信息安全管理是当前全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。BS7799为英国标准协会(The British Standards Institute,Bsi)所推动的信息安全管理标准,它是基于最佳实践的管理体系标准,以风险管理为基础,从11个区域来保障组织的信息安全。其第一部分在2000年12月成为ISO/IEC17799国际标准(信息安全管理指南),第二部分于2005年10月14日正式被采纳为国际标准,编号为ISO27001:2005,全面提供认证服务。
该标准当前已被诸多国家采纳为国家标准,根据ISMS国际使用者协会(IUG)的最新统计,截止2007年12月,已有4000多家公司通过了ISO 27001:2005认证,获得了信息安全管理体系认证证书。
采纳该体系,能缩短自身安全管理体系的试验过程,尽快实施对信息资产的保
护,提升竞争力,增强客户和合作伙伴的信心。
ISO27001的内容包括:十一个控制域,三十九个控制目标,一百三十三个控制措施
十一个控制域:
信息安全方针政策
组织的安全
资产管理
人员的安全
物理及环境的安全
通信与操作管理
访问控制
信息系统的获得、开发与维护
信息安全事件管理
业务持续性管理
合规性
信息安全管理体系(ISMS)的标准,从发行伊始,就不仅仅在英国或者欧洲本土被应用,在亚洲,获得了更为广泛的认知和使用,包括中国在内的很多亚洲国家已经将之采纳为国家标准。以下我们分析ISMS标准的核心监控点,及其对于业务保障的作用信息安全的内涵,包括机密性(confidentiality),完整性(Integrity),可用性(Availability)三个属性,只有这三个属性都能满足业务的需求,信息的安全才算是有所保障。
因此,在考虑信息安全保护时,首先需要根据业务分析在这三个方面的安全需求。
此外由于信息是不能独立存在的,它需要依赖逻辑的载体---应用系统、数据库、操作系统等;需要依赖物理的载体—存储介质、设备、场所和环境等;需要依赖某些特定的服务—网络、基础设施等,以及操作和使用的主体—人。所以,考虑保护信息安全,需要同时考虑保护这些依赖体。
在确定好保护对象之后,就可以考虑保护的方式,ISMS的标准的核心是基于访问控制(Access Control)的,通过对信息及其依赖体的访问进行控制,实现对信息的机密性、完整性和可用性的全面保障。ISMS给出了11个领域133个控制措施。我们从物理安全、操作安全、系统安全、人员安全、事件管理和合规性六个方面来描述标准控制措施的内涵。
采纳了ISO 27001所提供的信息安全管理方案,组织可以从物理安全、操作安全、系统安全、人员安全、事件管理和合规性等几个方面对信息安全提供保障,这样做至少可以有两个方面的益处:一是保护了自己和客户的信息的安全性,防止信息的泄漏、篡改和损毁。二是向相关方,尤其是客户提供了信任的基础。