信息是組織的血液��,存在的方式各異����??梢允谴蛴?����,手寫(xiě)�,也可以是電子����,演示和口述的���。當今商業(yè)競爭日趨激烈����,來(lái)源于不同渠道的信息����,威脅到信息的一致性�����。它們來(lái)自?xún)炔?���,外部���,意外的����,還可能是惡意的���。隨著(zhù)信息儲存����,發(fā)送新技術(shù)的廣泛使用�����,我們面臨的各種風(fēng)險也在增高��。信息安全越來(lái)越重要�!信息安全不是有一個(gè)終端防火墻����,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達到的�����。它需要全面的綜合管理���。信息安全管理體系的引入���,可以協(xié)調各個(gè)方面信息管理��,使管理更為有效��。信息安全管理體系是系統的對組織敏感信息及信息資產(chǎn)進(jìn)行管理���,涉及到人��,程序和信息科技(IT)系統�����。需要建立廣泛的信息安全方針����。保證安全性��,公正性�����。適用組織內部和客戶(hù)���。信息安全管理體系ISMS正成為世界上管理體系標準銷(xiāo)售增長(cháng)量最大的產(chǎn)品�。
信息安全管理體系(Information security management systems����,簡(jiǎn)稱(chēng)ISMS)(即ISO/IEC 27000系列)是目前國際信息安全管理標準研究的重點(diǎn)�����。
ISO27000 系列共包括10個(gè)標準�,當前已經(jīng)發(fā)布和在研究的有6個(gè)��,分別為:
1����、ISO/IEC 27000《信息安全管理體系 基礎和詞匯》����;
2��、ISO/IEC 27001:2005《信息安全管理體系 要求》��;
3��、ISO/IEC 17799:2005《信息安全管理實(shí)用規則》(2007年4月后���,編號將改為27002)�����;
4���、ISO/IEC 27003《信息安全管理體系實(shí)施指南》�����;
5���、ISO/IEC 27004《信息安全管理測量》���;
6���、ISO/IEC 27005《信息安全風(fēng)險管理》����。
一����、什么是信息安全���?像其他重要業(yè)務(wù)資產(chǎn)一樣��,信息也是對組織業(yè)務(wù)至關(guān)重要的一種資產(chǎn)�,需要加以適當地保護��。在業(yè)務(wù)環(huán)境互連日益增加的情況下這一點(diǎn)顯得尤為重要��。這種互連性的增加導致信息暴露于日益增多的�、范圍越來(lái)越廣的威脅和脆弱性當中(也可參考關(guān)于信息系統和網(wǎng)絡(luò )的安全的OECD指南)���。信息可以以多種形式存在����。它可以打印或寫(xiě)在紙上����、以電子方式存儲����、用郵寄或電子手段傳送��、呈現在膠片上或用語(yǔ)言表達��。無(wú)論信息以什么形式存在��,用哪種方法存儲或共享�,都應對它進(jìn)行適當地保護���。信息安全是保護信息免受各種威脅的損害����,以確保業(yè)務(wù)連續性����,業(yè)務(wù)風(fēng)險最小化�����,投資回報和商業(yè)機遇最大化��。信息安全是通過(guò)實(shí)施一組合適的控制措施而達到的�����,包括策略�、過(guò)程����、規程�����、組織結構以及軟件和硬件功能�����。在需要時(shí)需建立�����、實(shí)施��、監視����、評審和改進(jìn)這些控制措施��,以確保滿(mǎn)足該組織的特定安全和業(yè)務(wù)目標�。這個(gè)過(guò)程應與其他業(yè)務(wù)管理過(guò)程聯(lián)合進(jìn)行�����。
二���、為什么需要信息安全�?信息及其支持過(guò)程���、系統和網(wǎng)絡(luò )都是重要的業(yè)務(wù)資產(chǎn)���。定義��、實(shí)現�����、保持和改進(jìn)信息安全對保持競爭優(yōu)勢�����、現金周轉�����、贏(yíng)利�、守法和商業(yè)形象可能是至關(guān)重要的���。各組織及其信息系統和網(wǎng)絡(luò )面臨來(lái)自各個(gè)方面的安全威脅��,包括計算機輔助欺詐��、間諜活動(dòng)����、惡意破壞����、毀壞行為��、火災或洪水�。諸如惡意代碼��、計算機黑客搗亂和拒絕服務(wù)攻擊等導致破壞的安全威脅�,已經(jīng)變得更加普遍����、更有野心和日益復雜�����。信息安全對于公共和專(zhuān)用兩部分的業(yè)務(wù)以及保護關(guān)鍵基礎設施是非常重要的�。在這兩部分中信息安全都將作為一個(gè)使動(dòng)者�,例如實(shí)現電子政務(wù)或電子商務(wù)��,避免或減少相關(guān)風(fēng)險�。公共網(wǎng)絡(luò )和專(zhuān)用網(wǎng)絡(luò )的互連�����、信息資源的共享都增加了實(shí)現訪(fǎng)問(wèn)控制的難度�����。分布式計算的趨勢也削弱了集中的����、專(zhuān)門(mén)控制的有效性���。許多信息系統并沒(méi)有被設計成是安全的�。通過(guò)技術(shù)手段可獲得的安全性是有限的�,應該通過(guò)適當的管理和規程給予支持�。確定哪些控制措施要實(shí)施到位需要仔細規劃并注意細節�����。信息安全管理至少需要該組織內的所有員工參與���,還可能要求利益相關(guān)人��、供應商���、第三方��、顧客或其他外部團體的參與���。外部組織的顧問(wèn)����、專(zhuān)家建議可能也是需要的���。
三���、 如何建立安全要求組織識別出其安全要求是非常重要的����,安全要求有三個(gè)主要來(lái)源:
1�����、一個(gè)來(lái)源是在考慮組織整體業(yè)務(wù)戰略和目標的情況下�����,評估該組織的風(fēng)險所獲得的����。通過(guò)風(fēng)險評估�����,識別資產(chǎn)受到的威脅�����,評價(jià)易受威脅利用的脆弱性和威脅發(fā)生的可能性�����,估計潛在的影響����。
2�����、另一個(gè)來(lái)源是組織�����、貿易伙伴�、合同方和服務(wù)提供者必須滿(mǎn)足的法律���、法規��、規章和合同要求�,以及他們的社會(huì )文化環(huán)境�。
3����、第三個(gè)來(lái)源是組織開(kāi)發(fā)的支持其運行的信息處理的原則��、目標和業(yè)務(wù)要求的特定集合�����。
四�����、評估安全風(fēng)險安全要求是通過(guò)對安全風(fēng)險的系統評估予以識別的���。用于控制措施的支出需要針對可能由安全故障導致的業(yè)務(wù)損害加以平衡���。風(fēng)險評估的結果將幫助指導和決定適當的管理行動(dòng)�、管理信息安全風(fēng)險的優(yōu)先級以及實(shí)現所選擇的用以防范這些風(fēng)險的控制措施�����。風(fēng)險評估應定期進(jìn)行���,以應對可能影響風(fēng)險評估結果的任何變化�。
五�、選擇控制措施一旦安全要求和風(fēng)險已被識別并已做出風(fēng)險處理決定�����,則應選擇并實(shí)現合適的控制措施��,以確保風(fēng)險降低到可接受的級別���?����?刂拼胧┛梢詮摹缎畔踩芾磉m用規則》或其他控制措施集合中選擇�����,或者當合適時(shí)設計新的控制措施以滿(mǎn)足特定需求�。安全控制措施的選擇依賴(lài)于組織所做出的決定�,該決定是基于組織所應用的風(fēng)險接受準則�����、風(fēng)險處理選項和通用的風(fēng)險管理方法����,還要遵守所有相關(guān)的國家和國際法律法規����?���!缎畔踩芾磉m用規則》中的某些控制措施可被當作信息安全管理的指導原則�,并且可用于大多數組織����。
六����、信息安全起點(diǎn)�,許多控制措施被認為是實(shí)現信息安全的良好起點(diǎn)�����。它們或者是基于重要的法律要求���,或者被認為是信息安全的常用慣例���。
