乐鱼网页版登录入口-乐鱼(中国)

标准的主要（yào）内容（róng）

ISO/IEC17799-2000（BS7799-1）对（duì）信（xìn）息安全管理给（gěi）出建议，供负（fù）责在其组织启动、实施或维护（hù）安全的人员使用。该标准为开发组织的（de）安全标准和有效的安全管（guǎn）理（lǐ）做法（fǎ）提供公共基础，并为组织之间的（de）交（jiāo）往提供信任。

标准指（zhǐ）出“象其他重要业务资产一样，信息也是一（yī）种资产（chǎn）”。它对一个组织具有价（jià）值，因此需要加以合适地保（bǎo）护。信息（xī）安全防止信（xìn）息受到的各（gè）种威胁，以确保业务连续性，使业务受到损害（hài）的风险减至（zhì）**小，使（shǐ）********和业务机会****。

信（xìn）息安全是通过实现一组合适控制获得的。控制可以是（shì）策（cè）略、惯例、规程、组织结构和软件（jiàn）功（gōng）能。需要建（jiàn）立这些控（kòng）制，以确保满足（zú）该组织的特（tè）定安全目标。

内（nèi）容（róng）章节

ISO/IEC17799-2000包（bāo）含了127个安全控制措施来帮助组织识别在运做（zuò）过程中对信息安（ān）全有影（yǐng）响的元（yuán）素，组织可（kě）以根据适（shì）用的法律法（fǎ）规和章程加以选（xuǎn）择和使用，或者增加其他附加控制。国（guó）际标准化组织（ISO）在2005年对ISO 17799进行了（le）修订，修订后的（de）标准作为ISO 27000标准族的****部分——ISO/IEC 27001，新标准去掉9点控制措施（shī），新增17点控制措施，并重组部（bù）分控制措施而（ér）新（xīn）增一章，重组部分控制措施，关（guān）联性（xìng）逻辑性更好（hǎo），更适合应用；并修（xiū）改了部分控制措施措辞。修改后的标准包括11个章（zhāng）节（jiē）：

1）安全策略。指定信息安（ān）全方针，为信息安全提供管（guǎn）理指引和支持，并（bìng）定（dìng）期（qī）评（píng）审。

2）信息安全的（de）组织。建立（lì）信（xìn）息安全管（guǎn）理组（zǔ）织（zhī）体系，在内部开展和控（kòng）制信息（xī）安全的（de）实（shí）施。

3）资产管理（lǐ）。核查（chá）所有信息资产，做好（hǎo）信息（xī）分类，确保信（xìn）息（xī）资产受到适当程度的（de）保护。

4）人力资源安全。确保所有员工，合同（tóng）方和第（dì）三方（fāng）了解信息安全威胁和相关（guān）事宜以及各自的责任，义务，以减少人为差错，盗窃，欺诈或（huò）误用设（shè）施的风险（xiǎn）。

5）物理（lǐ）和（hé）环（huán）境安全。定义安全区域，防止对办（bàn）公场所（suǒ）和信息的未授（shòu）权（quán）访（fǎng）问，破（pò）坏和干扰（rǎo）；保护设备的（de）安（ān）全，防止信息资（zī）产的丢失，损坏或（huò）被盗，以及对企业业务的干扰；同时，还（hái）要做（zuò）好（hǎo）一（yī）般控制，防止信息（xī）和信息处理设施的损坏（huài）和被盗。

6）通信和（hé）操作管理。制定操作规程和职责，确保信息（xī）处理设（shè）施的正确（què）和安全操（cāo）作；建立系统（tǒng）规划和验（yàn）收准则（zé），将系统失效的风险降到****；防范恶意代码和移动（dòng）代码，保护软件和信息的完（wán）整性；做（zuò）好信息备份（fèn）和网络安全管理，确保信息（xī）在（zài）网络中的（de）安全，确保其支持性基础设施（shī）得到保护；建立媒体处置（zhì）和安全（quán）的规程（chéng），防止资产（chǎn）损坏（huài）和业务活动的（de）中（zhōng）断；防止信息和软件在组织（zhī）之间交换时丢失，修改（gǎi）或误用（yòng）。

7）访问控制。制定访（fǎng）问（wèn）控制策略（luè），避免信息（xī）系统的非（fēi）授（shòu）权访问（wèn），并让用户（hù）了解其职责和义务，包（bāo）括网络（luò）访问控制（zhì），操作系统（tǒng）访问控制，应用系统和信息访问控（kòng）制，监视系统访问和使用，定期检测（cè）未授权的活动；当使用移动办公和远程控制时（shí），也（yě）要确保信息安全。

8）系统（tǒng）采集、开发和维护。标示系统的安全要求，确保安全成为信息（xī）系统的内置部分，控（kòng）制应用系统（tǒng）的安全，防止应用系统中用户（hù）数据的丢失，被修改或误用；通过加密（mì）手段保护信息的保密性，真实性（xìng）和（hé）完整性；控制对系统文件的访问（wèn），确保系（xì）统文档，源程序代码的安全；严格控制开发和支持过程，维护应用系统软件和信息安（ān）全。

9）信息安全事故管理。报告信息安全事件和（hé）弱（ruò）点，及时采取纠正（zhèng）措施，确（què）保使用持续有效的（de）方法管理信息安全事故，并确保及时修复。

10）业务（wù）连续（xù）性（xìng）管理。目（mù）的是为（wéi）减少业（yè）务活动的中断，是关键业（yè）务过程免（miǎn）受主要故障或（huò）天灾（zāi）的影响，并确保及时恢复（fù）。

11）符合性。信（xìn）息系统的设计，操（cāo）作，使用过程和（hé）管理要符合法律法规的要求，符合组织安全方针和标准，还要控制系统审（shěn）计，使信息审核（hé）过（guò）程的效力****化，干（gàn）扰**小化（huà）。

ISO27001的效益

1、通过（guò）定义、评估和控制（zhì）风险，确保经营的持续性和（hé）能力（lì）

2、减少由于合同违规行为以及直接触犯法律（lǜ）法规要求所（suǒ）造成（chéng）的责任

3、通（tōng）过遵守国际标准提高企业竞争（zhēng）能力，提升企（qǐ）业形象

4、明确定义所有组织的内部和外（wài）部（bù）的信息接口目标：谨防（fáng）数据的误用和（hé）丢失

5、建（jiàn）立安（ān）全工具使用方针

6、谨防技术（shù）诀（jué）窍的丢失

7、在组织内部增强（qiáng）安全意（yì）识

8、可作为公共会计审计（jì）的证据（jù）

认识（shí）ISO27001国际（jì）标准

ISO27001（BS7799/ISO17799）国际标准（zhǔn）究竟是（shì）什么？它如何（hé）帮助（zhù）一个组织更加有（yǒu）效地管理信息安全？BS7799/ISO27001和（hé）ISO9001之间有什么联系？初次涉猎信息安全管理（lǐ）领域应该掌握哪（nǎ）些内容，以便（biàn）组织发起信息（xī）安（ān）全管理项目？如何获得BS7799国际标准（zhǔn）认证？

IT治理（lǐ）和信息安全（quán）

近年来企（qǐ）业（yè）高（gāo）层对内部治理需求越来越实（shí）际而具体。随着信息技术普遍渗（shèn）透到企业组织中的各个方面，企业（yè）越来越依赖IT系统来处（chù）理（lǐ）和储（chǔ）存各种信息，以****业务正常运营，由（yóu）此（cǐ）IT系统在企业（yè）治理（lǐ）中的作z用越来越（yuè）明晰，IT治理也（yě）逐渐被大多（duō）数企业认可，成为董事会和企业内部共同关（guān）注的领域。IT治理的基础（chǔ）部分是信息安全保护——包括（kuò）确（què）保信息（xī）的可（kě）用性、机（jī）密性和完（wán）整性——这是其他IT治理环（huán）节（jiē）实施（shī）的前提。

与此同时，和信息安全（quán）相关（guān）的国（guó）际标准已经出台，成为标准IT治理（lǐ）框架中的一大基石。

信息安全和（hé）法律法规

业内人士对（duì）ISO27001认证趋之若鹜（wù），这其中（zhōng）有两个关键性的驱（qū）动因素：一是日益（yì）严峻的信息安全威（wēi）胁，二是不断增（zēng）长的（de）信息保护相关（guān）法规的需求。

本质上说，信息安（ān）全威胁是全球（qiú）化的。一般来说，它将毫（háo）无差别地辐（fú）射到每一个（gè）拥有、使用电子信息（xī）的机构和个人。这种威胁在因特网的环（huán）境中自动生（shēng）成（chéng）并释放。更严重（chóng）的问题是，其（qí）他各种形式的危险也在整日威胁（xié）数据安全，包括从外部（bù）攻击（jī）行为到（dào）内部破坏、偷盗等一系列危（wēi）险。

过去的十年内，围绕信（xìn）息和数（shù）据（jù）安全问题建立起来的法（fǎ）律法规体系从（cóng）无到有、不断壮大（dà），其中包括专门针对个人数据保护问题的，也有针对企业财政、运营（yíng）和风险管理体（tǐ）系建立的法规保（bǎo）障问题的（de）。一套正式（shì）规范的信（xìn）息安全管理体系应当可以提供（gòng）****实践部署指导（dǎo）。目前，建立这样（yàng）的管理体系逐渐成为（wéi）诸多合规项目的必要（yào）条（tiáo）件，与此同时，针对该管（guǎn）理体（tǐ）系的认证逐渐成为各种组织（包括（kuò）政府部门）的热门需求，这份认证可以为他（tā）们带来重要的潜在商业合同。

信息安（ān）全和（hé）技术

绝大多数（shù）人认为信息安全是一个纯粹的有关技术的话题，只有那些技术人员，尤其（qí）是计算机安全技术（shù）人员，才能够处（chù）理任何（hé）保障（zhàng）数据和计算机安全的相（xiàng）关事宜。这固然（rán）有一定道理。不过，实际上（shàng），恰（qià）恰是计算机用户（hù）本身需要考虑这样的问题：避免哪（nǎ）些威胁？在信息安全和信息通畅中如何平衡取（qǔ）舍？的确如此，一旦用户给出答案，计算机安全（quán）专家（jiā）**可以设计并执行（háng）一个技术方（fāng）案（àn）以（yǐ）达成用户需求（qiú）。

在组织内（nèi）部，管理层应当负责决策，而不是IT部门。一个规范的信（xìn）息安（ān）全（quán）管理体系必（bì）须明（míng）确指出，组织（zhī）机（jī）构董（dǒng）事会和管理层应当（dāng）负（fù）责（zé）相关（guān）信息安全管（guǎn）理体系（xì）的决策，同时，这个体系也应当能（néng）够反映这种决策（cè），并且在运行过程中能（néng）够提供证（zhèng）据证（zhèng）明其有（yǒu）效性。

所以机（jī）构组织（zhī）内部的信息安全管理体系的建立项目不必由一个技术（shù）专家来（lái）领导（dǎo）。事实上，技术专家在很多情况下（xià）起到相反的作（zuò）用，可能会（huì）阻（zǔ）碍项目（mù）进程。因此，这个项目应（yīng）该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责（zé）主（zhǔ）持。

信息安全标（biāo）准（zhǔn）

1995年（nián），英国标准（zhǔn）协（xié）会（BSI）发布BS7799标准（zhǔn），即ISMS（信息安全管理体系（xì）），旨在（zài）规（guī）范、引导信（xìn）息安（ān）全管（guǎn）理（lǐ）体系的发展过程和实施情况。BS7799标准被外界认（rèn）为是一个不偏向任何技术（shù）、任何（hé）企业和产品（pǐn）供应商的价值中（zhōng）立的管理（lǐ）体系。只要实施得（dé）当，BS7799标准将帮（bāng）助企业检查并确认（rèn）其信息安全管理手段和实（shí）施方案（àn）的（de）有（yǒu）效性。

从企业外（wài）部（bù）来看（kàn），BS7799关注信息的可用性、机密性和完整（zhěng）性（xìng），至今（jīn）这（zhè）仍然（rán）是这项标准****达到（dào）的目标。BS7799集中关注企业组织层（céng）面上的风险（xiǎn）规（guī）避（一定程度上主要是商业和金融风险），而不包括避免每一个潜在风险（xiǎn）的保护（hù）措施——尽管（guǎn）它们至关（guān）重要。

BS7799**初仅有一份文档，且具有明显的实践指南性质。也**是说（shuō），它为组织提（tí）供信息安全（quán）指引，但没有形成规范，不能为外部第三方审计和认证等提供依据。随着越来越多的企（qǐ）业开始认识（shí）到来自信息安（ān）全（quán）的威胁（xié）波及范围越来越广（guǎng），影响程度（dù）越来（lái）越大，并且关于数据和（hé）隐私权保护的法（fǎ）律法规不断出台（tái），信息安全标准（zhǔn）认证（zhèng）的需（xū）求开始（shǐ）不断增加。

这（zhè）种需求的（de）增加**终促成了该项标准****部（bù）分的出台（tái），即（jí）标准规范（fàn）。实践（jiàn）指南（nán）和标准规范之间（jiān）的（de）关系是这样（yàng）的：标（biāo）准规范是（shì）认证方案的基础，同时标准规范要（yào）求实践者遵从（cóng）实（shí）践指南的指引（yǐn）。

这（zhè）个实践指（zhǐ）南**近被修订为ISO/IEC 17799：2005，标准（zhǔn）规范也被修订为ISO/IEC 27001:2005，逐步得到国际认同。

许多（duō）国家也已发（fā）布了自己的相关标（biāo）准，比如AS/NZS7799。这些标准（zhǔn）的国际化版本可以在世界任何国家得到认可，这促使了**粱曜嫉南（nán）耍ǔ嘶（sī）诹礁（jiāo）霰曜（yào）己怕（pà）牖（yǒu）∩系谋**粱（liáng）曜家酝猓

认证（zhèng）与（yǔ）遵从

一个组织可以仅遵从ISO17799来建立和发展ISMS（信息安全管理（lǐ）体系），因为实践指南中的内容是普遍适（shì）用（yòng）的。然而，由于ISO17799并非基于（yú）认证（zhèng）框架，它（tā）不（bú）具备关于通过认证（zhèng）所必（bì）需的（de）信息安全（quán）管理体系的要（yào）求。而ISO/EC27001则包含这些具体详尽的管理体系认（rèn）证要求。在技术层面来讲，这**表明一个正在独立运（yùn）用ISO17799的机构组织，****符（fú）合实（shí）践（jiàn）指（zhǐ）南的（de）要求（qiú），但是这并不足以（yǐ）让外界认可其已经达到认证框架所制定的认证（zhèng）要求（qiú）。不同的（de）是，一个正在（zài）同时运用ISO27001和ISO17799标（biāo）准的机（jī）构组织（zhī），可以建立一个****符（fú）合认证具体要求的ISMS，同时这个ISMS体（tǐ）系也符合实践指（zhǐ）南的（de）要求，于是，这一组织**可（kě）以获得外界的认同，即获得认（rèn）证。

ISO27001认证要求（qiú）

ISO27001标准是（shì）为了与其（qí）他管理标准（zhǔn），比如ISO9000和ISO14001等（děng）相互兼容（róng）而设计的，这一（yī）标准中的编号系（xì）统和文件管理需求的（de）设计初衷，**是为了（le）提供良好的兼容性，使得组织（zhī）可（kě）以建立起（qǐ）这样一套管理体系：能够在（zài）****程度（dù）上融入这个组织正（zhèng）在使用（yòng）的（de）其他任何（hé）管理体系。一般来说（shuō），组织通常会使用为其ISO9000认证或者其他管理体（tǐ）系认证提供（gòng）认证服务的机构，来提供ISO27001认证服务。正（zhèng）是因为这个缘故，在ISMS体系建立（lì）的过程中，质量管（guǎn）理的经验举足轻（qīng）重。

但是有一点需要注意（yì），一个组织如果（guǒ）没有事先拥有并（bìng）使用任何形式的管理（lǐ）体（tǐ）系，并不意（yì）味（wèi）着该组织不（bú）能进行ISO27001认证。这种情况下，该组（zǔ）织**应当（dāng）从经（jīng）济利益（yì）考虑，选择一（yī）个合（hé）适的管理体（tǐ）系的（de）认证机构来提（tí）供认证服务。认（rèn）证机构必须得到一个国（guó）家鉴定机（jī）构的委托授（shòu）权，才能为（wéi）认证（zhèng）组（zǔ）织（zhī）提供认证服务，并（bìng）发放认（rèn）证证书（shū）。大（dà）多数国家都有自（zì）己的国（guó）家鉴定机构（比如：英国UKAS），任何获得该（gāi）机构授权进行（háng）ISMS认证（zhèng）的机构均记录在（zài）案。

风险（xiǎn）评估应对计划

任何一个ISMS体系（xì）的建立和开发都应当满足组织独特（tè）的需求。每个组织不仅都（dōu）有自（zì）己独特的业务模式、运营目标、形象特点和内部文化，他们对待风险的态度（dù）倾（qīng）向也大（dà）相径庭（tíng）。换句话说，同一个东西，一个机构组织认（rèn）为是（shì）必须提防（fáng）的威胁，在另一个组织看来可能是一个（gè）必（bì）须抓住的机遇。同（tóng）样地，各个机构组织对于既（jì）有风（fēng）险防护的投入也参差（chà）不齐。基于以上或者其他原因，每个运行（háng）ISMS的（de）组织，其内部成（chéng）员必须对（duì）风险评估有（yǒu）一个共识，这个风险评估（gū）的方法论、结（jié）果发现（xiàn）和推（tuī）荐解决方式都必须得到董事会的首（shǒu）肯。

ISMS项目和PDCA流程

ISMS项目（mù）很复杂，可能（néng）持续若干个月甚至若干年（nián），涉及整个机构组织以及从（cóng）管理（lǐ）层到收（shōu）发部门的每个（gè）成员。ISO27001认证（zhèng）诞（dàn）生（shēng）时间短，成功的（de）案例比较少。从务实（shí）的角度考虑，这表（biǎo）明在项目计（jì）划（huá）过程（chéng）中，必（bì）须尽早对这些仅有的指导性的书籍和（hé）案例进行分析（xī）和研究。

ISO27001标准（zhǔn）指（zhǐ）导一（yī）个企业如何（hé）着手开展ISMS项目，并且关注（zhù）整个项目进程中（zhōng）的若干重要元素。

1950年W. Edwards Deming提出PDCA流程，即计划（huá）（Plan）－执行（Do）－检查（Check）－提升（Act）过程（chéng），意在说明业务（wù）流程应当是不断改进的，该方法使得（dé）职能部门经理可以识别出那些需要修正的（de）环节并进（jìn）行修正。这个流程以及流程的改（gǎi）进，都必（bì）须遵循这样一个过程（chéng）：先计划，再执行，而后对其运行结果进行评估，紧接着按（àn）照计划的具（jù）体要求对该评估（gū）进（jìn）行复查，而后（hòu）寻找到任何与计划不符的结果偏（piān）差（即潜（qián）在改进的可（kě）能性），**后向管理（lǐ）层提（tí）出如何运行的**终报告。

ISO27001认证审核（hé）费用及（jí）周期

除（chú）了组织自身（shēn）投入之外，ISO27001 认证审核费用主要（yào）体现在聘（pìn）请第三方认证机构及审核员（yuán）方面了。在组织向认证机构提出（chū）申请之后，认证机构会初步了解组织现状，确（què）定审核范围，提出审核报价。认证机构的报价通（tōng）常是根据其投入的时间和人员来（lái）确定的（de），决定因（yīn）素（sù）包括：

1、受审核组织的（de）员工数量；

2、纳入（rù）审核范围的信息（xī）量；

3、场所数量（liàng）；

4、组织（zhī）与外界的关联；

5、组（zǔ）织 IT 的（de）复杂性；

6、组织类型和业务性质等。

除了费用问题（tí），认证审核的周期通常也是（shì）组织比较（jiào）关心的。一般（bān）来说，从（cóng）组织启（qǐ）动 ISMS建（jiàn）设项目开始，到**终通过审核，至少要有半年时间（不包括获取证书的时（shí）间）。对于很多（duō）因（yīn）为外部驱动力而决心实施（shī） ISO27001 认证项目的组织来说，提早（zǎo）进行（háng）规划是必要的。^[6]