认证服务
ISO27000

ISO27001标准介绍

信息安全管理是当前全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。BS7799为英国标准协会(The British Standards Institute, Bsi)所推动的信息安全管理标,它是基于最佳实践的管理体系标准,以风险管理为基础,从11个区域来保障组织的信息安全。其第一部分在2000年12月成为ISO/IEC 17799国际标准(信息安全管理指南)第二部分于2005年10月14日正式被采纳为国际标准,编号为ISO27001:2005,全面提供认证服务。

该标准当前已被诸多国家采纳为国家标准,根据ISMS国际使用者协会(IUG)的最新统计,截止2007年12月,已有4000多家公司通过了ISO 27001:2005认证,获得了信息安全管理体系认证证书。

采纳该体系,能缩短自身安全管理体系的试验过程,尽快实施对信息资产的保护,提升竞争力,增强客户和合作伙伴的信心。

ISO27001的内容包括:

※十一个控制域

※三十九个控制目标

※一百三十三个控制措施

十一个控制域:

信息安全方针政策

组织的安全

资产管理

人员的安全

物理及环境的安全

通信与操作管理

访问控制

信息系统的获得、开发与维护

信息安全事件管理

业务持续性管理

合规性

信息安全管理体系(ISMS)的标准,从发行伊始,就不仅仅在英国或者欧洲本土被应用,

在亚洲,获得了更为广泛的认知和使用,包括中国在内的很多亚洲国家已经将之采纳为国家标准。以下我们分析ISMS标准的核心监控点,及其对于业务保障的作用

信息安全的内涵,包括机密性(confidentiality),完整性(Integrity),可用性(Availability)三个属性,只有这三个属性都能满足业务的需求,信息的安全才算是有所保障。

因此,在考虑信息安全保护时,首先需要根据业务分析在这三个方面的安全需求。此外由于信息是不能独立存在的,它需要依赖逻辑的载体---应用系统、数据库、操作系统等;需要依赖物理的载体—存储介质、设备、场所和环境等;需要依赖某些特定的服务—网络、基础设施等,以及操作和使用的主体—人。所以,考虑保护信息安全,需要同时考虑保护这些依赖体。

在确定好保护对象之后,就可以考虑保护的方式,ISMS的标准的核心是基于访问控制(Access Control)的,通过对信息及其依赖体的访问进行控制,实现对信息的机密性、完整性和可用性的全面保障。ISMS给出了11个领域133个控制措施。我们从物理安全、操作安全、系统安全、人员安全、事件管理和合规性六个方面来描述标准控制措施的内涵。

采纳了ISO 27001所提供的信息安全管理方案,组织可以从物理安全、操作安全、系统安全、人员安全、事件管理和合规性等几个方面对信息安全提供保障,这样做至少可以有两个方面的益处:一是保护了自己和客户的信息的安全性,防止信息的泄漏、篡改和损毁。二是向相关方,尤其是客户提供了信任的基础。