随着《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等法律法规的发布,信息安全的管理已经从业务需求上升到了合规需求。随着信息化建设工作不断推进,计算机网络规模和应用范围逐步扩大,信息科技的作用已经从业务支持逐步走向与业务的融合。同时,信息化在给企事业单位带来发展和效益的同时,其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现:商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势。
二、业务介绍
1.信息安全风险评估
信息安全风险评估是信息安全工程的重要组成部分,是建立信息安全管理体系的基础和前提。信息安全风险评估分析用户信息安全管理体系范围内信息资产的弱点、面临的威胁以及威胁利用弱点可能造成的影响,了解其风险现状;明确各类风险的特性与等级化处理机制,从而使用户能够选择合适的风险控制措施,更有效地管理信息安全风险。通过识别信息安全风险,并进行评估分析,使管理层充分了解信息安全风险现状,覆盖人员、管理、技术等多个维度,针对性的制定风险处置计划。
2..ISO/IEC27001认证
特别的,ISO/IEC27001引入了可扩展的认证模式,当企业希望展示自身对云安全、隐私管理等特定领域的实力时,可以额外申请ISO/IEC27017、ISO/IEC27018、ISO/IEC27701认证。特别是ISO/IEC27701认证,契合了《中华人民共和国个人信息保护法》对于企业尽责举证的要求。
3.信息安全培训
三、实施该业务的价值
2.维护企业的声誉、品牌和客户信任:信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。有助于确定组织在同行业内的竞争优势,提升其市场地位。
5.保持业务持续发展和竞争优势:信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现业务风险管理:信息安全管理体系的实施有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本:信息安全管理体系的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度
四、业务流程
申请认证的组织组织应建立符合ISO/IEC27001:2013标准要求的信息安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证体系运行不少于三个月。
认证分两个阶段进行:第一阶段审核,主要进行文件审核并确认第二阶段审核准备的充分性;第二阶段审核,主要对体系的符合性和有效性进行评价,作出现场审核的推荐结论。
证书有效期3年,获得认证后每年进行一次监督。
当组织的信息安全管理体系出现变化,或出现影响信息安全管理体系符合性的重大变动时,应及时通知赛宝认证中心;赛宝认证中心将视情况进行特殊审核以保持证书的有效性。
五、赛宝能力及优势
一、信息安全管理体系标准业务介绍
1、背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
·直接损失:丢失订单,减少直接收入,损失生产率;
·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展
目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。
经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1:。
2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。
表1ISO27000标准族现行
序号
标准编号
标准名称
现行状态
1
ISO27000
信息技术–安全技术-信息安全管理体系-概论及术语
2009年出版
2
ISO27001
信息技术–安全技术-信息安全管理体系-要求
2013年出版
3
ISO/IEC27002
信息技术–安全技术-信息安全管理-为规范
4
ISO/IEC27003
信息技术–安全技术-信息安全管理体系-实施指南
2010年出版
5
ISO/IEC27004
信息技术–安全技术-信息安全管理-测量
6
ISO/IEC27005
信息技术–安全技术-信息安全风险管理
2011年出版
7
ISO/IEC27006
信息技术–安全技术-认证机构要求
8
ISO/IEC27007
信息技术–安全技术-信息安全管理体系审核指南
9
ISO/IECTR27008
信息安全控制措施审核指南
10
ISO/IEC27010
行业间交流的信息安全管理
2012年出版
11
ISO/IEC27011
信息技术–安全技术-基于ISO/IEC27002通讯行业信息安全管理体系
2008年出版
12
ISO/IEC27013
信息技术–安全技术-ISO/IEC20000-1及ISO/IEC27001一体化实施指南
13
ISO/IEC27014
信息安全治理框架
工作组草案
14
ISO/IECTR27015
金融及保险行业信息安全管理体系
15
ISO/IEC27031
信息技术–安全技术–业务连续性的ICT准备能力指南
16
ISO/IEC27032
信息技术–安全技术–网络空间安全指南
17
ISO/IEC27033-1
信息技术–安全技术–网络安全–第1部分:概述和概念
18
ISO/IEC27033-2
信息技术–安全技术–网络安全–第2部分:设计和实施网络安全指南
19
ISO/IEC27033-3
信息技术–安全技术–网络安全–第3部分:参考网络情境–威胁、设计技术和控制活动
20
ISO/IEC27033-4
信息技术–安全技术–网络安全–第4部分:使用安全网关确保网络间的通信安全–威胁、设计技术和控制活动
21
ISO/IEC27034-1
应用安全–第1部分:概述和概念
22
ISO/IEC27034-2
应用安全–第2部分:组织规范性框架
批准的新项目
23
ISO/IEC27034-3
应用安全–第3部分:应用安全管理过程
24
ISO/IEC27034-4
应用安全–第4部分:应用安全确认
25
ISO/IEC27034-5
应用安全–第5部分:协议和应用安全控制的数据结构
26
ISO/IEC27035
信息技术–安全技术–信息安全事件管理
27
ISO/IEC27036
信息技术–安全技术–外包安全指南
28
ISO/IEC27037
识别、收集、获取和保存数字证据指南
29
ISO/IEC27038
信息技术–安全技术–数字化修订详述
3、ISO27001标准内容简介
ISO27001:2013标准包括14控制领域(见表2)、35个控制目标和113项控制措施,为组织提供全方位的信息安全保障。
表2ISO27001:2013版标准控制目标
控制域
控制目标
A.5安全方针
A.5.1信息安全方针
A.6信息安全组织
A.6.1内部组织A.6.2移动设备和远程工作
A.7人力资源安全
A.7.1雇佣前A.7.2雇佣期间A.7.3雇佣终止或变更
A.8资产管理
A.8.1资产责任A.8.2信息分类A.8.3介质处置
A.9访问控制
A.9.1安全区域A.9.2用户访问管理A.9.3用户职责A.9.4系统和应用访问控制
A.10密码学
A.10.1密码控制
A.11物理和环境安全
A.11.1安全区域A.11.2设备
A.12操作安全
A.12.1操作规程和职责A.12.2恶意软件防护A.12.3备份A.12.4日志和监视A.12.5运行软件控制A.12.6技术脆弱性管理A.12.7信息系统审计考虑
A.13通信安全
A.13.1网络安全管理A.13.2信息交换
A.14系统获取、开发和维护
A.14.1信息系统的安全需求A.14.2开发和支持过程中的安全A.14.3测试数据
A.15供应商关系
A.15.1供应商关系的信息安全A.15.2供应商服务交付管理
A.16信息安全事件管理
A.16.1信息安全事件和改进的管理
A.17业务连续性管理的信息安全方面
A.17.1信息安全连续性A.17.2冗余
A.18.1符合法律和合同要求A.18.2信息安全评审
4、标准特点
ISO27001:2013版新标准特点:
1)采用新结构,在ISO27001:2013新版当中采用ISO导则83做结构性要求,这个结构未来在ISO其他标准改版中会普遍采用,将未企业管理体系融合提供了统一的体系架构,管理体系融合将更加便捷。新结构保持与PDCA方法的对应关系。
2)控制更精简
ISO27001:2013附录A中将旧版133个控制项缩减到113个,合并了类型的控制措施(如变更管理),新增的控制项目比如对智能型装置的管理、强化ICT供应链的委外管理、以及系统开发项目管理的信息安全要求等,以反映目前信息安全的发展趋势。。
ISO27001:2013将通信与操作管理领域拆分为通信安全与操作安全两个领域,比旧版标准更清晰的反应了实际的需求,与企业的信息系统的管理实践结合更紧密。ISO27001:2013将旧版业务连续性管理更新为信息安全方面的业务连续性管理,表述更准确。
3)提供更多参考
此次ISO也新增许多指引供企业参考,组织可以通过不同的方面以及风险进行深度的强化,通过ISO27001认证只是基本要求。目前ISO27000系列指引编号已超过44号(001-044),例如金融服务、数字鉴识、供应链管理、软件开发测试等,企业组织可参考这些指引做升级的要求。
二、认证的价值和适用范围
ISMS认证的价值有以下几点:
1)符合法律法规要求:
2)维护企业的声誉、品牌和客户信任:
证书的获得,可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力,令其对组织的信心将得到加强。同样的,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。
3)履行信息安全管理责任:
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5)保持业务持续发展和竞争优势:
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6)实现风险管理:
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7)减少损失,降低成本:
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度
ISMS认证的适用范围
信息安全管理标准正式发布后得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。
信息安全管理对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。