iso27001信息安全管理體系認證 ISO27001信息安全管理體系

信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。

標準的起源和發展

信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：

BS7799-1，信息安全管理實施規則

BS7799-2，信息安全管理體系規范。

第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。

2000年，國際標準化組織（ISO）在BS7799-1的基礎上制定通過了ISO17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

標準的主要內容

ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。

標準指出“象其他重要業務資產一樣，信息也是一種資產”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務受到損害的風險減至最小，使投資回報和業務機會最大。

信息安全是通過實現一組合適控制獲得的?？刂瓶梢允遣呗?、慣例、規程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

起源

隨著在世界范圍內，信息化水平的不斷發展，信息安全逐漸成為人們關注的焦點，世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準，國際標準化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。目前，在信息安全管理方面，英國標準ISO27000:2005已經成為世界上應用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。

ISO27001標準于1993年由英國貿易工業部立項，于1995年英國首次出版BS7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，并且適用于大、中、小組織。

1998年英國公布標準的第二部分《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。BS7799-1與BS7799-2經過修訂于1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。

2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC17799：2000《信息技術-信息安全管理實施細則》。2002年9月5日，BS7799-2:2002草案經過廣泛的討論之后，終于發布成為正式標準，同時BS7799-2:1999被廢止。2004年9月5日，BS7799-2:2002正式發布。

2005年，BS7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC27001:2005.

2005年6月，ISO/IEC17799:2000經過改版，形成了新的ISO/IEC17799:2005，新版本較老版本無論是組織編排還是內容完整性上都有了很大增強和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式發布為ISO/IEC27002:2005，這次更新只是在標準上的號碼，內容并沒有改變。

現在，ISO27000:2005標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對ISO27000:2005標準感興趣iso9001體系認證機構，我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統的管理。截至2002年9月，全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。

發展

2000年，國際標準化組織（ISO）在BS7799-1的基礎上制定通過了ISO17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

ISO27001認證好處

信息安全管理體系標準（ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準，類似于質量管理體系認證的ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一般，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據ISO27001對您的信息安全管理體系進行認證，可以帶來以下幾個好處:

引入信息安全管理體系就可以協調各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。

通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網站和貿易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創造更大收益。

通過認證能保證和證明組織所有的部門對信息安全的承諾。

通過認證可改善全體的業績、消除不信任感。

獲得國際認可的機構的認證證書，可得到國際上的承認，拓展您的業務。

建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。

組織按照ISO27001標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關的審核，獲得認證，將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善，并以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。

通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。

主要內容

標準的主要內容

ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。

標準指出“象其他重要業務資產一樣，信息也是一種資產”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務受到損害的風險減至最小，使投資回報和業務機會最大。

信息安全是通過實現一組合適控制獲得的?？刂瓶梢允遣呗浴T例、規程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

內容章節

ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據適用的法律法規和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO17799進行了修訂，修訂后的標準作為ISO27000標準族的第一部分——ISO/IEC27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯性邏輯性更好，更適合應用；并修改了部分控制措施措辭。修改后的標準包括11個章節：

1）安全策略。指定信息安全方針，為信息安全提供管理指引和支持，并定期評審。

2）信息安全的組織。建立信息安全管理組織體系，在內部開展和控制信息安全的實施。

3）資產管理。核查所有信息資產，做好信息分類，確保信息資產受到適當程度的保護。

4）人力資源安全。確保所有員工，合同方和第三方了解信息安全威脅和相關事宜以及各自的責任，義務，以減少人為差錯，盜竊，欺詐或誤用設施的風險。

5）物理和環境安全。定義安全區域，防止對辦公場所和信息的未授權訪問，破壞和干擾；保護設備的安全，防止信息資產的丟失，損壞或被盜，以及對企業業務的干擾；同時，還要做好一般控制，防止信息和信息處理設施的損壞和被盜。

6）通信和操作管理。制定操作規程和職責，確保信息處理設施的正確和安全操作；建立系統規劃和驗收準則，將系統失效的風險降到最低；防范惡意代碼和移動代碼，保護軟件和信息的完整性；做好信息備份和網絡安全管理，確保信息在網絡中的安全，確保其支持性基礎設施得到保護；建立媒體處置和安全的規程，防止資產損壞和業務活動的中斷；防止信息和軟件在組織之間交換時丟失，修改或誤用。

7）訪問控制。制定訪問控制策略，避免信息系統的非授權訪問，并讓用戶了解其職責和義務，包括網絡訪問控制，操作系統訪問控制，應用系統和信息訪問控制，監視系統訪問和使用，定期檢測未授權的活動；當使用移動辦公和遠程控制時，也要確保信息安全。

8）系統采集、開發和維護。標示系統的安全要求，確保安全成為信息系統的內置部分，控制應用系統的安全，防止應用系統中用戶數據的丟失，被修改或誤用；通過加密手段保護信息的保密性，真實性和完整性；控制對系統文件的訪問，確保系統文檔，源程序代碼的安全；嚴格控制開發和支持過程，維護應用系統軟件和信息安全。

9）信息安全事故管理。報告信息安全事件和弱點，及時采取糾正措施，確保使用持續有效的方法管理信息安全事故，并確保及時修復。

10）業務連續性管理。目的是為減少業務活動的中斷，是關鍵業務過程免收主要故障或天災的影響，并確保及時恢復。

11）符合性。信息系統的設計，操作，使用過程和管理要符合法律法規的要求，符合組織安全方針和標準，還要控制系統審計，使信息審核過程的效力最大化，干擾最小化。

ISO27001的效益

1、通過定義、評估和控制風險，確保經營的持續性和能力

2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任

3、通過遵守國際標準提高企業競爭能力，提升企業形象

4、明確定義所有組織的內部和外部的信息接口目標：謹防數據的誤用和丟失

5、建立安全工具使用方針

6、謹防技術訣竅的丟失

7、在組織內部增強安全意識

8、可作為公共會計審計的證據

認識ISO27001國際標準

ISO27001（BS7799/ISO17799）國際標準究竟是什么？它如何幫助一個組織更加有效地管理信息安全？BS7799/ISO27001和ISO9001之間有什么聯系？初次涉獵信息安全管理領域應該掌握哪些內容，以便組織發起信息安全管理項目？如何獲得BS7799國際標準認證？

IT治理和信息安全

近年來企業高層對內部治理需求越來越實際而具體。隨著信息技術普遍滲透到企業組織中的各個方面，企業越來越依賴IT系統來處理和儲存各種信息，以保證業務正常運營，由此IT系統在企業治理中的作z用越來越明晰，IT治理也逐漸被大多數企業認可，成為董事會和企業內部共同關注的領域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環節實施的前提。

與此同時，和信息安全相關的國際標準已經出臺，成為標準IT治理框架中的一大基石。

信息安全和法律法規

業內人士對ISO27001認證趨之若鶩，這其中有兩個關鍵性的驅動因素：一是日益嚴峻的信息安全威脅，二是不斷增長的信息保護相關法規的需求。

本質上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在因特網的環境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數據安全，包括從外部攻擊行為到內部破壞、偷盜等一系列危險。

過去的十年內，圍繞信息和數據安全問題建立起來的法律法規體系從無到有、不斷壯大，其中包括專門針對個人數據保護問題的，也有針對企業財政、運營和風險管理體系建立的法規保障問題的。一套正式規范的信息安全管理體系應當可以提供最佳實踐部署指導。目前，建立這樣的管理體系逐漸成為諸多合規項目的必要條件，與此同時，針對該管理體系的認證逐漸成為各種組織（包括政府部門）的熱門需求，這份認證可以為他們帶來重要的潛在商業合同。

信息安全和技術

絕大多數人認為信息安全是一個純粹的有關技術的話題，只有那些技術人員，尤其是計算機安全技術人員，才能夠處理任何保障數據和計算機安全的相關事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全專家就可以設計并執行一個技術方案以達成用戶需求。

在組織內部，管理層應當負責決策，而不是IT部門。一個規范的信息安全管理體系必須明確指出，組織機構董事會和管理層應當負責相關信息安全管理體系的決策，同時，這個體系也應當能夠反映這種決策，并且在運行過程中能夠提供證據證明其有效性。

所以機構組織內部的信息安全管理體系的建立項目不必由一個技術專家來領導。事實上，技術專家在很多情況下起到相反的作用，可能會阻礙項目進程。因此，這個項目應該由質量管理經理、總經理或者其他負責機構內部重大職能的執行主管負責主持。

信息安全標準

1995年，英國標準協會（BSI）發布BS7799標準，即ISMS（信息安全管理體系），旨在規范、引導信息安全管理體系的發展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術、任何企業和產品供應商的價值中立的管理體系。只要實施得當，BS7799標準將幫助企業檢查并確認其信息安全管理手段和實施方案的有效性。

從企業外部來看，BS7799關注信息的可用性、機密性和完整性，至今這仍然是這項標準致力達到的目標。BS7799集中關注企業組織層面上的風險規避（一定程度上主要是商業和金融風險），而不包括避免每一個潛在風險的保護措施——盡管它們至關重要。

BS7799最初僅有一份文檔，且具有明顯的實踐指南性質。也就是說，它為組織提供信息安全指引，但沒有形成規范，不能為外部第三方審計和認證等提供依據。隨著越來越多的企業開始認識到來自信息安全的威脅波及范圍越來越廣，影響程度越來越大，并且關于數據和隱私權保護的法律法規不斷出臺，信息安全標準認證的需求開始不斷增加。

這種需求的增加最終促成了該項標準第二部分的出臺，即標準規范。實踐指南和標準規范之間的關系是這樣的：標準規范是認證方案的基礎，同時標準規范要求實踐者遵從實踐指南的指引。

這個實踐指南最近被修訂為ISO/IEC17799：2005，標準規范也被修訂為ISO/IEC27001:2005，逐步得到國際認同。

許多國家也已發布了自己的相關標準，比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可，這促使了本土化標準的消退（除了基于兩個標準號碼基礎上的本土化標準以外）。

認證與遵從

一個組織可以僅遵從ISO17799來建立和發展ISMS（信息安全管理體系），因為實踐指南中的內容是普遍適用的。然而，由于ISO17799并非基于認證框架，它不具備關于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講，這就表明一個正在獨立運用ISO17799的機構組織，完全符合實踐指南的要求，但是這并不足以讓外界認可其已經達到認證框架所制定的認證要求。不同的是，一個正在同時運用ISO27001和ISO17799標準的機構組織，可以建立一個完全符合認證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認同，即獲得認證。

ISO27001認證要求

ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質量管理的經驗舉足輕重。

但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權，才能為認證組織提供認證服務，并發放認證證書。大多數國家都有自己的國家鑒定機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。

風險評估應對計劃

任何一個ISMS體系的建立和開發都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業務模式、運營目標、形象特點和內部文化，他們對待風險的態度傾向也大相徑庭。換句話說，同一個東西，一個機構組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構組織對于既有風險防護的投入也參差不齊?；谝陨匣蛘咂渌?，每個運行ISMS的組織，其內部成員必須對風險評估有一個共識，這個風險評估的方法論、結果發現和推薦解決方式都必須得到董事會的首肯。