背景:信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
介绍:目前,在信息安全管理体系方面,ISO/IEC 27001:2013――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1:。 2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。
2013版本和2017版本的区别:1,为企业管理体系融合提供了统一的体系架构,管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。
1. 2)控制更精简
ISO27001:2013附录A中将旧版133个控制项缩减到113个,合并了类型的控制措施(如变更管理),新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等,以反映目前信息安全的发展趋势。
1. 3)提供更多参考
此次ISO也新增许多指引供企业参考,组织可以通过不同的方面以及风险进行深度的强化,通过ISO 27001认证只是基本要求。目前ISO 27000系列指引编号已超过44号(001-044),例如金融服务、数字鉴识、供应链管理、软件开发测试等,企业组织可参考这些指引做升级的要求。
ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求,与企业的信息系统的管理实践结合更紧密。 ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。
意义: 1)符合法律法规要求: 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。 2)维护企业的声誉、品牌和客户信任: 证书的获得,可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。 3)履行信息安全管理责任: 证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。 4)增强员工的意识、责任感和相关技能: 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 5)保持业务持续发展和竞争优势: 全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。 6)实现风险管理: 有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。 7)减少损失,降低成本: ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度。
内容:ISO27001:2013标准包括14控制领域(见表)、35个控制目标和113项控制措施,为组织提供全方位的信息安全保障。 表 ISO27001:2013版标准控制目标
控制域 |
控制目标 |
A.5 安全方针 |
A.5.1信息安全方针 |
A.6 信息安全组织 |
A.6.1 内部组织 A.6.2 移动设备和远程工作 |
A.7 人力资源安全 |
A.7.1 雇佣前 A.7.2 雇佣期间 A.7.3 雇佣终止或变更 |
A.8 资产管理 |
A.8.1 资产责任 A.8.2 信息分类 A.8.3 介质处置 |
A.9 访问控制 |
A.9.1 安全区域 A.9.2 用户访问管理 A.9.3 用户职责 A.9.4系统和应用访问控制 |
A.10 密码学 |
A.10.1 密码控制 |
A.11 物理和环境安全 |
A.11.1安全区域 A.11.2 设备 |
A.12 操作安全 |
A.12.1 操作规程和职责 A.12.2 恶意软件防护 A.12.3 备份 A.12.4 日志和监视 A.12.5 运行软件控制 A.12.6 技术脆弱性管理 A.12.7 信息系统审计考虑 |
A.13 通信安全 |
A.13.1 网络安全管理 A.13.2 信息交换 |
A.14 系统获取、开发和维护 |
A.14.1 信息系统的安全需求 A.14.2 开发和支持过程中的安全 A.14.3 测试数据 |
A.15 供应商关系 |
A.15.1 供应商关系的信息安全 A.15.2 供应商服务交付管理 |
A.16 信息安全事件管理 |
A.16.1 信息安全事件和改进的管理 |
A.17 业务连续性管理的信息安全方面 |
A.17.1 信息安全连续性 A.17.2 冗余 |
A.18 符合性 |
A.18.1 符合法律和合同要求 A.18.2 信息安全评审 | |