信息安全管理體系標準的發展
信息安全管理體系標準的出現最早可以追溯到1993年,受英國貿工部的委托,開始匯集各優秀企業有關信息安全管理的最佳實踐,準備推出信息安全管理的指南,該指南于1995年以BS7799-l的編號出版,雖然是英國標準,但出版后得到了各國的認可,并得到了廣泛的應用,這包括英國本土,也包括亞洲國家和地區。
1998年,在指南應用了一段時間之后,BSI又適時發布了作為規范的BS7799-2,它作為一個可以認證的標準,為實踐單位提供了綱領,從此BS7799成為一對標準。
2000年,BS7799被提交ISO審議,擬升級為國際標準,由于種種因素,BS7799-1升級成為ISO17799:2000,而BS7799-2沒有升級成功,保留了原有的編號。
從2000年到2005年的期間,信息安全管理體系標準已經被全球認可,全球將近2000家組織獲得了BS7799-2的認證,在中國有將近20家單位獲得了此認證。
2005年10月,BS7799-2成功升級為IS02700l標準,并且,以后信息安全管理體系標準,將要統一到ISO2700X系列上,除了現有的管理體系要求和管理指南之外,還將陸續出版其他指南,見下表:
27000 Vocabularyanddefinitions術語和定義
27001 ISMSRequirement(BS7799-2)信息安全管理體系要求
27002 ISMSImplementationGuidance信息安全管理體系實施指南
27003 ISMSImplementationGuidance信息安全管理體系實施指南
27004 ISMMetricsandMeasurement信息安全管理的測量
27005 RiskManagement(BS7799-3)風險管理
全球五大安全治理規范
一、經濟合作和發展組織,《信息系統安全指南》(1992)
《信息系統安全指南》用于協助國家和企業構建信息系統安全框架。美國、OECD的其他23個成員國,以及十幾個非OECD成員國家都批準了這一指南。該指南旨在提高信息系統風險意識和安全措施,提供一個一般性的框架以輔助信息系統安全度量方法、操作流程和實踐的制定和實施,鼓勵關心信息系統安全的公共和私有部門間的合作,促進人們對信息系統的信心,促進人們應用和使用信息系統,方便國家間和國際間信息系統的開發、使用和安全防護。這個框架包括法律、行動準則、技術評估、管理和用戶實踐,及公眾教育或宣傳。該指南目的是作為政府、公眾和私有部門的標桿,通過此標桿測量進展。
二、國際會計師聯合會,《信息安全管理》(1998)
信息安全目標是“保護依靠信息、信息系統和傳送信息的人、通信設施的利益不因為信息機密性、完整性和可用性的故障而遭受損失”。任何組織在滿足三條準則時可認為達到信息安全目標:數據和信息只透露給有權知道該數據和信息的人(機密性);數據和信息保護不受未經授權的修改(完整性);信息系統在需要時可用和有用(可用性)。機密性、完整性和可用性之間的相對優先級和重要性根據信息系統中的信息和使用信息的商業環境而不同。 信息安全因急速增長的事故和風險種類而日益重要。對信息系統的威脅既有可能來自有意或無意的行動,也可能來自內部或外部。信息安全事故的發生可能是因為技術方面的因素、自然災害、環境方面、人的因素、非法訪問或病毒。另外,業務依賴性(依靠第三方通信設施傳送信息,外包業務等等)也可能潛在地導致管理控制的失效和監督不力。
三、國際標準化組織,《ISO 17799國際標準》(最新版是2005)
ISO17799(根據BS 7799第一部分制定)作為確定控制范圍的單一參考點,在大多數情況下,這些控制是使用業務信息系統所必須的。該標準適應任何規模的組織。它把信息作為一種資產,像其他重要商業資產一樣,這種資產對組織有價值,因此需要恰當保護它。ISO 17799認為信息安全有下列特征:機密性,確保信息只被相應的授權用戶訪問;完整性,保護信息和處理信息程序的準確性和完整性;可用性,確保授權用戶在需要時能夠訪問信息和相關資產。信息安全保護信息不受廣泛威脅的損毀,確保業務連續性,將商業損失降至最小,使投資收益最大并抓住各種商業機遇。安全是通過實施一套恰當的控制措施實現的。該控制措施由策略、實踐、程序、組織結構和軟件組成。
四、信息系統審計和控制協會,《信息和相關技術的控制目標》(CoBIT)
CoBIT起源于IT需要傳遞組織為達到業務目標所需的信息這個前提,至今已有三個版本。除了鼓勵以業務流程為中心,實行業務流程負責制外,CoBIT還考慮到組織對信用、質量和安全的需要,它提供了組織用于定義其對IT業務要求的幾條信息準則:效率、效果、可用性、完整性、機密性、可靠性和一致性。CoBIT進一步把IT分成4個領域(計劃和組織,獲取和實施,交付和支持,監控),共計34個IT業務流程。CoBIT為正在尋求控制實施最佳實踐的管理者和IT實施人員提供了超過300個詳細的控制目標,以及建立在這些目標上的廣泛的行動指南。COBIT框架通過聯結業務風險、控制需要和技術手段來幫助滿足管理當局多樣化的需求。它提供了通過一個范圍和過程框架的最佳慣例,以形成一個可控和邏輯結構內的活動。
五、美國注冊會計師協會(加拿大特許會計師協會),《SysTrust TM系統可靠性原理和準則V20》(2001)
SysTrust服務是一種保證服務,用于增強管理者、客戶和商業伙伴對支持業務或某種特別活動的系統的信任。SysTrust服務授權注冊會計師承擔的保證服務包括:注冊會計師從可用性、安全性、完整性和可維護性四個基本方面評估和測試系統是否可靠。
SysTrust定義在特定環境下及特定時期內,沒有重大錯誤、缺陷或故障地運行的系統為可靠系統。系統界限由系統所有者確定,但必須包括基礎設施、軟件、人、程序和數據這幾個關鍵部分。SysTrust的框架可升級,企業能夠靈活選擇SysTrust標準的任何部分或全部來驗證系統的可靠性。對系統四個標準的判斷組成對系統整體可靠性的判斷。注冊會計師也能單獨判斷某一標準如可用性或安全性的可靠性狀況。但是這種判斷僅僅對特定標準的可靠性做出判斷,不是對系統整體可靠性的判斷。
信息安全管理體系建立和運行步驟
ISO27001標準要求組織建立并保持一個文件化的信息安全管理體系,其中應闡述需要保護的資產、組織風險管理的渠道、控制目標及控制方式和需要的保證程度。
不同的組織在建立與完善信息安全管理體系時,可根據自己的特點和具體情況,采取不同的步驟和方法。但總體來說,建立信息安全管理體系一般要經過下列四個基本步驟:信息安全管理體系的策劃與準備;信息安全管理體系文件的編制;信息安全管理體系運行;信息安全管理體系審核與評審。
如果考慮認證過程其詳細的步驟如下:
現場診斷;
確定信息安全管理體系的方針、目標;
明確信息安全管理體系的范圍,根據組織的特性、地理位置、資產和技術來確定界限;
對管理層進行信息安全管理體系基本知識培訓;
信息安全體系內部審核員培訓;
建立信息安全管理組織機構;
實施信息資產評估和分類,識別資產所受到的威脅、薄弱環節和對組織的影響,并確定風險程度;
根據組織的信息安全方針和需要的保證程度通過風險評估來確定應實施管理的風險,確定風險控制手段;
制定信息安全管理手冊和各類必要的控制程序 ;
制定適用性聲明;
制定商業可持續性發展計劃;
審核文件、發布實施;
體系運行,有效的實施選定的控制目標和控制方式;
內部審核;
外部第一階段認證審核;
外部第二階段認證審核;
頒發證書;
體系持續運行/年度監督審核;
復評審核(證書三年有效)。
至于應采取哪些控制方式則需要周密計劃,并注意控制細節。信息安全管理需要組織中的所有雇員的參與,比如為了防止組織外的第三方人員非法進入組織的辦公區域獲取組織的技術機密,除物理控制外,還需要組織全體人員參與,加強控制。此外還需要供應商,顧客或股東的參與,需要組織以外的專家建議。信息、信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。
當前,越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅,諸如計算機病毒、計算機入侵、DoS攻擊等手段造成的信息災難已變得更加普遍,有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞,公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。
許多信息系統本身就不是按照安全系統的要求來設計的,所以僅依靠技術手段來實現信息安全有其局限性,所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃,并注意細節。信息安全管理至少需要組織中的所有雇員的參與,此外還需要供應商、顧客或股東的參與和信息安全的專家建議。
信息安全管理體系(ISMS)有效性測量
隨著各界對信息安全管理重視程度的加強,越來越多的組織依據ISO 27001標準來建立自身的信息安全管理體系(ISMS),對于ISMS的建立的過程和方法已經有很多的資料可以參考,然而對ISMS的有效性進行測量則是一個比較新的課題。
一、為什么需要對ISMS進行有效性測量?
為什么要對ISMS的有效性進行測量呢?換句話說,進行ISMS有效性測量的意義及價值是什么,下面從以下幾個角度來評述。
1. 對信息安全管理目標的考核
組織在建立ISMS時都會依據組織業務的發展、各利益相關方安全要求及組織的信息安全管理水平等,來設定自身信息安全管理的目標,通過有效性測量,不但可以很好的對信息安全目標達到的程度進行考核,準確的衡量ISMS的績效,而且還能夠為管理層對信息安全管理的資源投入提供數據依據。
2. ISMS持續改進的重要依據
在建立ISMS時,通常都會進行風險評估及風險處理措施的實施,如果不進行有效行測量,就不能反映出當前組織的各安全措施的效果如何,即無法表現出信息安全的改進在哪些方面。通過有效性測量,能夠更充分的反映出當前組織的信息安全存在問題及問題的嚴重程度,為今后的信息安全的工作重點提供有力的依據。
3. 信息安全管理工作的績效考核
有效性測量結果不僅是衡量ISMS績效的重要標準,也是對信息安全管理組織工作績效的一個有利的側面展示,通過有效性測量的數據,不但可以使管理者清晰的了解信息安全管理工作,而且還能增強信息安全管理工作人員的信心。
4. 滿足標準(ISO 27001)的符合性要求
眾所周知,ISO 27001標準中明確要求組織定義測量體系,并實施之獲得數據,衡量所實施ISMS的有效性。通過ISMS有效性測量工作,不僅僅充分的滿足了標準的要求,而且是推動ISMS持續改進的動力。
二、進行有效性測量需要注意什么?
在對ISMS進行有效性測量的時候,我們應該遵循什么樣的原則呢?我認為只要遵循“有依據、可操作、能比較”這三點原則,那么設計出來的有效性測量體系就是比較好的。這三點原則說明如下:
1) 有依據:有效性測量的過程中,不是為了測量而測量,不是為了標準而測量,各項指標的設定一定要有理有據,每個測量的指標都應當能夠具體反映出ISMS的運行狀態。
2) 可操作:一個不能操作的測量指標體系是沒有意義的,所以有效性測量指標體系一定是清晰、明確,具體可操作的,而同時又是容易收集、不能花費太大的成本的,否則設計再好的測量指標體系都無法真正的貫徹執行。
3) 能比較:有效性測量的結果一定是可比較的,可以通過量化的數值、圖形化的參考來展現測量的結果,這樣能夠清晰、直觀的觀察到ISMS的狀態趨勢。
三、如何進行有效性測量體系的設計?
前面談到了進行有效性測量的必要性以及建立測量指標體系的原則,那么如何建立一個有效性測量的體系呢?下面結合ISMS建設的PDCA四個階段來做一個說明各階段的重要活動。
1. ISMS的Plan策劃階段
隨著整個ISMS的策劃,有效性測量的工作其實已經可以開展,這個階段主要是收集有效性測量的需求,為有效性測量提供輸入,是進行有效性測量指標體系設計的基礎。具體的活動如下:
1) ISMS目標建立:有效性測量一定要與組織的業務目標相關,是為了組織的核心業務目標而測量的,這是進行有效性測量的第一要點。在ISMS策劃階段建立組織ISMS的業務目標時,一定使ISMS的目標能夠反映組織的業務目標,并且這個目標需要遵守SMART原則,即要具體(Specific),可量化(Measurable),可達成(Achievable or Attainable),現實的(Realistic),并且有限定的時間期限(Timely)。
2) 利害相關方關注收集:在ISMS的策劃階段,可以收集各利害相關人的關注點,比如:客戶的信息安全關注點、股東或高層的信息安全關注點、上級或監管機構的信息安全關注點等,這些都是建設ISMS的重要信息輸入,同時也是有效性測量的重點關注內容。
3) 歷年安全事件的總結:信息安全事件的頻次,能夠在一定程度上反映出組織信息安全的薄弱環節,這些高頻次的安全事件可作為有效性測量的一個重點,來跟蹤驗證針對信息安全事件的安全措施是否有效。如以往病毒發作的安全事件比較高,那么可以將病毒的發作次數、病毒軟件的安裝率、操作系統的補丁更新率作為有效性測量的指標來進行測量,以反映出防病毒控制措施的有效性。
4) 信息安全高風險歸納:在策劃階段進行風險評估中的信息安全高風險,是需要組織必須要處理的,而且這些高風險同時是需要被重點跟蹤的,因此所有的信息安全高風險必須能夠反映到有效性測量的指標體系中去,來驗證信息安全高風險的控制措施是否有效。
按照上面所講的方面進行有效性測量的需求信息收集,來為有效性測量提供有力的輸入信息,這樣在進行有效性測量指標的設計時,就能夠做到有理有據。
2. ISMS的Do運作階段
在ISMS的運作階段,需要對有效性測量體系進行詳細的設計,主要是解決測量什么、如何測量、測量結果如何展示的問題。我們從以下幾個方面進行分析:
1) 分析有效性測量需求:對于策劃階段的各類有效性測量的輸入進行歸納整理,在這個基礎上還可以考慮加入一些其它方面的只要指標,比如ISMS的重要活動、信息安全管理的日常操作等,這些方面統一分析整理,最終得出一套需要進行測量的重要指標。
2) 有效性測量指標分解:對歸納出來的各項重要指標做進一步分解,對應到ISMS的各項具體度量項,并為每項設定度量目標的閥值。
3) 測量指標采集方案設計:測量指標采集方案的設計是將各項指標如何測量進行定義,包括測量指標的計算方法、指標采集頻度、測量責任人及采集方式等。測量方案一定要具體可行,指標采集頻度可以根據不同的指標區別對待,在制定責任人時應盡量避免由操作者直接測量自己工作的指標。
4) 有效性測量指標的記錄:按照測量指標采集方案的頻率進行檢查,并且按照時間線進行記錄,記錄的數據應客觀準確,這樣才能真正的反映問題。
在此階段的過程中,測量指標的選取是一個重點,同時也是一個難點,不能測量的指標過少,但同時也沒有比較所有的控制點全部進行測量,下面是一個測量指標分類的參考,可根據實際情況選取一些關鍵的指標進行度量。
- 管理控制措施:如安全目標、安全意識等方面;
- 業務流程:如風險評估和處理、選擇控制措施等;
- 運營措施:如備份、防范惡意代碼、存儲介質等方面;
- 技術控制措施:如防火墻、入侵檢測、補丁管理等;
- 審核、回顧和測試:如內審、外審、技術符合性檢查等。
3. ISMS的Check控制階段
在ISMS的控制階段,需要做的事情有兩個方面,一是根據有效性測量的結果對ISMS進行評價,另外一個需要對有效性測量體系進行評價,兩方面的工作具體來說為:
1) 評價ISMS運作:體系管理組根據指標分解的層次,對指標進行計算、整合及分析,檢查各層次指標是否滿足目標要求,并對整體狀況進行評估,得出ISMS做的好的方面以及需要改進的方面。
2) 評價測量指標:根據測量、分析結果,評價有效性測量體系的貢獻,并從中找到需要改進的區域,調整測量指標體系,為ISMS有效性的測量更好的提供服務。
4. ISMS的Act改進階段
在ISMS的改進階段,基于控制階段的分析,對ISMS及測量指標體系分別進行改進,使之鞥好的為ISMS服務。
微信咨詢
E-mail
