ISO27001信息安全管理系统标准
ISO27001信息安全管理系统标准
在日趋网络化的世界里,「信息」对建立竞争优势起着举足轻重的作用。但它同时也是柄双刃剑,当信息被意外或刻意的传给恶意的接收者时,同样的信息也可能导致一所机构倒闭。在当今的信息时代,科技无疑为我们解决了不少问题。
国际标准组织(ISO)应此类需求,制定了ISO27001:2005标准,为怎样建立、推行、维持及改善信息安全管理系统提供协助。信息安全管理系统(ISMS)是高层管理人员用以监察及控制信息安全、减少商业风险和确保保安系统持续符合企业、顾客及法律要求的1个体系。ISO/IEC 27001:2005能协助机构保护专利信息,同时也为制定统一的机构保安标准搭建了1个平台,更有助于提升安全管理的实务表现和增强机构间商业往来的信心与信任。
什么机构可采用ISO/IEC 27001:2005标准?
任何使用内部或外部电脑系统、拥有机密资料及/或依靠信息系统进行商业活动地机构,均可采用ISO/IEC 27001:2005标准。简单的说,也就是那些必须处理信息、并认识到信息保护重要性的机构。
ISO/IEC 27001的控制目标及措施
ISO/IEC 27001制定的宗旨是确保机构信息的机密性、完整性及可用性,为达成上述宗旨,该标准共提出了39个控制目标及134项控制措施,推行ISO/IEC 27001标准的机构可在其中选择适用于其业务的控制措施,同时也可增加其它的控制措施。而与ISO/IEC 27001相辅的ISO 17799:2005标准是信息安全管理的实务守则,为怎样推行控制措施提供指引。
ISO/ IEC 27001:2005的架构
ISO/ IEC 27001:2005标准在2005年10月公布,同时取缔了多国采纳的英国标准BS 7799-2:2002 ,但新旧标准的要求并无太大分别。ISO / IEC 27001:2005标准以Edward Deming博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。
I.计划
计划最重要的部分是设定涵盖的范畴及区域,它能够是:
覆盖整个组织并涉及多个地点的办事处及/或厂房
只涉及1个办事处或厂房
只涉及1个多元化服务供应商的其中1个业务
计划的主要工作包含信息安全管理系统、风险评估、风险管理、风险处理措施和适用性报告。
信息安全管理系统是运营风险整体管理系统的其中一部分,目的是建立、实施、推行、检讨、维持及改善信息安全。
机构在信息的机密性、完整性和可用性三方面的目标各是什么呢?什么程度的风险是可接受的?是否存在任何限制,如法律、法规或机构内部程序?信息安全政策应该是一份由行政总监签署认可的文件。控制措施应采取由上至下的推行方式。
风险评估 根据必须保护的信息和可接受的风险程度来识别真正的风险,并就这些风险出现的可能性与其影响的严重性作出评估,从而辨别出机构必须管理的风险,即下图红色部分内的风险。
风险管理 / 风险处理
完成风险评估后,便要决定怎样处理这些风险。
适用性报告 (Statement of Applicability)
识别出所有的保安措施,指出什么对机构而言是适用或不适用的,并说明原因。必须针对风险评估的结果来选择控制措施。
II.实施
选定了控制措施后,便需落实推行,同时也需制定程序以确保能够迅速察觉到事故的发生并作出回应,并确保所有员工都了解信息安全的重要性,且确保其接受了适当的培训,及有能力执行他们负责的保安任务。除此之外,还要妥善管理所需的资源。
III.核查
核查的目的是确保控制措施都已推行,并能达到既定的目标。尽管有多种可行的核查方法,但仅有内部审核与管理检讨是强制性的要求。
IV.采取行动
最后便需对核查结果采取适当的行动,相关的行动能够是:
修正
预防
改善
总结
ISO/IEC 27001:2005标准为所有行业的机构都提供了一套业务工具,协助其避免信息保安的失误,从而降低了相应的风险。正式推行ISO/IEC 27001:2005并取得有关认证的机构将受益匪浅,以下列举其中数项:
由于按照国际标准实施适当的控制措施,机构便能自行将信息保安的失误率降至最少
以系统化的方法处理符合法律的问题,从而减低所需承担的法律责任风险
以系统化的方法计划及管理运营的持续性
增加顾客、合作伙伴和相关人士对机构的信心
提升营运收入,并为机构带来更多商机
今日通过对《ISO27001信息安全管理系统标准》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
ISO27001信息安全管理系统常见风险的分类
ISO27001信息安全风险的管理是关于实现和维护信息系统机密性、完整性和可用性的与安全相关的所有方面,理想的安全风险标准应该是1个集成的、一致的、可分析的、切合实际的、成本效益平衡的方法。从信息安全风险管理分类的介绍能够看出,信息安全风险除安全技术风险外,还涉及安全政策、标准、意识、战略等方面。例如ISO27001和 NISTSP800-26安全自评估指南(Security Self Assessment Guide),则注重安全管理方面多于安全产品和系统,是能够经过调整适合组织必须,进行自我评估的良好标准,已在各种类型组织、公共和私人部门,以及工商业得到广泛的应用。但由于上述标准涉及的安全方面都缺乏定量的安全测度方法,因此不同评估人员,则会由于主观的原因,给出不同的风险等级,使结果缺乏可信度,不能直接拿来使用。
ISO27001信息安全风险分类不仅要考虑风险发生的可能性和由此而引起的可能后果,并且要在单一风险基础上,同时考虑各项风险之间的相互关系,对综合安全风险进行分析和评估。论文从信息安全科学的角度,在对上述安全风险管理标准的比较基础上,综合环境、人员、管理、技术、法律、经济等系统风险问题,把信息安全风险分为:人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十2个方面。
1)人员风险
由于组织缺乏人员安全管理、明确的职责和意识教育,内部无意或恶意人员的失误或攻击,以及来自外部恶意或好奇人员或组织的攻击,会使组织业务面临大的风险。
2)组织风险
假如组织在信息安全组织管理方面基础薄弱、职责不清、技术服务能力差等原因,使组织在信息安全管理方面处于失控状态,加大了信息安全风险。
3)物理环境风险
由于缺乏对组织场所的安全保卫,或是防水、防火、防雷等保护措施,在面临偷盗、自然灾难时,有时会造成极大的损失。
4)信息机密性/完整性风险
信息是组织信息技术系统装载的业务数据,是一种非常重要价值的资产,甚至一些观点认为信息是组织的血液,是“一种在资产负债表之外,经过逐渐积累的,能够被用于提升组织竞争优势的信息。同实物资产相比,信息非常分散并且易于复制,是组织业务流程的重要输入和输出数据,例如顾客资料、产品设计等,假如得不到正确的识别、评估、保存和管理,就面临可能被窃取、损毁、丢失的风险,不但使依赖于这些关键信息的核心业务造成严重损坏,还会对组织的信誉、声望造成巨大损失,甚至会摧毁整个组织。
信息风险管理,主要是保证信息的机密性、完整性和可用性。
5)系统风险
通常所用的计算机操作系统,以及大量应用软件在组织业务交流中的使用,尤其是定制应用产品,来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响,尤其是多个应用系统互联时,影响会涉及整个组织的多个系统。例如有的系统维护困难、结构不完善、缺乏文档、设计漏洞等多种问题,有时会在系统升级和安装补丁时引入较高的风险。
系统风险要求机构对系统应用具备协同、维护、测试、版本管理、配置管理、系统管理、监控等方面具备管理能力。
6)通信操作风险
假如在通讯加密、应用分区、防病毒、IDS 等安全措施出现技术或管理问题时,被攻击者利用后,会引发信息安全风险。
7)基础设施风险
基础设施包含支撑业务应用系统的网络(局域网、广域网、互联网、专线网、无线网)、硬件(服务器、主机、应用终端、共享设备)、物理环境,它们是组织业务赖以生存的基础(如电力、WEB服务器、数据库服务器等),一旦出现故障或中断,它所承载的应用也会出现问题或停顿。
基础设施风险要求组织在应用层、网络层、链路层、物理层面进行综合防御。
8)业务连续性风险
依赖于信息系统服务的组织关键业务可能因系统的“宕机而中断,或是因系统服务效能的降低(如响应时间过长)造成新顾客的流失或老顾客的转移。
业务连续性风险,要求机构具备信息技术服务、安全事件处理和灾难恢复能力。
9)第三方合作风险
第三方指服务供应商、销售商。随着外包业务的兴起,许多组织业务依赖于供应商和销售商的服务提供,由于不完备的合同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素,导致第三方服务失效。
第三方合作风险要求在合同谈判、转换服务上加强风险管理。
10)风险评估风险
假如不专业的风险评估人员、不科学的评估方法、不一致的评估标准常常会造成系统风险评估的不一致、不正确的风险评估结果,造成风险决策出现失误。
11)法律风险
在信息系统的运行过程中,由于不知晓国家法律,或是明知故犯,使组织面临由于个人隐私泄露所造成的风险。
12)决策风险
应用风险评估的结果进行风险决策和控制选择是信息安全风险管理的核心,也是最终的目标。假如在风险分析、评估、控制方面不能全面、科学反映组织的安全状态,决策者可能会在安全投资方面出现重大失误。决策风险主要是依据风险评估的结果在风险避免、风险减缓、风险转移和风险承受4个方面进行权衡决策,避免决策失误。