广德竹昌电子科技有限公司顺利取得ISO27001认证证书
上海宝信数字技术有限公司顺利通过ISO27001信息安全管理体系认证
上海宇天网络科技有限公司顺利通过ISO27001信息安全体系认证审核
上海磊璨信息科技有限公司顺利取得ISO27001信息安全认证证书
iso27001认证的背后:信息安全不仅仅是一张证书
云南电网信息中心顺利通过iso27001认证
2017年信息安全的必要性:30个细节能在一分钟毁灭你的公司
2017年我们的信息管理安全化
上海易优服设备管理咨询有限公司启动iso27001体系认证
上海翼依信息技术有限公司顺利通过iso27001认证
从美国大选说起iso27001认证
针对iso27001信息安全,网约车亮身份
iso27001信息安全体系认证的难点
信息安全管理体系有多重要
ISO27000系列标准介绍
企业为什么要实施ISO27001认证
ISO27001认证咨询流程
ISO27001认证咨询顾问服务内容
对于ISO27001和ISO13335区别
与ISO27001相关的几个重要的信息安全标准
ISO27001认证咨询(ISMS管理体系建设)
ISO27001信息安全管理相关文章 IT治理标准、对比和思索
信息安全标准一览表
ISO27001认证让云更安全
ISO27000系列标准介绍
ISO已为信息安全管理体系标准预留了ISO/IEC 27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准。
规划的ISO 27000系列包含下列标准:
ISO 27000——《信息安全管理体系原理和术语》《Information security management system fundamentals and vocabulary》该标准主要用于阐述ISMS的基本原理和术语,预计2008年发布。
ISO 27001——《信息安全管理体系要求》《Information security management system requirements》该标准源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式发布。
ISO 27002——《信息安全管理实践规则》《Code of practice for information security management》
该标准将取代 ISO /IEC 17799:2005,计划2007年发布。
ISO 27003——《信息安全管理体系实施指南》《Information security management systems implementation guidance》该标准将为ISMS的建立、实施、维持、改进提供指导,目前还在开发中,预计2007年发布。
ISO 27004——《信息安全管理测量与指标》《Information security management measurements and metrics》该标准阐述信息安全管理的测量和指标,用于测量信息安全管理的实施效果,预计2007年底或2008年发布。
ISO 27005——《信息安全风险管理》《Information security risk management》该标准以BS7799-3和ISO13335为基础,预计2007年发布。
ISO 27006——《信息安全管理体系审核认证机构要求》《Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems》该标准对提供ISMS认证的机构提出要求,所有提供ISMS认证服务的机构需要按照该标准的要求证明其能力和可靠性。
上述标准中, ISO27001是ISO27000系列的主标准,类似于ISO 9000系列中的ISO9001,各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是ISO/IEC 27001:2013。
ISO27001信息安全在企业风险管理中极为重要,强调对一个组织运行所必需的IT系统和信息的保密性、完整性、可用性的保护,提高投资回报率,降低由信息安全事故造成的损失及业务中断的风险。ISO27001体系已由国际标准组织颁布为国际标准ISO 27001:2005,是目前世界上唯一的“信息安全管理标准”,成为“信息安全管理”之国际通用语言,并被全球五千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求,有效降低企业面临的风险。建立信息安全管理体系(ISMS)已成为各种组织,特别是高科技产业、金融机构等管理运营风险不可缺少的重要机制。在某些行业,如软件外包,ISO27001认证已经成为客户要求必备条件。
企业为什么要实施ISO27001认证
某公司遇到这样的难题:
A:当公司的项目经理面对客户时,客户会问:“你如何保障我的信息在你们公司是安全的?你如何保证我公司的信息不会透露给第三方?”
B:当项目经理为此客户解决了所有问题,双方的合作仅差一步时,项目经理却遇到这样的问题:“下个月就需要交付了,本来工期就比较紧,该死的病毒将我上周的数据资料全删掉了,我该怎么办?”
C:经理很无奈地说:“又一个骨干员工离职了,多少公司的信息又会被传播出去呀。”
D:最后事情到了总经理那里,总经理却感到:“客户在抱怨;项目不能如期交付;对客户的承诺要食言,公司机密在外传;公司的经营要出现危机,怎么办?”
这是一个已经通过CMMI认证公司的无奈。想必在很多企业中,这类问题也是屡见不鲜的,在面临这类问题时也是束手无策。俗话说“三分技术七分管理”,目前企业普遍采用现代化通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、缺乏完整的信息安全管理制度、相应的管理措施不到位。导致了许多信息安全事件的发生:系统瘫痪、黑客入侵、病毒感染、网页改写,甚至客户资料的流失,以及公司内部资料的泄漏等等。这些给企业的经营管理、生存及安全都带来了严重的影响。
一、ISO27001认证的引入
企业信息化给企业能够带来高效的工作,持久的竞争力,但同时也带来了更多的风险。为了化解这种风险可能造成的恶劣结果,信息安全的重要性得到了越来越多企业管理者们的认可。
早期时候,人们把信息安全的希望寄托在加密技术上面,认为一经加密,什么安全问题都可以解决。随着互联网络的发展,一段时期我们又常听到“防火墙决定一切”的论调。在防火墙的神话破灭之后,入侵检测,PKI,VPN和UTM等新的技术应用又被接二连三地提了出来,信息安全的技术创新从未停止。
然而,企业在采购大量安全设备,采用大量的安全技术之后,仍然不能走出信息安全问题的阴影。原因何在?
实际上,对安全技术和产品的选择运用,这只是信息安全实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。Gartner曾经在一份安全报告中指出:“各类令企业损失惨重的安全违规事件归根到底都是人所造成的,并且发展成为物理安全和人员的问题。IT安全部门试图用技术方法来解决这些安全问题,但这是行不通的。”
归根到底,信息安全并不是技术过程,而是管理过程。
信息安全管理提供管理程序,技术和保证措施,是商业管理者确信商业交易的可信性,确保信息技术服务的可用性,能适当地抵抗不正当操作、蓄意攻击或者自然灾害,并从这些故障中恢复;确保拒绝没有经过授权地访问重要的机密信息。关于信息安全管理的标准和规范也没有安全技术那么众多,最有代表性的,就是 ISO27001。
二、ISO27001认证在企业中的重要性
上述公司认为企业达到了CMM标准就足以应付这些问题,可事实上CMMI 无法使其摆脱这些问题所带来的困扰。在经过一段时间探试和研究后,该公司采用了ISO27001 标准。
ISO27001标准是由英国标准协会(British Standards Institution, BSI )针对信息安全管理方面而制定的,最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织发布为正式的国际标准,用于组织的信息安全管理体系的建立,保障组织的信息安全,采用相关指定方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。是目前世界上唯一的信息安全管理标准,已被全球五千多家政府机构和知名企业所采用。如今是否通过ISO27001认证在某些行业中,已经成为一些客户的要求条件之一。目前除英国外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;日本、瑞士、卢森堡等国也表示对 ISO27001 标准感兴趣;我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。这套标准注重体系的完整性,强调对法律法规的符合性,并且可与ISO9000 标准有很强的兼容性。
公司可通过ISO27001体系建设和实施,建立了完备的信息安全管理体系,为公司各项安全相关活动提供了明确的目标和操作指南。同时,通过系统的方法建立起组织保障体系,具备了信息安全风险驾驭能力,保证了公司核心业务的可持续运行。通过把ISO27001 的要求引入业务流程,使现有的业务运作更加安全规范,全面提升了公司本身和客户信息资产的安全度,尤其是加强了对客户知识产权和商业秘密的保护,提高了对客户信息安全的保障水平。不仅如此,在公司通过ISO27001标准认证过程中,强化员工的信息安全意识,规范组织信息安全行为,在信息系统受到侵袭时,仍然可以确保业务持续开展并将损失降到最低程度。
三、ISO27001认证过程
信息安全对每个企业或组织来说都是需要的,从目前获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。通过一个独立的第三方的评审,公司的管理体系或产品可以成功通过某种标准的认证,为公司提供了一个向客户表明其体系或产品符合国家或国际标准的系认证和产品认证,其过程会有所不同。首先要得到标准并通读,可以了解到该标准的要求。从而,得知实施该标准对公司来说是不是有意义。之后是充分了解标准,通过各种媒介有相当多的已公布的信息可以用来帮助企业了解和实施一个标准。当然,采用一个特定的管理体系应该是公司的一个战略性的决定,除了指派一个专门的团队具体负责体系的开发与实施外,资深高层经理的参与往往是成功的关键。其次是人员培训。负责实施与维护管理体系的人员需要了解标准的全部细节,有一些专门的培训正好提供了这方面的帮助。
但是在很多时候,大部分企业限于自身经验、意识、技能的欠缺,往往在如何合理规划和有效实施方面陷入困境,毕竟信息安全建设是一项技术性很强而且尚处于探索阶段的全新课题,另一方面,ISO27001所要求建立的信息安全管理体系,较之纯粹的信息安全技术又更显得“务虚”和“高端”,是和组织的整体经营紧密相关的。面对这样全新而复杂的难题,传统行业内机构通常都会自叹摸不着头脑,大有“门外汉的感觉”。即便是始终走在信息通信领域前沿的高技术性企业,也不见得在信息安全管理方面有足够的积累。于是越来越多的组织选择求助于专业的咨询机构。独立的咨询机构可帮助设计一个可行、实际、成本合理的执行计划。
ISO27001认证咨询流程
ISMS模型将整个信息安全管理体系建设项目划分成五个大的阶段,并包含25项关键的活动,如果每项前后关联的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001审核并获得认证更是水到渠成的事情。
ISMS模型将整个信息安全管理体系建设项目划分成五个大的阶段,并包含25项关键的活动,如果每项前后关联的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001审核并获得认证更是水到渠成的事情。
现状调研阶段:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。包括:
项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。
前期培训:信息安全管理基础,风险评估方法。
现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。
业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。
风险评估阶段:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
资产识别:识别组织的各种信息资产。
风险评估:重要资产、威胁、弱点、风险识别与评估。
管理策划阶段:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
文件编写:编写ISMS各级管理文件,进行Review及修订,管理层讨论确认。
发布实施:ISMS实施计划,体系文件发布,控制措施实施。
中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。
体系实施阶段:ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
认证申请:与认证机构磋商,准备材料申请认证,制定认证计划,预审核。
后期培训:审核员等角色的专业技能培训。
内部审核:审核计划,Checklist,内部审核,不符合项整改。
管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。
认证审核阶段:经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。
认证准备:准备送审文件,安排部署审核事项。
协助认证:内部审核小组陪同协助,应对审核问题。
ISO27001认证咨询顾问服务内容
咨询内容
1 项目准备阶段
目的:充分体现领导作用和全员参与的原则,确保各个层面意识到管理体系的必要性和管理层的决心
内容:咨询工作关注贵公司为启动该项目所必需的组织准备
包括:
1.) 理解管理层意图,渗透管理思路;
2.) 将实施ISO27001项目的决定、目的、意义、要求在组织内传达,这也是体现内部沟通,提高全体员工意识的必要手段;
3. ) 组织建设,包括任命管理者代表、成立贯标组织机构、各级质量及信息 安全管理人员,明确其职责。
2 现场诊断
目的:了解现状,寻找与标准的差距
内容:实施诊断
包括:
根据贵公司的主要业务流程所产生的信息流及其所依赖的计算环境(包括硬件、软件、数据、人力、服务等)进行安全要求的确定;
对企业现行业务流程进行全面的了解,按照标准评估企业的质量体系;
识别各业务流程所采取的管理流程和管理职责;
对照标准要求,寻找改进的机会;
根据ISO27001的风险评估方法论,国家标准,制定科学、有效、适用的风险评估方法。
3 管理层培训
目的:提升各级领导和全员的质量和安全意识,使内审员具备相应能力
内容:培训是落实要求的重要手段,索信达十分注重培训
包括:
管理层培训扩大到中层领导,最后与高层领导在一起培训,高层领导的 参与就是一种榜样的力量,有助于全体员工质量及信息安全意识的提高;
4. 整合体系文件架设计
目的:策划覆盖各个业务流程的系统的文件化程序,包括作业指导书。
内容:根据现场诊断的结果,梳理所有管理活动流程,根据标准要求形成管理体系文件清单,
包括:
根据所识别的业务流程,形成管理活动流程图;优化或再造业务流程,保证管理活动的系统和顺畅;
根据流程图及流程的复杂程度,策划符合标准要求和实际业务要求的管理体系文件清单;
形成管理体系文件说明,包括文件的目的、管控范围、职责、管理活动接口、管理流程等;与各业务流程负责人沟通修订文件清单
5. 确定质量和信息安全方针和目标
目的:明确质量和信息安全方针和目标,为管理体系提供导向。
内容:根据业务要求及组织实际情况,制定质量和安全方针和目标,
包括:
与最高管理者进行沟通,理解管理意图和管理要求,设计质量和安全方针;
根据方针的要求,制定目标,并分解到各个管理活动中,形成可测量的指标体系,确保方针和目标得以实现;
6. 建立管理组织机构
目的:建立完善的内控组织架构,为整合体系提供支持。
内容:良好的组织架构是确保各项管理活动落实的根本.
包括:
建立整合体系管理委员会,就重大质量管理和信息安全事项进行决策;
建立管理协调小组,就日常管理活动中的质量及信息安全事项进行沟通改进;
明确管理活动中各流程责任人的职责,并文件化。
7. 信息安全风险评估
目的:实施风险评估,识别不可接受风险,明确管理目标;
内容:风险评估是整个风险管理的基础,本阶段将根据前期策划的风险评估方法
包括:
根据业务要求及信息的密级划分,对信息资产的重要程度进行判定,识别对关键核心业务具有关键作用的信息资产清单;对重要信息资产从内部及外部识别其所面临的威胁;
根据威胁,从管理和技术两方面识别重要信息资产所存在的薄弱点;
根据风险评估的方法指南,对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可用性三方面所造成的影响进行评价;评价威胁利用薄弱点引发安全风险事件的可能性;
根据风险影响及发生的可能性评价风险等级;
根据信息安全方针,各核心业务流程的安全要求,与管理层进行沟通,确定不可接受风险等级的标准;
针对不可接受的高风险,制定风险处理计划,从ISO27002及顾问的行业经验来选择适宜的风险管控措施;实施所选择的控制措施,降低、转移或消除安全风险;
编写风险评估报告。
8. 体系文件编写
目的:建立文件化的管理体系。
内容:根据文件体系策划的结果,编写管理体系文件,
包括:
整合体系手册,明确各管理过程的顺序及相互关系;
整合体系所要求的程序文件,从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化;
制定各类安全策略,如:电子邮件策略、互联网访问策略,访问控制策略等
9. 管理体系记录的设计
目的:设计科学的管理体系记录,保证各管理流程的可控性和可追溯性。
内容:根据各个管理流程和文件对管理过程的记录要求,设计记录表格格式
包括:
搜集原有管理记录;
优化记录或重新设计;
沟通记录的形式和管理记录填写的必要性,保证管理体系的可控性与记录保持的数量之间的平衡。
10. 管理体系文件审核
目的:确保管理体系文件的系统性、有效性和效率。
内容:对管理体系文件进行评审
包括:
对照风险评估结果及SoA的框架,对照核心业务流程,审核程序文件及作业指导书的系统性;
针对每一个具体的管理流程,审核文件所描述的管理职责、管理活动是否符合实际情况,流程责任人是否能够按照文件要求执行管理活动;
针对文件所要求的管理活动,审核其效率是否满足管理的要求;形成文件审核的结论,并通过管理层的审批,对文件进行修订,形成发布稿
11. 体系文件发布实施
目的:发布管理体系文件,落实管理要求。
内容:由最高管理者组织发布管理文件,并提出管理要求
包括:
召开文件发布会,最高管理者提出管理体系运行的总要求,使全员意识到管理体系文件是管理活动的行动指南和强制要求;
各流程责任人根据管理体系文件的要求落实各项管理活动,保持管理体系所要求的记录;认证项目组搜集体系运行中所发现的问题,包括流程上的、职责上的、 资源上的、技术上的等,统一修改、处理、答复。
12. 组织全员进行文件学习
目的:确保管理体系文件要求在各个层级、各个岗位均得到有效的沟通和理解。
内容:培训是提升质量和安全意识,明确质量和安全要求的有效途径,组织全员参与到体系的运行维护中,发挥每一个员工的重要作用
包括:
充分考虑管理活动的范围,设计分层次、分阶段的系统性的培训计划;
培训中考虑到管理要求的内容,也将考虑到技术上的要求,不简单的对 体系文件照本宣科;对培训的效果进行评价,采用考试、实际操作、讨论等多种方式进行,确保培训的有效性。
13. 业务连续性管理
目的:确保在任何情况下,核心业务均可保持提供连续提供服务的能力。
内容:根据标准要求,结合英国标准协会 BSI 最新发布的 BS25999 业务连续性管理标准,对重大的灾难性事件发生时所引发的业务中断进行应急响应和灾难恢复的设计
包括:
从战略的层面进行业务连续、永续经营的考虑,明确各核心业务流程的最大可容许中断时间;
识别核心业务可能遭受到的灾难性风险事件;
评估灾难性事件所引发的影响;
针对灾难性事件,设计管控措施,制定详细的业务连续性计划,包括应急响应的组织架构、人员职责、响应流程、恢复流程等;
实施业务连续性计划所要求的管理上及技术上的改进;
测试业务连续性计划的每一个步骤,确保其有效性;根据测试的结果进一步改进业务连续性计划,为应对灾难事件提供信心保证。
14. 内部审核
目的:实施内部审核,发现管理体系运行中的不符合,寻找改进的机会。
内容:根据项目计划实施内部审核
包括:
制定内部审核计划,与受审核人员进行沟通;
召开内部审核首次会议,明确审核计划、审核范围、审核目的、审核活动的安排等事项;
带领内审员实施现场审核活动:
根据审核发现开具不符合项报告,明确审核的对象、审核发现、不符合事实、改进要求,并确定整改责任人,限期改进:
召开内部审核末次会议,报告所有的审核发现:对不符合事项进行跟踪验证,确保所有的不符合均被有效关闭。
15. 管理体系有效性测量
目的:根据量化指标,测量管理体系的有效性。
内容:制定测量的方法论,根据 ISO27004 指南的内容,进行管理体系有效性测量。
包括:
设计测量方法,从各个管理流程中制定安全关键绩效指标KPI;
搜集运行过程中的记录数据,利用量化的数据分析,体现管理体系所带来的改进;
对比信息安全管理目标和指标体系,测量KPI是否达成管理目标的要求;
对所发现的问题进行沟通,制定纠正预防措施并落实责任人,改进管理 体系的有效性。
16. 管理评审
目的:将体系运行过程中的成效和问题向管理层汇报,由最高管理者提出改进的要求和资源的支持。
内容:根据管理评审流程的要求实施管理评审,
包括:
制定管理评审计划;
准备管理评审输入材料,包括风险状况、安全措施落实情况、各相关方的反馈、业务连续性管理架构、管理体系内部审核情况、体系有效性测 量报告等;
召开管理评审会议;根据最高管理者提出的管理要求,实施纠正预防措施或管理改进方案;
跟踪纠正预防措施及管理改进方案的落实情况。
17. 认证机构初访及正式审核
目的:由第三方权威机构审核管理体系的有效性。
内容:由认证机构对索信达所提供的咨询服务进行进一步的审核验证,发现改进机会
包括:
与审核机构沟通审核的时间计划安排;实施审核活动,并提交审核报告;
根据审核报告,制定必要的纠正预防措施,并将改进的证据提交审核机构;
获得质量管理体系和信息安全管理体系认证证书。
对于ISO27001和ISO13335区别
ISO(国际标准化组织)和IEC(国际电工委员会)一起形成了全世界标准化的专门体系。作为ISO或IEC成员的国家机构,通过相应组织所建立的涉及技术活动特定领域的委员会参国际标准所制定。而对于ISO27001和ISO13335就是这个组织所指定的标准。
经过几天的理解,我发现ISO 27001主要是为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)提供了模型。对于ISMS来说,ISMS是采用组织的战略性决策,ISMS的设计和实施是受组织的需求、目标、安全需求、应用的过程以及组织规模和结构的影响。所以,ISO27001说的是,如何做,怎么做,怎么实施,从内容上来说就有些晦涩难懂,毕竟对于我这个刚工作不久的同志理解起来还是比较困难的。所幸,还有ISO 13335,相比较于ISO27001来说,ISO13335就显得不那么专一性了,就如同是网络安全方面一本小百科全书,无论是对于IT安全的概念和模型,还是对于IT安全管理与策划,安全管理技术和防护措施的选择等等,都写的十分详细和清楚。ISO13335在以下几个方面是表现的比较突出的:
第一, 对安全的概念和模型的描述非常独特,具有很大的借鉴意义。在全面考虑安全问题、进行安全教育、普及安全理念的时候,完全可以将其中的多种概念和模型结合起来。
第二, 对安全管理的过程描述得非常细致,而且完全可以操作。一个企业的信息安全主管机构安全可以参照这个完整的过程规划自己的管理计划和实施步骤。
第三, 对安全管理过程中最关键的环节——风险分析和管理有非常细致的描述。包括基线方法、非正式方法、详细分析方法和综合分析方法等风险管理策略的阐述,以及对风险分析过程细节的描述都很有参考价值。
第四, 在标准的第4部分,有比较完整的针对6种安全需求的防护措施的介绍。将世界构件一个信息安全管理框架和防护体系的工作变成了一个搭积木的过程。
所以,就目前对于我的工作来说,ISO27001是一种方法,一种如何构建我们安全网络的方法,是一种先提出我们目前的网络环境和所需要的安全要求,针对性的提出一种方案。这种方案,从计划开始,首先是建立ISMS,然后是实施和运行ISMS,接着是监视和评审ISMS,最后再进行保持和改进ISMS。是一个循环的过程,历经计划——实施——检查——改进,在过程中,不断的用信息安全要求和期望以及被管理的信息安全来考核、改进,最终形成一个成熟的决策。而在这个过程中,自然也包括有风险评估、文件管理、完整性、记录控制、管理职责等一系列的方法和措施。对于ISO13335来说,各种方法和措施,就显的详细了很多,从五大类,三十多个小类方面详细的描写了各种安全的概览和模型。对于我目前的工作来说,最重要的无疑是第四大类。对于第四大类,主要是关于防护措施的选择方面。在这部分中,先是众所周知的各种范围和标准、定义。然后就是从基本评估开始,先是识别IT系统的类型,然后就是识别物理、环境条件,最后评估已存在和计划的防护措施,然后工作就开始了!开始是组织和物理方面的防护措施,有:安全符合性检查,事故处置,人员管理,操作问题,业务中断计划,物理安全。然后是IT系统特有的防护措施,包括:识别和鉴权,逻辑访问控制和审计,防范恶意代码,网络管理和加密。然后就是基于这两种类型的系统来选择防护措施。接着就是评估工作,从保密性防护措施(窃听、电磁干扰、恶意代码、伪装用户身份、消息的错误路由、软件失效、盗窃、对计算机和各种服务的未授权访问、对存储介质的未授权访问),到完整性防护措施(存储介质的老化、维护错误、恶意代码、伪装用户身份、消息的错误路由、抗抵赖性、软件失效、电力和空调供应中断、技术性失、传输错误、对计算机和服务的未授权访问、使用未经授权的程序和数据、对存储介质的未授权访问、用户错误),再到可用性的防护措施(破坏性攻击、存储介质的老化、通讯设备和服务中断、水灾火灾、维护错误、恶意代码、伪装用户身份、消息的错误路由、资源滥用、自然灾害、软件失效、电力和空调供应中断、技术性失效、盗窃、流量过载、传输错误、对计算机和服务的未授权访问、使用未经授权的程序和数据、对存储介质的未授权访问、用户错误),最后进行可审计性,鉴权和可靠性防护措施的总评估,来得到最后结论。所以对于我们的工作来说,这方面的工作无疑是重中之重。
与ISO27001相关的几个重要的信息安全标准
几个重要的信息安全标准
主要内容如下:
BS7799系列(ISO/IEC 27000系列)
ISO/IEC TR 13335系列
SSE-CMM
ITIL和BS15000
CC
CoBIT
NIST SP800系列
1、ISO/IEC TR 13335
ISO/IEC TR 13335,早前被称作“IT 安全管理指南”(Guidelines for the Management of IT Security,GMITS),新版称作“信息和通信技术安全管理”(Management of Information and Communications Technology Security,MICTS),是ISO/IEC JTC1 制定的技术报告,是一个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议和支持。
ISO/IEC TR 13335系列标准(旧版)- GMITS,由5部分标准组成:
ISO/IEC13335-1:1996《IT安全的概念与模型》
ISO/IEC13335-2:1997《IT安全管理与策划》
ISO/IEC13335-3:1998《IT安全管理技术》
ISO/IEC13335-4:2000《防护措施的选择》
ISO/IEC13335-5:2001《网络安全管理指南》
目前,ISO/IEC 13335-1:1996 已经被新的ISO/IEC 13335-1:2004(MICTS 第1部分:信息和通信技术安全管理的概念和模型)所取代,ISO/IEC 13335-2:1997也将被正在开发的ISO/IEC 13335-2(MICTS 第2 部分:信息安全风险管理)取代。
ISO/IEC TR 13335 只是一个技术报告和指导性文件,并不是可依据的认证标准,信息安全体系建设参考BS 7799,具体实践参考ISO TR 13335。
2、SSE-CMM
SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系统安全工程这个具体领域应用而产生的一个分支,是美国国家安全局(NSA)领导开发的,是专门用于系统安全工程的能力成熟度模型。
SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相应评估方法2.0版发布。
系统安全工程过程一共有三个相关组织过程:
工程过程
风险过程
保证过程
共分5个能力级别,11个过程区域:
基本执行级
计划跟踪级
充分定义级
量化控制级
持续改进级
2002年被国际标准化组织采纳成为国际标准即ISO/IEC 21827:2002《信息技术系统安全工程-成熟度模型》。
SSE-CMM 和BS 7799 都提出了一系列最佳惯例,但BS 7799 是一个认证标准(第二部分),提出了一个可供认证的ISMS 体系,组织应该将其作为目标,通过选择适当的控制措施(第一部分)去实现。而SSE-CMM 则是一个评估标准, 适合作为评估工程实施组织能力与资质的标准
3、通用标准(CC)
我们通常所称的通用标准或通用准则(Common Criteria,简称CC)是指ISO/IEC15408:1999标准。目前CC标准的最新版本是2.2;CC2.1版在1999年成为国际标准ISO/IEC15408:1999;我国在2001年等同采用为国家标准GB/T 18336-2001。
CC标准由三个部分组成:
GB/T 18336.1-2001 idt ISO/IEC15408-1:1999 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型
GB/T 18336.2-2001 idt ISO/IEC15408-2:1999 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
GB/T 18336.3-2001 idt ISO/IEC15408-3:1999 信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求
与BS7799 标准相比,CC 的侧重点放在系统和产品的技术指标评价上,BS7799 在阐述信息安全管理要求时,并没有强调技术细节。因此,组织在依照BS7799 标准来实施ISMS 时,一些牵涉系统和产品安全的技术要求,可以借鉴CC 标准。
4、ITIL和BS15000
ITIL的全称是信息技术基础设施库(Information Technology Infrastructure Library)。ITIL针对一些重要的IT实践,详细描述了可适用于任何组织的全面的Checklists、Tasks、Procedures、Responsibilities等。
IT服务管理中最主要的内容就是服务交付(Service Delivery)和服务支持(Service Support)
服务交付(Service Delivery):
Service Level Management
Financial Management for IT Service
Capacity Management
IT Service Continuity Management
Availability Management
服务支持(Service Support):
Service Desk
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
有关ITIL,我之前也有一篇文章进行过简单介绍。
2001年,英国标准协会在国际IT 服务管理论坛(itSMF)上正式发布了以ITIL为核心的英国国家标准BS15000。这成为IT 服务管理领域具有历史意义的重大事件。
BS15000 有两个部分,目前都已经转化成国际标准了。
ISO/IEC 20000-1:2005 信息技术服务管理-服务管理规范(Information technology service management. Specification for Service Management)
ISO/IEC 20000-2:2005 信息技术服务管理- 服务管理最佳实践( Information technology service management. Code of Practice for Service Management)
与BS7799 相比,ITIL 关注面更为广泛(信息技术),而且更侧重于具体的实施流程。ISMS实施者可以将BS7799 作为ITIL 在信息安全方面的补充,同时引入ITIL 流程的方法,以此加强信息安全管理的实施能力。
5、CoBIT
CoBIT的全称是信息和相关技术的控制目标(Control Objectives for Information and related Technology),是ITGI提出的IT治理模型(IT Governance),是一个IT控制和IT治理的框架(Framework)。CobiT是一个在更高的层面上指导管理层进行技术标准和信息系统管理的IT治理模型。
CoBIT的八个控制过程:
计划和组织(Planning & Organisation)
采购和实施(Acquisition & Implementation)
交付和支持(Delivery & Support)
监视和评估(Monitoring & Evaluation)
CoBIT的七个控制目标:
机密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
有效性(Effectiveness)
高效性(Efficiency)
可靠性(Reliability)
符合性(Compliance)
目前基本上存在着两类控制模型,一类是类似COSO这样的商业控制模式(business control model),另一类则是像BS7799这样的更关注IT的控制模型(more focused on IT control model),而CoBIT的目标是在两者之间架起一座桥梁。
6、NIST SP800系列
美国国家标准技术协会(National Institute of Standards and Technology,NIST)发布的Special Publication 800 文档是一系列针对信息安全技术和管理领域的实践参考指南,其中有多篇是有关信息安全管理的,包括:
SP 800-12:计算机安全介绍(An Introduction to Computer Security: The NIST Handbook)
SP 800-30 : IT 系统风险管理指南(Risk Management Guide for Information Technology Systems)
SP 800-34:IT 系统应急计划指南(Contingency Planning Guide for Information Technology Systems)
SP 800-26 : IT 系统安全自我评估指南( Security Self-Assessment Guide for Information Technology Systems)
这些文件可以作为实施ISMS 过程中一些关键任务的指导和参照(例如风险评估、应急计划等),是对BS7799 标准很好的补充和细化。
7、BS7799系列(ISO/IEC 27000系列)
BS7799 Part 1:
BSBS7799 Part 1的全称是Code of Practice for Information Security,也即为信息安全的实施细则。2000年被采纳为ISO/IEC 17799,目前其最新版本为2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通过层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全等11个安全管理要素,还有39个主要执行目标和133个具体控制措施(最佳实践),供负责信息安全系统应用和开发的人员作为参考使用,以规范化组织机构信息安全管理建设的内容。
ISO/IEC 17799:2005的内容如下图:(见附件)
BS7799 Part 2:
BS7799 Part 2的全称是Information Security Management Specification,也即为信息安全管理体系规范,其最新修订版在05年10月正式成为ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施和维护信息安全管理体系的要求,可用来指导相关人员去应用ISO/IEC 17799,其最终目的,在于建立适合企业需要的信息安全管理体系(ISMS)。
目前,在信息安全管理体系方面,ISO/IEC 27001:2013――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。
2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。
经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。
2013年10月,为适应信息安全管理的发展趋势,ISO组织发布了ISO/IEC 27001:2013-信息安全管理体系标准,新版标准相对旧版标准作了较大修订,为组织加强信息安全管理提供的指导。
ISO27001认证咨询(ISMS管理体系建设)
依据ISO27001标准,将信息安全管理方法、理念、意识、技术和解决方案通过项目传递给客户,帮助客户解决信息安全问题。从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系从多个层面保障组织的信息安全。根据评估结果,为企业制定具体安全方案、管理制度、工作流程和操作指引,避免企业各部门在信息安全建设中容易产生的盲目性、重复性建设问题,帮助企业建立符合国际规范的有效的信息安全体系,帮助企业通过认证。
ISO27001信息安全管理相关文章 IT治理标准、对比和思索
一、 IT治理内涵和标准的发展
IT治理的概念,从安全管理、到IT审计延展而来,是从安全管理的概念上延伸而来的,有人把ISO17799(BS7799)作为第一个IT治理的工具;中间牵涉到IT服务的管理(ITIL)其实时间上出现得比COBIT要晚,概念上更接近安全管理一些;IT审计的概念是由COBIT主导,从那时候开始,人们已经开始思考治理的问题了。
1. 治理,从7799到COBIT
原先的BS7799标准(后来的ISO17799、再后来发展到ISO27000系列标准,其核心的内容为11个大类安全的最佳实践、133个安全控制措施;ITIL标准(信息系统基础设施库)目前发展到ISO20000,是针对IT服务而制定的标准,其核心内容是IT服务中的问题管理、事故管理、配置管理和连续性服务,ITIL过程中加入了服务台管理的内容,ISO20000没有服务台管理而加入了持续改进的内容;COBIT是IT审计管理,目前已经发展到COBIT3.0,其核心内容为控制目标与指标,采用规划与组织、输入与采集、运营与服务、监控四个大类,34个内部控制流程,工具上推荐使用平衡积分卡。从COBIT之后,人们提出不同的IT治理工具,很多人还综合了不少其它的标准,其目的是希望一个更加全面、宏观,适合管理角度的标准来控制和管理整个IT的过程,其中,CMM、ISO9000等更加基础的概念也被引入,直到第一个国际治理的标准ISO38500出现,这种探索仍然在继续。
图1 IT治理概念发展图
2. 治理道路,从单向到全过程
从安全管理出发,IT治理的概念和道路由单项也走向全过程。BS7799(ISO17799)阶段,主要的关注内容为安全管理;到了ITIL关注的是动态服务的安全,内容转向服务管理;COBIT的角度是内部控制,与BS7799和ITIL一并关系到的是效率管理ISO38500内容核心转向业务目标的管理,关心的是效能问题;另外像TIVOLI、上海IT治理试点等行业和企业标准,更加融合行业应用,以行业、地域和应用为特色。CIO视野的安全与治理,更加关注角色的治理,可以说应该融合以上标准和其它项目管理和质量管理的有益的知识,从CIO的视角上来关心和关注IT项目和组织的管理和控制,更加走向全面和全过程。
图2IT治理的内涵发展图
二、 ISO38500介绍
1. 目的
确保利益相关者对于组织IT治理的信心;
指导管理者治理组织的IT使用;
为IT治理的目标评估提供了基础;
2. 应用范围
“ISO/IEC 38500:2008可以用于任何规模的组织,包括公/私有性质的公司,政府机构以及非营利组织。这一标准提供了一个IT治理的框架,以协助组织高层管理者理解并履行他们对于其组织IT使用的既定职责,实现IT治理的有效性、可用性及效率。”
3. 来源:
“ISO(国际标准化组织)和IEC(国际电工委员会)是世界范围的标准化组织。各国的相关标准化组织都是其成员,并通过各种技术委员会参与相关标准的制定。其他国际组织,政府机构及非政府机构也协同工作。国际标准的草案,须能得到所有会员75%以上的赞成票,该标准才可被公布为国际标准。在信息技术领域,ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。该委员会以澳大利亚标准AS8015为蓝本,并结合 AS 8000:2003 – 良好的治理原则和AS 3806:2006 – 合 规性程序,制定了IT治理的国际标准ISO/IEC 38500:2008。”
“ISO/IEC 29382,信息和通讯技术治理标准,作为现有澳大利亚标准AS8015的快速跟随者,于2007年首次发布。2008年4月该标准官方正式更名为ISO/IEC 38500, 原ISO/IEC 29382放弃使用。”
4. 模型
图三 ISO38500概念模型图
1) 三个关键点:
关于IT,管理者有三项主要活动,即:指导、评价与监控。有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理,它略微不同于管理者典型使用的PDCA模型。在这一模型中,管理者依据业务压力与业务需求来监控(Monitor)并评价(Evaluate)组织的IT使用,而后指导(Direct)实施政策方针以弥补差距。
2) 6项原则:
A. 准则一:职责分工
对分配职责进行评价
确保能够胜任所分配的职责
监控所分配职责的实施
为IT分配职责的方式取决于组织所使用的业务模式和组织架构。例如:有些设备需要内部管理;建议来自于外部的咨询顾问;还有一些IT来源于厂商与专业服务提供商。
B.准则二:IT支持组织发展
考虑机遇使IT更好的服务于业务发展
分配其当下的活动
指导计划的实施与发展以弥补差距
C.准则三:可获得性
这一准则覆盖了风险与价值的规划分配和近期的IT投资。
管理者需要履行政策与程序来确保投资的安全性。
投资案例中的资源分配必须确保以及时的形式重新分配。
D.准则四:可用性
IT实施包括信息整合、系统能力。
拓展了退出与处理,以确保组织的环境和数据管理职责得以履行。
E. 准则五:符合性
技术使用(包括:电子邮件与搜索引擎)
职责履行(记录保持、财务报表、关于组织与业务持续性隐私信息的保护)
F.准则六:尊重人性因素
用户界面的可用性与友好性
人们受到IT所带来的业务流程改变的影响的需求
由于IT会直接而迅速的影响组织的实施,管理者应当像管理其财务与人力资源那样,指挥、评价与监控其组织的IT应用。
三、 IT治理和COBIT
表1 ISO38500与COBIT对比
ISO38500是第一个IT治理国际标准,先出的部分给出了一个框架,并没有给出评估的过程;这个标准简短的、易读,但相关概念十分复杂;IT治理提供了一个有效的、易实施的、高效的框架,更好的将组织决策与IT联系起来;该标准中建议与指南适用于任何形式规模组织;该标准中的建议与指南建议和着眼点不仅供管理者使用,还可面向其下属职员,组织中各个层面人都能读懂;该标准为所有关键员工提供了合适的IT治理基本指南;该标准介绍了好的治理所需要的一些特征及治理流程,但是离真正的实施还有距离,需要其他标准的补充。
四、 CIO视野下的治理思考
1. CIO视野下的安全治理与IT治理的需求
ISO38500出现以前,人们已经开始有很多IT治理的实践和思索了,每个人和每个组织的定义都很不同,也没有业内一致的看法,ISO39500的出现,给出了一个很好的IT治理模型参考,然而这种参考模型也只是一个框架,更多的适合组织的宏观管理,再加上没有还没有评估和认证机构,其也是一种很重要的尝试。然而,针对一个CIO来讲,它面对的很多所谓“治理”是一个集合的概念,包含了大量的内涵,因此,ISO38500不能也不可能代替以往的标准和控制,CIO针对行业需要融合其它标准和实践。
作为一个CIO来讲,非常希望将安全管理的内容、审计的内容、IT治理的内容融合起来,而ISO38500与我们理解的CIO角色的IT治理方面项目并不重合,欠缺我们关注的基于项目视角的管理内容。
企业的CIO是一个综合的角色,不可能像专业的学术机构那样把每个标准的准确概念的细节掌握得像学者和软件开发人员那样清晰,需要一个融合的综合的概念,总结起来,CIO视角的治理需要的11个融合治理准则和四个主要内容:那就是安全管理、绩效管理、项目周期管理和能力管理的四个主要内容,以及目标管理、生命周期、裁减优化、效能评价、效率控制、内部控制、能力成熟、价值贡献、过程改进、最佳实践、控制措施,这些概念或有交叉,然而出于标准来源的模块完整性和概念的饿延续性考虑,还是不合并或者拆分这些概念为好。
图4 CIO视野下的治理准则和内容
2. CIO视野下的安全与治理的建议:
项目视角。管理项目有两个视角项目成功和能力成熟,前者着眼于项目,后着着眼于组织和人员。CIO的成长其实是项目和组织相辅相成在发展,我们假设组织选择CIO是最合适的选择,那么,项目视角就非常重要,CIO只有通过项目的不断锻炼,自身的能力和组织的成熟度才会不断提高,“大项目培养人”,往往经过一个真正项目的洗礼,CIO本人和其团队,成熟能力也会得到很大提高。
生命周期控制。在项目进展的过程,最开始的概念和最容易接受和实施的概念就是项目生命周期控制,这里面,就不免要用到ISO9000的一些原则和PDCA的基本概念,只有掌握了项目生命周期中的关键要素,配合持续改进的观念,项目才能够获得基本的保障。
效率和效能管理。传统的目标管理比较重视效能管理,其实效率管理和效能管理同样重要,就像目标管理和过程管理在IT管理中一样重要。
CIO职能应用和行业只能应用。CIO不但要面对技术上的创新和管理、外包的管理,更重要的是要围绕组织的目标和IT的战略,因此,在进行IT治理的时候,非常注重应用,对关键点的敏感性要求高而对概念的饿严谨性以及细节的要求并不是很高。
融合标准在行业中的应用。CIO的治理要求各种标准的位置以及解决的问题及关键措施要有充分和综合的认识,要善于吸取不同标准的核心为我所用。
状态管理和能力成熟并举。较好的组织成熟能力会带来较好的项目结果,较好的项目经验又会训练出来更好的组织成熟能力,CIO来说,重复采购和不断的项目是必然的,因此要注意状态管理、成功度管理的同时,能力管理不仅仅是CIO为项目而使用的手段,其实也是CIO存在的重要目标。
充分吸收最新的国际成果。各国的标准、概念以及行业标准和国家标准发展很快,每个标准、概念都会有自己的使用场所,都会声称自己的重要性。对于一个成熟的CIO来讲,正像CMM5中所要求的不段优化和持续的改进,要客观地和谦虚地掌握和吸收最新的标准,又不能被新标准或其推广者所声称的表象所迷惑。
充分融合已有的有益经验和标准。CIO掌握各种标准之后,要有机地融合到自己的饿实践当中,“只有有效才是衡量最终的唯一标准”,不要怕概念不严谨,其实学者的争论更多,只要坚持实践,其实任何一种方式都会走到最终的系统化解决之路的。
充分关注其它 CIO多年最佳实践成果和项目管理沉淀.对于项目管理,欧洲、美国的思路也很不同,对于每一个行业以及地域特点,具有浓厚的特点不但不是项目管理能力差的表现,反而是必然的事情。关键在于除了吸收不同国家和行业高度概括和浓缩的标准、概念之外,更加应该重视同行业、其它类似项目或者组织、环境中CIO的成功经验,以及采纳和使用最新标准的经验。一般标准的发展也有一个从实践、总结、学者提炼、再实践、变革和饿变化、再改进和总结、新标准的过程,而往往实践的例子是,一个成熟的CIO听一个新标准的推广者、学习、实践,最后不久,往往水准比原先的推广者还高、认识还深刻。
信息安全标准一览表
序号 标准号 名 称
1. GB 3907-1983 工业无线电干扰基本测量方法
2. GB 6650-1986 计算机机房用活动地板技术条件
3. GB 9361-1988 计算站场地安全要求
4. GB 12190-1990 高性能屏蔽室屏蔽效能的测量方法
5. GB/T 12505-1990 计算机软件配置管理计划规范
6. GB 50174-1993 电子计算机机房设计规范
7. GB/T 19021.1-1993 质量体系审核指南 审核
8. GB/T 19021.2-1993 质量体系审核指南 质量体系审核员的评定准则
9. GB/T 19021.3-1993 质量体系审核指南 审核工作管理
10. GB/T 15277-1994 信息处理 64bit分组密码算法的工作方式
11. GB/T 15278-1994 信息处理 数据加密 物理层互操作性要求
12. GB/T 19022.1-1994 测量设备的质量保证要求 第1部分:测量设备的计量确认体系
13. GB/T 19004.2-1994 质量管理和质量体系要素 第2部分:服务指南
14. GB/T 19004.3-1994 质量管理和质量体系要素 第三部分:流程性材料指南
15. GB/T 19004.4-1994 质量管理和质量体系要素 第四部分:质量改进指南
16. GB/T 19000.4-1995 质量管理和质量保证标准 第4部分:可信性大纲管理指南
17. GB 15852-1995 信息技术 安全技术 用块密码算法作密码校验函数的数据完整性机制
18. GB 15851-1995 信息技术 安全技术 带消息恢复的数字签名方案
19. GB/T 9387.2-1995 信息技术 开放系统互连 基本参考模型 第2部分:安全体系结构
20. GB/T 9387.3-1995 信息技术 开放系统互连 基本参考模型 第3部分:命名与编址
21. GB/T 9387.4-1996 信息技术 开放系统互连 基本参考模型 第4部分:管理框架
22. GB/T 16262-1996 信息技术 开放系统互连 抽象语法记法-(ASN.1)规范
23. GB/T 16263-1996 信息技术 开放系统互连 抽象语法记法-(ASN.1)基本编码规则规范
24. GB/T 16264.1-1996 信息技术 开放系统互连 目录 第1部分:概念、模型和服务的概述
25. GB/T 16264.2-1996 信息技术 开放系统互连 目录 第2部分:模型
26. GB/T 16264.3-1996 信息技术 开放系统互连 目录 第3部分:抽象服务定义
27. GB/T 16264.4-1996 信息技术 开放系统互连 目录 第4部分:发布式操作规程
28. GB/T 16264.5-1996 信息技术 开放系统互连 目录 第5部分:协议规范
29. GB/T 16264.6-1996 信息技术 开放系统互连 目录 第6部分:选择属性类型
30. GB/T 16264.7-1996 信息技术 开放系统互连 目录 第7部分:选择客体类
31. GB/T 16264.8-1996 信息技术 开放系统互连 目录 第8部分:鉴别框架
32. GB/T 16260-1996 信息技术 软件产品评价 质量特性及其使用指南
33. GB/T 19023-1996 质量手册编制指南
34. GB/T 19017-1997 质量管理 技术状态管理指南
35. GB/T 17143.7-1997 信息技术 开放系统互连 系统管理 安全报警报告功能
36. GB/T 17143.8-1997 信息技术 开放系统互连 系统管理 安全审计跟踪功能
37. GB/T 17142-1997 信息技术 开放系统互连 系统管理综述
38. GB/T 17143.1-1997 信息技术 开放系统互连 系统管理 第1部分:客体管理功能
39. GB/T 17143.2-1997 信息技术 开放系统互连 系统管理 第2部分:状态管理功能
40. GB/T 17143.3-1997 信息技术 开放系统互连 系统管理 第3部分:表示关系的属性
41. GB/T 17143.4-1997 信息技术 开放系统互连 系统管理 第4部分:告警报告功能
42. GB/T 17143.5-1997 信息技术 开放系统互连 系统管理 第5部分:事件报告管理功能
43. GB/T 17143.6-1997 信息技术 开放系统互连 系统管理 第6部分:日志控制功能
44. GB/T 17175.1-1997 信息技术 开放系统互连 管理信息结构 第1部分:管理信息模型
45. GB/T 17175.2-1997 信息技术 开放系统互连 管理信息结构 第2部分:管理信息定义
46. GB/T 17175.4-1997 信息技术 开放系统互连 管理信息结构 第4部分:被管客体的定义指南
47. GB/T 17176-1997 信息技术 开放系统互连 应用层结构
48. GB 15843.2-1997 信息技术 安全技术 实体鉴别 第2部分:采用对称加密算法的机制
49. GB/T 9387.1-1998 信息技术 开放系统互连 基本参考模型 第1部分:基本模型
50. GB/T 15843.3-1998 信息技术 安全技术 实体鉴别 第3部分:用非对称签名技术的机制
51. GB/T 17618-1998 信息技术设备抗扰度限值和测量方法
52. GB/T 17544-1998 信息技术 软件包 质量要求和测试
53. GB/T 19000.2-1998 质量管理和质量保证标准 第2部分:GB/T 19001、GB/T 19002和GB/T 19003实施通用指南
54. GB 9254-1998 信息技术设备的无线电骚扰限值和测量方法
55. GB 17625.1-1998 低压电气及电子设备发出的谐波电流限值(设备每相输入电流<=16A)
56. GB 17625.2-1999 电磁兼容 限值 对额定电流不大于16A的设备在低压供电系统中产生的电压波动和闪烁的限制
57. GB/T 15843.1-1999 信息技术 安全技术 实体鉴别 第1部分:概述
58. GB/T 15843.4-1999 信息技术 安全技术 实体鉴别 第4部分:采用密码校验函数的机制
59. GB/T 18018-1999 路由器安全技术要求
60. GB/T 18019-1999 信息技术 包过滤防火墙安全技术要求
61. GB/T 18020-1999 信息技术 应用级防火墙安全技术要求
62. GB/T 17900-1999 网络代理服务器的安全技术要求
63. GB/T 17902.1-1999 信息技术 安全技术 带附录的数字签名 第1部分:概述
64. GB 17859-1999 计算机信息系统安全保护等级划分准则
65. GB/T 17901.1-1999 信息技术 安全技术 密钥管理 第1部分:框架
66. GB/T 17903.1-1999 信息技术 安全技术 抗抵赖 第1部分:概述
67. GB/T 17903.2-1999 信息技术 安全技术 抗抵赖 第2部分:使用对称技术的机制
68. GB/T 17903.3-1999 信息技术 安全技术 抗抵赖 第3部分:使用非对称技术的机制
69. GB/T 2887-2000 电子计算机场地通用规范
70. GB/T 17963-2000 信息技术 开放系统互连 网络层安全协议
71. GB/T 17964-2000 信息技术 安全技术 n位块密码算法的操作方式
72. GB/T 17965-2000 信息技术 开放系统互连 高层安全模型
73. GB/T 1.1-2000 标准化工作导则 第一部分:标准的结构和编写规则
74. GB/T 18233-2000 信息技术 用户建筑群的通用布缆
75. GB/T 18238.1-2000 信息技术 安全技术 散列函数 第1部分:概述
76. GB/T 15481-2000 检测和校准实验室能力的通用要求
77. GB/T 19000-2000 质量管理体系 基础和术语
78. GB/T 19001-2000 质量管理体系 要求
79. GB/T 19004-2000 质量管理体系 业绩改进指南
80. GB/T 19000.3-2001 质量管理和质量保证标准 第3部分:GB/T 19001-1994在计算机软件开发、供应、安装和维护中的使用指南
81. GB/T 18336.1-2001 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型
82. GB/T 18336.2-2001 信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求
83. GB/T 18336.3-2001 信息技术 安全技术 信息技术安全性评估准则 第3部分:安全保证要求
84. GB 4943-2001 信息技术设备的安全
85. GB/T 15843.5-2005 信息技术 安全技术 实体鉴别 第5部分:使用零知识技术的机制
86. GB/T 16264.8-2005 信息技术 开放系统互连 目录 第8部分:公钥和属性证书框架
87. GB/T 17902.2-2005 信息技术 安全技术 带附录的数字签名 第2部分:基于身份的机制
88. GB/T 17902.3-2005 信息技术 安全技术 带附录的数字签名 第3部分:基于证书的机制
89. GB/T 19713-2005 信息技术 安全技术 公钥基础设施 在线证书状态协议
90. GB/T 19714-2005 信息技术 安全技术 公钥基础设施 证书管理协议
91. GB/T 19715.1-2005 信息技术 信息技术安全管理指南 第1部分:信息技术安全概念和模型
92. GB/T 19715.2-2005 信息技术 信息技术安全管理指南 第2部分:管理和规划信息技术安全
93. GB/T 19716-2005 信息技术 信息安全管理实用规则
94. GB/T 19717-2005 基于多用途互联网邮件扩展(MIME)的安全报文交换
95. GB/T 19771-2005 信息技术 安全技术 公钥基础设施 PKI组件最小互操作规范
96. GB/T 20008-2005 信息安全技术 操作系统安全评估准则
97. GB/T 20009-2005 信息安全技术 数据库管理系统安全评估准则
98. GB/T 20010-2005 信息安全技术 包过滤防火墙评估准则
99. GB/T 20011-2005 信息安全技术 路由器安全评估准则
100. GB/Z 20283-2006
(采用标准:ISO/IEC TR 15446:2004) 信息安全技术 保护轮廓和安全目标的产生指南
101.
102. GB/T 20269-2006 信息安全技术 信息系统安全管理要求
103. GB/T 20270-2006 信息安全技术 网络基础安全技术要求
104. GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求
105. GB/T 20272-2006 信息安全技术 操作系统安全技术要求
106. GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
107. GB/T 20274.1-2006 信息安全技术 信息系统安全保障评估框架 第1部分:简介和一般模型
108. GB/T 20275-2006 信息安全技术 入侵检测系统技术要求和测试评价方法
109. GB/T 20276-2006 信息安全技术 智能卡嵌入式软件安全技术要求(EAL4增强级)
110. GB/T 20277-2006 信息安全技术 网络和终端设备隔离部件测试评价方法
111. GB/T 20278-2006 信息安全技术 网络脆弱性扫描产品技术要求
112. GB/T 20279-2006 信息安全技术 网络和终端设备隔离部件安全技术要求
113. GB/T 20280-2006 信息安全技术 网络脆弱性扫描产品测试评价方法
114. GB/T 20281-2006 信息安全技术 防火墙技术要求和测试评价方法
115. GB/T 20282-2006 信息安全技术 信息系统安全工程管理要求
116. GB/T 20283-2006 信息安全技术 保护轮廓和安全目标的产生指南
117. GB/T 20518-2006 信息安全技术 公共基础设施 数字证书格式
118. GB/T 20519-2006 信息安全技术 公钥基础设施 特定权限管理中心技术规范
119. GB/T 20520-2006 信息安全技术 公钥基础设施 时间戳规范
120. GB/T 18018-2007 信息安全技术 路由器安全技术要求
121. GB/T 21028-2007 信息安全技术 服务器安全技术要求
122.
123. GB/T 21050-2007 信息安全技术 网络交换机安全技术要求(评估保证级3)
124. GB/T 21052-2007 信息安全技术 信息安全等级保护 信息系统物理安全技术要求
125. GB/T 21053-2007 信息安全技术 PKI系统安全等级保护技术要求
126. GB/T 21054-2007 信息安全技术 PKI系统安全等级保护评估准则
127. GB/T 20945-2007 信息安全技术 信息系统安全审计产品技术要求和测试评价方法
128. GB/T 20979-2007 信息安全技术 虹膜识别系统技术要求
129. GB/T 20983-2007 信息安全技术 网上银行系统信息安全保障评估准则
130. GB/T 20984-2007 信息安全技术 信息安全风险评估规范
131. GB/T 20987-2007 信息安全技术 网上证券交易系统信息安全保障评估准则
132. GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范
133. GB/T 21028-2007 信息安全技术 服务器安全技术要求
134. GB/Z 20985-2007 信息技术 安全技术 信息安全事件管理指南
135. GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
136. GB/T18336.1-2008 信息技术 安全技术 信息技术安全性评估准则 第1部分:简介和一般模型
137. GB/T18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第2部分:安全功能要求
138. GB/T18336.3-2008 信息技术 安全技术 信息技术安全性评估准则 第3部分: 安全保证要求
139. GB/T 22186-2008 信息安全技术 具有中央处理器的集成电路(IC)卡芯片安全技术要求(评估保证级4增强级)
140. GB/T22019-2008 信息安全技术 信息系统安全等级保护基本要求
141. GB/T22020-2008 信息安全技术 信息系统安全保护等级定级指南
142. GB/T22081-2008 信息技术 安全技术 信息安全管理实用规则
143. GB/T22080-2008 信息技术 安全技术 信息安全管理体系 要求
144. GB/T 17964-2008 信息安全技术 分组密码算法的工作模式
145. GB/T 15843.1-2008 信息技术 安全技术 实体鉴别 第1部分: 概述
146. GB/T 15843.2-2008 信息技术 安全技术 实体鉴别 第2部分: 采用对称加密算法的机制
147. GB/T 15843.3-2008 信息技术 安全技术 实体鉴别 第3部分: 采用数字签名技术的机制
148. GB/T 15843.4-2008 信息技术 安全技术 实体鉴别 第4部分: 采用密码校验函数的机制
149. GB/T 15852.1-2008 信息技术 安全技术 消息鉴别码 第1部分:采用分组密码的机制
150. GB/T 17903.1-2008 信息技术 安全技术 抗抵赖 第1部分: 概述
151. GB/T 17903.2-2008 信息技术 安全技术 抗抵赖 第2部分: 采用对称技术的机制
152. GB/T 17903.3-2008 信息技术 安全技术 抗抵赖 第3部分: 采用非对称技术的机制
ISO27001认证让云更安全
2012年11月,阿里云通过了由BSI(英国标准协会)审核的ISO27001:2005(信息安全管理体系)认证,成为国内首家通过ISO27001认证的云计算安全服务提供商。
阿里云介绍,ISO27001是目前国际上最权威、最严格、也是最被广泛接受和应用的信息安全标准,本次认证的通过,标志着阿里云的安全性得到国际上的认可。针对云计算的安全性以及这一认证的价值,站长之家专访了阿里巴巴集团安全部的安全专家沈锡镛先生。
沈锡镛先生是云计算安全的专家及先行者,在云计算安全管理方面有很多分享。2012年加入阿里巴巴集团,着力于帮助快速成长但缺乏标准化管理的云计算领域建立安全管理框架。
沈先生表示:“在云计算蓬勃发展的时代,一定要将这种新型的技术业务和信息安全管理体系进行有效整合。”
站长之家:前段时间公司通过了ISO27001认证,为什么要申请这个认证?
沈锡镛:用户使用云计算最大的障碍之一是对于安全的担忧,如何让客户能放心的把数据和应用部署在阿里云云计算平台上,并且相信阿里云能保证客户数据和应用的机密性、完整性和可用性,靠王婆卖瓜自卖自夸是无法说服用户的,需要一个由第三方机构颁发的审核证明,来证明其安全管理的有效性。
云计算安全目前仍然缺乏一个国际标准,所以在现阶段ISO27001认证是一个最贴切的标准,代表我们的内部管理与国际安全要求完全接轨。其次ISO27001是一个基于信息安全风险管理为核心的体系,该体系对信息安全的管控思想就好比把西瓜片片切开看看是否成熟一样,让组织信息安全管理水平暴露在审核方的显微镜下无所遁形,从体系的核心和管控思想两个方面都符合阿里云作为云计算服务提供商期望提供给客户的安全承诺。
站长之家:在申请ISO27001认证的过程中,阿里云推动了哪些方面的标准化流程,有哪些收获?
沈锡镛:ISO27001认证的过程其实是对阿里云既有的安全流程的固化和检验,举例来说针对ISO27001漏洞管理的相关条款要求,阿里云现有的安全分制度得以在各业务部门和集团范围内予以强化,安全漏洞大大减少,其修复速度得到大幅度提升。在运维方面因流程执行不规范而导致的故障大大减少,举例:自7月ISO27001体系投入运行后再未发生因流程执行不规范而导致安全故障。
站长之家:阿里云国内首家通过了ISO27001认证,这对国内云服务会有什么影响?
沈锡镛:即使在云计算的背景下,云计算安全与传统信息安全的安全目标仍是相同:“保护信息资产的保密性、完整性、可用性”,故而诸如云服务商日常运营中涉及的信息安全风险管理;人力资源、物理、网络和主机安全;业务连续性;数据中心运维等方面都应将满足ISO27001:2005作为基线要求。
面对越来越严重的个人信息泄露、个人隐私保护及云计算带来的相关法律和合规要求,云服务商应建立遵循ISO27001:2005对于隐私保护和法律方面的合规管理要求。
从数据安全的角度,承载客户数据、客户应用的云服务商也必须通过获得ISO27001:2005认证来逐步规范云计算市场,设定准入门槛。
站长之家:ISO27001认证,可以给开发者及用户带来哪些好处?
沈锡镛:阿里云的目标是打造互联网数据分享第一平台,成为以数据为中心的云计算服务公司。因此我们除了借助技术的创新,不断提升计算能力与规模效益,将云计算变成真正意义上的公共服务,使得广大合作伙伴、中小企业、开发者能够受益于云计算带来的便利和价值,也有义务从安全角度给广大用户和开发者打造一个安全、健康的云生态系统,使其在使用云计算的同时免除对安全的后顾之忧。
因此和很多选择IDC或IT、信息安全部门通过认证的云计算企业不同,阿里云本次认证选择了以诸多云产品为认证对象,这就代表阿里云传递给广大的开发者和用户一个信息,从云产品的设计、运维到售卖,阿里云都接受并通过了业界最严苛和权威的第三方审核,保证我们向广大公众提供的云产品和服务安全可信。
站长之家:获得ISO27001认证,意味着阿里云得到国际上的认可,这对国外公司、服务、App应用等进入中国市场有什么吸引力吗?阿里云在这方面是如何判断的?
沈锡镛:这种吸引力几乎在第一时间就到来,在得悉阿里云通过BSI审核的ISO27001体系认证,由BSI和CSA联合推出的OCF(Open Certificate Framework for cloud providers)第一时间就选择了阿里云作为亚太地区第一家试点机构,为云安全的国际标准化进程作出自己的贡献。
国内在信息技术的标准化方面一直采用的是关注和引进的方式,并且即使引进也在实际的业务开展中未能较好的运用和推广。云计算业务的兴起则是给了广大中国企业一个新的契机,因为该业务并不是对信息技术的颠覆而是对由来已久的大型分布式计算技术的运营尝试,阿里云作为具备自主开发大型分布式操作系统的中国云计算企业,有必要在未来云计算标准和规范的国际化进程中占有一席之地。
站长之家:安全是云服务的一个基本保障,能否结合ISO27001标准,谈谈阿里云的安全性是如何保障的?例如数据存储安全、防攻击等方面。
沈锡镛:阿里云的安全性虽然也存在内部安全和外部安全两个不同的纬度,但和其他企业不同地方在于阿里云的内部安全和外部安全都遵行一个统一的“安全分”制度,具体来讲安全部门会对所有业务部门、支撑部门从安全事件的发生率、安全漏洞的多寡角度去量化考核每个部门的安全得分,并纳入公司绩效考核的一部分。
在面向客户交付的每个产品或服务,阿里云按照ISO27001 附录“A12信息系统开发、获取和维护”的要求,建立了软件安全开发周期(Security Development Lifecycle)安全开发流程,(如下图)来保证每个云产品的服务的安全性。
安全需求分析环节:应根据功能需求文档进行安全需求分析,针对业务内容、业务流程、技术框架进行沟通,形成《安全需求分析建议》。
安全设计环节:应根据项目特征,与测试人员沟通安全测试关键点,形成《安全测试建议》。
安全编码环节:应参考例如OWASP指南、CERT安全编码等材料编写各类《安全开发规范》,避免开发人员出现不安全的代码。
代码审计环节:应尽可能使用代码扫描工具并结合人工代码审核,对产品代码进行白盒、黑盒扫描。
应用渗透测试:应在上线前参照例如OWASP标准进行额外的渗透测试 。
系统发布:依据上述环节评价结果决定代码是否发布。
而在ISO27001未覆盖的虚拟化安全领域,例如虚拟服务器的隔离、虚拟服务器及映像的加固、虚拟服务器的销毁,虽然以上需求因虚拟化服务器的服务类型已无法通过购买安全设备实现隔离,但针对用户和云服务商自身的安全需求仍可通过一系列的软件手段实现安全隔离和访问控制。
针对不同用户购买的虚拟服务器之间的隔离需求,阿里云借助自主开发的后羿系统在虚拟服务器生产环节给每个虚拟服务器打上标签,在运营环节通过不同用户之间的虚拟服务器访问规则,和IP 信息包过滤系统(iptables)技术实现虚拟服务器之间、虚拟服务器和其物理机之间隔离。
例如针对虚拟服务器的安全加固,阿里云通过建立安全加固流程,默认提供主机入侵检测和补丁自动更新服务等手段来保证虚拟服务器的安全;而针对虚拟服务器映像的安全加固,阿里云不但在其生产流程上加入安全审核环节,来保证虚拟服务器映像能满足最新的安全要求,而且目前已通过安全部门直接制作安全映像交付给运营部门;针对虚拟服务器的销毁,阿里云采用虚拟化在线管理系统对虚拟服务器进行管理保证其迁移后自动消除原有物理服务器上磁盘和内存数据,并采用实时审计技术予以监控流程的执行。
上海赛学专业提供ISO27001认证,信息安全体系认证证书信息安全体系认证公司,上海iso27001认证咨询中心。黄浦区、卢湾区、徐汇区、长宁区、静安区、普陀区、闸北区、虹口区、杨浦区、宝山区、闵行区、嘉定区、浦东新区、松江区、金山区、青浦区企业做上门诊断。
|