270017799差异.docVIP

27001与7799差异 信息安全管理体系：以精炼管理保障信息安全 [信息来源:中国质量新闻网 作者：丁 莹 ] 点 题 近日，本报记者从英国标准协会（BSI）举办的ISO17799信息安全管理趋势发展研讨会上获悉，信息安全管理体系标准第二部分ISO27001∶2005已经于今年10月14日正式发行，这比预计的11月中旬的出版时间提前了一个月。此前，信息安全管理体系实施指南ISO17799∶2005已经于今年6月正式出版。这两个新版标准的发行使准备导入这一管理体系的组织可以及时地根据新版的要求来构建自己的信息安全管理体系；同时，也更凸显了信息安全管理在当今组织管理中所受到的前所未有的重视。这里，我们将对信息安全管理体系实施指南ISO17799∶2005与ISO17799∶2000差异进行对比说明。 信息安全管理体系抵御风险 新版信息安全管理体系标准分为11个控制区域，39个控制目标，133个控制措施。这是一个完整的、全方位的、系统的管理体系，它可以帮助公司识别、管理和减少信息所面临的各种风险。 控制域一：安全策略 这是一个为信息安全提供管理指导和支持的控制域，它要回答的是信息安全管理到底要干什么的问题，我们可以把它理解为意图、目的或者方向。这里的策略是多级的，既有宏观的策略，又有针对每一个细节的二级甚至更低层策略。 控制域二：组织信息安全 这里的组织不仅包括推行管理体系的主体即内部组织，还包括外部关系，与客户、供应商的关系，组织的信息安全要支持安全策略。 控制域三：资产管理 信息安全管理体系是一个以风险评估为基础的，而风险是与资产共生的。这里的资产不仅包括本组织中想保护的信息资产，还包括信息依存的介质，介质所依存的设备和设备所处的环境，以及能接触到的环境、介质、设备的人。为了能够全面管理风险，资产识别应覆盖全部。过程方法是通常被采纳的方法。 资产管理中，还包括信息资产分级分类、资产责任等方面。 控制域四：人力资源安全 人作为特殊的一种信息载体，是管理体系的主体，也是管理体系中最难管理的一个环节。新版标准从人员在组织中的生命周期的三个阶段识别了相应的控制措施：包括聘用前的职责描述、人员筛选以及聘用条件约束等；在职期间的管理职责和教育训练，以及离职时的相关要求。 控制域五：物理和环境的安全 如前所述，物理环境是整个组织正常运营的支撑，保障信息安全时，物理环境的安全需要同样进行控制。这其中包括组织环境周界划分、出入管控、安全区域等管理措施，此外，针对设备的安置和维护工作也有相应的控制。 控制域六：日常运作和通讯 信息是在组织的各项业务中产生的，保护信息安全的目的就在于保证业务的延续性，组织日常的运作是信息安全管理的主要组成部分。这包括日常的操作、变更的控制、容量的规划、备份、恶意软件防护、存储介质处理、信息交换、电子商务以及监控等管理要求。 控制域七：访问控制 当今信息安全管理区别于传统的保密，就是通过访问控制，在保障信息的机密性的同时，保持可用性和完整性。因此访问控制是信息安全管理之中的主要技术体现。 标准从访问控制策略开始，规范了用户管理、用户职责的方法，并从网络、操作系统、应用系统和信息等层次给出了各级访问控制的要求。此外，对于移动办公和远程工作也进行了规范。 控制域八：系统的获得、开发与维护 信息的安全与信息所主要存在的信息系统息息相关，信息系统本身设计开发的安全性，维护当中的安全性，以及获得一个新的信息系统时所需要关注的安全要求，都在本控制域当中描述。 控制域九：信息安全意外事件管理 信息安全意外事件的管理在旧版中散落在人员管理和运营管理当中，新版将这部分整合为一个新的控制域。它包括两个方面的控制目标，一个是信息安全事件的报告，另一个是针对信息安全意外事件的管理以及从意外事件的处理当中取得经验。 控制域十：业务连续性管理 业务连续性管理是应对那些可能导致业务中断的事件，通过制定一套业务连续性管理计划，构建一个业务连续管理的氛围和文化，在出现重大故障和灾害时，依照组织的业务需求，保持关键业务的连续。信息安全管理的业务连续性是组织整体的业务连续性管理的重要组成部分。 控制域十一：合法性 符合性是指对法律法规的符合性，对自身策略方针的符合性，以及技术符合性。符合性作为最后一个控制域实则是所有控制的基础，没有符合性也就无从谈起有效性和效率。 现实需求催生新标准 20世纪90年代以来，科学技术的高度发展已经毋庸置疑地把我们带进了信息时代，随着信息以爆炸式的速度不断在我们生活中的每一个角落中涌现，如何管理信息，确保其安全性成为全球瞩目的话题。 1992年前后，有越来越多的组织希望有一个管理体系来管理信息安全。1995年，英国标准协会（BSI）出版了信息安全管理体系实施指南BS7799-1；1998年，信息安全管理体系规