信息安全管理体系要求－ISOIEC270012005介绍.doc

信息安全管理体系要求－ISO/IEC27001:2005介绍 发展：一个重要的里程碑 ISO/IEC 27001:2005的名称是 “Information technology- Security techniques-Information security management systems-requirements”，可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。 在ISO/IEC 27001:2005标准出现之前，组织只能按照英国标准研究院（British Standard Institute，简称BSI）的BS 7799-2:2002标准，进行认证。现在，组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步：从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。 目的：认证 ISO/IEC 27001:2005标准设计用于认证目的，它可帮助组织建立和维护ISMS。标准的4 - 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4 - 8章的所有要求，那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核（初审）后，其结果是符合ISO/IEC 27001:2005的要求，那么它就会颁发ISMS证书，声明该组织的ISMS符合ISO/IEC 27001:2005标准的要求。 然而，ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准（质量管理体系标准）不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 - 8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足，就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下，ISO/IEC 9001:2002标准的第7章的某些要求（或条款），只要合理，可允许其质量管理体系（QMS）作适当删减。 因此，不管是第一方审核、第二方审核，还是第三方审核，评估组织的ISMS对ISO/IEC 27001:2005标准的符合性是十分严格的。 特点：信息资产风险评估 ISO/IEC 27001:2005标准适用于所有类型的组织，而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说，该标准要求组织通过业务风险方法建立、实施、运行、监视、评审、保持和改进email和传真等）、交谈（如电话等）、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的，以任何方式存储的信息。通常，系统（如信息系统和数据库等）也可作为一类信息资产。 安全风险 组织的信息资产可面临许多威胁，包括人员（内部人员和外人员）误操作 （不管有意的，还是无意的）、盗窃、恶意代码和自然灾害等。 另一方面，组织本身存在某些可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。 风险评估与处理 ISO/IEC 27001:2005标准要求组织利用风险评估的方法，确定每一个关键信息资产的风险，并根据各类信息资产的重要度和价值，选择适当的控制措施，减缓风险。 风险评估和风险处理是ISO/IEC 27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系，要进行信息资产风险评估和风险处理。其主要过程是： 定组织的风险评估方法识别要保护的信息资产 识别风险 制定风险处理计划，选择风险控制措施将风险降低到可接受级别另外，风险是动态的。风险评估活动应定期进行PDCA”过程 图1 ISMS“PDCA”过程周期 国际标准化组织(ISO)使用Plan-Do-Check-Act (即计划-实施-检查-纠正)过程模型组织ISO/IEC 27001:2005标准。这个标准4 - 8章规定了ISMS的建立、实 施与运行、监督与评审、维护与改进所要遵循的活动(过程)，并形成一个周期，称“PDCA”周期，如图1 过程方法 过程是指使用资源把输入转为输出的一组活动。更通俗地说，过程就是将原料（输入）加工成产品（输出）的工作（活动）。输入之所以能转为输出是因为开展了某些工作或活动。 ISO/IEC 27001:2005标准4 - 8章规定了一组ISMS过程。该标准也要求组织使用“过程方法”来管理和控制其ISMS过程。即： 组织必须对应4 - 8章的相应要求，建立其实际的ISMS过程； 组织的ISMS需按“过程方法”进行管理和控制。 这意味着组织的IS