背景介紹
信息作為組織的重要資產,需要得到妥善保護。但隨著信息技術的高速發展,特別是Internet的問世及網上交易的啟用,許多信息安全的問題也紛紛出現:系統癱瘓、黑客入侵、病毒感染、網頁改寫、客戶資料的流失及公司內部資料的泄露等等。這些已給組織的經營管理、生存甚至國家安全都帶來嚴重的影響。 安全問題所帶來的損失遠大於交易的帳面損失,它可分為三類,包括直接損失、間接損失和法律損失:
直接損失:
丟失訂單,減少直接收入,損失生產率;
間接損失:
恢復成本,競爭力受損,品牌、聲譽受損,負面的公眾影響,失去未來的業務機會,影響股票市值或政治聲譽;
法律損失:
法律、法規的制裁,帶來相關聯的訴訟或追索等。
所以,在享用現代信息系統帶來的快捷、方便的同時,如何充分防範信息的損壞和泄露,已成為當前企業迫切需要解決的問題。
俗話說“三分技術七分管理”。組織普遍採用現代通信、計算機、網路技術來構建組織的信息系統。但大多數組織的最高管理層對信息資產所面臨的威脅的嚴重性認識不足,缺乏明確的信息安全方針、完整的信息安全管理制度、相應的管理措施不到位,如系統的運行、維護、開發等崗位不清,職責不分,存在一人身兼數職的現象。這些都是造成信息安全事件的重要原因。缺乏系統的管理思想也是一個重要的問題。所以,我們需要一個系統的、整體規劃的信息安全管理體系,從預防控制的角度出發,保障組織的信息系統與業務之安全與正常運作。
在信息安全管理體系方面,英國標準BS7799已經成為世界上套用最廣泛與典型的信息安全管理標準。BS7799標準於1993年由英國貿易工業部立項,於1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制範圍的參考基準,並且適用於各種組織。1998年英國公布標準的第二部分BS 7799-2《信息安全管理體系規範》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂於 1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網路和通信領域套用的發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。 2000年12月,BS7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準----- ISO/IEC17799-1:2000《信息技術-信息安全管理實施細則》。2002年9月5日,BS7799-2:2002草案經過廣泛的討論之後, 終於發布成為正式標準,同時BS7799-2:1999被廢止。BS7799標準得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準。2005年11月,ISO27001:2005出版,取代了之前的BS 7799-2:2002,今後,7799系列標準的編號將會發生一定的改變,更改為ISO27001系列。在某些行業如IC和軟體外包,信息安全管理體系認證已成為一些客戶的要求條件之一。
標準特點
注重體系的完整性,是一套科學的信息安全管理體系
以風險評估為基礎
強調對法律法規的符合性
廣泛適用於各類組織
與ISO9000標準有很強的兼容性
認證好處
獲得ISMS認證您將獲得以下好處:
保護企業的智慧財產權、商標、競爭優勢
維護企業的聲譽、品牌和客戶信任
減少可能潛在的風險隱患,減少信息系統故障、人員流失帶來的經濟損失
強化員工的信息安全意識,規範組織信息安全行為
在信息系統受到侵襲時,確保業務持續開展並將損失降到最低程度
適用範圍
BS7799-2 從1998年頒布後,在全世界範圍內得到廣泛的認可。已有40多個國家和地區開展信息安全管理體系的認證。根據ISO/IEC 17799(BS 7799)國際使用者協會的最新統計,到2005年4月,全球通過信息安全管理體系BS 7799-2認證的組織已經超過1200家。
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從獲得認證的企業情況看,較多的是涉及電信、保險、銀行、數據處理中心、IC製造和軟體外包等行業。
實施步驟
(1)系統規劃
系統規劃主要是明確信息安全管理的目標、範圍和政策,並收集和公司信息安全相關的數據、檔案。系統規劃階段應該由一個跨部門的「信息安全委員會」來負責,並且擁有最高管理階層的支持。
(2)風險評估
ISMS的目標是透過系統的安全風險評估確定安全需求,並對實施控制措施的支出與安全事故可能造成的商業損失進行權衡考慮;透過風險評估可以了解風險的權重和等級,以供建立安全控制機制的參考。風險評估的過程包括:
*資產清查、分類與評價
*威脅與脆弱性分析
*對業務需求、法規需求的評估
*評估風險等級
*評估可接受之風險等級
*建議安全控制措施
風險評估的總結報告應該呈現給「信息安全委員會」來評估處理風險的策略(移轉、避免、降低或接受),以及決定開始用的工具和辦法。
(3)風險管理
公司必須就企業需求和法令規章決定可接受風險之臨界等級,並應該依照所決定的風險管理策略規劃和建立控制機制。控制方法可參考BS 7799 - 2 的建議。風險管理的重點在於建立一套循環不斷的Plan-Do-Check-Action 機制,藉由不斷的審核、重新規劃,加強讓公司內的安全等級不斷提升。
(4)頒行推廣
ISMS 是一套不限於IT技術的管理系統,它就像是ISO9001一樣需要全公司員工身體力行方能奏效。在實施的過程中,需要經營管理階層的認知與全力支持,以及 全體員工的共識和配合。教育訓練和不斷的實施活動是必要的,尤其需要定期審核和檢查,以確保系統可以持續不斷的執行。
相關信息安全主要的認證有四種:
中國信息安全產品測評認證中心的認證(針對企業套用)、國家保密局測評認證中心的認證(針對政府涉密網套用)、公安部計算機信息安全產品質量監督檢驗中心(獲得銷售許可)以及中國人民解放軍信息安全測評認證中心(針對軍隊使用)。
認證資質
1、華依防火牆認證
中華人民共和國公安部
<<計算機信息系統安全專用產品銷售許可證>>
中國人民解放軍信息安全測評認證中心
<<軍用信息安全產品認證證書>>
中國國家信息安全測評認證中心
<<國家信息安全認證>>
國家保密局
<<科學技術成果鑑定>>
上海市信息化辦公室
<<軟體企業認定證書>><<軟體產品登記證書>>
2、網路安全物理隔離產品認證
國家保密局監製
公安部計算機信息系統安全專用產品認證
3、軍隊密碼和安全產品認證
中華人民共和國公安部
<<計算機信息系統安全專用產品銷售許可證>>
中國人民解放軍信息安全測評認證中心
<<軍用信息安全產品認證證書>>
4、涉密網路的系統集成認證
國家保密局
<<涉密網路的系統集成認證>>
認證流程
組織應建立符合BS7799-2標準要求的檔案化信息安全管理體系,在申請認證之前應完成內部審核和管理評審,並保證體系的有效、充分運行三個月以上;
組織應向認證機構提供信息安全管理體系運行的充分信息,對於多現場應說明各現場的認證範圍、地址及人員分布等情況,認證機構將以抽樣的方式對多現場進行審核;
組織如要求,可向認證機構提出預審核的申請;
認證分兩個階段進行:第一階段檔案審核,檔案審核可在組織現場或非現場進行;第二階段現場審核;
獲得認證後每年進行一次監督;
當組織的信息安全管理體系出現變化,或出現影響信息安全管理體系符合性的重大變動時,應及時通知認證中心;認證中心將視情況進行監督審核、換證審核或複審以保持證書的有效性;
認證內容
依據國家信息安全管理的法律法規、《認證認可條例》及實施規則,在指定的業務範圍內,對信息安全產品實施認證,並開展信息安全有關的管理體系認證和人員培訓、技術研發等工作。具體包括:
1、在信息安全領域開展產品、管理體系等認證工作;
2、對認證及與認證有關的檢測、檢查、評價人員進行認證標準、程式及相關要求的培訓;
3、對提供信息安全服務的機構、人員進行資質培訓、註冊;
4、開展信息安全認證、檢測技術研究工作;
5、依據法律、法規及授權從事其他相關工作。