一、ISO27000
ISO/IEC27001:2005 标准在2005年10月公布,同时取缔了多国采纳的英国标准BS7799-2:2002,ISO/IEC27001:2005 标准以Edward Deming博士提出的“计划-实施-核查-采取行动”循环周期作为制定蓝图,以实现持续改善的目标。ISO/IEC 27001:2005 标准为所有行业的机构都提供了一套业务工具,协助其避免信息保安的失误,从而降低了相应的风险。正式推行ISO/IEC27001:2005 并取得有关认证的机构将受益匪浅。
二、ISO27001标准简介
世界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002,经修订后,于2005年10月15日作为国际标准ISO/IEC27001:2005发布。
本文旨在向***指出标准的变化及在实际应用中的意义,协助***做好向新标准过渡的准备。
新标准的正式标题是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准,标题中的“信息技术-安全技术”表明它还是以ISO***会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿***的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT***内部实现,但总体上标准执行的***仍应放在业务信息的风险上。
标准的主要改变在于它现在是国际公认的,这意味着除了英国标准的国际认可,***可以构建一个***性的框架来管理他们的信息安全。不管是为了***自身的商业信息,如财政信息,知识产权,职员资料等等,或者是客户或第三方与***间沟通的信息,标准都是适用的。实际上,它是***能够对他们的信息安全管理系统进行客观***评估的***国际标准。
新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的***来说,新版的国际标准并没有太大的影响。***大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。(详见ISO/IEC 27001:2005的4.2.2 d)
下面是该标准重大改变的解释概要。
范围和界线
在执行信息安全管理体系的时候,***所要做的***件事就是定义I***S的范围。现在国际标准要求***定义I***S的范围和界线[4.2.1 a],包括被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会寻找这些东西,但是现在把这个要求加到标准中了,如果***打算超越根据2002版标准取得的认证而达到新标准的要求,就必须把这个要求考虑在内。
评估风险
该国际标准的基础是:信息的保护是基于业务信息的风险,该风险能促使***运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下,因此太多的安全措施可能使公司花费过多的成本。
标准的一个重大改变是***现在需要详细说明(并文件化)风险评估的步骤[4.2.1 c],这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过BS 7799-2:2002认证的***不会把这点看成一个比较大的变化,因为在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的***可能会把它看成该国际标准的新要求。
风险评估按照计划的时间间隔[4.2.3 d]进行复查,对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为***信息安全管理体系的管理复查的一部分[7.1],至少一年完成一次。
在对BS 7799-2:2002版标准进行审核的过程中,审核员应该根据I***S的方针和目标[4.3.1],寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点,但现在已经在国际标准中阐明了。想获得BS 7799-2:2002认证的***可以把它看作国际标准的新要求。
合同责任
除了******的要求,该国际标准还特别强调在所有I***S所有过程中的合同责任,包括风险评估、风险处理、控制选择、记录控制、资源、I***S的监视和复查、以及文件要求。