一
二、
在人类迈入信息息时代的今天,组织在分享着现代科技带来便利的同时,也面临着信息安全的威胁。如何既能享用现代信息系统的快捷方便,又能充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。专家研究表明,信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。信息安全可使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,获取相关方的信任,以最大限度地获得投资和业务的回报。
“七分管理,三分技术”的信息安全原则表明,解决信息安全问题不应仅从技术方着手,同时更应加强信息安全的管理工作,通过建立正规的信息安全管理体系以达到系统、全面地解决信息安全问题。ISO/IEC 27001标准目前是国际上公认的实现信息安全管理的最佳标准。该标准强调以风险管理为基础的、全面的安全管理,目前该方法在世界范围内得到了广泛的认可。
三、
ISO 27001:2005是建立信息安全管理体系(ISMS)的一套需求规范(Information Security. Security techniques. Information security management systems. Requirements),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到最终的认证(对依据ISO 27001:2005建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,ISO 27001:2005指导相关人员怎样去应用ISO27002:2005,其最终目的,还在于建立适合组织需要的信息安全管理体系(ISMS)。
下表以标准原文目录格式,列举说明了ISO 27001:2005的主要内容。
一级目录 | 二级目录 | 内容简介 | ||
前言 | 发布者,目的,内容概要,其他说明。 | |||
0. 简介 | 0.1 概要 | 本标准对组织的价值所在。 | ||
0.2 过程方法 | 对过程方法进行解释,引入PDCA模型。 | |||
0.3 与其他管理体系的兼容 | 强调与ISO9001和ISO14001的一致性。 | |||
1. 范围 | 1.1 概要 | 本标准规定了ISMS建设的要求及根据需要实施安全控制的要求。 | ||
1.2 应用 | 本标准适用于所有的组织。控制选择与否应根据风险评估和适用法规需求。 | |||
2. 标准引用 | 引用ISO9001、ISO17799和ISO Guide 73:2002 | |||
3. 术语和定义 | 资产,CIA,信息安全,信息安全事件,ISMS,风险评估与管理,SOA等。 | |||
4. 信息安全管理体系 | 4.1 一般要求 | 在组织全面的业务活动和风险环境中,应该开发、实施、维护并持续改进一个文档化的ISMS。 | ||
4.2 建立并管理ISMS | 4.2.1 建立ISMS(Plan) • 定义ISMS的范围 • 定义ISMS方针 • 定义系统的风险评估途径 • 识别风险 • 评估风险 • 识别并评价风险处理措施 • 选择用于风险处理的控制目标和控制 • 准备适用性声明(SoA) • 取得管理层对残留风险的承认,并授权实施和操作ISMS 4.2.2 实施和操作ISMS(Do) • 制定风险处理计划 • 实施风险处理计划 • 实施所选的控制措施以满足控制目标 | |||
• 实施培训和意识程序 • 管理操作 • 管理资源(参见5.2) • 实施能够激发安全事件检测和响应的程序和控制 4.2.3 监视和复查ISMS(Check) • 执行监视程序和控制 • 对ISMS的效力进行定期复审 • 复审残留风险和可接受风险的水平 • 按照预定计划进行内部ISMS审计 • 定期对ISMS进行管理复审 • 记录活动和事件可能对ISMS的效力或执行力度造成影响 4.2.4 维护并改进ISMS(Act) • 对ISMS实施可识别的改进 • 采取恰当的纠正和预防措施 • 与所有利益伙伴沟通 • 确保改进成果满足其预期目标 | ||||
4.3 文件要求 | 4.3.1 概要-说明ISMS应该包含的文件。 4.3.2 对文件的控制- ISMS所要求的文件应该妥善保护和控制。 | |||
4.3.3 对记录的控制-应该建立并维护记录。 | ||||
5. 管理层责任 | 5.1 管理层责任 | 说明管理层在ISMS建设过程中应该承担的责任。 | ||
5.2 对资源的管理 | 5.2.1 资源提供-组织应该确定并提供ISMS相关所有活动必要的资源 5.2.2 培训、意识和能力-通过培训,组织应该确保所有在ISMS中承担责任的人能够胜任其职 | |||
6. ISMS内部审计 | 组织应该通过定期的内部审计来确定ISMS的控制目标、控制、过程和程序满足相关要求。 | |||
7. ISMS管理评审 | 7.1 概要 | 管理层应该对组织的ISMS定期进行评审,确保其持续适宜、充分和有效。 | ||
7.2 评审输入 | 评审时需要的输入资料,包括内审结果。 | |||
7.3 评审输出 | 评审成果,应该包含任何决策及相关行动。 | |||
8. ISMS改进 | 8.1 持续改进 | 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS的效力。 | ||
8.2 纠正措施 | 组织应该采取措施,消除并实施和操作ISMS相关的不一致因素,避免其再次出现。 | |||
8.3 预防措施 | 为了防止将来出现不一致,应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜。 | |||
附录A 控制目标和控制 | A.5 安全策略 A.6 组织信息安全 A.7 资产管理 A.8 人力资源管理 A.9 物理和环境安全 | 以列表(表A.1)方式展示:A.5到A.15所列的控制目标和控制,是直接从ISO/IEC 17799:2005正文5到15那里引用过来的。此处列举的控制目标和控制,应该被4.2.1规定的ISMS过程所选择。 | ||
A.10 通信和操作管理 A.11 访问控制 A.12 信息系统获取、开发和维护 A.13 信息安全事件管理 A.14 业务连续性管理 下一篇:什么是ISO27000? 延伸阅读
热门标签:
行业新闻
培训课程标准化体系
深圳市智天下管理顾问有限公司 
| ||||
