信息安全發展至今,人們越來越認識到安全管理在整個信息安全建設過程中的重要性,而作為信息安全管理方面最著名的國際標準——iso27001(即之前所稱的BS7799標準),則成為可以指導我們現實工作的最好的參照。?
? ? BS7799是英國標準協會(British Standards Institute,BSI)于1995年2月制定的信息安全管理標準,分兩個部分,其第一部分于2000年被iso組織采納,正式成為iso/IEC 17799標準。該標準2005年經過最新改版,發展成為iso/IEC 17799:2005標準。BS7799標準的第二部分經過長時間討論修訂,也于2005年成為正式的iso標準,即iso/IEC 27001:2005。
? ? iso27000標準(即BS7799第一部分),是信息安全管理實施細則(Code of Practice for Information Security Management),其中包含11個主題,定義了133個安全控制。iso17799:2005中的11個主題分別是:
? ? ? ◆ ?安全策略(Security policy);
? ? ? ◆ ?信息安全組織(Organization of information security);
? ? ? ◆ ?資產管理(Asset management);
? ? ? ◆ ?人力資源安全 (Human resource security);
? ? ? ◆ ?物理和環境安全(Physical and environmental security);
? ? ? ◆ ?通信和操作管理(Communication and operation management);
? ? ? ◆ ? 訪問控制(Access control);
? ? ? ◆ ?信息系統獲取、開發和維護(Information systems acquisition, development and maintenance);
? ? ? ◆ ?信息安全事件管理(Information security incident management);
? ? ? ◆ ?業務連續性管理(Business continuity management);
? ? ? ◆ ?符合性(Compliance)。
? ? ? iso27001:2005標準,是建立信息安全管理體系(ISMS)的一套規范(Specification for Information Security Management Systems),其中詳細說明了建立、實施和維護信息安全管理體系的要求,指出實施機構應該遵循的風險評估標準,當然,如果要得到BSI最終的認證(對依據iso27001建立的ISMS進行認證),還有一系列相應的注冊認證過程。作為一套管理標準,iso27001指導相關人員怎樣去應用iso/IEC 17799,其最終目的,還在于建立適合企業需要的信息安全管理體系。
?標準的起源和發展
? ? 信息安全管理實用規則iso/IEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分:
? ? BS7799-1,信息安全管理實施規則
? ? BS7799-2,信息安全管理體系規范。
? ? 第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
? ? 2000年,國際標準化組織(iso)在BS7799-1的基礎上制定通過了iso 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。iso組織在2005年對iso 17799再次修訂,BS7799-2也于2005年被采用為iso27001:2005。
標準的主要內容
? ? iso/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎,并為組織之間的交往提供信任。
? ? 標準指出“象其他重要業務資產一樣,信息也是一種資產”。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。
? ? 信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制,以確保滿足該組織的特定安全目標。
? ? iso/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(iso)在2005年對iso 17799進行了修訂,修訂后的標準作為iso 27000標準族的第一部分——iso/IEC 27001,新標準去掉9點控制措施,新增17點控制措施,并重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;并修改了部分控制措施措辭。修改后的標準包括11個章節:
? ? 1)安全策略
? ? 2)信息安全的組織
? ? 3)資產管理
? ? 4)人力資源安全
? ? 5)物理和環境安全
? ? 6)通信和操作管理
? ? 7)訪問控制
? ? 8)系統系統采集、開發和維護
? ? 9)信息安全事故管理
? ? 10)業務連續性管理
? ? 11)符合性?
上一篇:ISO 27000 認證流程
下一篇:返回列表
掃描二維碼
關注微信公眾平臺
吉ICP備17007485號
