1. ISMS概述 ................................................................................................................................ 2
1.1 什么是ISMS ............................................................................................................ 2 1.2 为什么需要ISMS .................................................................................................... 3 1.3 如何建立ISMS ........................................................................................................ 5 2. ISMS标准 .............................................................................................................................. 10
2.1 ISMS标准体系-ISO/IEC27000族简介 .............................................................. 10 2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍 ........................................... 14 2.3 信息安全管理体系要求-ISO/IEC27001:2005介绍 ........................................... 18 3. ISMS认证 .............................................................................................................................. 22
3.1 什么是ISMS认证 ................................................................................................. 22 3.2 为什么要进行ISMS认证 ..................................................................................... 22 3.3 ISMS认证适合何种类型的组织........................................................................... 23 3.4 全球ISMS认证状况及发展趋势.......................................................................... 24 3.5 如何建设ISMS并取得认证 ................................................................................. 29
1. ISMS概述
1.1 什么是ISMS
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系 要求)的第3章术语和定义中,对ISMS的定义如下:
ISMS(信息安全管理体系):是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。
ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
单纯从定义理解,可能无法立即掌握ISMS的实质,我们可以把ISMS理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括ISMS管理机构、ISMS文件以及资源等,ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。
1.2 为什么需要ISMS
今天,我们已经身处信息时代,在这个时代,“计算机和网络”已经成为组织重要的生产工具,“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。
可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势:
2005年6月19日,万事达公司宣布,储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售,每条100美元,并可能被用于金融欺诈活动。
2005年5月19日,深圳市中级人民法院对华为公司诉其前员工案作出终审判决,维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工,因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英,最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。
2005年7月12日下午2时35分,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修,至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。
2006年5月8日上午8时左右,中国工程院院士,著名的传染病学专家钟南山在上班的路上,被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟
院士说“一个科技工作者的作品、心血都在电脑里面,电脑里还存着正在研制的新药方案,要是这个研究方案变成一种新药,那是几个亿的价值啊”。
(以上案例均来自互联网)
这几个案例仅仅是冰山一角,打开电视、翻翻报纸、浏览一下互联网,类似这样的事件几乎每天都在发生。从这些案例可以看出,信息资产一旦遭到破坏,将给组织带来直接的经济损失、损害组织的声誉和公众形象,使组织丧失市场机会和竞争力,更为甚者,会威胁到组织的生存。
因此,保护信息资产,解决信息安全问题,已经成为组织必须考虑的问题。 信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,如防病毒、防火墙、入侵检测、隐患扫描等,仍然无法避免一些信息安全事件的发生,组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题,信息安全成本和效益的平衡问题,信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。
人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月,国际标准化组织发布一个信息安全管理的标准-ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management)”,2005年6月,国际标准化组织对该标准进行了修订,颁布了ISO/IEC17799:2005(现已更名为ISO/IEC27002:2005),10月,又发布了ISO/IEC27001:2005“信息安全管理体系要求(Information Security Management System Requirement)”。
自此,ISMS在国际上确立并发展起来。今天,ISMS已经成为信息安全领域的一个热门话题。
1.3 如何建立ISMS
组织的业务目标和信息安全要求紧密相关。实际上,任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此,如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005 ISMS,已成为时代的需要。
从简单分析ISO/IEC 27001:2005标准的要求入手,下面的内容论述了建立一个符合标准要求的ISMS的要点。
1.3.1 正确理解ISMS的含义和要素
ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001:2005标准的要求之后,才有可能建立一个符合要求的完善的ISMS。
ISMS的含义
在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系)和EMS(环境管理体系)等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组成部分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。
ISMS的要素
标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。我们将其归纳后,ISMS的要素要包括:
1) 信息安全管理机构
通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。 2) ISMS文件
包括ISMS方针、过程、程序和其它必须的文件等。 3) 资源
包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。 ISMS的建立要确保这些ISMS要素得到满足。
1.3.2 建立信息安全管理机构
1) 信息安全管理机构的名称
标准没有规定信息安全管理机构的名称,因此名称并不重要。从目前的情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如QMS和EMS等。因此,最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构,实行一元化领导。 2) 信息安全管理机构的级别
信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看,对于中等以上规模的组织,最好设立三个不同级别的信息安全管理机构:
a) 高层:以总经理或管理者代表为领导,确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。
b) 中层:负责该组织日常信息安全的管理与监督活动。
c) 基层:基层部门指定一位兼职的信息安全检查员,实施对其本部门的日常信息安全监视和检查工作。
1.3.3 执行标准要求的ISMS建立过程
按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的要求,建立ISMS的步骤包括:
1) 定义ISMS的范围和边界,形成ISMS的范围文件;
2) 定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件; 3) 定义组织的风险评估方法;
4) 识别要保护的信息资产的风险,包括识别:
a) 资产及其责任人; b)资产所面临的威胁; c) 组织的脆弱点;
d)资产保密性、完整性和可用性的丧失造成的影响。
5) 分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息
资产清单;
6) 识别和评价风险处理的可选措施,形成《风险处理计划》文件; 7) 根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文
件;
8) 管理者正式批准所有残余风险; 9) 管理者授权ISMS的实施和运行; 10) 准备适用性声明。
1.3.4 完成所需要的ISMS文件
ISMS文件是ISMS的主要要素,既要与ISO/IEC 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是ISO/IEC 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准-ISO/IEC 27001:2005,但必须按照ISMS文件的要求执行工作。
(1) ISMS文件的类型
根据ISO/IEC 27001:2005标准的要求,ISMS文件有三种类型。 1) 方针类文件(Policies)
方针是政策、原则和规章。主要是方向和路线上的问题,包括: a) ISMS方针(ISMS policy);
b)信息安全方针(information security policy)。
2) 程序类文件(Procedures) 3) 记录(Records)
记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。 4) 适用性声明文件(Statement of Applicability, 简称SOA)
ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施ISMS的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。 (2) 必须的文件
“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容:
1) ISMS方针
ISMS方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。 2) ISMS的范围
3) 支持ISMS的程序和控制措施; 4) 风险评估方法的描述; 5) 风险评估报告; 6) 风险处理计划;
7) 控制措施有效性的测量程序; 8) 本标准所要求的记录; 9) 适用性声明。 (3) 可选的文件
除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的可选的
文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于:
1) 组织的业务活动及风险; 2) 安全要求的严格程度; 3) 管理的体系的范围和复杂程度。
这里,需要特别提出的是,ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何,通常可根据风险评估决定。如果风险评估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。
(4) 文件的符合性
ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此:
1) 参考相关法律法规要求和标准要求
在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写ISMS方针时,要参考ISO/IEC 27001 “4.2.1b) 定义ISMS方针”;编写适用性声明时,要参考ISO/IEC 27001 “4.2.1 j) 准备适用性声明”;编写文件控制程序时,要参考ISO/IEC 27001 “4.3.2文件控制”等等。
2) 将本组织的最好实践形成文件
为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。 3) 保持一致性
a) 同一个文件中,上下文不能有不一致或矛盾的地方 b) 同一个体系的不同文件之间不能有矛盾的地方 c) 不同体系的文件之间不能有不一致的地方
如果组织同时运行多个管理体系,例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。此外,在文字的表达上,应准确,无二义。
2. ISMS标准
2.1 ISMS标准体系-ISO/IEC27000族简介
ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题,按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。
ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划,该系列标准的序号已经预留到27019,其中将27000~27009留给ISMS基本标准,27010~27019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。
2.1.1 ISMS国际标准化组织
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 信息技术委员会/安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织,我国是该组织的P成员国。ISO/IEC JTC1/SC27成立后设有三个工作组:
WG1:需求、安全服务及指南工作组 WG2:安全技术与机制工作组
WG3:信息系统、部件和产品相关的安全评估准则工作组 在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上,通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案,将原来的三个工作组调整为现在五个工作组:
WG1:ISMS标准工作组 WG2:安全技术与机制工作组
WG3:信息系统、部件和产品相关的安全评估准则工作组 WG4:安全控制与服务工作组
WG5:身份管理与隐私保护技术工作组
SC27组织机构的这次调整,专门将WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南,充分体现了ISMS的发展在全球范围内受到高度重视。
2.1.2 已经发布的ISMS标准-ISO/IEC27001和ISO/IEC27002
目前国际标准化组织已经正式发布的ISMS国际标准有两个:ISO/IEC27001和ISO/IEC27002,它们是ISMS的核心标准。
ISO/IEC27001:2005:信息安全管理体系要求
Information technology-Security techniques-Information security management systems-Requirements
ISO/IEC27002:2005:信息安全管理实用规则
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样,是ISMS的要求标准,内容共分8章和3个附录,其中附录A中的内容直接引用并与ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005适用于所有类型的组织(如企事业单位、政府机关等)。它从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001:2005是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。
ISO/IEC17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799:2005,原来版本同时废止。ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。
根据今年召开的第18届SC27全体会议决议,将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。
2.1.3 ISMS标准的类型
根据ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards 管理体系标准合理性和制定导则)和ISO/IEC的相
关导则,ISO/IEC JTC1/SC27/WG1将ISMS标准分为4类:
Type A – Vocabulary Standard A类-词汇标准 Type B – Requirements Standard B类-要求标准 Type C – Guidelines Standard C类-指南标准 Type D – Related Standard D类-相关标准
A类-词汇标准:主要提供标准族中所有标准所涉及的基础信息,包括通用术语、基本原则等内容。ISO/IEC27000同ISO 9000(质量管理体系 基础和术语)类似,属于此类标准。
B类-要求标准:主要提供管理体系的相关规范,它能够使一个组织证明其满足内部和外部要求的能力。ISO/IEC27001同ISO 9001(质量管理体系 要求)、ISO 14001(环境管理体系 规范及使用指南)、OHSAS 18001(职业健康安全管理体系 规范)等标准一样,属于此类标准。
C类-指南标准:此类标准目的是为一个组织实施要求标准提供相关的指南,ISO/IEC27002、ISO/IEC27003等同ISO 9004(质量管理体系 业绩改进指南)、ISO 14004(环境管理体系 原则、体系和支持技术通用指南)、OHSMS 18002(职业健康安全管理体系 指南)等标准一样,属于此类标准。
D类-相关标准:此类标准严格说不是管理体系标准族中的标准,他们主要提供关于特定方面或相关支持技术的进一步的指导,此类标准一般独立开发,与要求类标准和指南类标准无明显的关联。ISO/IEC27006同ISO19011(质量和环境管理体系审核指南)等标准一样属于此类。
2.1.4 制订中的ISO/IEC27000系列标准介绍
截至2006年5月18日,ISO/IEC JTC1/SC27/WG1正在制定中的标准包括5个,分别是:
ISO/IEC 27000
ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。
ISO/IEC 27000目前处于WD(工作组草案)阶段,正在SC27内研究并征求意见。
ISO/IE 27003
ISO/IEC27003(Information security management system implementation guidance 信息安全管理体系实施指南),属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息,使用者主要为组织内负责实施ISMS的人员。
该标准给出了ISMS实施的关键成功因素,实施过程依照ISO/IEC27001要求的PDCA模型进行,并进一步介绍了各个阶段的活动内容及详细实施指南。
ISO/IEC 27003目前也处在WD阶段,正在SC27内研究并征求意见。
ISO/IEC 27004
ISO/IEC27004(Information security management measurements 信息安全管理测量),属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。
该标准将测量分为两个类别:有效性测量和过程测量,列出了多种测量方法,例如调查问卷、观察、知识评估、检查、二次执行、测试(包括设计测试和运行测试)以及抽样等。
该标准定义了ISMS的测量过程:首先要实施ISMS的测量,应定义选择测量措施,同时确定测量的对象和验证准则,形成测量计划;实施ISMS测量的过程中,应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展;在ISMS的检查和处置阶段,也应对测量措施加以改进,这就要求首
先定义测量过程的评价准则,对测量过程加以监控,并定期实施评审。
目前该标准已经处于CD(委员会草案)阶段,预计将于2008年完成。
ISO/IEC 27005
ISO/IEC27005(Information security risk management 信息安全风险管理),属于C类标准。该标准给出了信息安全风险管理的指南,其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。
该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱性以及风险评估的方法,并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。
目前该标准处于Final CD(最终委员会草案)阶段。
ISO/IEC 27006
ISO/IEC27005(Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理体系认证机构的认可要求),属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。
目前该标准处于Final CD(最终委员会草案)阶段。
2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍
ISO/IEC27002是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一(当时称之为ISO/IEC17799,2007年4月正式更名为ISO/IEC 27002)。它从信息安全的诸多方面,总结了一百多项信息安全控制措施,并给出了详细的实施指南,为组织采取控制措施、实现信息安全目标提供了选择,是信息安全的
最佳实践。
2.2.1 ISO/IEC27002的由来
组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基础上,英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版,2000年12月被采纳成为国际标准,即ISO/IEC17799:2000。2005年6月15日,该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC 27002。
同时伴随着ISO/IEC27002发展的还有另一个标准,即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年修订后发布1999版。2000年12月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。2005年10月,这个标准被采纳成为国际标准ISO/IEC27001:2005。
2.2.2 ISO/IEC27002的范围
ISOS/IEC27002为组织实施信息安全管理提供建议,供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施,组织应考虑本国的法律法规
以及组织的实际情况来选择使用。参照本标准,组织可以开发自己的信息安全准则和有效的安全管理方法,并提供不同组织间的信任。
2.2.3 ISO/IEC27002的主要内容
ISO/IEC27002:2005是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的最佳实践。
标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便标准的用户使用。
值得注意的是,标准中推荐的这133个控制措施,并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。
从内容和机构上看,可以将标准分为四个部分: 一、引言部分。
主要介绍了信息安全的基础知识,包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。
二、标准的通用要素部分(1~3章)。
第1章是标准的范围,给出了该标准的内容概述、用途及目标。第2章是术语和定义,介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。
三、风险评估和处理部分。
该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。 四、控制措施部分(5~15章)。
这是标准的主体部分,包括11个控制措施章节,分别是: 5 安全方针(控制目标:1个,控制措施: 2个) 6 信息安全组织(控制目标:2个,控制措施:11个) 7 资产管理(控制目标:2个,控制措施: 5个) 8 人力资源安全(控制目标:3个,控制措施:9个)
9 物理和环境安全(控制目标:2个,控制措施:13个) 10 通信和操作管理(控制目标:10个,控制措施:32个) 11 访问控制(控制目标:7个,控制措施:25个)
12 信息系统获取、开发和维护(控制目标:6个,控制措施:16个) 13 信息安全事件管理(控制目标:2个,控制措施:5个) 14 业务连续性管理(控制目标:1个,控制措施: 5个) 15符合性(控制目标:3个,控制措施:10个)
2.2.4 ISO/IEC27002的使用说明
ISO/IEC27002:2005作为信息安全管理的最佳实践,它的应用既有专用性的特点,也有通用性特点。
说它具有专用性,是因为作为信息安全管理体系标准族(ISMS标准)中的一员,目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的,ISO/IEC27001:2005中的规范性附录A就是ISO/IEC27002:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织,应根据ISO/IEC27001:2005的要求,选择ISMS范围,制定信息安全方针和目标, 实施风险评估,根据风险评估的结果,选择控制目标和控制措施,制定和实施风险处理计划,执行内部审核和管理评审,以持续改进。
ISO/IEC27002:2005的通用性,体现在标准中提出的控制措施是从信息安全工作实践中总结出来的,是最佳实践。任何规模、任何性质的有信息安全要求的组织,不管其是否建设ISMS,都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。
另外,ISO/IEC27002:2005中提出的控制目标和控制措施,对一个具体的组织并不一定全部适用,也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC27002:2005以外的控制目标和控制措施。
2.2.5 我国采用ISO/IEC17799情况的说明
我国政府主管部门十分重视信息安全管理国家标准的制定。2002年,全国信息安全标准化技术委员会(www.tc260.org.cn)成立之初,其第七工作组(WG7)就开始了ISO/IEC17799的研究和制标工作。2005年6月15日,我国发布了国
家标准“GB/T19716-2005信息安全管理实用规则”,修改采用ISO/IEC17799:2000。
2006年,根据ISMS国际标准的发展和我国的实际需要,全国信息安全标准化技术委员会又提出了GB/T19716-2005的修订计划和对应ISO/IEC27001:2005等相关ISMS标准的制定和研究计划。相信不久,对应最新ISMS国际标准的国家标准就会发布,以供大家遵照使用。
2.3 信息安全管理体系要求-ISO/IEC27001:2005介绍
2.3.1 发展:一个重要的里程碑
ISO/IEC 27001:2005的名称是 “Information technology- Security techniques-Information security management systems-requirements ”,可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。
在ISO/IEC 27001:2005标准出现之前,组织只能按照英国标准研究院(British Standard Institute,简称BSI)的BS 7799-2:2002标准,进行认证。现在,组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步:从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。
2.3.2 目的:认证
ISO/IEC 27001:2005标准设计用于认证目的,它可帮助组织建立和维护ISMS。标准的4 - 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4 - 8章的所有要求,那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核(初审)后,其结果是符合ISO/IEC 27001:2005的要求,那么它就会颁发ISMS证书,声明该组织的ISMS符合ISO/IEC 27001:2005标准的要求。
然而,ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准(质量管理体系标准)不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 - 8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足,就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下,ISO/IEC 9001:2002标准的第7章的某些要求(或条款),只要合理,可允许其质量管理体系(QMS)作适当删减。
因此,不管是第一方审核、第二方审核,还是第三方审核,评估组织的ISMS对ISO/IEC 27001:2005标准的符合性是十分严格的。
2.3.3 特点:信息资产风险评估
ISO/IEC 27001:2005标准适用于所有类型的组织,而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说,该标准要求组织通过业务风险评估的方法,来建立、实施、运行、监视、评审、保持和改进其ISMS,确保其信息资产的保密性、可用性和完整性。
(1) 信息资产
ISO/IEC 27001:2005所指“信息”可包括所有形式的数据、文件、通信件(如email和传真等)、交谈(如电话等)、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的,以任何方式存储的信息。通常,系统(如信息系统和数据库等)也可作为一类信息资产。
(2) 安全风险
组织的信息资产可面临许多威胁,包括人员(内部人员和外人员)误操作 (不管有意的,还是无意的)、盗窃、恶意代码和自然灾害等。
另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏,而使其造成损失,包括经济损失、公司形象损失和顾客信心损失等。
(3) 风险评估与处理
ISO/IEC 27001:2005标准要求组织利用风险评估的方法,确定每一个关键信息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,减缓风险。
风险评估和风险处理是ISO/IEC 27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系,要进行信息资产风险评估和风险处理。其主要过程是:
1) 制定组织的ISMS方针和风险接受准则; 2) 定义组织的风险评估方法;
3) 识别要保护的信息资产,并进行登记;
4) 识别安全风险,包括识别资产所面临的威胁、组织的脆弱点和造成的影响
等;
5) 对照组织的风险接受准则,评价和确定已估算的风险的严重性、可否接受; 6) 形成风险评估报告;
7) 制定风险处理计划,选择风险控制措施;
标准明确规定,有4种风险处理方法:采用适当的控制措施、接受风险、避免风险和转移风险;
8) 执行风险处理计划,将风险降低到可接受的级别。
从理论上,风险只能降低(或减少),而不能完全消除。选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护,将其所受的风险降低到可接受的水准,又能使所需要的费用在该组织的预算范围之内,使该组织能够保持良好的竞争力和成功运作的状态。
另外,风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行。
2.3.4 要求:基于过程
(1) “PDCA”过程
图1 ISMS“PDCA”过程周期
规划Plan 建立ISMS 相关方 实施 实施和 Do 运行ISMS 处置改进ISMS Act 保持和 相关方 信息安全要求和期望 监视和 评审ISMS 受控的信息安全 检查Check 国际标准化组织(ISO)使用Plan-Do-Check-Act (即计划-实施-检查-纠正)过程模型组织ISO/IEC 27001:2005标准。这个标准4 - 8章规定了ISMS的建立、实
施与运行、监督与评审、维护与改进所要遵循的活动(过程),并形成一个周期,称“PDCA”周期,如图1 (2)
过程方法
过程是指使用资源把输入转为输出的一组活动。更通俗地说,过程就是将原料(输入)加工成产品(输出)的工作(活动)。输入之所以能转为输出是因为开展了某些工作或活动。
ISO/IEC 27001:2005标准4 - 8章规定了一组ISMS过程。该标准也要求组织使用“过程方法”来管理和控制其ISMS过程。即:
1) 组织必须对应4 - 8章的相应要求,建立其实际的ISMS过程; 2) 组织的ISMS需按“过程方法”进行管理和控制。
这意味着组织的ISMS要包含有许多符合该标准4 - 8章规定的、相互协调的过程。通常,一个过程的输出便是另一个过程的输入。通过这些输出和输入把各个ISMS过程“粘”在一起,而形成一个相互依赖的统一整体。
标准还规定,某些ISMS过程要用形成文件的程序加以控制。 (3) 过程要求
ISO/IEC 27001:2005标准4 - 8章规定了一组ISMS过程。因此,从另一个角度,ISO/IEC 27001:2005标准的要求就是过程要求。组织的ISMS必要满足这些过程要求。
注:与ISO/IEC 27001:2005正文内容不同,ISO/IEC 27001:2005附录A的内容属于控制要求。
3. ISMS认证
3.1 什么是ISMS认证
所谓认证,即由可以充分信任的第三方认证机构依据特定的审核准则,按照规定的程序和方法对受审核方实施审核,以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。
针对ISO/IEC 27001的受认可的认证,是对组织ISMS符合ISO/IEC 27001 要求的一种认证。这是一种通过权威的第三方审核之后提供的保证:受认证的组织实施了ISMS,并且符合ISO/IEC 27001标准的要求。通过认证的组织,将会被注册登记。
3.2 为什么要进行ISMS认证
根据CSI/FBI的Computer Crime and Security Survey2005中的统计, 65%的组织至少发生了一次信息安全事故,而在这份报告中同时表明有97%的组织部署了防火墙,96%组织部署了杀毒软件。可见,我们的信息安全手段并不奏效,
信息安全现状不容乐观。
实际上,只有在宏观层次上实施了良好的信息安全管理,即采用国际上公认的最佳实践或规则集等,才能使微观层次上的安全,如物理措施等,实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。
1) 预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受
到与其价值相符的保护,包括防范:
重要的商业秘密信息的泄漏、丢失、篡改和不可用; 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
2) 节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,
而且也能帮助组织合理筹划信息安全费用支出,包括:
依据信息资产的风险级别,安排安全控制措施的投资优先级; 对于可接受的信息资产的风险,不投资安全控制;
3) 保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,
最大限度的增加投资回报和商业机会; 4) 增强客户、合作伙伴等相关方的信任和信心。
3.3 ISMS认证适合何种类型的组织
ISO/IEC 27001:2005中明确指出,标准中规定的要求是通用的,适用于所有的组织,无论其类型、规模和业务性质怎样。
ISO/IEC 27001:2005可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。
就目前国内发展来看,最先确定实施ISMS 并考虑接受ISO/IEC 27001:2005认证的组织,其驱动力都比较明显,这种驱动力可以是外部的,也可以是发自内部的。这些组织主要集中在以下几个行业:
半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内最近几
年IC 产业发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴于IP(知识产权)保护的重要性,来自国外客户的明确要求,使得国内芯片制造企业必须在信息安全管理方面做出保证,ISO/IEC 27001:2005证书就是最好的选择。
软件外包行业:情况与芯片制造企业类似,近年来,承担软件定制开发
的很多企业,也面临外部客户明确提出的信息保护的要求。
金融业和保险业:一直以来,金融和保险行业对信息安全的重视都是非
常高的,保护客户信息、保证业务运转的可靠性和持续性,这都是此行业组织实施ISMS,并寻求认证的驱动力。
通讯行业:特别是一些大型的通信设备提供商,由于牵涉到对自身核心
技术的保护,对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。
电子商务行业:对于电子商务交易平台、电子商务支付平台,由于客户
以及合作伙伴对交易过程的高度安全需求,导致这类组织都会在信息安全建设方面加大投入建设,全面的信息安全管理体系。
其他行业:只要是涉及到IP 保护、行业规范和法律法规要求、自身发
展需求的,组织都会逐渐在信息安全建设上加强力度,就拿美国Sarbanes-Oxley 法案(萨班斯法案,简称SOX 法案)来说,由于对在SEC 注册的上市公司提出了内部控制审核的要求,相关组织必然会在信息安全方面投入关注,因为信息安全控制是企业内部控制必不可少的一个部分。
3.4 全球ISMS认证状况及发展趋势
3.4.1 全球ISMS证书统计
自2002年以来,全球许多组织开始建立和实施ISMS,并认识到ISMS认证给组织带来的利益。截至Saturday, 06 January 2007,全球通过的ISMS认证的组织已达3274家,其中包括我国大陆的41家(在xisec网站上列出了39个证书的企业名称),台湾112家,香港26家和澳门3家。
各个国家通过ISMS的企业数量如下表所示:
Japan UK
1850* Mexico 334
Spain
11 Slovak Republic 9 South Africa
2 2
India Taiwan Germany Hungary Korea Italy USA China Netherlands Hong Kong Singapore Australia Switzerland Ireland Poland Finland Brazil Malaysia Norway Turkey Austria
290 123 75 52 46 42 42 41 31 29 28 21 19 17 17 15 14 14 14 12 11
Sweden Philippines Iceland UAE Greece Saudi Arabia Kuwait Argentina Canada Croatia France Isle of Man Macau Slovenia Bahrain Belgium Colombia Denmark Indonesia Oman Romania
9 Sri Lanka 8 Thailand 7 Armenia 7 Chile 5 Egypt 5 Lebanon 4 Lithuania 3 Macedonia 3 Moldova 3 Morocco 3 New Zealand 3 Pakistan 3 Peru 3 Qatar 2 Ukraine 2 Uruguay 2 Vietnam 2
2 Relative Total 2 Absolute Total
2 2 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 3287 3274*
Russian Federation 4 Luxemburg
Czech Republic 16 2 Serbia and Montenegro 1
表一:Saturday, 06 January 2007全球ISMS证书数量及分布
(数据来源XISEC)
3.4.2 中国ISMS证书统计
中国大陆地区目前已经取得ISMS认证的企业有44家(xisec网站上只统计了41个证书),大多数都是从去年下半年开始新出现的,详见表二。
在这44个证书中,按位置划分:上海11家;深圳9家;大连6家;北京8家;沈阳 2家;厦门、辽宁、嘉兴、山东、苏州、东莞、广州、四川各1家。
按行业划分:生产业企业有10家;软件开发是10家;通信业有8家; IT服务5家;咨询业3家;电力行业2家;保险业 2家;广告、业务流程外包、数据恢复、互联网各1家。
表二:国内通过ISMS认证的各企业信息如下表所示:
数量 企业名称 位置 大连 所属行业 主营业务 顾问、会计师、审计师、法律 专门制造仿真半导体及双极型内容较高的混合讯号半导体 提供战略咨询、应用服务、技术解决方案及管理外包服务 为客户和政府部门提供多种 IT 系统解决方案,提供适合顾客需1 埃森哲信息技术(大连)有限公司 2 咨询业 生产业 咨询业 上海市先进半导体制造有限公司 毕博信息技术(上海)有限公司 上海 上海 3 4 北京核心软件 北京 软件开发 求的系统集成方案,同时从事软件新产品的研发和软件产品出口工作 5 北京移动通信有限公司数据中心 6 北京中海神鹰科技发展有限公司 北京 通信业 数据中心 主要从事信息化建设以及信息安北京 咨询及开发 全系统的架构、咨询和建设实施,还提供信息技术的应用开发、流程设计和技术服务。 7 博朗软件开发(上海)有限公司 8 北京恒信联邦高科信息技术有限公司 上海 软件开发 软件开发 专门从事计算机软件开发、系统北京 软件开发、系统集集成业务,致力于为各个行业提成 供先进、可靠、完备的电子解决方案。 9 北京电信公司 10 大连华信计算机技术有限公司 北京 通信业 电信运营商 从事计算机应用软件开发、系统大连 软件开发 集成、软件外包服务及IT教育与培训等 11 大连信华信息技术有限公司 大连 软件开发 是以大量的对日商业流程外包( BPO )为主要业务的信息技术公司 12 广东省广博报堂广告有限公司 13 广州 广告公司 广告 为通用电气各业务集团以及其他知名跨国公司提供各种业务流程外包服务,包括金融保险业的交易处理、财务服务、信息技术支持、客户服务中心、员工服务、工业供应链管理等。 简柏特(大连)有限公司 大连 外包 14 GDS万国数据(深圳) 15 广东生益科技股份有限公司 16 广东电信有限公司深圳分公司深圳龙岗互联网数据中心 深圳 东莞市 深圳 数据灾难恢复 生产业 通信业 数据灾难恢复 生产销售敷铜板和粘结片等产品 数据中心 数量 企业名称 位置 苏州 山东 深圳 所属行业 生产业 电力行业 通信业 主营业务 雄厚外资的先进晶圆专工企业 山东电网主力发电厂 业务涵盖移动、宽带、IP、光网络、电信增值业务和终端等领域 计算机软、硬件产品的开发与销17 和舰科技(苏州)有限公司 18 山东黄岛电厂 19 深圳市华为技术有限公司 20 益德穿梭科技(大连)有限公司 大连 软件硬件开发 售,国内外客户的计算机软件项目的承包,计算机数据处理,技术咨询。 21 捷智半导体(上海)有限公司 22 浙江嘉兴电力局 23 川崎重工(大连)科技开发有限公司 24 深圳市金德精密五金有限公司 上海 嘉兴 大连 生产业 电力行业 IT服务 半导体 提供IT服务,包括系统监视运行等更广泛的解决方案及技术服务 主要从事打印机、复印机、电脑深圳 生产业 机箱等产品的精密五金配件、五金模具的生产及数控板金加工 25 辽宁移动通信有限公司 26 中国人民财产保险股份有限公司厦门分公司 辽宁 通信业 移动运营商 网上车险、交强险、意外险、家厦门 保险业 财险等投保业务同时提供保险卡注册、电子保单、保单验真、网上支付、免费短信等服务业务 27 深圳平安保险(集团)股份有限公司信息管理中心 以保险为核心的,融证券、信托、深圳 保险业 银行、资产管理、企业年金等多元金融业务 主要生产掩膜版,光电,微电子,28 深圳清溢精密光电有限公司 深圳 生产业 铬版,玻璃菲林,印制线路板,液晶显示器。 29 理光(深圳)工业发展有限公司 深圳 生产业 以生产复印机、传真机、打印机、轻型印刷机及其零部件为主的集计划、设计、生产OA机器一体化的高新技术企业 30 中芯国际集成电路制造(上海)有限公司 31 上海计算机中心 上海 生产业 以专业半导体代工厂的模式进行集成电路生产的特大型高科技企 为上海各行业提供了大量的高性能计算应用服务 半导体芯片 传真机设计、开发、生产、销售和出口基地 电信运营商 上海 上海 上海 上海 IT服务 生产业 生产业 通信业 32 上海华虹NEC电子有限公司 33 上海理光传真机有限公司 34 上海电信有限公司 数量 35 企业名称 沈阳东软软件股份有限公司 位置 沈阳 沈阳 四川 所属行业 软件开发 IT服务 通信业 主营业务 以软件技术为核心,提供解决方案、数字化产品和服务 核心业务为BPO和IT服务外包 电信运营商 36 沈阳东软信息技术服务有限公司 37 四川省电信有限公司(四川公用信息产业有限责任公司) 38 天嘉信电脑科技(深圳)有限公司 提供TASP、互联网应用系统、深圳 IT服务 内联网应用系统、ERP、EDI、POS、CRM、SCM、OA、MPS、KM、系统集成 39 40 41 深圳中兴通讯股份有限公司 北京软通动力信息技术有限公司 中讯软件集团股份有限公司 深圳 北京 通信业 通信设备制造商及服务提供商 专业IT服务商 从事外包软件开发、技术服务支持等业务,业务涉及证券、金融、保险、通信、流通、电子商务等应用领域 北京 软件 42 东方网 上海 互联网 上海主要新闻媒体和有关企业等10家单位共同投资组建的大型综合性互联网站 43 上海宝信软件股份有限公司 上海 软件 信息化规划及架构咨询、应用软件工程及相关产品、信息安全工程及相关产品、软件出口 44 信息产业部软件与集成电路促进中心 北京 IT服务 负责国家软件与集成电路公共服务平台的建设,为我国软件与集成电路产业和企业发展提供公共、中立、开放的服务 3.4.3 中国政府关注ISMS
2000年4月,北京知识安全中心把ISMS介绍给国信安办(原); 2002年4月,认监委与国信办在中认大厦召开国家ISMS认证认可
高层研讨会;
2002年11月,信安标委WG7开始研究和制定ISMS国家标准; 2004年4月,认监委在其办公大楼会议室召开ISMS认证认可工作
会议;
2005年6月15日,我国发布第一个ISMS国家标准
“GB/T19716-2005信息安全管理实用规则”,该标准修改采用
ISO/IEC17799:2000;
2006年2月,国信办在5个单位开展ISMS标准应用试点工作:国
家税务总局、证监会、北京、上海、武钢;
2006年3月,认监委批准4家ISMS试点认证机构:信产部4所、
华夏认证中心、上海认证中心、赛宝认证中心;
3.4.4 ISMS认证发展趋势
自2002年以来,根据ISMS官方网站陆续公布的数字,全球ISMS证书数量每年都在成倍增长,下图体现了ISMS证书在全球范围快速的趋势。
全球ISMS证书数量2002-20053000250020001500100050001005501100219027592002.22004.22005.22006.22006.7
从这些统计数字可以看出,ISMS做为管理体系家族的一支新秀,正在成为全球企业解决信息安全问题、提高其竞争力的选择。
3.5 如何建设ISMS并取得认证
组织在确定实施ISMS建设及认证项目后,通常有两种途径可以去操作以取得ISMS认证,两种途径各有所长,关键是看组织自身所具备的特点和看问题的角度。
一:组织内部成立专人专项工作组,按照计划自我实施。
适合对象:组织规模不大、业务模式简单、信息系统也不复杂。 优 点:自我实施比较经济快捷。
缺 点:要求组织有胜任的人员,且对信息安全的认识和运作已经达
到了一定高度。
二:选择有实力的咨询机构,帮助组织完成项目。
适合对象:组织规模较大、组织结构相互关联、对IT的依赖广泛,更重
要的是,组织本身对信息安全的意识和运作还处于较低水平,或者发展并不均衡。
优 点:咨询机构会把一些成熟的经验移植过来,以最直接快速的方
式发现组织现有问题并对症下药。此外,有经验的咨询机构和顾问通常都能比较好地把握认证机构的“偏好“和习惯,这一点尤其对最终通过认证尤其重要。一般来说,咨询机构可以在人员培训、全程辅导、后续支持等方面给予组织大力的支持。 缺 点:组织须承担相关的咨询费用。
当然,无论是选择自我实施,还是请外部的咨询机构和顾问,组织都应该知道,实施ISMS 认证项目,必须要有一套行之有效的方法,事先要对整个过程做好计划。
在建设ISMS的方法上,ISO/IEC 27001:2005标准为我们提供了指导性建议,即基于PDCA 的持续改进的管理模式;另一方面,ISMS 实施及认证项目可以借鉴很多成熟的管理体系实施方法,比如ISO9001 、ISO14001 、TS16949 等管理体系。
因篇幅问题不能全部显示,请点此查看更多更全内容