ISO27001标准介绍

ISO27001标准介绍 信息安全管理是当前全球的热门话题，而建立一个符合国际标准的体系，是大家普遍关注的焦点。BS7799为英国标准协会（The British Standards Institute, Bsi）所推动的信息安全管理标，它是基于最佳实践的管理体系标准，以风险管理为基础，从11个区域来保障组织的信息安全。其第一部分在2000年12月成为ISO/IEC 17799国际标准(信息安全管理指南)，第二部分于2005年10月14日正式被采纳为国际标准，编号为ISO27001:2005，全面提供认证服务。 该标准当前已被诸多国家采纳为国家标准，根据ISMS国际使用者协会(IUG)的最新统计，截止2007年12月，已有4000多家公司通过了ISO 27001:2005认证，获得了信息安全管理体系认证证书。 采纳该体系，能缩短自身安全管理体系的试验过程，尽快实施对信息资产的保护，提升竞争力，增强客户和合作伙伴的信心。 ISO27001的内容包括： ※十一个控制域 ※三十九个控制目标 ※一百三十三个控制措施 十一个控制域： 信息安全方针政策 组织的安全 资产管理 人员的安全 物理及环境的安全 通信与操作管理 访问控制 信息系统的获得、开发与维护 信息安全事件管理 业务持续性管理 合规性 信息安全管理体系(ISMS)的标准，从发行伊始，就不仅仅在英国或者欧洲本土被应用， 在亚洲，获得了更为广泛的认知和使用，包括中国在内的很多亚洲国家已经将之采纳为国家标准。以下我们分析ISMS标准的核心监控点，及其对于业务保障的作用 信息安全的内涵，包括机密性(confidentiality)，完整性（Integrity），可用性（Availability）三个属性，只有这三个属性都能满足业务的需求，信息的安全才算是有所保障。 因此，在考虑信息安全保护时，首先需要根据业务分析在这三个方面的安全需求。此外由于信息是不能独立存在的，它需要依赖逻辑的载体---应用系统、数据库、操作系统等；需要依赖物理的载体—存储介质、设备、场所和环境等；需要依赖某些特定的服务—网络、基础设施等，以及操作和使用的主体—人。所以，考虑保护信息安全，需要同时考虑保护这些依赖体。 在确定好保护对象之后，就可以考虑保护的方式，ISMS的标准的核心是基于访问控制（Access Control）的，通过对信息及其依赖体的访问进行控制，实现对信息的机密性、完整性和可用性的全面保障。ISMS给出了11个领域133个控制措施。我们从物理安全、操作安全、系统安全、人员安全、事件管理和合规性六个方面来描述标准控制措施的内涵。 采纳了ISO 27001所提供的信息安全管理方案，组织可以从物理安全、操作安全、系统安全、人员安全、事件管理和合规性等几个方面对信息安全提供保障，这样做至少可以有两个方面的益处：一是保护了自己和客户的信息的安全性，防止信息的泄漏、篡改和损毁。二是向相关方，尤其是客户提供了信任的基础。