信息安全管理體系良好審核案例簡析

魏為民, 楊衍宇, 張運琴

(上海電力大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090)

ISO/IEC 27001信息安全管理體系(Information Security Management Systems,ISMS)是基于業(yè)務(wù)風(fēng)險方法,建立、實施、運行、監(jiān)視、評審、保持和改進(jìn)信息安全的體系,是組織整體管理體系的一部分[1]。采用ISMS是組織的一項戰(zhàn)略性決策。

ISO/IEC 27001的前身為英國標(biāo)準(zhǔn)協(xié)會(British Standards Institution,BSI)提出的BS 7799標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)分為兩個部分:1995年發(fā)布的BS 7799-1《信息安全管理實施細(xì)則》和1998年發(fā)布的BS 7799-2《信息安全管理體系規(guī)范》。前者是由信息安全最佳慣例組成的實施規(guī)則,適用于大中小組織,供組織中負(fù)責(zé)啟動、實施或維護(hù)安全的人員使用;后者規(guī)定信息安全管理體系要求和信息安全控制要求,可作為信息安全管理體系認(rèn)證方案的依據(jù)。1999年,結(jié)合信息處理技術(shù),特別是網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的快速發(fā)展,BS 7799-1與BS 7799-2修訂后重新發(fā)布。

2000年12月,國際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)認(rèn)可BS 7799-1:1999,將其轉(zhuǎn)換為國際標(biāo)準(zhǔn)ISO/IEC 17799:2000《信息技術(shù) 信息安全管理實施細(xì)則》。2004年9月,BS 7799-2:2002正式發(fā)布。2005年,BS 7799-2:2002被ISO組織采納,于同年10月推出ISO/IEC 27001:2005。2005年6月,ISO/IEC 17799:2000經(jīng)改版形成新的ISO/IEC 17799:2005,新版本在組織編排和內(nèi)容完整性上都有了很大輻度的增強(qiáng)和提升。2007年7月1日,ISO/IEC 17799:2005更新并正式發(fā)布為ISO/IEC 27002:2005,此次更新內(nèi)容沒有改變,僅變更標(biāo)準(zhǔn)號碼。2013年10月19日,ISO正式發(fā)布了新版的信息安全管理體系標(biāo)準(zhǔn)ISO/IEC 27001:2013。目前國際上普遍采用該標(biāo)準(zhǔn)對組織的能力是否滿足自身的信息安全要求進(jìn)行評估。該標(biāo)準(zhǔn)包括14個控制域。

信息安全管理體系適用于各種類型、規(guī)模或性質(zhì)的組織(如商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織等),包括但不限于:銀行、證券、保險等金融機(jī)構(gòu);交通、能源等大型國有企業(yè);互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet Data Center,IDC)服務(wù)提供商;軟件和信息技術(shù)服務(wù)企業(yè);公共管理、社會保障和社會組織等。……