔ)）類似，屬于此類標(biāo)準(zhǔn)。B滿足內(nèi)部和外部要求的能力。ISO/IEC27001同ISO9001（質(zhì)量管理體系ISO14001（環(huán)境管理體系OHSAS18001（職業(yè)健康安全管理體系規(guī)范）等標(biāo)準(zhǔn)一樣，屬于此類標(biāo)準(zhǔn)。C類－指南標(biāo)準(zhǔn)：此類標(biāo)準(zhǔn)目的是為一個(gè)組織實(shí)施要求標(biāo)準(zhǔn)提供相關(guān)的指南，ISO/IEC27002ISO/IEC27003等同ISO9004（質(zhì)量管理體系ISO14004（環(huán)境管理體系OHSMS18002（職業(yè)健康安全管理體系指南）等標(biāo)準(zhǔn)一樣，屬于此類標(biāo)準(zhǔn)。D要求類標(biāo)準(zhǔn)和指南類標(biāo)準(zhǔn)無(wú)明顯的關(guān)聯(lián)。ISO/IEC27006同（質(zhì)量和環(huán)境管理體系審核指南）等標(biāo)準(zhǔn)一樣屬于此類。2.1.4制訂中的ISO/IEC27000系列標(biāo)準(zhǔn)介紹截至2006年5月18日，ISO/IECJTC1/SC27/WG1正在制定中的標(biāo)準(zhǔn)包括5個(gè)，分別是：ISO/IEC27000ISO/IEC27000（InformationsecuritymanagementsystemfundamentalsandvocabularyA類標(biāo)準(zhǔn)。ISO/IEC27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語(yǔ)及基本原則，是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。ISMS標(biāo)準(zhǔn)族中的每個(gè)標(biāo)準(zhǔn)都有“術(shù)語(yǔ)和定義”部分，但不同標(biāo)準(zhǔn)的術(shù)語(yǔ)間往往缺乏協(xié)調(diào)性，而ISO/IEC27000則主要用于實(shí)現(xiàn)這種協(xié)調(diào)。ISO/IEC27000目前處于WD（工作組草案）階段，正在SC27內(nèi)研究并征求意見(jiàn)。ISO/IE27003ISO/IEC27003（InformationsecuritymanagementsystemimplementationguidanceC類標(biāo)準(zhǔn)。ISO/IEC27003為建立、實(shí)施、監(jiān)視、評(píng)審、保持和改進(jìn)符合ISO/IEC27001的ISMS提供了實(shí)施指南和進(jìn)一步的信息，使用者主要為組織內(nèi)負(fù)責(zé)實(shí)施ISMS的人員。該標(biāo)準(zhǔn)給出了ISMS實(shí)施的關(guān)鍵成功因素，實(shí)施過(guò)程依照ISO/IEC27001要求的PDCA模型進(jìn)行，并進(jìn)一步介紹了各個(gè)階段的活動(dòng)內(nèi)容及詳細(xì)實(shí)施指南。ISO/IEC27003目前也處在WD階段，正在SC27內(nèi)研究并征求意見(jiàn)。ISO/IEC27004ISO/IEC27004（Informationsecuritymanagementmeasurements信息安全管理C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)主要為組織測(cè)量信息安全控制措施和ISMS過(guò)程的有效性提供指南。例如調(diào)查問(wèn)卷、觀察、知識(shí)評(píng)估、檢查、二次執(zhí)行、測(cè)試（包括設(shè)計(jì)測(cè)試和運(yùn)行測(cè)試）以及抽樣等。該標(biāo)準(zhǔn)定義了ISMS的測(cè)量過(guò)程：首先要實(shí)施ISMS的測(cè)量，應(yīng)定義選擇測(cè)量措施，同時(shí)確定測(cè)量的對(duì)象和驗(yàn)證準(zhǔn)則，形成測(cè)量計(jì)劃；實(shí)施ISMS測(cè)量的過(guò)動(dòng)的開展；在ISMS的檢查和處置階段，也應(yīng)對(duì)測(cè)量措施加以改進(jìn)，這就要求首先定義測(cè)量過(guò)程的評(píng)價(jià)準(zhǔn)則，對(duì)測(cè)量過(guò)程加以監(jiān)控，并定期實(shí)施評(píng)審。目前該標(biāo)準(zhǔn)已經(jīng)處于CD（委員會(huì)草案）階段，預(yù)計(jì)將于2008年完成。ISO/IEC27005ISO/IEC27005（Informationsecurityriskmanagement屬于C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)給出了信息安全風(fēng)險(xiǎn)管理的指南，其中所描述的技術(shù)遵循ISO/IEC27001中的通用概念、模型和過(guò)程。節(jié)，包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受等。在標(biāo)準(zhǔn)的附錄中，給出了資產(chǎn)、影根據(jù)不同通信系統(tǒng)以及不同安全問(wèn)題和威脅選擇控制措施的方法。目前該標(biāo)準(zhǔn)處于Final（最終委員會(huì)草案）階段。ISO/IEC27006ISO/IEC27005（Requirementsfortheaccreditationofbodiesprovidingcertificationofinformationsecuritymanagementsystems信息安全管理體系認(rèn)證機(jī)D類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的主要內(nèi)容是對(duì)從事ISMS認(rèn)證的機(jī)構(gòu)ISMS目前該標(biāo)準(zhǔn)處于Final（最終委員會(huì)草案）階段。ISO/IEC27002是國(guó)際標(biāo)準(zhǔn)化組織ISO/IECJTC1/SC27最早發(fā)布的ISMS系列ISO/IEC177992007年4月正式更名為ISO/IEC最佳實(shí)踐。2.2.1ISO/IEC27002的由來(lái)組織對(duì)信息安全的要求是隨著組織業(yè)務(wù)對(duì)信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的應(yīng)用技術(shù)輕管理”到“技術(shù)和管理并重”的兩個(gè)不同階段。裝和使用信息安全產(chǎn)品，如加密機(jī)、防火墻、入侵檢測(cè)設(shè)備等。信息安全技術(shù)和成本和效益的平衡、信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等，這些問(wèn)題與信息安全的要求都密切相關(guān)，而僅僅通過(guò)產(chǎn)品和技術(shù)是無(wú)法解決的。上個(gè)世紀(jì)90年代末，人們開始意識(shí)到管理在解決信息安全問(wèn)題中的作用。1993年9月，由英國(guó)貿(mào)工部（）組織許多企業(yè)參與編寫了一個(gè)信息安全管理的文本－“信息安全管理實(shí)用規(guī)則（Codeofpracticeforinformationsecuritymanagement1995年2月，在該文本的基礎(chǔ)上，英國(guó)發(fā)布了國(guó)家標(biāo)準(zhǔn)BS7799-1:1995。1999年英國(guó)對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂后發(fā)布1999年版，2000年12月被采納成為國(guó)際標(biāo)準(zhǔn)，即ISO/IEC17799:2000。2005年6月15日，該標(biāo)準(zhǔn)被修訂發(fā)布為ISO/IEC17799:2005。2007年4月正式更名為ISO/IEC。同時(shí)伴隨著ISO/IEC270021998年2月英國(guó)發(fā)布的英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799-2:19981999年修訂后發(fā)布1999版。2000年12BS7799-1:1999被采納成為國(guó)際標(biāo)準(zhǔn)時(shí)，BS7799-2:1999并沒(méi)有被國(guó)際標(biāo)準(zhǔn)化組織采納為國(guó)際標(biāo)準(zhǔn)。2002年英國(guó)又對(duì)BS7799-2:1999進(jìn)行了修訂發(fā)布2002版。2005年10月，這個(gè)標(biāo)準(zhǔn)被采納成為國(guó)際標(biāo)準(zhǔn)ISO/IEC27001:2005。2.2.2ISO/IEC27002的范圍ISOS/IEC27002安全工作的人員使用。該標(biāo)準(zhǔn)適用于各個(gè)領(lǐng)域、不同類型、不同規(guī)模的組織。對(duì)則和有效的安全管理方法，并提供不同組織間的信任。2.2.3ISO/IEC27002的主要內(nèi)容ISO/IEC27002:2005是一個(gè)通用的信息安全控制措施集，這些控制措施涵蓋了信息安全的方方面面，是解決信息安全問(wèn)題的最佳實(shí)踐。11個(gè)方面提出了39個(gè)信息安全控制目標(biāo)和133個(gè)標(biāo)準(zhǔn)的用戶使用。133安全目標(biāo)。從內(nèi)容和機(jī)構(gòu)上看，可以將標(biāo)準(zhǔn)分為四個(gè)部分：一、引言部分。全、如何建立安全要求、評(píng)估安全風(fēng)險(xiǎn)等8個(gè)方面內(nèi)容。二、標(biāo)準(zhǔn)的通用要素部分（1～3第12章是術(shù)語(yǔ)和定義，介紹了資產(chǎn)、控制措施、指南、信息處理設(shè)施、信息安全等十七個(gè)術(shù)語(yǔ)。第3章則給出了該標(biāo)準(zhǔn)的結(jié)構(gòu)。三、風(fēng)險(xiǎn)評(píng)估和處理部分。該章簡(jiǎn)單介紹了評(píng)估安全風(fēng)險(xiǎn)和處理安全風(fēng)險(xiǎn)的原則、流程及要求。四、控制措施部分（5～15這是標(biāo)準(zhǔn)的主體部分，包括11個(gè)控制措施章節(jié)，分別是：5安全方針（控制目標(biāo)：1個(gè)，控制措施：2個(gè)）6信息安全組織（控制目標(biāo)：2個(gè)，控制措施：11個(gè)）7資產(chǎn)管理（控制目標(biāo)：2個(gè)，控制措施：5個(gè)）8人力資源安全（控制目標(biāo)：3個(gè)，控制措施：9個(gè)）9物理和環(huán)境安全（控制目標(biāo)：2個(gè)，控制措施：13個(gè)）10通信和操作管理（控制目標(biāo)：10個(gè)，控制措施：32個(gè)）11訪問(wèn)控制（控制目標(biāo)：7個(gè)，控制措施：25個(gè)）12信息系統(tǒng)獲取、開發(fā)和維護(hù)（控制目標(biāo)：6個(gè)，控制措施：16個(gè)）13信息安全事件管理（控制目標(biāo)：2個(gè)，控制措施：5個(gè)）14業(yè)務(wù)連續(xù)性管理（控制目標(biāo)：1個(gè)，控制措施：5個(gè)）15符合性（控制目標(biāo)：3個(gè)，控制措施：10個(gè)）2.2.4ISO/IEC27002的使用說(shuō)明ISO/IEC27002:2005作為信息安全管理的最佳實(shí)踐，它的應(yīng)用既有專用性的特點(diǎn)，也有通用性特點(diǎn)。說(shuō)它具有專用性，是因?yàn)樽鳛樾畔踩芾眢w系標(biāo)準(zhǔn)族（ISMS標(biāo)準(zhǔn)）中的一員，目前它與ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005是組合使用的，ISO/IEC27001:2005中的規(guī)范性附錄A就是ISO/IEC27002:2005的控制目標(biāo)和控制措施集。對(duì)于期望建設(shè)和實(shí)施ISMS的組織，應(yīng)根據(jù)ISO/IEC27001:2005的要求，選擇ISMS范圍，制定信息安全方針和目標(biāo)，實(shí)施風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)和管理評(píng)審，以持續(xù)改進(jìn)。ISO/IEC27002:2005的通用性，體現(xiàn)在標(biāo)準(zhǔn)中提出的控制措施是從信息安全組織，不管其是否建設(shè)，都可以從標(biāo)準(zhǔn)中找到適合自己使用的控制措施來(lái)滿足其信息安全要求。另外，ISO/IEC27002:2005中提出的控制目標(biāo)和控制措施，對(duì)一個(gè)具體的組根據(jù)具體情況選擇ISO/IEC27002:2005以外的控制目標(biāo)和控制措施。2.2.5我國(guó)采用ISO/IEC17799情況的說(shuō)明我國(guó)政府主管部門十分重視信息安全管理國(guó)家標(biāo)準(zhǔn)的制定。2002年，全國(guó)WG7）就開始了ISO/IEC17799的研究和制標(biāo)工作。2005年6月15日，我國(guó)發(fā)布了國(guó)家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實(shí)用規(guī)則”，修改采用ISO/IEC17799:2000。2006ISMS化技術(shù)委員會(huì)又提出了GB/T19716-2005的修訂計(jì)劃和對(duì)應(yīng)ISO/IEC27001:2005等相關(guān)ISMS標(biāo)準(zhǔn)的制定和研究計(jì)劃。相信不久，對(duì)應(yīng)最新ISMS國(guó)際標(biāo)準(zhǔn)的國(guó)家標(biāo)準(zhǔn)就會(huì)發(fā)布，以供大家遵照使用。信息安全管理體系要求－2.3.1發(fā)展：一個(gè)重要的里程碑ISO/IEC27001:2005的名稱是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements”，可翻譯為“信息技術(shù)-安全技術(shù)-信息安全管理體系要求”。在ISO/IEC27001:2005標(biāo)準(zhǔn)出現(xiàn)之前，組織只能按照英國(guó)標(biāo)準(zhǔn)研究院（BritishStandardInstitute，簡(jiǎn)稱BSI）的BS7799-2:2002標(biāo)準(zhǔn)，進(jìn)行認(rèn)證?，F(xiàn)在，組織可以獲得全球認(rèn)可的ISO/IEC27001:2005標(biāo)準(zhǔn)的認(rèn)證。這標(biāo)志著ISMSISMSISMS標(biāo)準(zhǔn)正成為最新的全球信息安全武器。2.3.2目的：認(rèn)證ISO/IEC27001:2005標(biāo)準(zhǔn)設(shè)計(jì)用于認(rèn)證目的，它可幫助組織建立和維護(hù)ISMS。標(biāo)準(zhǔn)的4-8章定義了一組ISMS要求。如果組織認(rèn)為其ISMS滿足該標(biāo)準(zhǔn)4-8ISMS認(rèn)證機(jī)構(gòu)申請(qǐng)ISMS果認(rèn)證機(jī)構(gòu)對(duì)組織的ISMS進(jìn)行審核（初審）后，其結(jié)果是符合ISO/IEC27001:2005的要求，那么它就會(huì)頒發(fā)ISMS證書，聲明該組織的ISMS符合ISO/IEC27001:2005標(biāo)準(zhǔn)的要求。然而，ISO/IEC27001:2005標(biāo)準(zhǔn)與ISO/IEC9001:2002標(biāo)準(zhǔn)（質(zhì)量管理體系標(biāo)準(zhǔn)）不同。ISO/IEC27001:2005標(biāo)準(zhǔn)的要求十分“嚴(yán)格”。該標(biāo)準(zhǔn)4-8章有許多信息安全管理要求。這些要求是“強(qiáng)制性要求”。只要有任何一條要求得不ISMS符合ISO/IEC27001:2005ISO/IEC9001:2002標(biāo)準(zhǔn)的第7許其質(zhì)量管理體系（QMS）作適當(dāng)刪減。ISMS對(duì)ISO/IEC27001:2005標(biāo)準(zhǔn)的符合性是十分嚴(yán)格的。2.3.3特點(diǎn)：信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估ISO/IEC27001:2005組織通過(guò)業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估的方法，來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)其，確保其信息資產(chǎn)的保密性、可用性和完整性。(1)信息資產(chǎn)ISO/IEC27001:2005email為對(duì)組織具有“價(jià)值”的，以任何方式存儲(chǔ)的信息。通常，系統(tǒng)（如信息系統(tǒng)和數(shù)據(jù)庫(kù)等）也可作為一類信息資產(chǎn)。(2)安全風(fēng)險(xiǎn)管有意的，還是無(wú)意的）、盜竊、惡意代碼和自然災(zāi)害等。包括經(jīng)濟(jì)損失、公司形象損失和顧客信心損失等。(3)風(fēng)險(xiǎn)評(píng)估與處理ISO/IEC27001:2005緩風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理是ISO/IEC27001:2005標(biāo)準(zhǔn)要求的兩個(gè)相互關(guān)聯(lián)的必須的活動(dòng)。一個(gè)組織建立ISMS體系，要進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。其主要過(guò)程是：1)制定組織的ISMS方針和風(fēng)險(xiǎn)接受準(zhǔn)則；2)定義組織的風(fēng)險(xiǎn)評(píng)估方法；3)識(shí)別要保護(hù)的信息資產(chǎn)，并進(jìn)行登記；4)識(shí)別安全風(fēng)險(xiǎn)，包括識(shí)別資產(chǎn)所面臨的威脅、組織的脆弱點(diǎn)和造成的影響等；5)6)形成風(fēng)險(xiǎn)評(píng)估報(bào)告；7)制定風(fēng)險(xiǎn)處理計(jì)劃，選擇風(fēng)險(xiǎn)控制措施；標(biāo)準(zhǔn)明確規(guī)定，有4種風(fēng)險(xiǎn)處理方法：采用適當(dāng)?shù)目刂拼胧?、接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)和轉(zhuǎn)移風(fēng)險(xiǎn)；8)執(zhí)行風(fēng)險(xiǎn)處理計(jì)劃，將風(fēng)險(xiǎn)降低到可接受的級(jí)別。能夠保持良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)。產(chǎn)、技術(shù)發(fā)生重大變化和內(nèi)外環(huán)境發(fā)生重大變化時(shí)，風(fēng)險(xiǎn)評(píng)估應(yīng)重新進(jìn)行。2.3.4要求：基于過(guò)程(1)“”過(guò)程圖1ISMS“”過(guò)程周期評(píng)審ISMS國(guó)際標(biāo)準(zhǔn)化組織(ISO)使用Plan-Do-Check-Act(即計(jì)劃實(shí)施檢查糾正過(guò)程模型組織ISO/IEC27001:2005標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)4-8章規(guī)定了ISMS的建立、實(shí)施與運(yùn)行、監(jiān)督與評(píng)審、維護(hù)與改進(jìn)所要遵循的活動(dòng)過(guò)程，并形成一個(gè)周期，稱“PDCA”周期，如圖1(2)過(guò)程方法過(guò)程是指使用資源把輸入轉(zhuǎn)為輸出的一組活動(dòng)。更通俗地說(shuō)，過(guò)程就是將原料（輸入）加工成產(chǎn)品（輸出）的工作（活動(dòng)）。輸入之所以能轉(zhuǎn)為輸出是因?yàn)殚_展了某些工作或活動(dòng)。ISO/IEC27001:2005標(biāo)準(zhǔn)4-8章規(guī)定了一組ISMS使用“過(guò)程方法”來(lái)管理和控制其ISMS過(guò)程。即：1)組織必須對(duì)應(yīng)4-8章的相應(yīng)要求，建立其實(shí)際的ISMS過(guò)程；2)組織的ISMS需按“過(guò)程方法”進(jìn)行管理和控制。這意味著組織的ISMS要包含有許多符合該標(biāo)準(zhǔn)4-8章規(guī)定的、相互協(xié)調(diào)各個(gè)ISMS過(guò)程“粘”在一起，而形成一個(gè)相互依賴的統(tǒng)一整體。標(biāo)準(zhǔn)還規(guī)定，某些ISMS過(guò)程要用形成文件的程序加以控制。(3)過(guò)程要求ISO/IEC27001:2005標(biāo)準(zhǔn)4-8章規(guī)定了一組ISMS度，ISO/IEC27001:2005標(biāo)準(zhǔn)的要求就是過(guò)程要求。組織的ISMS必要滿足這些過(guò)程要求。ISO/IEC27001:2005正文內(nèi)容不同，ISO/IEC27001:2005附錄A的內(nèi)容屬于控制要求。所謂認(rèn)證，即由可以充分信任的第三方認(rèn)證機(jī)構(gòu)依據(jù)特定的審核準(zhǔn)則，按照定標(biāo)準(zhǔn)或規(guī)范性文件的活動(dòng)。針對(duì)ISO/IEC符合ISO/IEC27001要求施了ISMS，并且符合ISO/IEC27001標(biāo)準(zhǔn)的要求。通過(guò)認(rèn)證的組織，將會(huì)被注冊(cè)登記。根據(jù)CSI/FBI的ComputerCrimeandSecuritySurvey2005中的統(tǒng)計(jì)，65%97%的組織部署了防火墻，96%組織部署了殺毒軟件?？梢?jiàn)，我們的信息安全手段并不奏效，信息安全現(xiàn)狀不容樂(lè)觀。實(shí)際上，只有在宏觀層次上實(shí)施了良好的信息安全管理，即采用國(guó)際上公認(rèn)的作用。采用ISMS標(biāo)準(zhǔn)并得到認(rèn)證無(wú)疑是組織應(yīng)該考慮的方案之一。1)預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，包括防范：重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；2)ISMS不僅可通過(guò)避免安全事故而使組織節(jié)省費(fèi)用，而且也能幫助組織合理籌劃信息安全費(fèi)用支出，包括：依據(jù)信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別，安排安全控制措施的投資優(yōu)先級(jí)；對(duì)于可接受的信息資產(chǎn)的風(fēng)險(xiǎn)，不投資安全控制；3)最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)；4)增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心。ISO/IEC27001:2005中明確指出，標(biāo)準(zhǔn)中規(guī)定的要求是通用的，適用于所有的組織，無(wú)論其類型、規(guī)模和業(yè)務(wù)性質(zhì)怎樣。ISO/IEC確定的信息安全要求的能力的依據(jù)，無(wú)論是自我評(píng)估還是獨(dú)立第三方認(rèn)證。就目前國(guó)內(nèi)發(fā)展來(lái)看，最先確定實(shí)施ISMS并考慮接受ISO/IEC27001:2005部的。這些組織主要集中在以下幾個(gè)行業(yè)：年IC產(chǎn)業(yè)發(fā)展迅猛，大量國(guó)外設(shè)計(jì)企業(yè)的制造訂單都飛往國(guó)內(nèi)一些大型的芯片制造企業(yè)，鑒于IP（知識(shí)產(chǎn)權(quán)）保護(hù)的重要性，來(lái)自國(guó)外客戶的明確要求，使得國(guó)內(nèi)芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC:2005證書就是最好的選擇。軟件外包行業(yè)：情況與芯片制造企業(yè)類似，近年來(lái)，承擔(dān)軟件定制開發(fā)的很多企業(yè)，也面臨外部客戶明確提出的信息保護(hù)的要求。常高的，保護(hù)客戶信息、保證業(yè)務(wù)運(yùn)轉(zhuǎn)的可靠性和持續(xù)性，這都是此行業(yè)組織實(shí)施，并尋求認(rèn)證的驅(qū)動(dòng)力。這些企業(yè)必然的選擇。電子商務(wù)行業(yè)：對(duì)于電子商務(wù)交易平臺(tái)、電子商務(wù)支付平臺(tái)，由于客戶全建設(shè)方面加大投入建設(shè)，全面的信息安全管理體系。其他行業(yè)：只要是涉及到IP保護(hù)、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會(huì)逐漸在信息安全建設(shè)上加強(qiáng)力度，就拿美國(guó)Sarbanes-Oxley法案（薩班斯法案，簡(jiǎn)稱SOX法案）來(lái)說(shuō)，由于對(duì)在SEC個(gè)部分。3.4.1自2002ISMS認(rèn)證給組織帶來(lái)的利益。截至Saturday,06January，全球通過(guò)的ISMS認(rèn)證的組織已達(dá)327441xisec網(wǎng)站上列出了39個(gè)證書的112家，香港26家和澳門3家。各個(gè)國(guó)家通過(guò)ISMS的企業(yè)數(shù)量