引言
信息安全管理体系(Information SecurITy Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。[1]
信息安全管理体系是组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。 信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,ISO/IEC 27001标准是由BS7799-2标准发展而来。
信息安全管理体系ISMS是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。
存在意义
我们已经身处信息时代,计算机和网络已经成为各类组织不可或缺的工具,信息成为组织赖以生存的重要资产,其价值与日俱增,与此同时也面临各种各样、越来越多的安全威胁。病毒破坏、黑客攻击、网络欺诈、重要信息资料丢失、信息系统瘫痪以及利用计算机网络实施的各种犯罪行为层出不穷、防不胜防。信息资产一旦遭到破坏,将给组织带来直接的经济损失,并导致组织的声誉和公众形象受到损害,使组织丧失市场机会和竞争力,甚至威胁组织的生存。因此,组织必须解决信息安全问题,有效保护信息资产。
2000年12月,国际标准化组织(ISO)和国际电工学会(IEC)联合发布第一个信息安全管理国际标准ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management)”。2005年6月,ISO和IEC对该标准进行修订,发布ISO/IEC 17799:2005信息安全管理实用规则(为与随后发布的ISO/IEC 27001:2005相一致,2007年将其改为ISO/IEC 27002:2005)。2005年10月,发布ISO/IEC 27001:2005“信息安全管理体系要求(Information Security Management System Requirements)”。
自此,ISMS在国际上得到正式确立并蓬勃发展。如今ISMS已经成为信息安全领域的热门话题。基于国际标准ISO/IEC 27001:2005的信息安全管理体系(Information Security Management System, ISMS)是国际上得到公认的先进的信息安全解决方案,已为越来越多的组织所采用。
ISO/IEC 27001:2005根植于PDCA管理体系改善模式,指导组织系统地从133项信息安全控制措施中选择适合组织自身信息安全要求的控制措施,以帮助组织解决信息安全问题,实现信息安全目标。
为了保障组织信息安全,在计划(Plan)阶段,组织需要进行风险评估以了解组织的信息安全需求,并根据需求设计解决方案;在实施(Do)阶段,组织将解决方案付诸实现;在检查(Check)阶段,需要持续监视和审查解决方案的有效性;在措施(Act)阶段,对所发现的问题并结合组织内、外部环境的变化予以解决,以持续提升组织的信息安全。
通过螺旋式的提升过程,组织就能将不断变化的的信息安全需求和期望转化为可管理的信息安全实现。
所获收益
获得ISO/IEC 27001证书,可以为组织带来以下收益:
l 证明组织可以独立保证内部控制,同时符合公司治理和业务连续性要求;
l 充分证明组织遵守适用的法律法规;
l 通过符合合同要求,并向客户证明它们的信息安全是组织的头等大事,从而带来竞争优势;
l 充分证明组织的风险已得到正确的识别、评估和管理,同时使信息安全流程、程序和文档得到正式化
l 证明组织的高级管理层在信息维护方面所作的承诺;
l 定期评估过程有助于组织持续监控绩效与改进。
注: 如果组织仅声明遵守ISO/IEC 27001或者业务规范标准ISO/IEC 27002中的建议,将无法实现上述认证收益。