ISO/IEC27001,信息安全管理体系,标准解析

　　1概述

　　ISO/IEC27001信息安全管理体系由引言、正文以及附录三个部分组成。

　　ISO/IEC27001信息安全管理体系的引言部分包括三个部分，即0.1总则、0.2过程方法、0.3与其他管理体系的兼容性。

　　“0.1总则”描述了制定ISO/IEC27001信息安全管理体系的用途和应用对象。为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了模型。

　　这种模型是高度概括的，也不正对具体的行业，因此标准中指出：按照组织的需要实施ISMS，是本标准所期望的。简单的情况可以采用简单的ISMS，这意味着应用组织可以裁减使用。正文的第四章到第八章的内容基本可以认为是建立PDCA模型的过程。

　　“0.2的过程方法”对过程、过程方法以及该标准所采用的PDCA模型进行了描述。

　　标准开门见山地指明：本标准采用一种过程方法来建立、实施、运行、监督、评审、保持和改进一个组织的ISMS。这句话说明了本标准时采用的过程方法。

　　过程方法被广泛的应用于目前所流行的标准中，ISO/IEC27001信息安全管理体系所应用的过程方法有其特别之处：

　　① 理解组织的信息安全要求和建立信息安全方针与目标的需要

　　② 从组织整体业务风险的角度，实施和运行控制措施，以管理组织的信息安全风险

　　③ 监视和评审ISMS的执行情况和有效性

　　④ 基于客观测量的持续改进有很多现行的模型都可以满足工程过程方法的要求，而本标准首先要满足上述四点。

　　理解这四点时，应该注意：

　　① 从组织的整体出发，不能为了安全而安全，基于此，组织对安全的需求是不同的，绝对的安全或者过度的安全都是不必要的，甚至是浪费的。

　　② 信息安全风险的管理必须考虑整体业务风险，因为信息系统不是组织的全部，不去考虑整体的业务风险，就没有站在组织的视角去理解信息安全，而且脱离整体业务考虑的控制，也不可能真正解决组织信息安全的问题。

　　③ 注重监视和评审，监视和评审时持续改进的基础。如果缺乏对执行的有效的测量，改进就成了无的放矢。

　　“0.3与其他管理体系的兼容性”

　　目前国际化标准组织推出了四个管理体系标准

　　① ISO9001质量管理体系

　　② OHSAS18001职业健康安全管理体系

　　③ ISO14001环境管理体系

　　④ ISO27001信息安全管理体系

　　这四个管理体系都采用了系统的方法，即PDCA模型，越来越多的组织会选择其中几个甚至全部在组织内应用，显然，让各个体系各行其是是不现实的。

　　因此，标准指出：一个设计适当的管理体系可以满足所有这些标准的要求。管理体系的整合已经成为大势所趋。基于“三标(除信息安全)”的整合管理体系在国内比 较常见，也有大量的参考资料。基于“四标”的整合管理体系国内有实施，例如：国家电网浙江宁波电业局的基于流程的资料、职业健康安全、环境和信息安全四标 一体整合管理体系，但是目前还没有公开资料。

　　2正文解析

　　ISO/IEC27001的正文分为8章，分别为：

　　① 范围;

　　② 规范性引用文件;

　　③ 术语和定义;

　　④ 信息安全管理体系;

　　⑤ 管理职责;

　　⑥ 内部信息安全管理体系审核;

　　⑦ 信息安全管理体系的管理评审;

　　⑧ 信息安全管理体系的改进;

　　标准的开始就说明了下面的原则：本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。

　　对管理流程的认证和对产品的认证是两种不同的概念，后者注重结果，前者注重过程。理论上讲，按照本标准的要求部署信息安全管理体系后，会防止信息安全事件的 发生，但是不能百分之百的保证，更不能理解为符合标准就获得法律义务的豁免。管理流程是诸多经验的总结，而且在实践中证明也是有效的。

　　对于结果的证明是很难实现的，但是对于规范的流程是可以向客户证明的。

　　信息安全管理体系正是提供了这样一个完整的管理流程，我们无法保证这种方法是正确的或者是唯一的，但是至少在实践中试行之有效的。

　　2.1范围解析

　　ISO/IEC27001不专门针对某个行业，而是适用所有类型组织，对于具体行业中的应用，在ISO/IEC27000族标准中的其他标准中讨论。标准的主要内容有两个部分：

　　(1) 从组织的整体业务风险的角度，为建立、实施、监视、评审、保持和改进文件化的信息安全管理体系规定了详细的要求。

　　(2) 为适应不同组织或其部门的需要而制定的安全控制措施的实施要求。

　　2.2规范性引用文件解析

　　ISO/IEC27001明确了ISO/IEC27002为其应用标准。

　　ISO/IEC27002：2005《信息安全管理实用规则》作为一个通用的信息安全控制措施集，是目前发布的两个信息安全管理体系标准之一，这些控制措施涵盖了信息安全的各个方面，为信息安全管理体系的建设提供了控制措施的选择依据。

　　该标准把控制措施分为11个安全领域，分别是：

　　(1)安全方针

　　(2)信息安全组织

　　(3)资产管理

　　(4)人力资源安全

　　(5)物理和环境安全

　　(6)通信和操作管理

　　(7)访问控制

　　(8)信息系统获取开发和维护

　　(9)信息安全事故管理

　　(10)业务连续性管理

　　(11)符合性

　　这11个方面进一步分为39个安全类型和133条控制措施，每条控制措施的描述则包括了较为详细的实施方法，因此该标准可以作为信息安全管理体系的实施指南。

　　1.安全方针解析

　　安全方针，是组织总体方针文件的一部分，其作用是一句业务要求和相关法律法规提供管理指导并支持信息安全。

　　信息安全方针是通过文件的方式进行体现。信息安全方针文件时组织信息管理者确定的信息安全方针文件化，应该包括下面内容：

　　① 信息安全的定义以及信息安全在信息共享机制下安全的重要性。

　　② 信息安全的整体目标以及管理者的意图。

　　③ 信息安全的范围。

　　④ 信息安全目标和原则。

　　⑤ 控制目标和控制错的框架，包括风险评估和风险管理的结构。

　　⑥ 对于组织特别重要的安全方针策略、原则、标准和符合性要求的简要说明。

　　⑦ 信息安全管理的一般和特定职责的定义。

　　⑧ 对于支持方针的文件的引用。

　　信息安全方针文件应该由管理者批准、发布并传达给所有员工和外部相关方。在编写信息安全方针文件时，必须注意到其预期读者比较广泛，因此必须以适合的、可访问的和可理解的形式进行表达。

　　2.信息安全组织解析

　　组织分为内部组织和外部组织两个大部分。

　　在组织内部应该通过组织结构和组织活动来支持信息安全，首先应建立管理框架，启动和控制组织范围内的信息安全的实施，管理者应批准信息安全方针、指派安全角 色以及协调和评审整个组织安全的实施。若需要，要在组织内建立专家信息安全建议库，并发展与外部安全专家或者组织的联系，以便跟上行业的趋势、跟踪标准和 评估方法，并且处理信息安全事件时，提供合适的联络点。

　　组织的外部的安全问题 也必须加以考虑，组织的信息处理设施和信息资产的安全不应该由于外部的产品或者服务而降低，任何外部对这种信息处理设施的访问，对信息资产的处理和通信都 应该给以控制。对于外部各方的信息安全控制，以防止外部方队组织信息处理设施进行访问，对信息资产进行处理以及通信过程中的安全事件的发生。

　　3.资产管理解析

　　资产是组织内部所有有用的东西，因此，资产的概念是宽泛的。对于大部分组织来说，传统资产的管理是完善的，但是对于信息本身来说却没有很好的管理。本标准在引言中就已经指出：信息是一种资产，像其他业务资产一样，对组织具有价值。

　　要想把资产管理好，首先要识别所有的资产并形成完善的清单，而且要把资产重要性形成文件，这样在实际的管理中就做到了心中有数。资产清单可以帮助组织从灾难 中恢复所需要的信息，包含的项目有资产的类型、格式、位置、备份信息、许可证信息也业务价值等。这些项目不一定要在一个相同的清单中，它们可以分散到很多 清单中去，但是必须保证这些清单是相关联的。

　　资产清单中包括了另一个重要的栏目、即资产的负责人。与信息处理设施有关的所有信息和资产应该由指定的部门或者人员承担责任。

　　资产负债人应负责：

　　a)确保与信息处理设施相关的信息和资产进行了适当的分类;

　　b)确定并周期性评审访问限制和分类，要考虑到可应用的访问控制策略。

　　对 于普通的用户而言，关心的是资产能提供合格的服务。那么，任何引导他们正确地使用资产?所有雇员、承包方人员和第三方人员应该遵循信息处理设施相关信息与 资产的可接受的使用规则。这其中包括很多方面，对所有的资产都应该有具体的使用规则和指南。在很多情况下，这些规则或指南，可能不是独立的，可能被划归到 对信息系统的合格使用问题上。

　　4.人力资源安全解析

　　所有的管理活动都不能离开“人”这个主体的参与，事实上，一个组织重要的、有价值的信息相当一部分存在员工的大脑中，许多信息安全事件是由人而起的。“人”在信息安全活动中是最复杂、最难控制的保护对象。

　　信 息安全意识的好坏直接影响信息安全管理体系效果。组织的所有雇员，适当时，包括承包方和第三方人员，应该受到与其工作职能相关的适当的意识培训和组织方针 策略程序的定期更新培训。在所有的雇员、承包方人员和第三方人员在终止任用、合同或者协议时，应归还他们使用的所有组织资产。这些资产主要包括：

　　a)软件、公司文件和设备;

　　b)其他组织资产，例如移动计算设备、信用卡、访问卡、软件、手册;

　　c)存储于电子介质中的信息。

　　归还资产和撤销访问权应是在终止或变化时必须执行的步骤。很多信息安全事故都是由于人员任用终止，而服务权没有相应终止，由心怀怨恨的雇员引起的。

　　5.物理和环境安全解析

　　物理和环境的安全控制不仅是信息安全的需要，也是传统安全的要求。一个组织无论是否考虑信息安全问题，都有吧物理和环境安全做好。

　　设备的环境安全部分涉及：安全边界的定义，入口的控制，办公室、房间和设施一直到外部环境威胁的安全保护，还包括工作的安全区域和公共访问和交接区。

　　设备安全部分从设备购置后的安置和保护，到支持性设施的保护，再到布电缆投入运行，一直到最后的处置和再利用。之间包括了设备的正确维护、移动，以及场所外如何保证安全的问题。

　　6.通信和操作管理解析

　　这里的“通信”是广义的通信的概念，主要是指信息是交换、沟通和交流等活动。操作是指对信息处理设备和设施、信息系统、软件等的操作。

　　为了保证对所有的有需求的用户可用，与信息处理和通信设施相关的系统活动要具备形成文件的程序，例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等。要将操作程序和系统活动的文件化程序看做正式的文件，其变更由管理者授权。

　　操作程序文件和信息系统的变更一定要保持一致。而信息系统的各种操作可能比较繁杂，技术上可行时，信息系统应该使用相同的程序、工具和实用程序进行一致的管理。

　　对于信息处理设施、操作系统和应用软件等变更应该由严格的控制。只有规范了变更程序，才能保证操作程序文件和实际操作的一致性，更重要的是这些变更可能会引入新的风险，必须有批准、记录、备份等才能保证变更的安全性。

　　在分配职责时，应该尽量让权限最小化，以尽量降低未授权或无意识的修改或者不当使用组织资产的机会。

　　7.访问控制

　　访问控制的目标是队长对信息的访问，目前已经发展成为保护信息安全的最重要的手段之一。对信息、信息处理设施和业务过程的访问应在业务和安全要求的基础上予 以控制。因此，访问控制策略必须基于业务和访问的安全要求，访问控制规范要考虑到信息传播授权的策略。在访问策略中应该清晰地叙述每个用户或者一组用户访 问控制规则和权力。访问控制既是逻辑的也是物理的，应该引起考虑。

　　访问控制策略要以用户的访问管理为基础，首先应有正式的用户注册和注销程序。未授权或者撤销所有信息系统及服务的访问。用户注册是用户管理生命周期的开始，注册必须使用唯一的ID与用户行为联系起来。

　　口令的分配和控制必须有正式的管理控制过程。口令的使用也必须培养良好的用户习惯。管理者必须对用户的访问进行定期审查，某些用户可能从一个部门掉到另一个部门，这时候必须重新分配用户的访问权。

　　8.信息系统获取、开发和维护解析

　　本章主要对信息系统购置、开发建设以及系统运行维护过程中的信息安全有关方面提出了详细的控制目标和控制措施。

　　安全应该贯穿信息系统的生命周期，从需求阶段必须对安全提出要求。组织的大部分信息系统可能都是买的，那么购买产品之后就进行常规的测试和需求处理。与供货商签的合同上应该确切地标明安全需要。

　　应用中的正确处理的目的是防止应用系统中的信息的错误、遗失、未授权的修改以及误用。其中三个方面的内容：输入与输出数据的验证和内部处理的控制，与规范的程序编码要求是完全一致的。

　　9.信息安全事件管理解析

　　无论采取什么样的控制措施，都不可能达到百分之百的安全，总有可能发生信息安全事件，因此亡羊补牢式的信息安全事件便成了整个管理体系中的重要的一环。

　　信息安全事件犹如信息安全管理体系中的不合格品，必须采取措施加以预防。这就要求雇员、承包方和第三方人员都有尽可能快的按照正式的事件报告和上报程序，将信息安全事态和弱点报告给指定的联系点，以便尽早采取措施，降低信息安全事件发生的可能性。

　　信息安全事件的检测室事件管理的开始，应该建立正常的信息安全事件报告、事故应答和分类机制，在接到信息安全事件报告后着手采取措施。应建立管理职责和程 序，以确保能对信息安全事故作出快速、有效和有序的响应。应建立一套机制来量化、监视和评审信息安全事故，积累事故的历史数据，可以有效的估算发生的频率 和发生后的损失，而且可以有效的采取措施防止事故的再次发生。

　　10.业务连续性管理解析

　　对企业来说，业务连续性管理是一项重要的、综合的管理，涉及企业的诸多方面，是信息安全活动中很重要的一个方面。

　　防止业务活动中断，保护关键业务过程免受信息系统重大失误或灾难的影响，并确保他们的及时恢复。为通过和恢复控制的组合，将对机构的影响减少到最低水平，并能从信息资产的损失中恢复到可以接受的程度，实现业务连续性管理过程。

　　11.符合性解析

　　满足我国当前的法律法规中关于信息安全方面的要求是任何组织必须要做到的，其次是满足合同要求、组织制定的规章制度和技术要求等。

　　对于法律法规方面的要求，应从组织的法律顾问或者合格的法律从业人员处获得特定的法律要求建议。法律要求因国家而异，而且对于在一个国家产生的信息发送到另一个国家的法律要求也不同。法律方面的要求也包括知识产权、记录保持、数据以及密码控制等方面。

　　对于组织自身安全策略和标准以及技术符合性，则应定期评审信息系统的安全，这种评审应按照适当的安全策略进行。审核技术平台好信息系统，看其是否符合适用的安全实施标准和文件化的安全控制措施。

　　3附录部分

　　ISO/IEC27001 的附录分为附录A、附录B和附录C三部分。附录A为规范性附录，列出了实施信息安全管理系统的控制目标和控制措施，与中文部分内容一样，在附录A中选择控 制目标和控制措施是规定的信息安全管理系统过程的一部分。附录B和附录C属于资料性附录，附录B中的列表经济合作与发展组织原则和该标准的对照，附录C列 出了ISO/IEC27001与ISO9001:2000以及ISO：2004之间的对照。附录B和附录C的内容仅供参考。