|
|
|
|
|
|
来源: 发布日期: 点击量:
1. 信息安全管理体系ISO/IEC 27001
1.1. 管理体系及其产业链
管理体系是组织用来保证其完成任务,事件目标的过程集的框架。在ISO 9000:2000中,将其定义为建立方针和目标并实现这些目标的体系。
注:一个组织的管理体系可包括若干个不同的管理体系,如质量管理体系、财务管理体系或环境管理体系。
一个典型的管理体系框架如下图所示:
图1-1
目前存在很多的管理体系,例如质量管理体、系环境管理体系、职业健康管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的管理体系,其他管理体系或多或少都借鉴了质量管理体系的经验。
管理体系形成的完整的产业链,如图11所示.
信息安全管理体系正如其名称所表述的含义,就是关于信息安全的管理体系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身只是整个管理体系的一部分。这就要求我们站在全局的观点看待信息安全问题。
图123123
1.1. ISO/IEC 27000标准族
1.1.1. ISO/IEC 27001发展历程
ISO27000从诞生到现在只不过20年间的事情,但基本上可以看出一个标准“源于生活,高于生活”的发展特点,也就是说,一个真正普遍适用并能被普遍接受的标准,必然是能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。
BS7799最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的BSI—DISC Committee BDD/2是由来自贸易和工业部门的众多代表共同组成的,其成员在各自的领域都具有足够的影响力,包括金融业的英国保险协会、渣打会计协会、汇丰银行等,通信行业有大英电讯公司,还有像壳牌、联合利华、毕马威(KPMG)等这样的跨国机构。
1995年,BS7799—1:1995《信息安全管理实施细则》首次出版(其前身是1993年发布的PD0005),它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。
在随后一段时间里,由于电子商务的发展,由此引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题,促使第三方认证成为一个急需。信息安全管理遵循一套最佳惯例,但怎样做的?执行程度如何?是否完备?这就需要有一个共同的尺度来进行衡量。
1998年,BS7799—2:1998《信息安全管理体系规范》公布,这是对BS7799—1的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。至此,BS7799标准初步成型。
1999年4月,BS7799的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。
由于BS7799日益得到国际认同,使用的国家也越来越多,2000年12月,国际标准化组织ISO/IEC JTC 1/SC27工作组认可BS7799—1:1999,正式将其转化为国际标准,即所颁布的ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。作为一个全球通用的标准,ISO/IEC 17799并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成的,是市场驱动的结果。
2002年,BSI对BS7799:2—1999进行了重新修订,正式引入PDCA过程模型,以此作为建立、实施、持续改进信息安全管理体系的依据,同时,新版本的调整更显示了与ISO9001:2000、ISO14001:1996等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性,体现了管理体系融合的趋势。2004年9月5日,BS7799—2:2002正式发布,随即提交ISO并迈入“快速通道”。
2013年9月,ISO/IEC 27001:2005 经过改版,形成了新的ISO/IEC 27001:2013,新版本从原先8个章节扩展到10个章节,重建了ISO标准PDCA章节架构,并将旧版11个控制域扩展到14个,使结构更合理,表现更清晰。
作为认证标准,ISO27000系列中最关键的还是ISO27001,所以,人们更习惯以ISO27001来直接代表此系列信息安全管理标准。
相关知识: