定義
信息安全管理體系(Information Security Management System,簡稱ISMS)起源於英國標準協會(British Standards Institution, BSI) 1990年代制定的英國國家標準BS7799,是系統化管理思想在信息安全領域的套用。
隨著國際標準化組織(ISO)和國際電工學會(IEC)聯合將BSI的相關工作轉化為ISMS國際標準(ISO/IEC 27001:2005),ISMS迅速得到全球各類組織的接受和認可,成為世界不同國家和地區、不同類型、不同規模的組織解決信息安全問題的有力武器。ISMS證書也成為組織向其客戶、合作夥伴等各種相關方及社會大眾證明其信息安全能力和水平的標誌。
存在意義
我們已經身處資訊時代,計算機和網路已經成為各類組織不可或缺的工具,信息成為組織賴以生存的重要資產,其價值與日俱增,與此同時也面臨各種各樣、越來越多的安全威脅。病毒破壞、黑客攻擊、網路欺詐、重要信息資料丟失、信息系統癱瘓以及利用計算機網路實施的各種犯罪行為層出不窮、防不勝防。信息資產一旦遭到破壞,將給組織帶來直接的經濟損失,並導致組織的聲譽和公眾形象受到損害,使組織喪失市場機會和競爭力,甚至威脅組織的生存。因此,組織必須解決信息安全問題,有效保護信息資產。
2000年12月,國際標準化組織(ISO)和國際電工學會(IEC)聯合發布第一個信息安全管理國際標準ISO/IEC 17799:2000“信息安全管理實用規則(Code of practice for information security management)”。2005年6月,ISO和IEC對該標準進行修訂,發布ISO/IEC 17799:2005信息安全管理實用規則(為與隨後發布的ISO/IEC 27001:2005相一致,2007年將其改為ISO/IEC 27002:2005)。2005年10月,發布ISO/IEC 27001:2005“信息安全管理體系要求(Information Security Management System Requirements)”。
自此,ISMS在國際上得到正式確立並蓬勃發展。如今ISMS已經成為信息安全領域的熱門話題。基於國際標準ISO/IEC 27001:2005的信息安全管理體系(Information Security Management System, ISMS)是國際上得到公認的先進的信息安全解決方案,已為越來越多的組織所採用。
ISO/IEC 27001:2005根植於PDCA管理體系改善模式,指導組織系統地從133項信息安全控制措施中選擇適合組織自身信息安全要求的控制措施,以幫助組織解決信息安全問題,實現信息安全目標。
為了保障組織信息安全,在計畫(Plan)階段,組織需要進行風險評估以了解組織的信息安全需求,並根據需求設計解決方案;在實施(Do)階段,組織將解決方案付諸實現;在檢查(Check)階段,需要持續監視和審查解決方案的有效性;在措施(Act)階段,對所發現的問題並結合組織內、外部環境的變化予以解決,以持續提升組織的信息安全。
通過螺鏇式的提升過程,組織就能將不斷變化的的信息安全需求和期望轉化為可管理的信息安全實現。
關於認證
ISMS認證
所謂認證,即由可以充分信任的第三方認證機構依據特定的審核准則,按照規定的程式和方法對受審核方實施審核,以證實某一經鑑定的產品或服務符合特定標準或規範性檔案的活動。
針對ISO/IEC 27001的受認可的認證,是對組織的ISMS符合ISO/IEC 27001 要求的一種認證。這是一種通過權威的第三方審核之後提供的保證:受認證的組織實施了ISMS,並且符合ISO/IEC 27001標準的要求。通過認證的組織,將會被註冊登記。
認證意義
根據CSI/FBI的Computer Crime and Security Survey 2005中的統計,65%的組織至少發生了一次信息安全事故,而在這份報告中同時表明有97%的組織部署了防火牆,96%組織部署了防病毒軟體。可見,我們傳統的信息安全技術手段並不奏效,信息安全現狀不容樂觀。
實際上,只有在巨觀層次上實施了良好的信息安全管理,即採用國際上公認的最佳實踐或規則集等,才能使微觀層次上的安全,如物理措施等,實現其恰當的作用。採用ISMS標準並得到認證無疑是組織應該考慮的方案之一。
1、預防信息安全事故,保證組織業務的連續性,使組織的重要信息資產受到與其價值相 符的保護,包括防範:
l 重要的商業秘密信息的泄漏、丟失、篡改和不可用;
l 重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中斷。
2、節省成本。一個好的ISMS不僅可通過避免安全事故而使組織節省成本,而且也能幫助組織合理籌劃信息安全費用支出,包括:
l 依據信息資產的風險級別,安排安全控制措施的投資優先權;
l 對於可接受的信息資產的風險,不投資安全控制。
3、保持組織良好的競爭力和成功運作的狀態,提高在公眾中的形象和聲譽,最大限度的增加投資回報和商業機會,增強客戶、合作夥伴等相關方的信任和信心。
ISMS認證有助於組織節約信息安全成本,增強客戶、合作夥伴等相關方的信心和信任,提高組織的公眾形象和競爭力,有助於管理和保護組織寶貴的信息資產。
4、ISMS認證的適用範圍
ISO/IEC 27001標準適用於所有類型的組織(例如,商業企業、政府機構、非贏利組織)。ISO/IEC 27001從組織的整體業務風險的角度,為建立、實施、運行、監視、評審、保持和改進檔案化的ISMS規定了要求。它規定了為適應不同組織或其部門的需要而定製的安全控制措施的實施要求。任何組織,不論其規模大小,所屬行業或地理位置如何,均可採納ISO/IEC 27001標準。該標準尤其適合對信息安全有較高要求的行業,例如金融、健康、公共事業及IT行業。ISO/IEC 27001對於代表他方管理信息的組織(例如IT外包公司)也十分有效:它可用於使發包方有足夠的信息確信其信息得到接包方的有效保護。
所獲收益
獲得ISO/IEC 27001證書,可以為組織帶來以下收益:
l 證明組織可以獨立保證內部控制,同時符合公司治理和業務連續性要求;
l 充分證明組織遵守適用的法律法規;
l 通過符合契約要求,並向客戶證明它們的信息安全是組織的頭等大事,從而帶來競爭優勢;
l 充分證明組織的風險已得到正確的識別、評估和管理,同時使信息安全流程、程式和文檔得到正式化
l 證明組織的高級管理層在信息維護方面所作的承諾;
l 定期評估過程有助於組織持續監控績效與改進。
註: 如果組織僅聲明遵守ISO/IEC 27001或者業務規範標準ISO/IEC 27002中的建議,將無法實現上述認證收益。
補貼政策
為了鼓勵服務外包企業(ITO,BOP,KPO),從中央到地方各級政府推出一系列針對ISO27001認證的鼓勵政策:
商務部- 服務外包企業 財企[2011]69號--(四)對服務外包企業取得的開發能力成熟度模型集成(CMMI)、開發能力成熟度模型(CMM)、人力資源成熟度模型(PCMM)、信息安全管理(ISO27001/BS7799)、IT服務管理(ISO20000)、服務提供商環境安全性(SAS70)、國際實驗動物評估和認可委員會認證(AAALAC)、優良實驗室規範(GLP)、信息技術基礎架構庫認證(ITIL)、客戶服務中心認證(COPC)、環球同業銀行金融電訊協會認證(SWIFT)、質量管理體系要求(ISO9001)、業務持續性管理標準(BS25999)等相關認證及認證的系列維護、升級給予支持,每個企業每年最多可申報3個認證項目,每個項目不超過50萬元的資金支持。
建立步驟
不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體情況,採取不同的步驟和方法。總體上,建立信息安全管理體系一般要經過下列PDCA四個基本階段:
Plan 信息安全管理體系的策劃與準備;
Do 信息安全管理體系檔案的編制;
Check 信息安全管理體系運行;
Action 信息安全管理體系審核、評審和持續改進。
建構方法
ISMS信息安全管理體系的建構方法
一、要不斷完善ISMS信息安全管理框架體系,一定要按照適當的程式進行相應的管理,不能忽略任何一個環節。
二、要對ISMS信息安全管理框架中的內容進行有效分析,將每一具體環節都落到實處。ISMS信息安全管理體系的落實效果必然會受到各種因素的影響,要綜合全面地進行考慮。
三、要建立和完善ISMS信息安全管理的 相關文檔。
四、要做好信息安全事件的及時記錄,並將信息進行有效地回饋,便於建立有效的信息安全應對機制。