ISO27001 信息安全管理體係

ISO27001谘詢服務的主要內容

金標準長期從事ISO係列國際標準的理論研究、谘詢和培訓服務,積累了豐富的谘詢經驗,積聚了一批專業的谘詢專家隊伍,能夠為各類客戶提供專業的ISO9001、ISO14001、ISO27001等認證谘詢服務。

我公司為企業/組織提供的ISO27001谘詢服務主要包括以下內容:

1. 人員培訓:

(1)信息安全管理意識培訓;

(2)信息安全管理體係內審員培訓;

(3)風險分析評估方法培訓;

(4)信息安全管理體係文件編寫培訓;

(5)信息安全管理體係文件實施培訓;

3. 分析評估:

(1)指導客戶製定係統化的風險評估方法;

(2)指導客戶目標資產進行梳理和識別;

(3)指導客戶對重要資產進行係統、細致的風險評估;

(4)指導客戶對已識別風險進行處理,形成信息安全風險處理計劃;

(5)指導客戶建立必要的風險管理文件和記錄。

4. 建立信息安全管理體係(ISMS):

(1)指導客戶定義信息安全方針和目標,確定信息安全管理體係範圍;

(2)指導客戶確定已評估風險的處置方式,對處置方式定義控製措施和目標;

(3)提供信息安全管理體係適用性聲明書;

(4)指導客戶進行風險處理,將信息安全風險降低到可接受的程度;

(5)提供信息安全管理體係總體方案;

(6)指導客戶建立ISO27001信息安全管理體係,製定《信息安全管理手冊》;

(7)指導客戶編製信息安全管理體係程序及規範;

(8)指導客戶進行信息安全管理體係的試運行。

5. 體係運行、評價:

(1)指導客戶對信息安全管理體係進行內部審核、管理評審;

(2)指導客戶檢查風險處理情況,評估剩餘風險;

(3)根據內審、管理評審結果,衡量體係的有效性;

(4)協助客戶采取適當的預防措施;

(5)體係改進;

6. 認證審核、整改:

(1)指導客戶選擇認證機構

(2)提交認證申請材料;

(3)指導客戶配合認證機構接受審核;

(4)指導客戶對審核機構提出的不符合項進行整改;

(5)對客戶進行對信息安全管理體係的下一步擴展、運行提出建議。

信息安全的內容

網絡技術的發展加速了信息的傳輸和處理,縮短了人們之間的時空距離,方便了交流;同時對信息安全提出了新的挑戰。據統計,全球平均20秒就發生一次計算機病毒入侵;互聯網上的防火牆大約25%被攻破;竊取商業信息的事件平均以每月260%的速度增加;約70%的網絡主管報告了因機密信息泄露而受損失。國與國之間的信息戰問題更是關係到國家的根本安全問題。

信息安全已擴展到了信息的可靠性、可用性、可控性、完整性及不可抵賴性等更新、更深層次的領域。這些領域內的相關技術和理論都是信息安全所要研究的領域。國際標準化組織(ISO)定義信息安全是“在技術上和管理上為數據處理係統建立的安全保護,保護計算機硬件、軟件和數據不因偶然和惡意的原因而遭到破壞、更改和泄露”。

信息安全一般包括實體安全、運行安全、信息安全和管理安全四個方麵的內容。

實體安全是指保護計算機設備、網絡設施以及其他通訊與存儲介質免遭地震、水災、火災、有害氣體和其它環境事故(如電磁汙染等)破壞的措施、過程。

運行安全是指為保障係統功能的安全實現,提供一套安全措施(如風險分析、審計跟蹤、備份與恢複、應急措施)來保護信息處理過程的安全。

信息安全是指防止信息資源的非授權泄露、更改、破壞,或使信息被非法係統辨識、控製和否認。即確保信息的完整性、機密性、可用性和可控性。

管理安全是指通過信息安全相關的法律法令和規章製度以及安全管理手段,確保係統安全生存和運營。

美國國家電信與信息係統安全委員會(NTISSC)主席、美國C3I負責人、前國防部副部長Latham D C認為,信息安全(INFOSEC)應包括以下六個方麵:

1.通信安全(COMSEC)

2.計算機安全(COMPUSEC)

3.符合瞬時電磁脈衝輻射標準(TEMPEST)

4.傳輸安全(TRANSEC)

5.物理安全(Physical Security)

6.人員安全(Personnel Security)

綜上所述,信息安全的主要內容包括:機密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真實性(Authenticity)和有效性(Utility)。

在BS7799中 信息安全主要指信息的機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。即指通過采用計算機軟硬件技術、網絡技術、密鑰技術等安全技術和各種組織管理措施,來保護信息在其生命周期內的產生、傳輸、交換、處理和存儲的各個環節中,信息的機密性、完整性和可用性不被破壞。

機密性是指確保隻有那些被授予特定權限的人才能夠訪問到信息。信息的機密性依據信息被允許訪問對象的多少而不同,所有人員都可以訪問的信息為公開信息,需要限製訪問的信息為敏感信息或秘密信息,根據信息的重要程度和保密要求將信息分為不同密級。例如,軍隊內部文件一般分為秘密、機密和絕密三個等級,已授權用戶根據所授予的操作權限可以對保密信息進行操作。有的用戶隻可以讀取信息,有的用戶既可以進行讀操作有可以進行寫操作。

信息的完整性是指要保證信息和處理方法的正確性和完整性。信息完整性一方麵是指在使用、傳輸、存儲信息的過程中不發生篡改信息、丟失信息、錯誤信息等現象;另一方麵是指信息處理的方法的正確性,執行不正當的操作,有可能造成重要文件的丟失,甚至整個係統的癱瘓。

信息的可用性是指確保那些已被授權的用戶在他們需要的時候,確實可以訪問得到所需要信息。即信息及相關的信息資產在授權人需要的時候,可以立即獲得。例如,通信線路中斷故障、網絡的擁堵會造成信息在一段時間內不可用,影響正常的業務運營,這是信息可用性的破壞。提供信息的係統必須能適當地承受攻擊並在失敗時恢複。

另外還要保證信息的真實性和不可否認性,即組織之間或組織與合作夥伴間的商業交易和信息交換是可信賴的。

ISO27001信息安全標準產生的背景

人類正進入信息化社會,社會發展對信息資源的依賴程度越來越大,從人們日常生活、組織運作到國家管理,信息資源都是不可或缺的重要資源,沒有各種信息的支持,現代社會將不能生存和發展。在信息社會中,一方麵信息已成為人類重要資產,在政治、經濟、軍事、教育、科技、生活等方麵發揮著重要作用,另一方麵計算機技術的迅猛發展而帶來的信息安全問題正變得日益突出。由於信息具有易傳播、易擴散、易毀損的特點,信息資產的比傳統的實物資產更加脆弱,更容易受到損害,使組織在業務運作過程中麵臨大量的風險。其風險主要來源於組織管理、信息係統、信息基礎設施等方麵的固有薄弱環節,以及大量存在於組織內、外的各種威脅,因此對信息係統需要加以嚴格管理和妥善保護。

信息可以理解為消息、情報、數據或知識,它可以以多種形式存在,可以是組織中信息設施中存儲與處理的數據、程序,可以是打印出來的或寫出來的論文、電子郵件、設計圖紙、業務方案,也可以顯示在膠片上或表達在會話中消息。所有的組織都有他們各自處理信息的形式,例如,銀行、保險和信用卡公司都需要處理消費者信息,衛生保健部門需要管理病人信息,政府管理部門存儲機密的和分類信息。無論組織對這些信息采用什麽樣的共享、處理和存儲方式,都需要對敏感信息加以安全、妥善的保護,不僅要保證信息處理和傳輸過程是可靠的、有效的,而且要求重要的敏感信息是機密的、完整的和真實的。為達到這樣的目標,組織必須采取一係列適當的信息安全控製措施才可以使信息避免一係列威脅,保障業務的連續性,最大限度地減少業務的損失,最大限度地獲取投資回報。

在ISO27002中,對信息的定義更確切、具體:“信息是一種資產,像其他重要的業務資產一樣,對組織具有價值,因此需要妥善保護”。通過風險評估與控製,不但能確保企業持續營運,還能減少企業在麵對類似‘911事件’之時出現的危機。

ISO/IEC27001標準是組織進行信息安全管理體係認證的依據,相當於質量管理體係中的ISO9001標準。ISO/IEC27006:2007標準是認證機構獲取認證認可的依據。

ISO/IEC27002標準為組織建立信息安全管理體係提供了39個控製目標和133個控製措施。其他幾個標準提供了信息安全管理體係建立、實施的參考指南。

企業進行ISO27001認證的必要性

“信息”作為一種重要的商業資產,其所擁有的價值對於一個組織而言毋庸置疑,重要性也是與日俱增。信息安全,按照國際標準化組織提出的ISO/IEC 27000中的概念,需要保證信息的“保密性”、“完整性”和“可用性”。通俗地講,就是要保護信息免受來自各方麵的威脅,從而確保一個組織或機構可持續發展。

企業麵臨的問題

組織對於信息係統依賴性不斷增長,以及在信息係統上運作業務的風險,使得信息安全越來越得到重視。

然而事實上,目前組織所麵對的信息安全狀況愈加複雜。病毒木馬、非法入侵、數據泄密、服務癱瘓、漏洞攻擊等安全事件時有發生。從便攜設備到可移動存儲,再到智能手機、PDA,以及無線網絡等,安全問題出現的途徑也是千奇百怪。每一項新技術,每一類新產品的推廣伴隨著新的問題。組織在麵臨著日趨複雜的威脅的同時,遭受的攻擊次數也日益增多。

正因為如此,信息安全管理體係標準(ISO/IEC27000)的出現成為曆史必要,該標準經過十多年的發展,已經形成了一個完整規範的體係。對組織而言,建立信息安全管理體係,是一個非常係統的過程,從資產評估、風險分析、引入控製到後期的改進,呈現出一個非常邏輯的架構。

調查顯示,企業高管普遍麵對的問題是:“皇家百家乐很清楚的知道內部的安全風險問題,可是皇家百家乐不知道怎麽去識別並規避風險。”

信息安全管理體係的建立和健全,目的就是降低信息風險對經營帶來的危害,並將其投資和商業利益最大化。

信息安全管理體係標準

2005年改版後的ISO/IEC 27001共有133個控製點,39個控製措施,11個控製域。其中11個控製域包括:

1)安全策略

2)信息安全的組織

3)資產管理

4)人力資源安全

5)物理和環境安全

6)通信和操作管理

7)訪問控製

8)係統采集、開發和維護

9)信息安全事故管理

10)業務連續性管理

11)符合性

可見,信息安全不僅僅是個技術問題,而是管理、章程、製度和技術手段以及各種係統的結合。實現信息安全不僅需要采用技術措施,還需要借助於技術以外的其它手段,如規範安全標準和進行信息安全管理。

因此,組織在選擇合作夥伴的時候,就該找那種理解需求、真正能幫助解決問題的,隻有那種有著多年的谘詢和項目經驗、豐富的服務和產品的公司,才夠格成為可信任的夥伴。

解決方案

參照ISO/IEC 27001,總結出了完整的信息安全模型。依據模型,組織可以得到一個細致的流程,再也不用摸黑走路。

通過谘詢,為客戶提供高端的信息安全谘詢與評估服務,識別出信息資產以及存在的風險,找出所存在的問題和深層次的需求,以便明確後續應采取什麽行動去解決問題。

可以采用相關安全產品,能保護組織的任意區域,如移動用戶、遠程分支、內部網絡、很難管理的桌麵和服務器、個人的行為狀況等。具有完善的功能模塊,有防火牆、VPN、IPS/IDS、內容過濾、網絡行為管理等。利用這些功能模塊,組織能全局有效地管理安全,並跨係統、平台和區域實施一致的策略。

委托運營,針對一些自我管理和技術能力不強的組織,委托運營是其最佳選擇。組織不再被具體的細節拖入泥沼中,隻需提出問題和希望的結果,所有的中間過程都由委托承擔者完成。

後續服務,安全管理的實現肯定是個長期的過程,那種完成項目就開溜的做法,對組織來說是種災難。隻有通過後續的服務,不斷地改進,不斷地發現新問題,才能推動目標不斷地前進。

總之,皇家百家乐欣喜的看到,國內組織通過積極努力,探索尋求整體解決方案,增強了組織主動管理其信息安全的能力,降低組織信息所麵臨的風險。

結語

建立信息安全管理體係並獲得認證,能提高組織自身的安全管理水平,將組織的安全風險控製在可接受的範圍內,減少因安全事件帶來的破壞和損失。更重要的,是可以保證組織業務的持續性。

另一方麵,合作在如今的商業社會是非常普遍。如果組織能向客戶及利益相關方展示對信息安全的承諾,不但能增強合作夥伴、投資方的信心,也可以向政府及行業主管部門證明對相關法律法規的符合,並能得到國際上的認可。

ISO27001體係建立的具體步驟

不同的組織在建立與完善信息安全管理體係時,可根據自己的特點和具體情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體係一般要經過下列步驟:

1. 現狀調研與差距分析;

2. 人員培訓;

3. 體係的策劃與準備;

4. 資產識別;

5. 風險措施的製定;

6. 體係文件的編製、修訂與發布;

7. 體係運行;

8. 內部審核;

9. 管理評審;

10. 認證審核與整改;

11. 頒發證書。

風險評估與風險管理的概念

風險評估 (Risk Assessment):有時候也稱為風險分析,是組織使用適當的風險評估工具,對信息和信息處理設施的威脅(Threat)、影響(Impact)和薄弱點(Vulnerability)及其發生的可能性的評估,也就是確認安全風險及其大小的過程。

風險評估是信息安全管理的基礎,它為安全管理的後續工作提供方向和依據,後續工作的優先等級和關注程度都是由信息安全風險決定的,而且安全控製的效果也必須通過對剩餘風險的評估來衡量。

風險管理是信息安全管理體係建立的基礎。完整的風險管理包括資產識別、資產估值、風險分析、風險評價、風險處理和剩餘風險評估等過程,這些過程需要處理大量的數據,而資產、資產屬性、威脅、薄弱點、事件的影響、發生的可能性、控製措施等風險評估要素隨著評估過程、溝通過程、監視和評審過程、重複的評估過程而不斷變化,需要不斷的重複的進行大量的數據處理。風險評估是一把雙刃劍,組織可以通過風險評估,發現風險,進而控製風險。但是,風險評估結果本身對組織也是一項威脅,如果保管不當,被泄漏出去,則攻擊者將全麵了解組織的風險所在,可以發起有的放矢的攻擊。因此,必須妥善保護風險評估的結果。傳統的風險評估一般利用Excel表格來完成,非常容易被利用E-mail,U盤等媒體傳遞,造成風險。

風險管理(Risk Management):以可接受的費用識別、控製、降低或消除可能影響信息係統的安全風險的過程。風險管理通過風險評估來識別風險大小,通過製定信息安全方針,選擇適當的控製目標與控製方式使風險得到避免、轉移或降至一個可被接受的水平。在風險管理方麵應考慮控製費用與風險之間的平衡。

在風險評估和風險管理方法被應用的過程中,評估時間、力度以及具體開展的深度應與組織的環境和安全要求相稱。按照風險評估的深度,風險評估方法可分為:

□ 基本的風險評估方法:對組織所麵臨的風險全部采用統一、簡單的方法進行評估分析並確定一個安全標準,這種方法僅適用於規模小、流程簡單、信息安全要求不是很高的組織;

□ 詳細的風險評估方法:對信息係統中所有的部分都進行詳細的評估分析;

□ 聯合的風險評估方法:先鑒定出一個信息係統中的高風險、關鍵、敏感部分進行詳細的評估分析,然後對其他的部分采取基本的評估分析。

風險評估的主要工作內容

現狀調查與風險評估的主要工作任務:

□ 對組織信息安全管理現狀進行全麵係統的調查,為風險評估提供充分的信息;

□ 識別信息資產;

□ 信息資產估價;

□ 威脅、薄弱點的識別與評價;

□ 現有安全控製的確認;

□ 安全風險測量及優先等級的確定。

風險評估時應考慮以下因素:

□ 信息資產及其價值;

□ 對這些資產的威脅,以及它們發生的可能性;

□ 薄弱點;

□ 已有的安全控製措施;

□ 在進行風險評估時,應考慮以下對應關係:

- 每一項資產可能麵臨多個威脅;

- 威脅的來源可能不隻一個,應從人員(包括內部與外部)、環境(如自然災害)、資產本身(如設備故障)等方麵加以考慮;

- 每一威脅可能利用一個或數個薄弱點。

企業在選擇風險評估方法時,應考慮以下內容

組織可以選擇不同的風險評估方法,每一種方法都有其優點和不足,在平衡考慮選擇哪種評估方法時組織應該考慮:

□ 組織的業務背景;

□ 該業務的性質和重要程度;

□ 組織業務、業務支持係統、應用程序和服務的複雜程度;

□ 組織業務對該信息新係統的依賴程度;

□ 組織業務合作夥伴的多少、外部業務和合同關係;

□ 對這個信息係統投入成本的高低,即為了開發、維護或替換這個信息係統及其資產的成本,這也是一個機構為它直接賦予的價值。

這些因素存在於每一種業務中,在選擇評估方法是應該參照這些因素考慮各種方法的優點和不足。通常來說越重要、越關鍵、一旦發生災難帶來的損失越大的業務,組織應該為其安全投入更多的時間和資源。

現狀調查與風險評估的工作流程:

□ 準備工作階段:確定信息安全管理體係的範圍,成立風險評估小組,製定風險評估計劃,確定風險評估的方法與工具;

□ 現狀調查:對組織的業務運作流程、安全管理機構、資產情況、信息係統網絡拓撲結構、安全控製情況、法律法規適用與執行情況進行調查;

□ 列出與信息有關的資產清單,並對每一項資產估價;

□ 識別出資產所麵臨的威脅及其發生的可能性與潛在影響評價;

□ 識別出被威脅所利用的薄弱點並對其被利用的難易程度進行評價;

□ 對現有的安全控製措施進行確認;

□ 進行風險大小測量並確定優先控製等級;

□ 風險評估結果的評審與批準;

□ 編製適用的法律法規清單並對其符合性進行評估;

□ 結果分析與評價,主要任務是對調查結果進行分析,找出信息安全管理方麵的缺陷及組織存在的信息安全風險,明確信息安全要求,選擇適當的控製方式予以實施,將風險降低到可接受的水平。

資產識別後的風險處理

組織識別了資產的風險之後,就麵臨著如何對這些風險進行處理的問題,風險處理方法大致包括以下幾種:

□ 降低風險:幾乎所有的風險都能夠被降低,組織可以從ISO/IEC 27002中選擇適當的控製來有效的降低風險。

□ 避免風險:完全避免某些風險可能非常容易,而且不需要太多的費用。例如使用一種不同的技術、改變一個程序,或實施一個通用的控製等。

□ 轉移風險:在風險不能或不易通過降低或避免而被消除的地方,經常用轉移的方法。這種方式可以有效規避低可能性、高影響的風險,例如火災、水災、地震等不可抗力因素導致的風險。風險轉移最常用的方法有參加保險和合同轉包。

□ 接受風險:由於技術和費用的限製,在不可接受的風險被降低或轉移之後,還會有一些殘留的風險。組織應確定哪些是可接受的風險,哪些是不可接受的風險,對於不可接受的風險應繼續采取進一步的措施將其降低到可接受的水平。

在線客服

白老師   點擊這裏給我發消息

萬老師   點擊這裏給我發消息