八戒体育(中国)官方网站-登录入口

标准的主要内容

ISO/IEC17799-2000（BS7799-1）对（duì）信息安全管理给出建议，供负（fù）责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全（quán）标准（zhǔn）和有效（xiào）的安全管理做法提供（gòng）公共基础（chǔ），并为（wéi）组织之间（jiān）的交往（wǎng）提供信（xìn）任。

标准（zhǔn）指出“象其他重要业务（wù）资产一样，信息也是一（yī）种资产”。它对一个组织具（jù）有价（jià）值，因此需要加以合适地保护。信息（xī）安全防止信息受（shòu）到的各种（zhǒng）威胁，以确保业务连续性，使业务受到损害的（de）风（fēng）险减至**小（xiǎo），使********和业务机会****。

信（xìn）息安（ān）全是通过实（shí）现一（yī）组合适控制（zhì）获得的。控（kòng）制可以是策略、惯例、规程、组织结构（gòu）和软件功能。需要建立这些（xiē）控制，以确保满足（zú）该（gāi）组织的特定安（ān）全目标。

内容章节

ISO/IEC17799-2000包含了127个安全控制（zhì）措施来帮助组织识别在运做（zuò）过（guò）程中对信息安全有影（yǐng）响的元素，组织可以根据适用的法律法规（guī）和章（zhāng）程加以（yǐ）选择和使用（yòng），或者增加其他附加控制（zhì）。国际标准化组织（ISO）在2005年对ISO 17799进（jìn）行了修订，修订后的标准作（zuò）为ISO 27000标准族的****部分——ISO/IEC 27001，新标准（zhǔn）去掉（diào）9点控制措施，新（xīn）增17点控制措施，并重组（zǔ）部分控（kòng）制措施（shī）而新增一章，重组部分控制措（cuò）施，关联性逻辑性更好（hǎo），更适合（hé）应用；并修改了部分（fèn）控制措施措辞。修改（gǎi）后（hòu）的标准（zhǔn）包括11个（gè）章节：

1）安全（quán）策略。指（zhǐ）定信息安全方针，为信息安全提供（gòng）管理指引和（hé）支持，并定期（qī）评（píng）审。

2）信息安全的组织。建立（lì）信息安全管理组织体系（xì），在内（nèi）部开展（zhǎn）和控制（zhì）信息安（ān）全的实（shí）施。

3）资产管理。核查所（suǒ）有信息（xī）资产（chǎn），做好信息分类，确保信息资产（chǎn）受到适当程度的（de）保（bǎo）护（hù）。

4）人力资源（yuán）安全（quán）。确保所有员工，合同方和第三（sān）方了解信（xìn）息安全威胁（xié）和（hé）相关事宜以及（jí）各自的（de）责（zé）任（rèn），义（yì）务，以减少（shǎo）人为差错，盗窃，欺诈或误用设施（shī）的（de）风（fēng）险。

5）物理和环境安全。定义安全区域，防止对（duì）办公场所和信息的（de）未（wèi）授权访问（wèn），破坏和（hé）干扰；保护（hù）设备的安全（quán），防止（zhǐ）信息资产的丢失，损坏或被（bèi）盗，以及对企业（yè）业务的干扰；同时，还要（yào）做好一般控（kòng）制，防止（zhǐ）信息和信息处理设（shè）施的损（sǔn）坏和被盗。

6）通信和操作管理。制（zhì）定（dìng）操作规程和职责（zé），确保（bǎo）信息处理设施的正（zhèng）确和安全操作；建立系统规划和验收准则，将系（xì）统失效的风险降（jiàng）到（dào）****；防范恶意代码（mǎ）和（hé）移动代码，保护（hù）软（ruǎn）件（jiàn）和信息的完整性；做（zuò）好信（xìn）息备份（fèn）和网（wǎng）络安全管理，确（què）保信息在（zài）网络（luò）中的安全（quán），确保其支（zhī）持性基础设施（shī）得到保护；建立媒体处置和安全的规（guī）程，防（fáng）止资产损坏和业务活动（dòng）的中断；防止信息和软件在组（zǔ）织之间交（jiāo）换时丢失，修（xiū）改（gǎi）或误（wù）用。

7）访问控制。制（zhì）定访问控制策略，避免信息系统的非授（shòu）权（quán）访问，并让用（yòng）户了解（jiě）其职责和义务，包括网络访问控制，操作系统访问控制，应用（yòng）系（xì）统和信息访问（wèn）控制，监（jiān）视（shì）系统访问和使用，定（dìng）期检测未授权的活动；当使用（yòng）移动办公和（hé）远（yuǎn）程控制时（shí），也（yě）要确保（bǎo）信息安全（quán）。

8）系统采集、开发和维护。标示系统的安全要求，确保安全成为信息系统（tǒng）的内（nèi）置部分（fèn），控制应用系（xì）统的安全，防（fáng）止应用系（xì）统中用户（hù）数据的丢失，被修改或误用（yòng）；通（tōng）过加密手段保（bǎo）护信息的保密（mì）性，真实性（xìng）和（hé）完整（zhěng）性；控制（zhì）对（duì）系统文件（jiàn）的访（fǎng）问，确（què）保（bǎo）系统文档，源程序代码的安（ān）全；严格控制开发和支持过程，维护应（yīng）用系统软件和（hé）信息安全。

9）信息安（ān）全事故管（guǎn）理（lǐ）。报（bào）告信（xìn）息安全事件和弱点，及（jí）时采取纠正措施，确保使用持续有效的（de）方法管理信息安全事故（gù），并（bìng）确保及时修复。

10）业务连续性管理。目的是为减少业务活动的中（zhōng）断，是关键业（yè）务过（guò）程（chéng）免受主要故障或（huò）天灾的影响，并确保及时恢复。

11）符合性。信息系统的设计，操作，使用过程和管理要（yào）符合法律法规的要求，符合组织安（ān）全方针（zhēn）和标准，还要控制系统审计，使（shǐ）信息审核过（guò）程的效力****化，干（gàn）扰**小化。

ISO27001的效益

1、通过（guò）定（dìng）义、评估和控制风险，确保经营（yíng）的持（chí）续性和（hé）能力

2、减少由于合同违规行为以（yǐ）及（jí）直接（jiē）触犯法律法规要（yào）求所造（zào）成的责任

3、通过遵守国际标准提高企业竞（jìng）争能（néng）力，提升企业形象

4、明确定义所有组（zǔ）织的内部和外部的信息接口目标：谨防数据的误（wù）用和丢失

5、建立安全工具使用方针（zhēn）

6、谨防技术诀窍的丢（diū）失

7、在组织（zhī）内（nèi）部增强安全意识

8、可（kě）作为（wéi）公共会计审计的证据

认识ISO27001国际标准

ISO27001（BS7799/ISO17799）国际标（biāo）准究（jiū）竟是什么？它如（rú）何帮助一（yī）个组（zǔ）织更加有效（xiào）地管理信息安全？BS7799/ISO27001和（hé）ISO9001之间有什么联系？初次涉猎信息安全（quán）管（guǎn）理领域（yù）应该掌握（wò）哪（nǎ）些内容，以便组（zǔ）织发起信（xìn）息（xī）安全（quán）管理项目？如（rú）何获得BS7799国际标（biāo）准认（rèn）证？

IT治理和（hé）信息安全

近年来企业高层对内部治理需（xū）求越来越实际而具体（tǐ）。随着信息技术普（pǔ）遍渗透（tòu）到企业组织中的（de）各个方面，企业越来越（yuè）依赖（lài）IT系统来（lái）处理和储（chǔ）存各（gè）种信息，以****业务正常运（yùn）营，由此（cǐ）IT系统在企业治理中（zhōng）的作（zuò）z用越来越明晰，IT治（zhì）理也逐渐被大多数企业（yè）认可，成为董事会和企业内部共同关注的领域（yù）。IT治理（lǐ）的基（jī）础部分是信息安全保护（hù）——包括确保信息的（de）可用性、机密性和完整性（xìng）——这是其他IT治理环（huán）节实施（shī）的前提。

与此同时，和信息安全（quán）相关的国际标准（zhǔn）已经出台，成（chéng）为标准（zhǔn）IT治理框（kuàng）架中的一大基石。

信（xìn）息安全和（hé）法律法规

业内人士对ISO27001认证趋之若（ruò）鹜，这（zhè）其中有两个（gè）关键性的驱动因素：一是日益严峻（jun4）的信息安全威胁（xié），二是不断（duàn）增（zēng）长的信（xìn）息保护相关法规（guī）的（de）需求。

本质上说，信息安（ān）全威胁是全球化的（de）。一般来说，它将毫无差别地辐射到每一（yī）个拥有、使（shǐ）用电（diàn）子信息的（de）机构和个人。这（zhè）种威（wēi）胁（xié）在因特网的环境中自（zì）动（dòng）生成（chéng）并释（shì）放（fàng）。更（gèng）严重的问题是，其他各种形式的危（wēi）险也在整日威胁（xié）数据安全，包括（kuò）从外部（bù）攻（gōng）击行为到内部破坏、偷盗等一系（xì）列危险。

过（guò）去的十年内（nèi），围绕信息和数据安全问题建（jiàn）立起来的法律法规体系从（cóng）无到有、不断壮大（dà），其中包括专门（mén）针对个人数据保护问（wèn）题（tí）的，也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提（tí）供****实践部署指导。目前，建（jiàn）立这样（yàng）的管理体系逐渐（jiàn）成为（wéi）诸多合规项目的必要条件，与此同时，针对（duì）该管理体系的认证逐（zhú）渐成为各种组织（包括政府部门）的热门需求，这份认（rèn）证可以为他们带来重要的潜（qián）在商业合同。

信息安全和技术

绝大多数人认为信息（xī）安全（quán）是一个纯粹的有关技术的话题，只有那些技术人员，尤（yóu）其是计算机安全技术人员，才能（néng）够处（chù）理任（rèn）何保障数据和计算机安（ān）全的相关事宜。这固然有一定道（dào）理。不过，实际上，恰恰是计算（suàn）机用户本身需要（yào）考虑这（zhè）样的（de）问题：避（bì）免哪些威胁（xié）？在信息安全和信（xìn）息通畅中如何平衡取（qǔ）舍？的确如此，一旦用户给出答案（àn），计（jì）算机安全专家**可以（yǐ）设计并执行一个技术（shù）方案以达成用户需求（qiú）。

在组织（zhī）内部，管理层（céng）应当负责决策，而不（bú）是IT部门。一个规范（fàn）的信息安全管理体（tǐ）系（xì）必须明（míng）确指（zhǐ）出，组（zǔ）织机（jī）构董事（shì）会和管理层应当负责相（xiàng）关（guān）信息安全管理体系的决策，同时，这个体系也（yě）应（yīng）当能够反映这种决（jué）策，并且在运行过程中能够提供证据证明其有效性。

所以机构组织（zhī）内部（bù）的信息安全管理体系的建（jiàn）立（lì）项（xiàng）目不必由一（yī）个技术专（zhuān）家来领导。事实上，技术专家（jiā）在很多情（qíng）况（kuàng）下起（qǐ）到相反的作用，可能会阻（zǔ）碍项目进程。因此，这个（gè）项目应该由质（zhì）量管理（lǐ）经理、总（zǒng）经（jīng）理或者其他负（fù）责机构内部（bù）重大职能的执行主管负责主持（chí）。

信息安（ān）全标准（zhǔn）

1995年，英（yīng）国标准（zhǔn）协会（BSI）发布BS7799标准，即ISMS（信息安全管理体系（xì）），旨在规范、引导信息（xī）安全管理体系的发展过程（chéng）和实施情况。BS7799标（biāo）准（zhǔn）被外界认为（wéi）是一个（gè）不偏向任何技术、任何企业和产品供应（yīng）商的价值中立的管理体系（xì）。只要实施得当（dāng），BS7799标准（zhǔn）将（jiāng）帮助企业检（jiǎn）查并确（què）认其信（xìn）息（xī）安全管理（lǐ）手（shǒu）段（duàn）和实施方案的有效性。

从企业（yè）外部（bù）来看（kàn），BS7799关注（zhù）信（xìn）息的可用性、机（jī）密性和完整性（xìng），至今这仍然是这项标准****达到的（de）目标。BS7799集中关注企业（yè）组织层面上的风险（xiǎn）规避（一（yī）定程度上主要是（shì）商业和金融风险），而（ér）不包括（kuò）避免每一个潜在风险的保护（hù）措（cuò）施——尽管它（tā）们（men）至关重要。

BS7799**初仅有一份文（wén）档，且具有明显（xiǎn）的实践指南性质（zhì）。也**是说，它为组织（zhī）提（tí）供信息安全指引，但（dàn）没（méi）有形成规范（fàn），不能为外部第（dì）三方审（shěn）计（jì）和认证等提供依据。随着越来越（yuè）多的企业开始认识到来自信息安全（quán）的威胁波及范围越来越广，影响程度越（yuè）来（lái）越大（dà），并且关于数据和隐私权保护的法律法规（guī）不断出台，信息安全（quán）标准认证的（de）需求开始不（bú）断增（zēng）加。

这种需求的增加**终促（cù）成（chéng）了该项标准（zhǔn）****部分的出台，即标准规范（fàn）。实践指南和标准规范之间的关系是（shì）这样的：标准规范是认证方案的基础（chǔ），同时标准规范（fàn）要求（qiú）实践者遵从实践指南的指引。

这个实践指南**近被修订为ISO/IEC 17799：2005，标准规（guī）范也被（bèi）修（xiū）订为（wéi）ISO/IEC 27001:2005，逐步得（dé）到国际认（rèn）同。

许多（duō）国家也已发（fā）布了自己的相关标准，比（bǐ）如AS/NZS7799。这些标准的国际化版本（běn）可（kě）以在世界（jiè）任何（hé）国家得到认可，这促使了**粱曜嫉南耍ǔ嘶诹礁霰曜己（jǐ）怕牖∩系谋**粱曜家（jiā）酝猓（guǒ）

认证与遵从

一个组（zǔ）织可（kě）以仅（jǐn）遵从ISO17799来建立和发（fā）展ISMS（信息安全管理体系），因为实践指南中的（de）内容（róng）是普（pǔ）遍适（shì）用的。然而，由于ISO17799并非基于认（rèn）证（zhèng）框（kuàng）架，它（tā）不具备关于通过认证所必（bì）需（xū）的信息安全管理体系的要求。而ISO/EC27001则包（bāo）含（hán）这些具体（tǐ）详尽的（de）管理（lǐ）体系认证（zhèng）要求。在技术层面来讲，这**表明一个正在独立运（yùn）用ISO17799的（de）机构组（zǔ）织（zhī），****符合实践指南的要求，但是这并不（bú）足以让外界认可其已（yǐ）经达到认证框架所制定的认（rèn）证要求。不同的是，一个（gè）正在同时运用ISO27001和ISO17799标准的机构组织，可以建立一（yī）个****符合认（rèn）证具体要求的ISMS，同时（shí）这个ISMS体系（xì）也（yě）符合（hé）实践指南的（de）要求，于（yú）是（shì），这一组织**可以获得外界的认同，即（jí）获得认证。

ISO27001认证要（yào）求

ISO27001标准（zhǔn）是为了与（yǔ）其他管（guǎn）理标准，比如ISO9000和ISO14001等相互兼（jiān）容而设计的，这一（yī）标准中的编（biān）号系统和文件（jiàn）管理（lǐ）需求的（de）设计初（chū）衷，**是为（wéi）了提（tí）供良好的兼（jiān）容性，使得组织可以建立起这（zhè）样一套管（guǎn）理体系：能够在****程（chéng）度上融入这个组织正在（zài）使（shǐ）用的其（qí）他任何管理体系。一般来（lái）说，组（zǔ）织通常会使用（yòng）为其ISO9000认（rèn）证或（huò）者（zhě）其他管理体系（xì）认证提供认证服务（wù）的（de）机（jī）构，来提供ISO27001认证服（fú）务。正是因为这个缘故（gù），在ISMS体系建（jiàn）立的过程中，质量管理的（de）经验举（jǔ）足轻重。

但是有一点需要（yào）注意，一个组织如果没有事先拥有并使用任何形（xíng）式的管理体系，并（bìng）不意味着该组织不能进行ISO27001认证。这种情况（kuàng）下，该（gāi）组织**应（yīng）当从经济利（lì）益（yì）考虑，选择（zé）一个合适的管理体系的认证机构来（lái）提供（gòng）认证服（fú）务。认证（zhèng）机（jī）构必须得到一个国家鉴定机构的委（wěi）托（tuō）授（shòu）权，才（cái）能（néng）为认（rèn）证组织提供认证服务（wù），并发放（fàng）认证（zhèng）证书。大多数（shù）国家都有自己的国（guó）家鉴定机构（比（bǐ）如：英国UKAS），任何获得该机（jī）构授（shòu）权进（jìn）行ISMS认证的机（jī）构均记（jì）录在案。

风（fēng）险评估应对计划

任何一个ISMS体（tǐ）系的建立和开发都（dōu）应当满足组织独特的需求。每个组织不（bú）仅都有自己（jǐ）独（dú）特的业务模式、运营（yíng）目标、形象特点和内部文化，他们对待风（fēng）险的态度倾向也大相径庭。换句话说，同一个东（dōng）西，一个机构组（zǔ）织认为（wéi）是必须提防的威胁，在另一（yī）个（gè）组（zǔ）织看来可能是一个必须（xū）抓住的机遇。同样地，各（gè）个（gè）机构组织对于（yú）既有（yǒu）风险防护的投入也（yě）参（cān）差不齐。基于以上或者（zhě）其他原因，每个运行ISMS的（de）组织，其（qí）内部成员（yuán）必须（xū）对风险评估有一个共识，这个风险评估（gū）的方（fāng）法论、结果发现和推荐（jiàn）解决方（fāng）式都必须得到董事会的首肯。

ISMS项目和（hé）PDCA流程

ISMS项目（mù）很复杂，可能持续若干个月甚至若（ruò）干年（nián），涉及（jí）整个（gè）机构组织以及从（cóng）管理层到（dào）收发部门的每个成员。ISO27001认（rèn）证诞生时（shí）间短，成功的案例比（bǐ）较少。从务实的角度（dù）考虑，这表（biǎo）明在项目计（jì）划过程（chéng）中，必须尽（jìn）早对这些仅有的指导（dǎo）性的书籍（jí）和（hé）案例进行分（fèn）析和研究（jiū）。

ISO27001标准指（zhǐ）导一个企业如何（hé）着（zhe）手开（kāi）展ISMS项（xiàng）目，并且关注（zhù）整个项目进程中的若干（gàn）重要元素。

1950年W. Edwards Deming提出PDCA流程（chéng），即计划（Plan）－执行（háng）（Do）－检查（Check）－提升（Act）过程，意在说明业务流程（chéng）应当是不（bú）断改进的，该（gāi）方法使得职能部门（mén）经理可以识别出那些需（xū）要修（xiū）正（zhèng）的环节并进行（háng）修正。这个流程以及流程的改进，都必须遵循这样一个过程：先计划，再执行，而后（hòu）对其（qí）运行结果进行评（píng）估，紧接着按照计划的（de）具体要求对该评估进行复查，而后寻找（zhǎo）到任何与计划不符的（de）结果（guǒ）偏差（即潜在改进的可能性），**后向管理层提出如何（hé）运行的（de）**终报告。

ISO27001认（rèn）证审核费用（yòng）及周期（qī）

除了组织自身投入（rù）之外，ISO27001 认证（zhèng）审核费用主要体现在聘请第三方认（rèn）证机构及（jí）审核员方（fāng）面了。在组织向认证机（jī）构提出申请之后，认（rèn）证机构会（huì）初步了解（jiě）组织现状，确定审（shěn）核范围（wéi），提出（chū）审核报价。认证机构的报价通（tōng）常是（shì）根据其投入的时间和人员来确定的，决定因素包括（kuò）：

1、受审核组织（zhī）的员（yuán）工数（shù）量；

2、纳入审核（hé）范围的信（xìn）息量；

3、场所数（shù）量；

4、组织与（yǔ）外界的关联；

5、组织 IT 的复杂性；

6、组（zǔ）织类型和（hé）业务性质等。

除了费（fèi）用问（wèn）题，认证（zhèng）审核的周期通常也是组织比较关心的。一般来说，从组织启（qǐ）动 ISMS建设项目开始，到**终通（tōng）过审核（hé），至少（shǎo）要（yào）有（yǒu）半（bàn）年时（shí）间（不包括获取证书的时间）。对于很多因为外（wài）部驱（qū）动力而决心实施 ISO27001 认证项目（mù）的组织（zhī）来说，提早（zǎo）进行规划是（shì）必要的。^[6]