文档介绍：ISO 27001:2005标准的实施步骤与控制重点
作者: 但丽云
随着信息技术的迅猛发展和网络的普及,我们的工作和生活方式都得到彻底改变,技术的进步在给我们带来便利的同时也带给我们无尽的烦恼,每天都有许多破坏信息安全的报告,80%的信息安全事故来自人们对网络安全知识的缺乏和内部管理的漏洞。因此,如何利用网络进行安全的通信,成为当前信息安全迫切需要解决的问题。
ISO 27001:2005标准告诉我们如何评定安全风险,建立信息安全管理体系,选择适宜的控制方法确保将风险减少到可以接受的程度。下面,笔者对这个标准的理解和认识谈谈个人的一点看法。
一、ISO 27001:2005标准的由来
1995年,英国标准协会(BSI)首次出版BS 7799—1《信息安全管理实践指南》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则。1998年公布标准的第二部分BS 7799—2《信息安全管理体系规范》,它规定了信息安全管理体系要求与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,可作为一个正式认证方案的根据。BS 7799—1与BS 7799—2经过修订于1999年重新予以发布,1999版标准考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时强调了商务涉及的信息安全及信息安全的责任。2000年12月,BS 7799-1:1999《信息安全管理实践指南》通过了国际标准化组织(ISO)的认可,正式成为国际标准——ISO/IECl7799—1:2000《信息技术信息安全管理实施细则》。2002年9月5日,BS 7799—2:2002草案经过广泛讨论之后,终于发布成为正式标准,BS 7799—2:1999同时被废止。2005年11月,IS0 27001:2005出版,取代了BS 7799—2:2002标准。
二、信息安全事件应对方法
传统的信息安全事件应对方法是,哪里出现问题,立即用技术手段去那里把问题解决。信息安全管理体系(ISMS)的方法是,事先进行风险的识别与评估,进行战略部署,采取防范措施(如表一)。
表一
传统的方法
转变
信息安全管理体系(ISMS)方法
反应式
-→
主动式
点状方案
-→
过程方法
终极目标方法
-→
管理层面
技术层面
-→
战略的规划
三、ISO 27001:2005的实施步骤
ISO 27001:2005标准的实施步骤如图1。
ISO 27001:2005标准采用PDCA模式:①策划(建立ISMS):根据组织的整体方针和目标,建立安全策略、目标以及与管理风险和改进信息安全相关的过程和程序,以获得结果;
②实施和运行ISMS:实施和运行安全策略、控制、过程和程序;③检查(监视和评审ISMS):适用时,根据安全策略、目标和以往的经验评估和测量过程业绩,向管理层报告结果,进行评审;④保持和改进ISMS:根据内审、管理评审和其他信息采取纠正和预防措施,实现ISMS的持续改进(如表二).
表二
PDCA模式
步骤
方法
定义范围
根据组织业务特征、地理位置、资产、技术等确定ISMS的范围
定义方针
方针是信息安全活动的总方向和总原则,是建立目标的框架,应考虑业务、合同安全义务和法律法规要求
确定风险评估的方法
识别适用的风险