信息是組織的血液,存在的方式各異�。可以是打印����,手寫,也可以是電子�����,演示和口述的���。當(dāng)今商業(yè)競爭日趨激烈��,來源于不
同渠道的信息���,威脅到信息的一致性����。它們來自內(nèi)部�,外部,意外的���,還可能是惡意的。隨著信息儲存�����,發(fā)送新技術(shù)的廣泛使
用�����,我們面臨的各種風(fēng)險也在增高���。信息安全越來越重要����!
信息安全不是有一個終端防火墻�����,或找一個24小時提供信息安全服務(wù)的公司就可以達到的。它需要全面的綜合管理��。信息安全
管理體系的引入����,可以協(xié)調(diào)各個方面信息管理,使管理更為有效����。信息安全管理體系是系統(tǒng)的對組織敏感信息及信息資產(chǎn)進行
管理,涉及到人�����,程序和信息科技(IT)系統(tǒng)��。需要建立廣泛的信息安全方針�。保證安全性,公正性�。適用組織內(nèi)部和客戶。信息
安全管理體系ISMS正成為世界上管理體系標(biāo)準(zhǔn)銷售增長量最大的產(chǎn)品�����。
信息安全管理體系(Information security management systems,簡稱ISMS)(即ISO/IEC 27000系列)是目前國際信息安全
管理標(biāo)準(zhǔn)研究的重點�。
27000系列共包括10個標(biāo)準(zhǔn),當(dāng)前已經(jīng)發(fā)布和在研究的有6個�����,分別為:
1���、ISO/IEC 27000《信息安全管理體系基礎(chǔ)和詞匯》�����;
2、ISO/IEC 27001:2005《信息安全管理體系要求》����;
3、ISO/IEC 27002:2007《信息安全管理實用規(guī)則》�;
4、ISO/IEC 27003《信息安全管理體系實施指南》�����;
5��、ISO/IEC 27004《信息安全管理測量》;
6���、ISO/IEC 27005《信息安全風(fēng)險管理》�。
一���、什么是信息安全�?
像其他重要業(yè)務(wù)資產(chǎn)一樣�����,信息也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)�����,因此需要加以適當(dāng)?shù)乇Wo�。在業(yè)務(wù)環(huán)境互連日益增加的
情況下這一點顯得尤為重要。這種互連性的增加導(dǎo)致信息暴露于日益增多的�����、范圍越來越廣的威脅和脆弱性當(dāng)中(也可參考關(guān)
于信息系統(tǒng)和網(wǎng)絡(luò)的安全的OECD指南)��。信息可以以多種形式存在����。它可以打印或?qū)懺诩埳�����、以電子方式存儲����、用郵寄或電
子手段傳送���、呈現(xiàn)在膠片上或用語言表達�����。無論信息以什么形式存在����,用哪種方法存儲或共享��,都應(yīng)對它進行適當(dāng)?shù)乇Wo����。信
息安全是保護信息免受各種威脅的損害����,以確保業(yè)務(wù)連續(xù)性�,業(yè)務(wù)風(fēng)險最小化�����,投資回報和商業(yè)機遇最大化����。信息安全是通過
實施一組合適的控制措施而達到的,包括策略��、過程����、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能���。在需要時需建立���、實施、監(jiān)視�、
評審和改進這些控制措施,以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)��。這個過程應(yīng)與其他業(yè)務(wù)管理過程聯(lián)合進行。
二��、如何建立安全要求?
組織識別出其安全要求是非常重要的����,安全要求有三個主要來源:
1、一個來源是在考慮組織整體業(yè)務(wù)戰(zhàn)略和目標(biāo)的情況下�����,評估該組織的風(fēng)險所獲得的�。通過風(fēng)險評估,識別資產(chǎn)受到的威脅�,
評價易受威脅利用的脆弱性和威脅發(fā)生的可能性,估計潛在的影響�����。
2�����、另一個來源是組織����、貿(mào)易伙伴、合同方和服務(wù)提供者必須滿足的法律���、法規(guī)�、規(guī)章和合同要求����,以及他們的社會文化環(huán)境。
3��、第三個來源是組織開發(fā)的支持其運行的信息處理的原則�����、目標(biāo)和業(yè)務(wù)要求的特定集合���。
三�、評估安全風(fēng)險
安全要求是通過對安全風(fēng)險的系統(tǒng)評估予以識別的�。用于控制措施的支出需要針對可能由安全故障導(dǎo)致的業(yè)務(wù)損害加以平衡。
風(fēng)險評估的結(jié)果將幫助指導(dǎo)和決定適當(dāng)?shù)墓芾硇袆�、管理信息安全風(fēng)險的優(yōu)先級以及實現(xiàn)所選擇的用以防范這些風(fēng)險的控制措
施。風(fēng)險評估應(yīng)定期進行����,以應(yīng)對可能影響風(fēng)險評估結(jié)果的任何變化�。
四���、選擇控制措施
一旦安全要求和風(fēng)險已被識別并已做出風(fēng)險處理決定����,則應(yīng)選擇并實現(xiàn)合適的控制措施����,以確保風(fēng)險降低到可接受的級別�����?
制措施可以從《信息安全管理實用規(guī)則》或其他控制措施集合中選擇���,或者當(dāng)合適時設(shè)計新的控制措施以滿足特定需求�����。安全
控制措施的選擇依賴于組織所做出的決定��,該決定是基于組織所應(yīng)用的風(fēng)險接受準(zhǔn)則�����、風(fēng)險處理選項和通用的風(fēng)險管理方法�,
同時還要遵守所有相關(guān)的國家和國際法律法規(guī)���������!缎畔踩芾韺嵱靡(guī)則》中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原
則,并且可用于大多數(shù)組織�����。
五�����、信息安全起點
許多控制措施被認為是實現(xiàn)信息安全的良好起點����。它們或者是基于重要的法律要求,或者被認為是信息安全的常用慣例��。從法
律的觀點看,根據(jù)適用的法律���,對某個組織重要的控制措施包括:
a)數(shù)據(jù)保護和個人信息的隱私���;
b)保護組織的記錄;
c)知識產(chǎn)權(quán)��。
被認為是信息安全的常用慣例的控制措施包括:
a)信息安全方針文件����;
b)信息安全職責(zé)的分配;
c)信息安全意識�、教育和培訓(xùn);
d)應(yīng)用中的正確處理����;
e)技術(shù)脆弱性管理;
f)業(yè)務(wù)連續(xù)性管理����;
g)信息安全事故和改進管理。
這些控制措施適用于大多數(shù)組織和環(huán)境��。應(yīng)注意����,雖然《信息安全管理實用規(guī)則》中的所有控制措施都是重要的并且是應(yīng)被考
慮的����,但是應(yīng)根據(jù)某個組織所面臨的特定風(fēng)險來確定任何一種控制措施是否是合適的��。因此����,雖然上述方法被認為是一種良好
的起點���,但它并不能取代基于風(fēng)險評估而選擇的控制措施����。
六��、關(guān)鍵的成功因素
經(jīng)驗表明����,下列因素通常對一個組織成功地實現(xiàn)信息安全來說,十分關(guān)鍵:
a)反映業(yè)務(wù)目標(biāo)的信息安全方針��、目標(biāo)以及活動�����;
b)和組織文化保持一致的實現(xiàn)、保持�����、監(jiān)視和改進信息安全的方法和框架���;
c)來自所有級別管理者的可視化的支持和承諾���;
d)正確理解信息安全要求、風(fēng)險評估和風(fēng)險管理�����;
e)向所有管理人員��、員工和其它方傳達有效的信息安全知識以使他們具備安全意識��;
f)向所有管理人員���、員工和其它方分發(fā)關(guān)于信息安全方針和標(biāo)準(zhǔn)的指導(dǎo)意見��;
g)提供資金以支持信息安全管理活動����;
h)提供適當(dāng)?shù)囊庾R、培訓(xùn)和教育��;
i)建立一個有效的信息安全事故管理過程��;
j)實現(xiàn)一個測量系統(tǒng)���,它可用來評價信息安全管理的執(zhí)行情況和反饋的改進建議。
七�、為什么需要信息安全?
信息及其支持過程����、系統(tǒng)和網(wǎng)絡(luò)都是重要的業(yè)務(wù)資產(chǎn)。定義��、實現(xiàn)�����、保持和改進信息安全對保持競爭優(yōu)勢��、現(xiàn)金周轉(zhuǎn)��、贏利、
守法和商業(yè)形象可能是至關(guān)重要的��。各組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨來自各個方面的安全威脅���,包括計算機輔助欺詐��、間諜活
動����、惡意破壞�����、毀壞行為����、火災(zāi)或洪水。諸如惡意代碼���、計算機黑客搗亂和拒絕服務(wù)攻擊等導(dǎo)致破壞的安全威脅���,已經(jīng)變得更
加普遍、更有野心和日益復(fù)雜�。信息安全對于公共和專用兩部分的業(yè)務(wù)以及保護關(guān)鍵基礎(chǔ)設(shè)施是非常重要的�。在這兩部分中信
息安全都將作為一個使動者�����,例如實現(xiàn)電子政務(wù)或電子商務(wù)���,避免或減少相關(guān)風(fēng)險���。公共網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的互連、信息資源的
共享都增加了實現(xiàn)訪問控制的難度��。分布式計算的趨勢也削弱了集中的���、專門控制的有效性。許多信息系統(tǒng)并沒有被設(shè)計成是
安全的�。通過技術(shù)手段可獲得的安全性是有限的,應(yīng)該通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持����。確定哪些控制措施要實施到位需要仔
細規(guī)劃并注意細節(jié)。信息安全管理至少需要該組織內(nèi)的所有員工參與����,還可能要求利益相關(guān)人�����、供應(yīng)商�����、第三方�、顧客或其他
外部團體的參與��。外部組織的顧問��、專家建議可能也是需要的�。
很多企業(yè)是基于以下原因或要求來實施ISO 27001信息安全管理體系的:
1.客戶要求:絕大部分跨國公司或大型企業(yè)為了專注于核心業(yè)務(wù),會將其部分不占優(yōu)勢的商業(yè)流程外包給專業(yè)公司來做(或自
己成立獨立于核心業(yè)務(wù)的專業(yè)公司來做�����,屬于內(nèi)部供方的概念���,業(yè)務(wù)����、財務(wù)等獨立核算),其首先關(guān)心的是質(zhì)量和成本�����,然后
就是外包方(供方)如何保證其信息和信息資產(chǎn)的安全���,會明示或隱含要求其外包方建立和實施信息安全管理體系��,甚至通過
第三方的認證�,目前這仍然是企業(yè)通過ISO 27001第三方認證的主要原因�����!
2.監(jiān)管要求:很多企業(yè)由于是上市公司或準(zhǔn)備上市��,各國上市監(jiān)管機構(gòu)都有內(nèi)控及合規(guī)性的要求����,信息安全是內(nèi)控的主要要求
之一����,尤其是美國、日本和歐洲��,雖然沒有明確要求通過ISO 27001的第三方認證���,但是作為上市機構(gòu)的相關(guān)組織通過第三方
的認證更有說服力��!
3.企業(yè)只身要求:
保護企業(yè)的知識產(chǎn)權(quán)�、商標(biāo)、商業(yè)流程�����、競爭優(yōu)勢���;
維護企業(yè)的聲譽����、品牌和客戶信任�;
減少可能潛在的風(fēng)險隱患,減少信息系統(tǒng)故障����、人員流失帶來的經(jīng)濟損失;
強化員工的信息安全意識���,規(guī)范組織信息安全行為�;
在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度��;
業(yè)務(wù)連續(xù)性(BCM)的要求����。
