ISO27001 信息安全管理体系

ISO27001咨询服务的主要内容

金标准长期从事ISO系列国际标准的理论研究、咨询和培训服务,积累了丰富的咨询经验,积聚了一批专业的咨询专家队伍,能够为各类客户提供专业的ISO9001、ISO14001、ISO27001等认证咨询服务。

我公司为企业/组织提供的ISO27001咨询服务主要包括以下内容:

1. 人员培训:

(1)信息安全管理意识培训;

(2)信息安全管理体系内审员培训;

(3)风险分析评估方法培训;

(4)信息安全管理体系文件编写培训;

(5)信息安全管理体系文件实施培训;

3. 分析评估:

(1)指导客户制定系统化的风险评估方法;

(2)指导客户目标资产进行梳理和识别;

(3)指导客户对重要资产进行系统、细致的风险评估;

(4)指导客户对已识别风险进行处理,形成信息安全风险处理计划;

(5)指导客户建立必要的风险管理文件和记录。

4. 建立信息安全管理体系(ISMS):

(1)指导客户定义信息安全方针和目标,确定信息安全管理体系范围;

(2)指导客户确定已评估风险的处置方式,对处置方式定义控制措施和目标;

(3)提供信息安全管理体系适用性声明书;

(4)指导客户进行风险处理,将信息安全风险降低到可接受的程度;

(5)提供信息安全管理体系总体方案;

(6)指导客户建立ISO27001信息安全管理体系,制定《信息安全管理手册》;

(7)指导客户编制信息安全管理体系程序及规范;

(8)指导客户进行信息安全管理体系的试运行。

5. 体系运行、评价:

(1)指导客户对信息安全管理体系进行内部审核、管理评审;

(2)指导客户检查风险处理情况,评估剩余风险;

(3)根据内审、管理评审结果,衡量体系的有效性;

(4)协助客户采取适当的预防措施;

(5)体系改进;

6. 认证审核、整改:

(1)指导客户选择认证机构

(2)提交认证申请材料;

(3)指导客户配合认证机构接受审核;

(4)指导客户对审核机构提出的不符合项进行整改;

(5)对客户进行对信息安全管理体系的下一步扩展、运行提出建议。

信息安全的内容

网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。国与国之间的信息战问题更是关系到国家的根本安全问题。

信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。这些领域内的相关技术和理论都是信息安全所要研究的领域。国际标准化组织(ISO)定义信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。

信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。

实体安全是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。

运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。

信息安全是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。即确保信息的完整性、机密性、可用性和可控性。

管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。

美国国家电信与信息系统安全委员会(NTISSC)主席、美国C3I负责人、前国防部副部长Latham D C认为,信息安全(INFOSEC)应包括以下六个方面:

1.通信安全(COMSEC)

2.计算机安全(COMPUSEC)

3.符合瞬时电磁脉冲辐射标准(TEMPEST)

4.传输安全(TRANSEC)

5.物理安全(Physical Security)

6.人员安全(Personnel Security)

综上所述,信息安全的主要内容包括:机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。

在BS7799中 信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。

机密性是指确保只有那些被授予特定权限的人才能够访问到信息。信息的机密性依据信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。例如,军队内部文件一般分为秘密、机密和绝密三个等级,已授权用户根据所授予的操作权限可以对保密信息进行操作。有的用户只可以读取信息,有的用户既可以进行读操作有可以进行写操作。

信息的完整性是指要保证信息和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理的方法的正确性,执行不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。

信息的可用性是指确保那些已被授权的用户在他们需要的时候,确实可以访问得到所需要信息。即信息及相关的信息资产在授权人需要的时候,可以立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。

另外还要保证信息的真实性和不可否认性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。

ISO27001信息安全标准产生的背景

人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。由于信息具有易传播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。

信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。

在ISO27002中,对信息的定义更确切、具体:“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。通过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似‘911事件’之时出现的危机。

ISO/IEC27001标准是组织进行信息安全管理体系认证的依据,相当于质量管理体系中的ISO9001标准。ISO/IEC27006:2007标准是认证机构获取认证认可的依据。

ISO/IEC27002标准为组织建立信息安全管理体系提供了39个控制目标和133个控制措施。其他几个标准提供了信息安全管理体系建立、实施的参考指南。

企业进行ISO27001认证的必要性

“信息”作为一种重要的商业资产,其所拥有的价值对于一个组织而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个组织或机构可持续发展。

企业面临的问题

组织对于信息系统依赖性不断增长,以及在信息系统上运作业务的风险,使得信息安全越来越得到重视。

然而事实上,目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等,安全问题出现的途径也是千奇百怪。每一项新技术,每一类新产品的推广伴随着新的问题。组织在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。

正因为如此,信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要,该标准经过十多年的发展,已经形成了一个完整规范的体系。对组织而言,建立信息安全管理体系,是一个非常系统的过程,从资产评估、风险分析、引入控制到后期的改进,呈现出一个非常逻辑的架构。

调查显示,企业高管普遍面对的问题是:“我们很清楚的知道内部的安全风险问题,可是我们不知道怎么去识别并规避风险。”

信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。

信息安全管理体系标准

2005年改版后的ISO/IEC 27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:

1)安全策略

2)信息安全的组织

3)资产管理

4)人力资源安全

5)物理和环境安全

6)通信和操作管理

7)访问控制

8)系统采集、开发和维护

9)信息安全事故管理

10)业务连续性管理

11)符合性

可见,信息安全不仅仅是个技术问题,而是管理、章程、制度和技术手段以及各种系统的结合。实现信息安全不仅需要采用技术措施,还需要借助于技术以外的其它手段,如规范安全标准和进行信息安全管理。

因此,组织在选择合作伙伴的时候,就该找那种理解需求、真正能帮助解决问题的,只有那种有着多年的咨询和项目经验、丰富的服务和产品的公司,才够格成为可信任的伙伴。

解决方案

参照ISO/IEC 27001,总结出了完整的信息安全模型。依据模型,组织可以得到一个细致的流程,再也不用摸黑走路。

通过咨询,为客户提供高端的信息安全咨询与评估服务,识别出信息资产以及存在的风险,找出所存在的问题和深层次的需求,以便明确后续应采取什么行动去解决问题。

可以采用相关安全产品,能保护组织的任意区域,如移动用户、远程分支、内部网络、很难管理的桌面和服务器、个人的行为状况等。具有完善的功能模块,有防火墙、VPN、IPS/IDS、内容过滤、网络行为管理等。利用这些功能模块,组织能全局有效地管理安全,并跨系统、平台和区域实施一致的策略。

委托运营,针对一些自我管理和技术能力不强的组织,委托运营是其最佳选择。组织不再被具体的细节拖入泥沼中,只需提出问题和希望的结果,所有的中间过程都由委托承担者完成。

后续服务,安全管理的实现肯定是个长期的过程,那种完成项目就开溜的做法,对组织来说是种灾难。只有通过后续的服务,不断地改进,不断地发现新问题,才能推动目标不断地前进。

总之,我们欣喜的看到,国内组织通过积极努力,探索寻求整体解决方案,增强了组织主动管理其信息安全的能力,降低组织信息所面临的风险。

结语

建立信息安全管理体系并获得认证,能提高组织自身的安全管理水平,将组织的安全风险控制在可接受的范围内,减少因安全事件带来的破坏和损失。更重要的,是可以保证组织业务的持续性。

另一方面,合作在如今的商业社会是非常普遍。如果组织能向客户及利益相关方展示对信息安全的承诺,不但能增强合作伙伴、投资方的信心,也可以向政府及行业主管部门证明对相关法律法规的符合,并能得到国际上的认可。

ISO27001体系建立的具体步骤

不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过下列步骤:

1. 现状调研与差距分析;

2. 人员培训;

3. 体系的策划与准备;

4. 资产识别;

5. 风险措施的制定;

6. 体系文件的编制、修订与发布;

7. 体系运行;

8. 内部审核;

9. 管理评审;

10. 认证审核与整改;

11. 颁发k8彩票下载。

风险评估与风险管理的概念

风险评估 (Risk Assessment):有时候也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估,也就是确认安全风险及其大小的过程。

风险评估是信息安全管理的基础,它为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评估来衡量。

风险管理是信息安全管理体系建立的基础。完整的风险管理包括资产识别、资产估值、风险分析、风险评价、风险处理和剩余风险评估等过程,这些过程需要处理大量的数据,而资产、资产属性、威胁、薄弱点、事件的影响、发生的可能性、控制措施等风险评估要素随着评估过程、沟通过程、监视和评审过程、重复的评估过程而不断变化,需要不断的重复的进行大量的数据处理。风险评估是一把双刃剑,组织可以通过风险评估,发现风险,进而控制风险。但是,风险评估结果本身对组织也是一项威胁,如果保管不当,被泄漏出去,则攻击者将全面了解组织的风险所在,可以发起有的放矢的攻击。因此,必须妥善保护风险评估的结果。传统的风险评估一般利用Excel表格来完成,非常容易被利用E-mail,U盘等媒体传递,造成风险。

风险管理(Risk Management):以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小,通过制定信息安全方针,选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。

在风险评估和风险管理方法被应用的过程中,评估时间、力度以及具体开展的深度应与组织的环境和安全要求相称。按照风险评估的深度,风险评估方法可分为:

□ 基本的风险评估方法:对组织所面临的风险全部采用统一、简单的方法进行评估分析并确定一个安全标准,这种方法仅适用于规模小、流程简单、信息安全要求不是很高的组织;

□ 详细的风险评估方法:对信息系统中所有的部分都进行详细的评估分析;

□ 联合的风险评估方法:先鉴定出一个信息系统中的高风险、关键、敏感部分进行详细的评估分析,然后对其他的部分采取基本的评估分析。

风险评估的主要工作内容

现状调查与风险评估的主要工作任务:

□ 对组织信息安全管理现状进行全面系统的调查,为风险评估提供充分的信息;

□ 识别信息资产;

□ 信息资产估价;

□ 威胁、薄弱点的识别与评价;

□ 现有安全控制的确认;

□ 安全风险测量及优先等级的确定。

风险评估时应考虑以下因素:

□ 信息资产及其价值;

□ 对这些资产的威胁,以及它们发生的可能性;

□ 薄弱点;

□ 已有的安全控制措施;

□ 在进行风险评估时,应考虑以下对应关系:

- 每一项资产可能面临多个威胁;

- 威胁的来源可能不只一个,应从人员(包括内部与外部)、环境(如自然灾害)、资产本身(如设备故障)等方面加以考虑;

- 每一威胁可能利用一个或数个薄弱点。

企业在选择风险评估方法时,应考虑以下内容

组织可以选择不同的风险评估方法,每一种方法都有其优点和不足,在平衡考虑选择哪种评估方法时组织应该考虑:

□ 组织的业务背景;

□ 该业务的性质和重要程度;

□ 组织业务、业务支持系统、应用程序和服务的复杂程度;

□ 组织业务对该信息新系统的依赖程度;

□ 组织业务合作伙伴的多少、外部业务和合同关系;

□ 对这个信息系统投入成本的高低,即为了开发、维护或替换这个信息系统及其资产的成本,这也是一个机构为它直接赋予的价值。

这些因素存在于每一种业务中,在选择评估方法是应该参照这些因素考虑各种方法的优点和不足。通常来说越重要、越关键、一旦发生灾难带来的损失越大的业务,组织应该为其安全投入更多的时间和资源。

现状调查与风险评估的工作流程:

□ 准备工作阶段:确定信息安全管理体系的范围,成立风险评估小组,制定风险评估计划,确定风险评估的方法与工具;

□ 现状调查:对组织的业务运作流程、安全管理机构、资产情况、信息系统网络拓扑结构、安全控制情况、法律法规适用与执行情况进行调查;

□ 列出与信息有关的资产清单,并对每一项资产估价;

□ 识别出资产所面临的威胁及其发生的可能性与潜在影响评价;

□ 识别出被威胁所利用的薄弱点并对其被利用的难易程度进行评价;

□ 对现有的安全控制措施进行确认;

□ 进行风险大小测量并确定优先控制等级;

□ 风险评估结果的评审与批准;

□ 编制适用的法律法规清单并对其符合性进行评估;

□ 结果分析与评价,主要任务是对调查结果进行分析,找出信息安全管理方面的缺陷及组织存在的信息安全风险,明确信息安全要求,选择适当的控制方式予以实施,将风险降低到可接受的水平。

资产识别后的风险处理

组织识别了资产的风险之后,就面临着如何对这些风险进行处理的问题,风险处理方法大致包括以下几种:

□ 降低风险:几乎所有的风险都能够被降低,组织可以从ISO/IEC 27002中选择适当的控制来有效的降低风险。

□ 避免风险:完全避免某些风险可能非常容易,而且不需要太多的费用。例如使用一种不同的技术、改变一个程序,或实施一个通用的控制等。

□ 转移风险:在风险不能或不易通过降低或避免而被消除的地方,经常用转移的方法。这种方式可以有效规避低可能性、高影响的风险,例如火灾、水灾、地震等不可抗力因素导致的风险。风险转移最常用的方法有参加保险和合同转包。

□ 接受风险:由于技术和费用的限制,在不可接受的风险被降低或转移之后,还会有一些残留的风险。组织应确定哪些是可接受的风险,哪些是不可接受的风险,对于不可接受的风险应继续采取进一步的措施将其降低到可接受的水平。

在线客服

白老师   点击这里给我发消息

万老师   点击这里给我发消息