ISO27001(BS7799/ISO17799)國際標準究竟是什么?它如何幫助一個組織更加有效地管理信息安全?BS7799/ISO27001和ISO9001之間有什么聯系?初次涉獵信息安全管理領域應該掌握哪些內容,以便組織發起信息安全管理項目?如何獲得BS7799國際標準認證?
IT治理和信息安全
近年來企業高層對內部治理需求越來越實際而具體。隨著信息技術普遍滲透到企業組織中的各個方面,企業越來越依賴IT系統來處理和儲存各種信息,以保證業務正常運營,由此IT系統在企業治理中的作z用越來越明晰,IT治理也逐漸被大多數企業認可,成為董事會和企業內部共同關注的領域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環節實施的前提。
與此同時,和信息安全相關的國際標準已經出臺,成為標準IT治理框架中的一大基石。
信息安全和法律法規
業內人士對ISO27001認證趨之若鶩,這其中有兩個關鍵性的驅動因素:一是日益嚴峻的信息安全威脅,二是不斷增長的信息保護相關法規的需求。
本質上說,信息安全威脅是全球化的。一般來說,它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在因特網的環境中自動生成并釋放。更嚴重的問題是,其他各種形式的危險也在整日威脅數據安全,包括從外部攻擊行為到內部破壞、偷盜等一系列危險。
過去的十年內,圍繞信息和數據安全問題建立起來的法律法規體系從無到有、不斷壯大,其中包括專門針對個人數據保護問題的,也有針對企業財政、運營和風險管理體系建立的法規保障問題的。一套正式規范的信息安全管理體系應當可以提供最佳實踐部署指導。目前,建立這樣的管理體系逐漸成為諸多合規項目的必要條件,與此同時,針對該管理體系的認證逐漸成為各種組織(包括政府部門)的熱門需求,這份認證可以為他們帶來重要的潛在商業合同。
信息安全和技術
絕大多數人認為信息安全是一個純粹的有關技術的話題,只有那些技術人員,尤其是計算機安全技術人員,才能夠處理任何保障數據和計算機安全的相關事宜。這固然有一定道理。不過,實際上,恰恰是計算機用戶本身需要考慮這樣的問題:避免哪些威脅?在信息安全和信息通暢中如何平衡取舍?的確如此,一旦用戶給出答案,計算機安全專家就可以設計并執行一個技術方案以達成用戶需求。
在組織內部,管理層應當負責決策,而不是IT部門。一個規范的信息安全管理體系必須明確指出,組織機構董事會和管理層應當負責相關信息安全管理體系的決策,同時,這個體系也應當能夠反映這種決策,并且在運行過程中能夠提供證據證明其有效性。
所以機構組織內部的信息安全管理體系的建立項目不必由一個技術專家來領導。事實上,技術專家在很多情況下起到相反的作用,可能會阻礙項目進程。因此,這個項目應該由質量管理經理、總經理或者其他負責機構內部重大職能的執行主管負責主持。
信息安全標準
1995年,英國標準機構(BSI)發布BS7799標準,即ISMS(信息安全管理體系),旨在規范、引導信息安全管理體系的發展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術、任何企業和產品供應商的價值中立的管理體系。只要實施得當,BS7799標準將幫助企業檢查并確認其信息安全管理手段和實施方案的有效性。
從企業外部來看,BS7799關注信息的可用性、機密性和完整性,至今這仍然是這項標準致力達到的目標。BS7799集中關注企業組織層面上的風險規避(一定程度上主要是商業和金融風險),而不包括避免每一個潛在風險的保護措施——盡管它們至關重要。
BS7799最初僅有一份文檔,且具有明顯的實踐指南性質。也就是說,它為組織提供信息安全指引,但沒有形成規范,不能為外部第三方審計和認證等提供依據。隨著越來越多的企業開始認識到來自信息安全的威脅波及范圍越來越廣,影響程度越來越大,并且關于數據和隱私權保護的法律法規不斷出臺,信息安全標準認證的需求開始不斷增加。
這種需求的增加最終促成了該項標準第二部分的出臺,即標準規范。實踐指南和標準規范之間的關系是這樣的:標準規范是認證方案的基礎,同時標準規范要求實踐者遵從實踐指南的指引。
這個實踐指南最近被修訂為ISO/IEC 17799:2005,標準規范也被修訂為ISO/IEC 27001:2005,逐步得到國際認同。
許多國家也已發布了自己的相關標準,比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可,這促使了本土化標準的消退(除了基于兩個標準號碼基礎上的本土化標準以外)。
認證與遵從
一個組織可以僅遵從ISO17799來建立和發展ISMS(信息安全管理體系),因為實踐指南中的內容是普遍適用的。然而,由于ISO17799并非基于認證框架,它不具備關于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講,這就表明一個正在獨立運用ISO17799的機構組織,完全符合實踐指南的要求,但是這并不足以讓外界認可其已經達到認證框架所制定的認證要求。不同的是,一個正在同時運用ISO27001和ISO17799標準的機構組織,可以建立一個完全符合認證具體要求的ISMS,同時這個ISMS體系也符合實踐指南的要求,于是,這一組織就可以獲得外界的認同,即獲得認證。
ISO27001認證要求與其他管理標準
ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這一標準中的編號系統和文件管理需求的設計初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說,組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構,來提供ISO27001認證服務。正是因為這個緣故,在ISMS體系建立的過程中,質量管理的經驗舉足輕重。
但是有一點需要注意,一個組織如果沒有事先擁有并使用任何形式的管理體系,并不意味著該組織不能進行ISO27001認證。這種情況下,該組織就應當從經濟利益考慮,選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權,才能為認證組織提供認證服務,并發放認證證書。大多數國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進行ISMS認證的機構均記錄在案。
風險評估和風險應對計劃
任何一個ISMS體系的建立和開發都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業務模式、運營目標、形象特點和內部文化,他們對待風險的態度傾向也大相徑庭。換句話說,同一個東西,一個機構組織認為是必須提防的威脅,在另一個組織看來可能是一個必須抓住的機遇。同樣地,各個機構組織對于既有風險防護的投入也參差不齊。基于以上或者其他原因,每個運行ISMS的組織,其內部成員必須對風險評估有一個共識,這個風險評估的方法論、結果發現和推薦解決方式都必須得到董事會的首肯。
著手準備ISMS項目和PDCA流程
ISMS項目很復雜,可能持續若干個月甚至若干年,涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短,成功的案例比較少。從務實的角度考慮,這表明在項目計劃過程中,必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。
ISO27001標準指導一個企業如何著手開展ISMS項目,并且關注整個項目進程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即計劃(Plan)-執行(Do)-檢查(Check)-提升(Act)過程,意在說明業務流程應當是不斷改進的,該方法使得職能部門經理可以識別出那些需要修正的環節并進行修正。這個流程以及流程的改進,都必須遵循這樣一個過程:先計劃,再執行,而后對其運行結果進行評估,緊接著按照計劃的具體要求對該評估進行復查,而后尋找到任何與計劃不符的結果偏差(即潛在改進的可能性),最后向管理層提出如何運行的最終報告。
