• 快捷搜索
  • 全站搜索

探微信息安全管理体系标准修订及实施

2014-09-25 17:32:56作者:中国人民银行金融信息中心 唐彬 董贞良编辑:金融咨询网
ISO/IEC27001和ISO/IEC27002是当前国际信息安全管理体系(ISMS)的权威和通用标准,标准的应用实施有助于建立科学的、系统的、规范化的信息安全管理模式;ISO标准又对主要标准做了相关要点修订,并以新版标准融入金融业务的应用之中,这对ISMS的作用发挥具有极大推动作用。

ISO/IEC27000是国际标准化组织专门为信息安全管理体系(ISMS,Information Security Management System)建立的一系列相关标准的总称,已经预留了ISO/IEC 27000到ISO/IEC 27059共60个标准号,到目前为止,正式发布的信息安全管理体系标准有8个,其中最主要的两个标准是ISO/IEC27001和ISO/IEC 27002。

        2005年,ISO发布了ISO/IEC27002:2005和ISO/IEC 27001:2005。其中,ISO/IEC27001:2005等同转化为中国国家标准GB/T 22080—2008/ISO/IEC27001:2005,ISO/IEC27002:2005等同转化为中国国家标准GB/T 22081—2008/ISO/IEC27001:2005。

        经过8年实施,2013年,ISO发布了其修订后的ISO/IEC27001:2013和ISO/IEC27002:2013版本。本文介绍了信息安全管理体系及其主要的两个标准2013版本修订情况,并结合修订特点,提出在金融行业实施此标准的要点。

信息安全管理体系主要标准介绍

        管理体系是组织用来保证其完成任务目标的过程集的框架,ISO9000:2000中,将其定义为建立方针和目标并实现这些目标的体系,管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。目前业界存在很多管理体系,例如质量管理体系、环境管理体系、信息安全管理体系等,管理体系已形成完整的产业链。信息安全管理体系是组织整个管理体系的一部分,也是组织整体信息安全体系的一部分。信息安全管理体系采用了“规划(Plan)一实施(Do)一检查(check)一处置(Act)”(PDCA)模型,该模型可应用于所有信息安全管理体系过程。

        如前所叙,ISMS核心的两个标准适用于所有类型的组织,着眼于组织整体业务风险,规定了为适应不同组织或部门的需求而制定的安全控制措施实施要求,也是独立第三方认证及实施审核的依据。ISO/IEC27001是建立和改进信息安全管理体系的权威标准,是全球业界一致公认的辅助信息安全治理的手段,该标准主要为建立、实施、保持和持续改进组织ISMS提出要求,其强调采用ISMS应是组织的一项战略性决策,强调IT战略与组织业务发展的一致性,确保IT资源适得其所。ISMS通过引用风险管理过程保持信息的机密性、完整性和可用性,并给予相关利益方风险已得到充分管理的信心。

        ISO/IEC27002提出了若干控制目标和措施,这些目标和措施是信息安全的最佳实践。从应用角度看,该标准具有专用和通用的二重性,作为ISO27000标准族系列的成员之一,它是配合ISO/IEC27001标准使用的,体现其专用性;同时,它提出的信息安全控制目标和措施又是从信息安全工作实践中总结出来的,不管组织是否建立和实施信息安全管理体系,均可从中选择适合自己的思路、方法和手段来实现目标,体现了其通用性。

信息安全管理体系标准的作用

        信息安全管理体系标准提供了科学的信息安全管理模型,其本身是一个系统化、程序化和文件化的管理体系,强调动态性和过程控制,在成本与风险控制的平衡中选择安全控制措施;强调系统、全面的风险评估,体现预防为主的思想;强调与国家信息安全法律和制度的符合性;强调对组织关键信息资产机密性、完整性、可用性的保护和业务的持续运作。

        通过标准实施,预期达到以下成果:在策略制度方面,形成从方针手册,到程序文件、操作规程直至记录表格在内的层次化的文件体系;在组织建设方面,建立决策、管理、执行和监督多维的组织架构,明确信息安全相关角色和职责;在风险管理方面,通过风险评估和处置过程,建立起全面的信息安全内部控制(包括技术和管理两个方面)机制,结合信息安全事件管理和业务连续性管理,确保组织从整体上将信息安全风险控制在可接受水平;在人员意识方面,通过有序组织信息安全培训及相关意识宣贯活动,确保人员具备基本的信息安全意识和操作技能;在支持保障方面,建立内/外部审核、管理评审、有效度量、日常检查等多项检查监督机制。

信息安全管理体系主要标准的修订要点

        1. 采用ISO规定的新结构

        ISO/IEC27001:2005的体系结构是:范围、规范性引用文件、术语和定义、ISMS、管理职责、审核、ISMS的管理评审、ISMS改进。ISO/IEC27001:2013的体系结构是:范围、规范性引用文件、术语和定义、组织的环境、领导力、计划、支持、运营、绩效评价、改进。

        新版标准根据ISO标准编写导则83(ISO GUIDE83)撰写。此导则规定了管理体系类标准的一级结构:范围、规范性引用文件、术语和定义、组织背景、领导力、计划、支持、运营、绩效评价、改进。改版后的ISO22301业务连续性管理标准(原BS25999标准)是全球首个根据ISO GUIDE 83撰写的ISO标准,ISO/IEC27001:2013是继ISO22301之后又一遵从ISO GUIDE 83撰写的ISO标准,后续,全球所有ISO标准均要遵从此标准,由此也看出ISO在标准制定的标准化与规范化方面的推进。

        2. 控制点和控制措施的调整

        ISO/IEC27001:2013的附录A由ISO/IEC27001:2005中的11个领域133个控制措施修改为14个领域、35个控制目标、113个控制措施。相应的ISO/IEC27002也对应14个领域、35个控制目标、113个控制措施进行了调整。

        新版标准中将密码学、供应关系独立为两个领域,操作安全和通信安全由旧版的A10中分开为两个独立部分描述。

3. 根据新形势加入新的内容并删除部分控制项

        结合新的信息安全形势,新版标准加入了新的内容,例如,ISO/IEC27002:2013的信息安全组织中加入了移动设备和远程工作的内容,从移动设备的注册、物理保护的要求、软件安装的限制、移动设备软件版本和补丁应用的要求、连接信息服务的限制、访问控制、密码技术、恶意软件防范、远程关闭擦除或锁定、备份、web服务和web应用的用法提出移动设备策略制定要点。此外,新版标准还新增了安全开发策略、系统开发程序、安全的开发环境、系统安全测试、信息安全事件的评估和决策、信息处理设施的可用性。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章