GB/T22080即 ISO27001信息安全管理體系標準解析一?信息安全的起源?發(fā)展和內(nèi)容結(jié)構(gòu)

一?ISO27001信息安全管理體系概述

自古以來信息就扮演著極為重要的角色,信息及信息的使用關(guān)乎國家?部族和組織的興衰?隨著世界文明進入到全球信息社會,信息通過網(wǎng)絡(luò)和信息系統(tǒng)傳播到不同的領(lǐng)域和角落,信息的交流推動或制約著經(jīng)濟和社會的發(fā)展?

信息被認為是當今任何一個組織的生命之血脈,確保信息能為需要的人所獲取和使用的同時,又能得到保護其安全是現(xiàn)代業(yè)務(wù)運行的基本要求?

信息是一種資產(chǎn)?如同其他重要的業(yè)務(wù)資產(chǎn)一樣,是組織業(yè)務(wù)運行的基礎(chǔ),需要加以保護?但它又不同于傳統(tǒng)觀念的資產(chǎn)?傳統(tǒng)類的組織資產(chǎn)通常以實體形式存在,如 設(shè)備?建筑場所?文件?錢財?shù)?其安全保護的考慮主要關(guān)注于物理設(shè)防,如警衛(wèi)?封閉的空間?器械等?隨著信息技術(shù)的快速發(fā)展,當今的組織資產(chǎn)廣泛增加了各 種基于電子媒體形式的資產(chǎn),如虛擬資產(chǎn)?知識產(chǎn)權(quán)等?資產(chǎn)的交易?轉(zhuǎn)移更是可以借助電子和網(wǎng)絡(luò),以數(shù)字傳輸?shù)姆绞綄崿F(xiàn),組織的財富以大量的電子數(shù)據(jù)的形式 存在?由于信息及信息的存儲?處理?傳輸和使用以及相關(guān)的設(shè)施和人員共同構(gòu)成了一個復(fù)雜的環(huán)境,保障信息安全已經(jīng)是一種系統(tǒng)性的工作,而不僅僅是針對信息 的保護?在當前信息技術(shù)如此迅速發(fā)展和廣泛應(yīng)用的環(huán)境下,一個組織如何才能有效率地實現(xiàn)信息安全,抵御組織內(nèi)部和外部對信息資產(chǎn)和信息處理設(shè)施的各種威 脅,確保業(yè)務(wù)的成功運行是各界普遍關(guān)注的焦點議題?

信息安全是一個很寬泛的概念,GB/T22080?ISO27001標準所定義的信息安全為“保持信息的保密性?完整性?可用性;另外也可包括例如真實性?可核查性?不可否認性和可靠性等”?這種定義已經(jīng)得到廣泛認同,其中 保密性(Confidentiality)?完整性(Integrity)?可用性(Availability)(簡稱CIA)是信息安全的最重要的三個維度?信息安全包括采取和管理適當?shù)目刂拼胧?而所采取的控制措施是考慮了來源廣泛的威脅,其目的是保持組織業(yè)務(wù)的成功和連續(xù)性?

早期人們對保障信息安全的考慮往往著眼于技術(shù)手段,期望通過使用先進的技術(shù)方法和工具來達到某種安全?然而在信息系統(tǒng)的設(shè)計和開發(fā)中對信息安全難以預(yù)測和全 面解決?實踐證明單純采用技術(shù)手段來保護信息和信息系統(tǒng)安全的作用是有限的,在缺乏良好管理的支撐下,有些技術(shù)甚至是無效的?因此,保證組織信息安全的一 個明智選擇應(yīng)該是實施信息安全管理體系(Information Security Management Systems簡稱ISMS),通過ISO27001信息安全管理體系并結(jié)合各種適用的控制措施(包括管理?技術(shù)和運行三方面)才是組織信息安全的真正保障?

ISO27001信息安全管理體系是一個組織為保護信息資產(chǎn)?實現(xiàn)其業(yè)務(wù)目標而建立?實施?運行?監(jiān)視?評審?保持和改進的管理架構(gòu),包括針對信息安全管理的組織結(jié)構(gòu)?方 針?規(guī)劃?職責?過程?規(guī)程和資源等各方面?管理體系的運作下,通過持續(xù)的評估安全風險以及對信息資產(chǎn)保護要求的分析來了解風險是否處于組織可接受的水 平?確保安全控制措施的適用性和有效性,并在必要時有針對性地提升或更新安全措施,進而形成一個對信息資產(chǎn)持續(xù)保護的環(huán)境?

組織建立?實施與保持信息安全管理體系將為組織帶來如下益處,包括:

1)強化員工的信息安全意識,規(guī)范組織信息安全行為;

2)對組織的關(guān)鍵信息資產(chǎn)進行全面系統(tǒng)地保護,保持競爭優(yōu)勢;

3)在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低;

4)使組織的業(yè)務(wù)合作伙伴和客戶對組織充滿信心?

ISO27001信息安全管理體系的實施并非是一項簡單易行的工作,ISMS的成功需要應(yīng)獲得組織管理層的支持,特別要關(guān)注以下基本原則:

1)對信息安全需要的認知;

2)指派信息安全職責;

3)協(xié)調(diào)管理承諾和利益相關(guān)方的利害關(guān)系;

4)增加社會價值;

5)通過風險評估來確定適當?shù)目刂拼胧?使風險達到可接受的水平;

6)將安全作為一項基本要素融入信息網(wǎng)絡(luò)和系統(tǒng);

7)對信息安全事件的積極防范和檢測;

8)對信息安全持續(xù)的再評估,并在適當時加以調(diào)整?

建立并保持一個有效的ISO27001信息安全管理體系,應(yīng)采用信息安全管理的相關(guān)標準作為指南?信息安全管理標準來源于信息安全領(lǐng)域全球接受的良好實踐,通過標準可全面了 解信息安全管理方面行之有效的原則?方法和實踐,為組織基于自身環(huán)境確立其實現(xiàn)信息安全的路線?方針和具體運作提供了指南?信息安全管理標準族是一種得到 廣泛接受和認可的參照基準,可用于組織評估提升安全管理水平?此外,標準形成了信息安全領(lǐng)域的一種共同語言和概念基礎(chǔ),便于各方的交流?

二?信息安全管理國際標準的產(chǎn)生和發(fā)展

ISO/IEC27001標準于19993年由英國貿(mào)易工業(yè)部立項,于1995年英國首次出版BS7799-1:1995《信息安全管理實施細則》,它提供了一套綜合 的?由信息安全最佳慣例組成的實施規(guī)則,其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準,并且適用于大?中?小組織?

1998 年英國公布標準的第二部分《信息安全管理體系規(guī)范》,它規(guī)定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基 礎(chǔ),它可以作為一個正式認證方案的根據(jù)?ISO/IEC27000-1與ISO/IEC27000-2經(jīng)過修訂于1999年重新予以發(fā)布,1999版考慮了信息處理技術(shù),尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā) 展,同時還非常強調(diào)了商務(wù)涉及的信息安全及信息安全的責任?

2000年12月,ISO/IEC27000-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可,正式成為國際標準ISO/IEC17799-1:2000《信息安全管理實施細則》?

2002年9月5日,ISO/IEC27000-2:2002草案經(jīng)過廣泛的討論之后,終于發(fā)布成為正式標準,同時ISO27000-2:1999被廢止?

現(xiàn)在,ISO/IEC 27000:2005標準已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標準?

2008年6月19日,由全國信息安全標準化技術(shù)委員會等同采用ISO/IEC27001:2005《信息安全管理體系 要求》,僅有編輯性修改,成為國家推薦性標準GB/T22080—2008《信息安全管理體系 要求》?

2008年6月19日,由全國信息安全標準化技術(shù)委員會等同采用ISO/IEC27002:2005《信息安全管理實用規(guī)則》,成為國家推薦性標準GB/T22081-2008《信息安全管理實用規(guī)則》?

三?GB/T22080-2008《信息安全管理體系 要求》的內(nèi)容結(jié)構(gòu)

GB/T22080標準的目的是為建立和運行信息安全管理體系提供規(guī)范性的要求;通過ISMS的運行(包括所采用一系列控制措施),控制和降低與信息資產(chǎn)相關(guān)的風險?

GB/T22080 標準的核心是基于持續(xù)的風險評估建立和實施信息安全管理體系,并對體系的運行進行監(jiān)督?評審和改進?為此標準采納了質(zhì)量管理體系標準所共知的運行原則 ———戴明的規(guī)劃—實施—檢查—處置(PDCA)模型作為實施?運行?監(jiān)視和改進信息安全管理體系的過程方法?這就使得GB/T22080與其他管理體系 標準(如GB/T19001質(zhì)量管理體系和GB/T24001環(huán)境管理體系等)保持協(xié)調(diào),便于使信息安全管理體系的實施和運行與一個組織內(nèi)的其他管理體系 協(xié)調(diào)一致管理?

GB/T22080—2008標準的內(nèi)容結(jié)構(gòu)為:

前言

引言

1 范圍

2 規(guī)范性引用文件

3 術(shù)語和定義

4 信息安全管理體系(ISMS)

5 管理職責

6 ISMS內(nèi)部審核

7 ISMS的管理評審

8 ISMS改進

附錄A(規(guī)范性附錄) 控制目標和控制措施

附錄B(資料性附錄) OECD原則和本標準

附錄C(資料性附錄) GB/T19001-2000,GB/T24001-2004和本標準之間的對照參考文獻

標準第4章至第8章具體描述了一個組織在構(gòu)建和實施其信息安全管理體系中必須滿足的要求,涵蓋了管理體系的建立?實施?運行?監(jiān)視?評審?保持和改進?附錄 A的內(nèi)容則直接來源于GB/T22081第5章至第15章的目標和控制措施,作為規(guī)范性的附錄組織應(yīng)從中選擇適用的控制目標和措施并成為信息安全管理體系 的組織部分?

信息安全管理體系為一個組織的管理者提供了管理和控制信息資產(chǎn)安全?降低業(yè)務(wù)風險的手段;通過信息安全管理體系的實施來保障組織的信息安全,并持續(xù)地履行顧客?法律法規(guī)和利益相關(guān)方對信息安全的要求?

GB/T22080 提出的對實施?運行和改進ISO27001信息安全管理體系的要求,也是第三方認證機構(gòu)對一個組織ISO27001信息安全管理體系進行認證的依據(jù)?通過認證可以證實一個組織通過業(yè)務(wù)風險 分析建立并運行了信息安全管理體系,實施有適當?shù)目刂拼胧?安全風險處于受控管理之下,從而使利益相關(guān)方建立安全信任?

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202109/ccaa_27659.html