廣德竹昌電子科技有限公司順利取得ISO27001認(rèn)證證書(shū)
上海寶信數(shù)字技術(shù)有限公司順利通過(guò)ISO27001信息安全管理體系認(rèn)證
上海宇天網(wǎng)絡(luò)科技有限公司順利通過(guò)ISO27001信息安全體系認(rèn)證審核
上海磊璨信息科技有限公司順利取得ISO27001信息安全認(rèn)證證書(shū)
iso27001認(rèn)證的背后:信息安全不僅僅是一張證書(shū)
云南電網(wǎng)信息中心順利通過(guò)iso27001認(rèn)證
2017年信息安全的必要性:30個(gè)細(xì)節(jié)能在一分鐘毀滅你的公司
2017年我們的信息管理安全化
上海易優(yōu)服設(shè)備管理咨詢(xún)有限公司啟動(dòng)iso27001體系認(rèn)證
上海翼依信息技術(shù)有限公司順利通過(guò)iso27001認(rèn)證
從美國(guó)大選說(shuō)起iso27001認(rèn)證
針對(duì)iso27001信息安全,網(wǎng)約車(chē)亮身份
iso27001信息安全體系認(rèn)證的難點(diǎn)
信息安全管理體系有多重要
ISO27000系列標(biāo)準(zhǔn)介紹
企業(yè)為什么要實(shí)施ISO27001認(rèn)證
ISO27001認(rèn)證咨詢(xún)流程
ISO27001認(rèn)證咨詢(xún)顧問(wèn)服務(wù)內(nèi)容
對(duì)于ISO27001和ISO13335區(qū)別
與ISO27001相關(guān)的幾個(gè)重要的信息安全標(biāo)準(zhǔn)
ISO27001認(rèn)證咨詢(xún)(ISMS管理體系建設(shè))
ISO27001信息安全管理相關(guān)文章 IT治理標(biāo)準(zhǔn)、對(duì)比和思索
信息安全標(biāo)準(zhǔn)一覽表
ISO27001認(rèn)證讓云更安全
ISO27000系列標(biāo)準(zhǔn)介紹
ISO已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC 27000系列編號(hào),類(lèi)似于質(zhì)量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標(biāo)準(zhǔn)。
規(guī)劃的ISO 27000系列包含下列標(biāo)準(zhǔn):
ISO 27000——《信息安全管理體系原理和術(shù)語(yǔ)》《Information security management system fundamentals and vocabulary》該標(biāo)準(zhǔn)主要用于闡述ISMS的基本原理和術(shù)語(yǔ),預(yù)計(jì)2008年發(fā)布。
ISO 27001——《信息安全管理體系要求》《Information security management system requirements》該標(biāo)準(zhǔn)源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式發(fā)布。
ISO 27002——《信息安全管理實(shí)踐規(guī)則》《Code of practice for information security management》
該標(biāo)準(zhǔn)將取代 ISO /IEC 17799:2005,計(jì)劃2007年發(fā)布。
ISO 27003——《信息安全管理體系實(shí)施指南》《Information security management systems implementation guidance》該標(biāo)準(zhǔn)將為ISMS的建立、實(shí)施、維持、改進(jìn)提供指導(dǎo),目前還在開(kāi)發(fā)中,預(yù)計(jì)2007年發(fā)布。
ISO 27004——《信息安全管理測(cè)量與指標(biāo)》《Information security management measurements and metrics》該標(biāo)準(zhǔn)闡述信息安全管理的測(cè)量和指標(biāo),用于測(cè)量信息安全管理的實(shí)施效果,預(yù)計(jì)2007年底或2008年發(fā)布。
ISO 27005——《信息安全風(fēng)險(xiǎn)管理》《Information security risk management》該標(biāo)準(zhǔn)以BS7799-3和ISO13335為基礎(chǔ),預(yù)計(jì)2007年發(fā)布。
ISO 27006——《信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求》《Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems》該標(biāo)準(zhǔn)對(duì)提供ISMS認(rèn)證的機(jī)構(gòu)提出要求,所有提供ISMS認(rèn)證服務(wù)的機(jī)構(gòu)需要按照該標(biāo)準(zhǔn)的要求證明其能力和可靠性。
上述標(biāo)準(zhǔn)中, ISO27001是ISO27000系列的主標(biāo)準(zhǔn),類(lèi)似于ISO 9000系列中的ISO9001,各類(lèi)組織可以按照ISO 27001的要求建立自己的信息安全管理體系(ISMS),并通過(guò)認(rèn)證。目前的有效版本是ISO/IEC 27001:2013。
ISO27001信息安全在企業(yè)風(fēng)險(xiǎn)管理中極為重要,強(qiáng)調(diào)對(duì)一個(gè)組織運(yùn)行所必需的IT系統(tǒng)和信息的保密性、完整性、可用性的保護(hù),提高投資回報(bào)率,降低由信息安全事故造成的損失及業(yè)務(wù)中斷的風(fēng)險(xiǎn)。ISO27001體系已由國(guó)際標(biāo)準(zhǔn)組織頒布為國(guó)際標(biāo)準(zhǔn)ISO 27001:2005,是目前世界上唯一的“信息安全管理標(biāo)準(zhǔn)”,成為“信息安全管理”之國(guó)際通用語(yǔ)言,并被全球五千多家政府機(jī)構(gòu)和知名企業(yè)所采用。其方法是通過(guò)“風(fēng)險(xiǎn)評(píng)估”、“風(fēng)險(xiǎn)管理”切入企業(yè)的信息安全需求,有效降低企業(yè)面臨的風(fēng)險(xiǎn)。建立信息安全管理體系(ISMS)已成為各種組織,特別是高科技產(chǎn)業(yè)、金融機(jī)構(gòu)等管理運(yùn)營(yíng)風(fēng)險(xiǎn)不可缺少的重要機(jī)制。在某些行業(yè),如軟件外包,ISO27001認(rèn)證已經(jīng)成為客戶(hù)要求必備條件。
企業(yè)為什么要實(shí)施ISO27001認(rèn)證
某公司遇到這樣的難題:
A:當(dāng)公司的項(xiàng)目經(jīng)理面對(duì)客戶(hù)時(shí),客戶(hù)會(huì)問(wèn):“你如何保障我的信息在你們公司是安全的?你如何保證我公司的信息不會(huì)透露給第三方?”
B:當(dāng)項(xiàng)目經(jīng)理為此客戶(hù)解決了所有問(wèn)題,雙方的合作僅差一步時(shí),項(xiàng)目經(jīng)理卻遇到這樣的問(wèn)題:“下個(gè)月就需要交付了,本來(lái)工期就比較緊,該死的病毒將我上周的數(shù)據(jù)資料全刪掉了,我該怎么辦?”
C:經(jīng)理很無(wú)奈地說(shuō):“又一個(gè)骨干員工離職了,多少公司的信息又會(huì)被傳播出去呀。”
D:最后事情到了總經(jīng)理那里,總經(jīng)理卻感到:“客戶(hù)在抱怨;項(xiàng)目不能如期交付;對(duì)客戶(hù)的承諾要食言,公司機(jī)密在外傳;公司的經(jīng)營(yíng)要出現(xiàn)危機(jī),怎么辦?”
這是一個(gè)已經(jīng)通過(guò)CMMI認(rèn)證公司的無(wú)奈。想必在很多企業(yè)中,這類(lèi)問(wèn)題也是屢見(jiàn)不鮮的,在面臨這類(lèi)問(wèn)題時(shí)也是束手無(wú)策。俗話說(shuō)“三分技術(shù)七分管理”,目前企業(yè)普遍采用現(xiàn)代化通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對(duì)信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識(shí)不足,缺乏明確的信息安全方針、缺乏完整的信息安全管理制度、相應(yīng)的管理措施不到位。導(dǎo)致了許多信息安全事件的發(fā)生:系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁(yè)改寫(xiě),甚至客戶(hù)資料的流失,以及公司內(nèi)部資料的泄漏等等。這些給企業(yè)的經(jīng)營(yíng)管理、生存及安全都帶來(lái)了嚴(yán)重的影響。
一、ISO27001認(rèn)證的引入
企業(yè)信息化給企業(yè)能夠帶來(lái)高效的工作,持久的競(jìng)爭(zhēng)力,但同時(shí)也帶來(lái)了更多的風(fēng)險(xiǎn)。為了化解這種風(fēng)險(xiǎn)可能造成的惡劣結(jié)果,信息安全的重要性得到了越來(lái)越多企業(yè)管理者們的認(rèn)可。
早期時(shí)候,人們把信息安全的希望寄托在加密技術(shù)上面,認(rèn)為一經(jīng)加密,什么安全問(wèn)題都可以解決。隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展,一段時(shí)期我們又常聽(tīng)到“防火墻決定一切”的論調(diào)。在防火墻的神話破滅之后,入侵檢測(cè),PKI,VPN和UTM等新的技術(shù)應(yīng)用又被接二連三地提了出來(lái),信息安全的技術(shù)創(chuàng)新從未停止。
然而,企業(yè)在采購(gòu)大量安全設(shè)備,采用大量的安全技術(shù)之后,仍然不能走出信息安全問(wèn)題的陰影。原因何在?
實(shí)際上,對(duì)安全技術(shù)和產(chǎn)品的選擇運(yùn)用,這只是信息安全實(shí)踐活動(dòng)中的一部分,只是實(shí)現(xiàn)安全需求的手段而已。信息安全更廣泛的內(nèi)容,還包括制定完備的安全策略,通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)確定需求,根據(jù)需求選擇安全技術(shù)和產(chǎn)品,并按照既定的安全策略和流程規(guī)范來(lái)實(shí)施、維護(hù)和審查安全控制措施。Gartner曾經(jīng)在一份安全報(bào)告中指出:“各類(lèi)令企業(yè)損失慘重的安全違規(guī)事件歸根到底都是人所造成的,并且發(fā)展成為物理安全和人員的問(wèn)題。IT安全部門(mén)試圖用技術(shù)方法來(lái)解決這些安全問(wèn)題,但這是行不通的。”
歸根到底,信息安全并不是技術(shù)過(guò)程,而是管理過(guò)程。
信息安全管理提供管理程序,技術(shù)和保證措施,是商業(yè)管理者確信商業(yè)交易的可信性,確保信息技術(shù)服務(wù)的可用性,能適當(dāng)?shù)氐挚共徽?dāng)操作、蓄意攻擊或者自然災(zāi)害,并從這些故障中恢復(fù);確保拒絕沒(méi)有經(jīng)過(guò)授權(quán)地訪問(wèn)重要的機(jī)密信息。關(guān)于信息安全管理的標(biāo)準(zhǔn)和規(guī)范也沒(méi)有安全技術(shù)那么眾多,最有代表性的,就是 ISO27001。
二、ISO27001認(rèn)證在企業(yè)中的重要性
上述公司認(rèn)為企業(yè)達(dá)到了CMM標(biāo)準(zhǔn)就足以應(yīng)付這些問(wèn)題,可事實(shí)上CMMI 無(wú)法使其擺脫這些問(wèn)題所帶來(lái)的困擾。在經(jīng)過(guò)一段時(shí)間探試和研究后,該公司采用了ISO27001 標(biāo)準(zhǔn)。
ISO27001標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British Standards Institution, BSI )針對(duì)信息安全管理方面而制定的,最初源于英國(guó)標(biāo)準(zhǔn)BS7799,經(jīng)過(guò)十年的不斷改版,終于在2005年被國(guó)際標(biāo)準(zhǔn)化組織發(fā)布為正式的國(guó)際標(biāo)準(zhǔn),用于組織的信息安全管理體系的建立,保障組織的信息安全,采用相關(guān)指定方法,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。是目前世界上唯一的信息安全管理標(biāo)準(zhǔn),已被全球五千多家政府機(jī)構(gòu)和知名企業(yè)所采用。如今是否通過(guò)ISO27001認(rèn)證在某些行業(yè)中,已經(jīng)成為一些客戶(hù)的要求條件之一。目前除英國(guó)外,還有荷蘭、丹麥、澳大利亞、巴西等國(guó)已同意使用該標(biāo)準(zhǔn);日本、瑞士、盧森堡等國(guó)也表示對(duì) ISO27001 標(biāo)準(zhǔn)感興趣;我國(guó)的臺(tái)灣、香港也在推廣該標(biāo)準(zhǔn)。許多國(guó)家的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司已采用了此標(biāo)準(zhǔn)對(duì)自己的信息安全進(jìn)行系統(tǒng)的管理。這套標(biāo)準(zhǔn)注重體系的完整性,強(qiáng)調(diào)對(duì)法律法規(guī)的符合性,并且可與ISO9000 標(biāo)準(zhǔn)有很強(qiáng)的兼容性。
公司可通過(guò)ISO27001體系建設(shè)和實(shí)施,建立了完備的信息安全管理體系,為公司各項(xiàng)安全相關(guān)活動(dòng)提供了明確的目標(biāo)和操作指南。同時(shí),通過(guò)系統(tǒng)的方法建立起組織保障體系,具備了信息安全風(fēng)險(xiǎn)駕馭能力,保證了公司核心業(yè)務(wù)的可持續(xù)運(yùn)行。通過(guò)把ISO27001 的要求引入業(yè)務(wù)流程,使現(xiàn)有的業(yè)務(wù)運(yùn)作更加安全規(guī)范,全面提升了公司本身和客戶(hù)信息資產(chǎn)的安全度,尤其是加強(qiáng)了對(duì)客戶(hù)知識(shí)產(chǎn)權(quán)和商業(yè)秘密的保護(hù),提高了對(duì)客戶(hù)信息安全的保障水平。不僅如此,在公司通過(guò)ISO27001標(biāo)準(zhǔn)認(rèn)證過(guò)程中,強(qiáng)化員工的信息安全意識(shí),規(guī)范組織信息安全行為,在信息系統(tǒng)受到侵襲時(shí),仍然可以確保業(yè)務(wù)持續(xù)開(kāi)展并將損失降到最低程度。
三、ISO27001認(rèn)證過(guò)程
信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的,從目前獲得認(rèn)證的企業(yè)情況看,較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。通過(guò)一個(gè)獨(dú)立的第三方的評(píng)審,公司的管理體系或產(chǎn)品可以成功通過(guò)某種標(biāo)準(zhǔn)的認(rèn)證,為公司提供了一個(gè)向客戶(hù)表明其體系或產(chǎn)品符合國(guó)家或國(guó)際標(biāo)準(zhǔn)的系認(rèn)證和產(chǎn)品認(rèn)證,其過(guò)程會(huì)有所不同。首先要得到標(biāo)準(zhǔn)并通讀,可以了解到該標(biāo)準(zhǔn)的要求。從而,得知實(shí)施該標(biāo)準(zhǔn)對(duì)公司來(lái)說(shuō)是不是有意義。之后是充分了解標(biāo)準(zhǔn),通過(guò)各種媒介有相當(dāng)多的已公布的信息可以用來(lái)幫助企業(yè)了解和實(shí)施一個(gè)標(biāo)準(zhǔn)。當(dāng)然,采用一個(gè)特定的管理體系應(yīng)該是公司的一個(gè)戰(zhàn)略性的決定,除了指派一個(gè)專(zhuān)門(mén)的團(tuán)隊(duì)具體負(fù)責(zé)體系的開(kāi)發(fā)與實(shí)施外,資深高層經(jīng)理的參與往往是成功的關(guān)鍵。其次是人員培訓(xùn)。負(fù)責(zé)實(shí)施與維護(hù)管理體系的人員需要了解標(biāo)準(zhǔn)的全部細(xì)節(jié),有一些專(zhuān)門(mén)的培訓(xùn)正好提供了這方面的幫助。
但是在很多時(shí)候,大部分企業(yè)限于自身經(jīng)驗(yàn)、意識(shí)、技能的欠缺,往往在如何合理規(guī)劃和有效實(shí)施方面陷入困境,畢竟信息安全建設(shè)是一項(xiàng)技術(shù)性很強(qiáng)而且尚處于探索階段的全新課題,另一方面,ISO27001所要求建立的信息安全管理體系,較之純粹的信息安全技術(shù)又更顯得“務(wù)虛”和“高端”,是和組織的整體經(jīng)營(yíng)緊密相關(guān)的。面對(duì)這樣全新而復(fù)雜的難題,傳統(tǒng)行業(yè)內(nèi)機(jī)構(gòu)通常都會(huì)自嘆摸不著頭腦,大有“門(mén)外漢的感覺(jué)”。即便是始終走在信息通信領(lǐng)域前沿的高技術(shù)性企業(yè),也不見(jiàn)得在信息安全管理方面有足夠的積累。于是越來(lái)越多的組織選擇求助于專(zhuān)業(yè)的咨詢(xún)機(jī)構(gòu)。獨(dú)立的咨詢(xún)機(jī)構(gòu)可幫助設(shè)計(jì)一個(gè)可行、實(shí)際、成本合理的執(zhí)行計(jì)劃。
ISO27001認(rèn)證咨詢(xún)流程
ISMS模型將整個(gè)信息安全管理體系建設(shè)項(xiàng)目劃分成五個(gè)大的階段,并包含25項(xiàng)關(guān)鍵的活動(dòng),如果每項(xiàng)前后關(guān)聯(lián)的活動(dòng)都能很好地完成,最終就能建立起有效的ISMS,實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖,接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。
ISMS模型將整個(gè)信息安全管理體系建設(shè)項(xiàng)目劃分成五個(gè)大的階段,并包含25項(xiàng)關(guān)鍵的活動(dòng),如果每項(xiàng)前后關(guān)聯(lián)的活動(dòng)都能很好地完成,最終就能建立起有效的ISMS,實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖,接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。
現(xiàn)狀調(diào)研階段:從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對(duì)組織信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研,通過(guò)培訓(xùn)使組織相關(guān)人員全面了解信息安全管理的基本知識(shí)。包括:
項(xiàng)目啟動(dòng):前期溝通,實(shí)施計(jì)劃,項(xiàng)目小組,資源支持,啟動(dòng)會(huì)議。
前期培訓(xùn):信息安全管理基礎(chǔ),風(fēng)險(xiǎn)評(píng)估方法。
現(xiàn)狀評(píng)估:初步了解信息安全現(xiàn)狀,分析與ISO27001標(biāo)準(zhǔn)要求的差距。
業(yè)務(wù)分析:訪談?wù){(diào)查,核心與支持業(yè)務(wù),業(yè)務(wù)對(duì)資源的需求,業(yè)務(wù)影響分析。
風(fēng)險(xiǎn)評(píng)估階段:對(duì)組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析,從而評(píng)估組織信息安全風(fēng)險(xiǎn),選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。
資產(chǎn)識(shí)別:識(shí)別組織的各種信息資產(chǎn)。
風(fēng)險(xiǎn)評(píng)估:重要資產(chǎn)、威脅、弱點(diǎn)、風(fēng)險(xiǎn)識(shí)別與評(píng)估。
管理策劃階段:根據(jù)組織對(duì)信息安全風(fēng)險(xiǎn)的策略,制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等,形成完整的信息安全管理系統(tǒng)。
文件編寫(xiě):編寫(xiě)ISMS各級(jí)管理文件,進(jìn)行Review及修訂,管理層討論確認(rèn)。
發(fā)布實(shí)施:ISMS實(shí)施計(jì)劃,體系文件發(fā)布,控制措施實(shí)施。
中期培訓(xùn):全員安全意識(shí)培訓(xùn),ISMS實(shí)施推廣培訓(xùn),必要的考核。
體系實(shí)施階段:ISMS建立起來(lái)(體系文件正式發(fā)布實(shí)施)之后,要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。
認(rèn)證申請(qǐng):與認(rèn)證機(jī)構(gòu)磋商,準(zhǔn)備材料申請(qǐng)認(rèn)證,制定認(rèn)證計(jì)劃,預(yù)審核。
后期培訓(xùn):審核員等角色的專(zhuān)業(yè)技能培訓(xùn)。
內(nèi)部審核:審核計(jì)劃,Checklist,內(nèi)部審核,不符合項(xiàng)整改。
管理評(píng)審:信息安全管理委員會(huì)組織ISMS整體評(píng)審,糾正預(yù)防。
認(rèn)證審核階段:經(jīng)過(guò)一定時(shí)間運(yùn)行,ISMS達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備,此時(shí),可以提請(qǐng)進(jìn)行認(rèn)證。
認(rèn)證準(zhǔn)備:準(zhǔn)備送審文件,安排部署審核事項(xiàng)。
協(xié)助認(rèn)證:內(nèi)部審核小組陪同協(xié)助,應(yīng)對(duì)審核問(wèn)題。
ISO27001認(rèn)證咨詢(xún)顧問(wèn)服務(wù)內(nèi)容
咨詢(xún)內(nèi)容
1 項(xiàng)目準(zhǔn)備階段
目的:充分體現(xiàn)領(lǐng)導(dǎo)作用和全員參與的原則,確保各個(gè)層面意識(shí)到管理體系的必要性和管理層的決心
內(nèi)容:咨詢(xún)工作關(guān)注貴公司為啟動(dòng)該項(xiàng)目所必需的組織準(zhǔn)備
包括:
1.) 理解管理層意圖,滲透管理思路;
2.) 將實(shí)施ISO27001項(xiàng)目的決定、目的、意義、要求在組織內(nèi)傳達(dá),這也是體現(xiàn)內(nèi)部溝通,提高全體員工意識(shí)的必要手段;
3. ) 組織建設(shè),包括任命管理者代表、成立貫標(biāo)組織機(jī)構(gòu)、各級(jí)質(zhì)量及信息 安全管理人員,明確其職責(zé)。
2 現(xiàn)場(chǎng)診斷
目的:了解現(xiàn)狀,尋找與標(biāo)準(zhǔn)的差距
內(nèi)容:實(shí)施診斷
包括:
根據(jù)貴公司的主要業(yè)務(wù)流程所產(chǎn)生的信息流及其所依賴(lài)的計(jì)算環(huán)境(包括硬件、軟件、數(shù)據(jù)、人力、服務(wù)等)進(jìn)行安全要求的確定;
對(duì)企業(yè)現(xiàn)行業(yè)務(wù)流程進(jìn)行全面的了解,按照標(biāo)準(zhǔn)評(píng)估企業(yè)的質(zhì)量體系;
識(shí)別各業(yè)務(wù)流程所采取的管理流程和管理職責(zé);
對(duì)照標(biāo)準(zhǔn)要求,尋找改進(jìn)的機(jī)會(huì);
根據(jù)ISO27001的風(fēng)險(xiǎn)評(píng)估方法論,國(guó)家標(biāo)準(zhǔn),制定科學(xué)、有效、適用的風(fēng)險(xiǎn)評(píng)估方法。
3 管理層培訓(xùn)
目的:提升各級(jí)領(lǐng)導(dǎo)和全員的質(zhì)量和安全意識(shí),使內(nèi)審員具備相應(yīng)能力
內(nèi)容:培訓(xùn)是落實(shí)要求的重要手段,索信達(dá)十分注重培訓(xùn)
包括:
管理層培訓(xùn)擴(kuò)大到中層領(lǐng)導(dǎo),最后與高層領(lǐng)導(dǎo)在一起培訓(xùn),高層領(lǐng)導(dǎo)的 參與就是一種榜樣的力量,有助于全體員工質(zhì)量及信息安全意識(shí)的提高;
4. 整合體系文件架設(shè)計(jì)
目的:策劃覆蓋各個(gè)業(yè)務(wù)流程的系統(tǒng)的文件化程序,包括作業(yè)指導(dǎo)書(shū)。
內(nèi)容:根據(jù)現(xiàn)場(chǎng)診斷的結(jié)果,梳理所有管理活動(dòng)流程,根據(jù)標(biāo)準(zhǔn)要求形成管理體系文件清單,
包括:
根據(jù)所識(shí)別的業(yè)務(wù)流程,形成管理活動(dòng)流程圖;優(yōu)化或再造業(yè)務(wù)流程,保證管理活動(dòng)的系統(tǒng)和順暢;
根據(jù)流程圖及流程的復(fù)雜程度,策劃符合標(biāo)準(zhǔn)要求和實(shí)際業(yè)務(wù)要求的管理體系文件清單;
形成管理體系文件說(shuō)明,包括文件的目的、管控范圍、職責(zé)、管理活動(dòng)接口、管理流程等;與各業(yè)務(wù)流程負(fù)責(zé)人溝通修訂文件清單
5. 確定質(zhì)量和信息安全方針和目標(biāo)
目的:明確質(zhì)量和信息安全方針和目標(biāo),為管理體系提供導(dǎo)向。
內(nèi)容:根據(jù)業(yè)務(wù)要求及組織實(shí)際情況,制定質(zhì)量和安全方針和目標(biāo),
包括:
與最高管理者進(jìn)行溝通,理解管理意圖和管理要求,設(shè)計(jì)質(zhì)量和安全方針;
根據(jù)方針的要求,制定目標(biāo),并分解到各個(gè)管理活動(dòng)中,形成可測(cè)量的指標(biāo)體系,確保方針和目標(biāo)得以實(shí)現(xiàn);
6. 建立管理組織機(jī)構(gòu)
目的:建立完善的內(nèi)控組織架構(gòu),為整合體系提供支持。
內(nèi)容:良好的組織架構(gòu)是確保各項(xiàng)管理活動(dòng)落實(shí)的根本.
包括:
建立整合體系管理委員會(huì),就重大質(zhì)量管理和信息安全事項(xiàng)進(jìn)行決策;
建立管理協(xié)調(diào)小組,就日常管理活動(dòng)中的質(zhì)量及信息安全事項(xiàng)進(jìn)行溝通改進(jìn);
明確管理活動(dòng)中各流程責(zé)任人的職責(zé),并文件化。
7. 信息安全風(fēng)險(xiǎn)評(píng)估
目的:實(shí)施風(fēng)險(xiǎn)評(píng)估,識(shí)別不可接受風(fēng)險(xiǎn),明確管理目標(biāo);
內(nèi)容:風(fēng)險(xiǎn)評(píng)估是整個(gè)風(fēng)險(xiǎn)管理的基礎(chǔ),本階段將根據(jù)前期策劃的風(fēng)險(xiǎn)評(píng)估方法
包括:
根據(jù)業(yè)務(wù)要求及信息的密級(jí)劃分,對(duì)信息資產(chǎn)的重要程度進(jìn)行判定,識(shí)別對(duì)關(guān)鍵核心業(yè)務(wù)具有關(guān)鍵作用的信息資產(chǎn)清單;對(duì)重要信息資產(chǎn)從內(nèi)部及外部識(shí)別其所面臨的威脅;
根據(jù)威脅,從管理和技術(shù)兩方面識(shí)別重要信息資產(chǎn)所存在的薄弱點(diǎn);
根據(jù)風(fēng)險(xiǎn)評(píng)估的方法指南,對(duì)威脅利用薄弱點(diǎn)對(duì)重要信息資產(chǎn)所產(chǎn)生的風(fēng)險(xiǎn)在保密性、完整性、可用性三方面所造成的影響進(jìn)行評(píng)價(jià);評(píng)價(jià)威脅利用薄弱點(diǎn)引發(fā)安全風(fēng)險(xiǎn)事件的可能性;
根據(jù)風(fēng)險(xiǎn)影響及發(fā)生的可能性評(píng)價(jià)風(fēng)險(xiǎn)等級(jí);
根據(jù)信息安全方針,各核心業(yè)務(wù)流程的安全要求,與管理層進(jìn)行溝通,確定不可接受風(fēng)險(xiǎn)等級(jí)的標(biāo)準(zhǔn);
針對(duì)不可接受的高風(fēng)險(xiǎn),制定風(fēng)險(xiǎn)處理計(jì)劃,從ISO27002及顧問(wèn)的行業(yè)經(jīng)驗(yàn)來(lái)選擇適宜的風(fēng)險(xiǎn)管控措施;實(shí)施所選擇的控制措施,降低、轉(zhuǎn)移或消除安全風(fēng)險(xiǎn);
編寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告。
8. 體系文件編寫(xiě)
目的:建立文件化的管理體系。
內(nèi)容:根據(jù)文件體系策劃的結(jié)果,編寫(xiě)管理體系文件,
包括:
整合體系手冊(cè),明確各管理過(guò)程的順序及相互關(guān)系;
整合體系所要求的程序文件,從體系維護(hù)管理、資產(chǎn)管理、物理環(huán)境安全、人力資源安全、訪問(wèn)控制、通信和運(yùn)作管理、業(yè)務(wù)連續(xù)性管理、信息安全事件管理、符合性等方面對(duì)各類(lèi)管理活動(dòng)及作業(yè)指導(dǎo)進(jìn)行文件化;
制定各類(lèi)安全策略,如:電子郵件策略、互聯(lián)網(wǎng)訪問(wèn)策略,訪問(wèn)控制策略等
9. 管理體系記錄的設(shè)計(jì)
目的:設(shè)計(jì)科學(xué)的管理體系記錄,保證各管理流程的可控性和可追溯性。
內(nèi)容:根據(jù)各個(gè)管理流程和文件對(duì)管理過(guò)程的記錄要求,設(shè)計(jì)記錄表格格式
包括:
搜集原有管理記錄;
優(yōu)化記錄或重新設(shè)計(jì);
溝通記錄的形式和管理記錄填寫(xiě)的必要性,保證管理體系的可控性與記錄保持的數(shù)量之間的平衡。
10. 管理體系文件審核
目的:確保管理體系文件的系統(tǒng)性、有效性和效率。
內(nèi)容:對(duì)管理體系文件進(jìn)行評(píng)審
包括:
對(duì)照風(fēng)險(xiǎn)評(píng)估結(jié)果及SoA的框架,對(duì)照核心業(yè)務(wù)流程,審核程序文件及作業(yè)指導(dǎo)書(shū)的系統(tǒng)性;
針對(duì)每一個(gè)具體的管理流程,審核文件所描述的管理職責(zé)、管理活動(dòng)是否符合實(shí)際情況,流程責(zé)任人是否能夠按照文件要求執(zhí)行管理活動(dòng);
針對(duì)文件所要求的管理活動(dòng),審核其效率是否滿(mǎn)足管理的要求;形成文件審核的結(jié)論,并通過(guò)管理層的審批,對(duì)文件進(jìn)行修訂,形成發(fā)布稿
11. 體系文件發(fā)布實(shí)施
目的:發(fā)布管理體系文件,落實(shí)管理要求。
內(nèi)容:由最高管理者組織發(fā)布管理文件,并提出管理要求
包括:
召開(kāi)文件發(fā)布會(huì),最高管理者提出管理體系運(yùn)行的總要求,使全員意識(shí)到管理體系文件是管理活動(dòng)的行動(dòng)指南和強(qiáng)制要求;
各流程責(zé)任人根據(jù)管理體系文件的要求落實(shí)各項(xiàng)管理活動(dòng),保持管理體系所要求的記錄;認(rèn)證項(xiàng)目組搜集體系運(yùn)行中所發(fā)現(xiàn)的問(wèn)題,包括流程上的、職責(zé)上的、 資源上的、技術(shù)上的等,統(tǒng)一修改、處理、答復(fù)。
12. 組織全員進(jìn)行文件學(xué)習(xí)
目的:確保管理體系文件要求在各個(gè)層級(jí)、各個(gè)崗位均得到有效的溝通和理解。
內(nèi)容:培訓(xùn)是提升質(zhì)量和安全意識(shí),明確質(zhì)量和安全要求的有效途徑,組織全員參與到體系的運(yùn)行維護(hù)中,發(fā)揮每一個(gè)員工的重要作用
包括:
充分考慮管理活動(dòng)的范圍,設(shè)計(jì)分層次、分階段的系統(tǒng)性的培訓(xùn)計(jì)劃;
培訓(xùn)中考慮到管理要求的內(nèi)容,也將考慮到技術(shù)上的要求,不簡(jiǎn)單的對(duì) 體系文件照本宣科;對(duì)培訓(xùn)的效果進(jìn)行評(píng)價(jià),采用考試、實(shí)際操作、討論等多種方式進(jìn)行,確保培訓(xùn)的有效性。
13. 業(yè)務(wù)連續(xù)性管理
目的:確保在任何情況下,核心業(yè)務(wù)均可保持提供連續(xù)提供服務(wù)的能力。
內(nèi)容:根據(jù)標(biāo)準(zhǔn)要求,結(jié)合英國(guó)標(biāo)準(zhǔn)協(xié)會(huì) BSI 最新發(fā)布的 BS25999 業(yè)務(wù)連續(xù)性管理標(biāo)準(zhǔn),對(duì)重大的災(zāi)難性事件發(fā)生時(shí)所引發(fā)的業(yè)務(wù)中斷進(jìn)行應(yīng)急響應(yīng)和災(zāi)難恢復(fù)的設(shè)計(jì)
包括:
從戰(zhàn)略的層面進(jìn)行業(yè)務(wù)連續(xù)、永續(xù)經(jīng)營(yíng)的考慮,明確各核心業(yè)務(wù)流程的最大可容許中斷時(shí)間;
識(shí)別核心業(yè)務(wù)可能遭受到的災(zāi)難性風(fēng)險(xiǎn)事件;
評(píng)估災(zāi)難性事件所引發(fā)的影響;
針對(duì)災(zāi)難性事件,設(shè)計(jì)管控措施,制定詳細(xì)的業(yè)務(wù)連續(xù)性計(jì)劃,包括應(yīng)急響應(yīng)的組織架構(gòu)、人員職責(zé)、響應(yīng)流程、恢復(fù)流程等;
實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃所要求的管理上及技術(shù)上的改進(jìn);
測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃的每一個(gè)步驟,確保其有效性;根據(jù)測(cè)試的結(jié)果進(jìn)一步改進(jìn)業(yè)務(wù)連續(xù)性計(jì)劃,為應(yīng)對(duì)災(zāi)難事件提供信心保證。
14. 內(nèi)部審核
目的:實(shí)施內(nèi)部審核,發(fā)現(xiàn)管理體系運(yùn)行中的不符合,尋找改進(jìn)的機(jī)會(huì)。
內(nèi)容:根據(jù)項(xiàng)目計(jì)劃實(shí)施內(nèi)部審核
包括:
制定內(nèi)部審核計(jì)劃,與受審核人員進(jìn)行溝通;
召開(kāi)內(nèi)部審核首次會(huì)議,明確審核計(jì)劃、審核范圍、審核目的、審核活動(dòng)的安排等事項(xiàng);
帶領(lǐng)內(nèi)審員實(shí)施現(xiàn)場(chǎng)審核活動(dòng):
根據(jù)審核發(fā)現(xiàn)開(kāi)具不符合項(xiàng)報(bào)告,明確審核的對(duì)象、審核發(fā)現(xiàn)、不符合事實(shí)、改進(jìn)要求,并確定整改責(zé)任人,限期改進(jìn):
召開(kāi)內(nèi)部審核末次會(huì)議,報(bào)告所有的審核發(fā)現(xiàn):對(duì)不符合事項(xiàng)進(jìn)行跟蹤驗(yàn)證,確保所有的不符合均被有效關(guān)閉。
15. 管理體系有效性測(cè)量
目的:根據(jù)量化指標(biāo),測(cè)量管理體系的有效性。
內(nèi)容:制定測(cè)量的方法論,根據(jù) ISO27004 指南的內(nèi)容,進(jìn)行管理體系有效性測(cè)量。
包括:
設(shè)計(jì)測(cè)量方法,從各個(gè)管理流程中制定安全關(guān)鍵績(jī)效指標(biāo)KPI;
搜集運(yùn)行過(guò)程中的記錄數(shù)據(jù),利用量化的數(shù)據(jù)分析,體現(xiàn)管理體系所帶來(lái)的改進(jìn);
對(duì)比信息安全管理目標(biāo)和指標(biāo)體系,測(cè)量KPI是否達(dá)成管理目標(biāo)的要求;
對(duì)所發(fā)現(xiàn)的問(wèn)題進(jìn)行溝通,制定糾正預(yù)防措施并落實(shí)責(zé)任人,改進(jìn)管理 體系的有效性。
16. 管理評(píng)審
目的:將體系運(yùn)行過(guò)程中的成效和問(wèn)題向管理層匯報(bào),由最高管理者提出改進(jìn)的要求和資源的支持。
內(nèi)容:根據(jù)管理評(píng)審流程的要求實(shí)施管理評(píng)審,
包括:
制定管理評(píng)審計(jì)劃;
準(zhǔn)備管理評(píng)審輸入材料,包括風(fēng)險(xiǎn)狀況、安全措施落實(shí)情況、各相關(guān)方的反饋、業(yè)務(wù)連續(xù)性管理架構(gòu)、管理體系內(nèi)部審核情況、體系有效性測(cè) 量報(bào)告等;
召開(kāi)管理評(píng)審會(huì)議;根據(jù)最高管理者提出的管理要求,實(shí)施糾正預(yù)防措施或管理改進(jìn)方案;
跟蹤糾正預(yù)防措施及管理改進(jìn)方案的落實(shí)情況。
17. 認(rèn)證機(jī)構(gòu)初訪及正式審核
目的:由第三方權(quán)威機(jī)構(gòu)審核管理體系的有效性。
內(nèi)容:由認(rèn)證機(jī)構(gòu)對(duì)索信達(dá)所提供的咨詢(xún)服務(wù)進(jìn)行進(jìn)一步的審核驗(yàn)證,發(fā)現(xiàn)改進(jìn)機(jī)會(huì)
包括:
與審核機(jī)構(gòu)溝通審核的時(shí)間計(jì)劃安排;實(shí)施審核活動(dòng),并提交審核報(bào)告;
根據(jù)審核報(bào)告,制定必要的糾正預(yù)防措施,并將改進(jìn)的證據(jù)提交審核機(jī)構(gòu);
獲得質(zhì)量管理體系和信息安全管理體系認(rèn)證證書(shū)。
對(duì)于ISO27001和ISO13335區(qū)別
ISO(國(guó)際標(biāo)準(zhǔn)化組織)和IEC(國(guó)際電工委員會(huì))一起形成了全世界標(biāo)準(zhǔn)化的專(zhuān)門(mén)體系。作為ISO或IEC成員的國(guó)家機(jī)構(gòu),通過(guò)相應(yīng)組織所建立的涉及技術(shù)活動(dòng)特定領(lǐng)域的委員會(huì)參國(guó)際標(biāo)準(zhǔn)所制定。而對(duì)于ISO27001和ISO13335就是這個(gè)組織所指定的標(biāo)準(zhǔn)。
經(jīng)過(guò)幾天的理解,我發(fā)現(xiàn)ISO 27001主要是為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系(ISMS)提供了模型。對(duì)于ISMS來(lái)說(shuō),ISMS是采用組織的戰(zhàn)略性決策,ISMS的設(shè)計(jì)和實(shí)施是受組織的需求、目標(biāo)、安全需求、應(yīng)用的過(guò)程以及組織規(guī)模和結(jié)構(gòu)的影響。所以,ISO27001說(shuō)的是,如何做,怎么做,怎么實(shí)施,從內(nèi)容上來(lái)說(shuō)就有些晦澀難懂,畢竟對(duì)于我這個(gè)剛工作不久的同志理解起來(lái)還是比較困難的。所幸,還有ISO 13335,相比較于ISO27001來(lái)說(shuō),ISO13335就顯得不那么專(zhuān)一性了,就如同是網(wǎng)絡(luò)安全方面一本小百科全書(shū),無(wú)論是對(duì)于IT安全的概念和模型,還是對(duì)于IT安全管理與策劃,安全管理技術(shù)和防護(hù)措施的選擇等等,都寫(xiě)的十分詳細(xì)和清楚。ISO13335在以下幾個(gè)方面是表現(xiàn)的比較突出的:
第一, 對(duì)安全的概念和模型的描述非常獨(dú)特,具有很大的借鑒意義。在全面考慮安全問(wèn)題、進(jìn)行安全教育、普及安全理念的時(shí)候,完全可以將其中的多種概念和模型結(jié)合起來(lái)。
第二, 對(duì)安全管理的過(guò)程描述得非常細(xì)致,而且完全可以操作。一個(gè)企業(yè)的信息安全主管機(jī)構(gòu)安全可以參照這個(gè)完整的過(guò)程規(guī)劃自己的管理計(jì)劃和實(shí)施步驟。
第三, 對(duì)安全管理過(guò)程中最關(guān)鍵的環(huán)節(jié)——風(fēng)險(xiǎn)分析和管理有非常細(xì)致的描述。包括基線方法、非正式方法、詳細(xì)分析方法和綜合分析方法等風(fēng)險(xiǎn)管理策略的闡述,以及對(duì)風(fēng)險(xiǎn)分析過(guò)程細(xì)節(jié)的描述都很有參考價(jià)值。
第四, 在標(biāo)準(zhǔn)的第4部分,有比較完整的針對(duì)6種安全需求的防護(hù)措施的介紹。將世界構(gòu)件一個(gè)信息安全管理框架和防護(hù)體系的工作變成了一個(gè)搭積木的過(guò)程。
所以,就目前對(duì)于我的工作來(lái)說(shuō),ISO27001是一種方法,一種如何構(gòu)建我們安全網(wǎng)絡(luò)的方法,是一種先提出我們目前的網(wǎng)絡(luò)環(huán)境和所需要的安全要求,針對(duì)性的提出一種方案。這種方案,從計(jì)劃開(kāi)始,首先是建立ISMS,然后是實(shí)施和運(yùn)行ISMS,接著是監(jiān)視和評(píng)審ISMS,最后再進(jìn)行保持和改進(jìn)ISMS。是一個(gè)循環(huán)的過(guò)程,歷經(jīng)計(jì)劃——實(shí)施——檢查——改進(jìn),在過(guò)程中,不斷的用信息安全要求和期望以及被管理的信息安全來(lái)考核、改進(jìn),最終形成一個(gè)成熟的決策。而在這個(gè)過(guò)程中,自然也包括有風(fēng)險(xiǎn)評(píng)估、文件管理、完整性、記錄控制、管理職責(zé)等一系列的方法和措施。對(duì)于ISO13335來(lái)說(shuō),各種方法和措施,就顯的詳細(xì)了很多,從五大類(lèi),三十多個(gè)小類(lèi)方面詳細(xì)的描寫(xiě)了各種安全的概覽和模型。對(duì)于我目前的工作來(lái)說(shuō),最重要的無(wú)疑是第四大類(lèi)。對(duì)于第四大類(lèi),主要是關(guān)于防護(hù)措施的選擇方面。在這部分中,先是眾所周知的各種范圍和標(biāo)準(zhǔn)、定義。然后就是從基本評(píng)估開(kāi)始,先是識(shí)別IT系統(tǒng)的類(lèi)型,然后就是識(shí)別物理、環(huán)境條件,最后評(píng)估已存在和計(jì)劃的防護(hù)措施,然后工作就開(kāi)始了!開(kāi)始是組織和物理方面的防護(hù)措施,有:安全符合性檢查,事故處置,人員管理,操作問(wèn)題,業(yè)務(wù)中斷計(jì)劃,物理安全。然后是IT系統(tǒng)特有的防護(hù)措施,包括:識(shí)別和鑒權(quán),邏輯訪問(wèn)控制和審計(jì),防范惡意代碼,網(wǎng)絡(luò)管理和加密。然后就是基于這兩種類(lèi)型的系統(tǒng)來(lái)選擇防護(hù)措施。接著就是評(píng)估工作,從保密性防護(hù)措施(竊聽(tīng)、電磁干擾、惡意代碼、偽裝用戶(hù)身份、消息的錯(cuò)誤路由、軟件失效、盜竊、對(duì)計(jì)算機(jī)和各種服務(wù)的未授權(quán)訪問(wèn)、對(duì)存儲(chǔ)介質(zhì)的未授權(quán)訪問(wèn)),到完整性防護(hù)措施(存儲(chǔ)介質(zhì)的老化、維護(hù)錯(cuò)誤、惡意代碼、偽裝用戶(hù)身份、消息的錯(cuò)誤路由、抗抵賴(lài)性、軟件失效、電力和空調(diào)供應(yīng)中斷、技術(shù)性失、傳輸錯(cuò)誤、對(duì)計(jì)算機(jī)和服務(wù)的未授權(quán)訪問(wèn)、使用未經(jīng)授權(quán)的程序和數(shù)據(jù)、對(duì)存儲(chǔ)介質(zhì)的未授權(quán)訪問(wèn)、用戶(hù)錯(cuò)誤),再到可用性的防護(hù)措施(破壞性攻擊、存儲(chǔ)介質(zhì)的老化、通訊設(shè)備和服務(wù)中斷、水災(zāi)火災(zāi)、維護(hù)錯(cuò)誤、惡意代碼、偽裝用戶(hù)身份、消息的錯(cuò)誤路由、資源濫用、自然災(zāi)害、軟件失效、電力和空調(diào)供應(yīng)中斷、技術(shù)性失效、盜竊、流量過(guò)載、傳輸錯(cuò)誤、對(duì)計(jì)算機(jī)和服務(wù)的未授權(quán)訪問(wèn)、使用未經(jīng)授權(quán)的程序和數(shù)據(jù)、對(duì)存儲(chǔ)介質(zhì)的未授權(quán)訪問(wèn)、用戶(hù)錯(cuò)誤),最后進(jìn)行可審計(jì)性,鑒權(quán)和可靠性防護(hù)措施的總評(píng)估,來(lái)得到最后結(jié)論。所以對(duì)于我們的工作來(lái)說(shuō),這方面的工作無(wú)疑是重中之重。
與ISO27001相關(guān)的幾個(gè)重要的信息安全標(biāo)準(zhǔn)
幾個(gè)重要的信息安全標(biāo)準(zhǔn)
主要內(nèi)容如下:
BS7799系列(ISO/IEC 27000系列)
ISO/IEC TR 13335系列
SSE-CMM
ITIL和BS15000
CC
CoBIT
NIST SP800系列
1、ISO/IEC TR 13335
ISO/IEC TR 13335,早前被稱(chēng)作“IT 安全管理指南”(Guidelines for the Management of IT Security,GMITS),新版稱(chēng)作“信息和通信技術(shù)安全管理”(Management of Information and Communications Technology Security,MICTS),是ISO/IEC JTC1 制定的技術(shù)報(bào)告,是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn),其目的是為有效實(shí)施IT安全管理提供建議和支持。
ISO/IEC TR 13335系列標(biāo)準(zhǔn)(舊版)- GMITS,由5部分標(biāo)準(zhǔn)組成:
ISO/IEC13335-1:1996《IT安全的概念與模型》
ISO/IEC13335-2:1997《IT安全管理與策劃》
ISO/IEC13335-3:1998《IT安全管理技術(shù)》
ISO/IEC13335-4:2000《防護(hù)措施的選擇》
ISO/IEC13335-5:2001《網(wǎng)絡(luò)安全管理指南》
目前,ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004(MICTS 第1部分:信息和通信技術(shù)安全管理的概念和模型)所取代,ISO/IEC 13335-2:1997也將被正在開(kāi)發(fā)的ISO/IEC 13335-2(MICTS 第2 部分:信息安全風(fēng)險(xiǎn)管理)取代。
ISO/IEC TR 13335 只是一個(gè)技術(shù)報(bào)告和指導(dǎo)性文件,并不是可依據(jù)的認(rèn)證標(biāo)準(zhǔn),信息安全體系建設(shè)參考BS 7799,具體實(shí)踐參考ISO TR 13335。
2、SSE-CMM
SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個(gè)具體領(lǐng)域應(yīng)用而產(chǎn)生的一個(gè)分支,是美國(guó)國(guó)家安全局(NSA)領(lǐng)導(dǎo)開(kāi)發(fā)的,是專(zhuān)門(mén)用于系統(tǒng)安全工程的能力成熟度模型。
SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相應(yīng)評(píng)估方法2.0版發(fā)布。
系統(tǒng)安全工程過(guò)程一共有三個(gè)相關(guān)組織過(guò)程:
工程過(guò)程
風(fēng)險(xiǎn)過(guò)程
保證過(guò)程
共分5個(gè)能力級(jí)別,11個(gè)過(guò)程區(qū)域:
基本執(zhí)行級(jí)
計(jì)劃跟蹤級(jí)
充分定義級(jí)
量化控制級(jí)
持續(xù)改進(jìn)級(jí)
2002年被國(guó)際標(biāo)準(zhǔn)化組織采納成為國(guó)際標(biāo)準(zhǔn)即ISO/IEC 21827:2002《信息技術(shù)系統(tǒng)安全工程-成熟度模型》。
SSE-CMM 和BS 7799 都提出了一系列最佳慣例,但BS 7799 是一個(gè)認(rèn)證標(biāo)準(zhǔn)(第二部分),提出了一個(gè)可供認(rèn)證的ISMS 體系,組織應(yīng)該將其作為目標(biāo),通過(guò)選擇適當(dāng)?shù)目刂拼胧ǖ谝徊糠郑┤?shí)現(xiàn)。而SSE-CMM 則是一個(gè)評(píng)估標(biāo)準(zhǔn), 適合作為評(píng)估工程實(shí)施組織能力與資質(zhì)的標(biāo)準(zhǔn)
3、通用標(biāo)準(zhǔn)(CC)
我們通常所稱(chēng)的通用標(biāo)準(zhǔn)或通用準(zhǔn)則(Common Criteria,簡(jiǎn)稱(chēng)CC)是指ISO/IEC15408:1999標(biāo)準(zhǔn)。目前CC標(biāo)準(zhǔn)的最新版本是2.2;CC2.1版在1999年成為國(guó)際標(biāo)準(zhǔn)ISO/IEC15408:1999;我國(guó)在2001年等同采用為國(guó)家標(biāo)準(zhǔn)GB/T 18336-2001。
CC標(biāo)準(zhǔn)由三個(gè)部分組成:
GB/T 18336.1-2001 idt ISO/IEC15408-1:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分:簡(jiǎn)介和一般模型
GB/T 18336.2-2001 idt ISO/IEC15408-2:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分:安全功能要求
GB/T 18336.3-2001 idt ISO/IEC15408-3:1999 信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分:安全保證要求
與BS7799 標(biāo)準(zhǔn)相比,CC 的側(cè)重點(diǎn)放在系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)評(píng)價(jià)上,BS7799 在闡述信息安全管理要求時(shí),并沒(méi)有強(qiáng)調(diào)技術(shù)細(xì)節(jié)。因此,組織在依照BS7799 標(biāo)準(zhǔn)來(lái)實(shí)施ISMS 時(shí),一些牽涉系統(tǒng)和產(chǎn)品安全的技術(shù)要求,可以借鑒CC 標(biāo)準(zhǔn)。
4、ITIL和BS15000
ITIL的全稱(chēng)是信息技術(shù)基礎(chǔ)設(shè)施庫(kù)(Information Technology Infrastructure Library)。ITIL針對(duì)一些重要的IT實(shí)踐,詳細(xì)描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。
IT服務(wù)管理中最主要的內(nèi)容就是服務(wù)交付(Service Delivery)和服務(wù)支持(Service Support)
服務(wù)交付(Service Delivery):
Service Level Management
Financial Management for IT Service
Capacity Management
IT Service Continuity Management
Availability Management
服務(wù)支持(Service Support):
Service Desk
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
有關(guān)ITIL,我之前也有一篇文章進(jìn)行過(guò)簡(jiǎn)單介紹。
2001年,英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)在國(guó)際IT 服務(wù)管理論壇(itSMF)上正式發(fā)布了以ITIL為核心的英國(guó)國(guó)家標(biāo)準(zhǔn)BS15000。這成為IT 服務(wù)管理領(lǐng)域具有歷史意義的重大事件。
BS15000 有兩個(gè)部分,目前都已經(jīng)轉(zhuǎn)化成國(guó)際標(biāo)準(zhǔn)了。
ISO/IEC 20000-1:2005 信息技術(shù)服務(wù)管理-服務(wù)管理規(guī)范(Information technology service management. Specification for Service Management)
ISO/IEC 20000-2:2005 信息技術(shù)服務(wù)管理- 服務(wù)管理最佳實(shí)踐( Information technology service management. Code of Practice for Service Management)
與BS7799 相比,ITIL 關(guān)注面更為廣泛(信息技術(shù)),而且更側(cè)重于具體的實(shí)施流程。ISMS實(shí)施者可以將BS7799 作為ITIL 在信息安全方面的補(bǔ)充,同時(shí)引入ITIL 流程的方法,以此加強(qiáng)信息安全管理的實(shí)施能力。
5、CoBIT
CoBIT的全稱(chēng)是信息和相關(guān)技術(shù)的控制目標(biāo)(Control Objectives for Information and related Technology),是ITGI提出的IT治理模型(IT Governance),是一個(gè)IT控制和IT治理的框架(Framework)。CobiT是一個(gè)在更高的層面上指導(dǎo)管理層進(jìn)行技術(shù)標(biāo)準(zhǔn)和信息系統(tǒng)管理的IT治理模型。
CoBIT的八個(gè)控制過(guò)程:
計(jì)劃和組織(Planning & Organisation)
采購(gòu)和實(shí)施(Acquisition & Implementation)
交付和支持(Delivery & Support)
監(jiān)視和評(píng)估(Monitoring & Evaluation)
CoBIT的七個(gè)控制目標(biāo):
機(jī)密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
有效性(Effectiveness)
高效性(Efficiency)
可靠性(Reliability)
符合性(Compliance)
目前基本上存在著兩類(lèi)控制模型,一類(lèi)是類(lèi)似COSO這樣的商業(yè)控制模式(business control model),另一類(lèi)則是像BS7799這樣的更關(guān)注IT的控制模型(more focused on IT control model),而CoBIT的目標(biāo)是在兩者之間架起一座橋梁。
6、NIST SP800系列
美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)(National Institute of Standards and Technology,NIST)發(fā)布的Special Publication 800 文檔是一系列針對(duì)信息安全技術(shù)和管理領(lǐng)域的實(shí)踐參考指南,其中有多篇是有關(guān)信息安全管理的,包括:
SP 800-12:計(jì)算機(jī)安全介紹(An Introduction to Computer Security: The NIST Handbook)
SP 800-30 : IT 系統(tǒng)風(fēng)險(xiǎn)管理指南(Risk Management Guide for Information Technology Systems)
SP 800-34:IT 系統(tǒng)應(yīng)急計(jì)劃指南(Contingency Planning Guide for Information Technology Systems)
SP 800-26 : IT 系統(tǒng)安全自我評(píng)估指南( Security Self-Assessment Guide for Information Technology Systems)
這些文件可以作為實(shí)施ISMS 過(guò)程中一些關(guān)鍵任務(wù)的指導(dǎo)和參照(例如風(fēng)險(xiǎn)評(píng)估、應(yīng)急計(jì)劃等),是對(duì)BS7799 標(biāo)準(zhǔn)很好的補(bǔ)充和細(xì)化。
7、BS7799系列(ISO/IEC 27000系列)
BS7799 Part 1:
BSBS7799 Part 1的全稱(chēng)是Code of Practice for Information Security,也即為信息安全的實(shí)施細(xì)則。2000年被采納為ISO/IEC 17799,目前其最新版本為2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通過(guò)層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全等11個(gè)安全管理要素,還有39個(gè)主要執(zhí)行目標(biāo)和133個(gè)具體控制措施(最佳實(shí)踐),供負(fù)責(zé)信息安全系統(tǒng)應(yīng)用和開(kāi)發(fā)的人員作為參考使用,以規(guī)范化組織機(jī)構(gòu)信息安全管理建設(shè)的內(nèi)容。
ISO/IEC 17799:2005的內(nèi)容如下圖:(見(jiàn)附件)
BS7799 Part 2:
BS7799 Part 2的全稱(chēng)是Information Security Management Specification,也即為信息安全管理體系規(guī)范,其最新修訂版在05年10月正式成為ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規(guī)范,其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求,可用來(lái)指導(dǎo)相關(guān)人員去應(yīng)用ISO/IEC 17799,其最終目的,在于建立適合企業(yè)需要的信息安全管理體系(ISMS)。
目前,在信息安全管理體系方面,ISO/IEC 27001:2013――信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。標(biāo)準(zhǔn)適用于各種性質(zhì)、各種規(guī)模的組織,如政府、銀行、電訊、研究機(jī)構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等。
2008年6月,ISO27001同等轉(zhuǎn)換成國(guó)內(nèi)標(biāo)準(zhǔn)GB/T22080-2008,并在2008年11月1日正式實(shí)施。
經(jīng)過(guò)多年的發(fā)展,信息安全管理體系國(guó)際標(biāo)準(zhǔn)已經(jīng)出版了一系列的標(biāo)準(zhǔn),其中ISO/IEC27001是可用于認(rèn)證的標(biāo)準(zhǔn),其他標(biāo)準(zhǔn)可為實(shí)施信息安全管理的組織提供實(shí)施的指南。
2013年10月,為適應(yīng)信息安全管理的發(fā)展趨勢(shì),ISO組織發(fā)布了ISO/IEC 27001:2013-信息安全管理體系標(biāo)準(zhǔn),新版標(biāo)準(zhǔn)相對(duì)舊版標(biāo)準(zhǔn)作了較大修訂,為組織加強(qiáng)信息安全管理提供的指導(dǎo)。
ISO27001認(rèn)證咨詢(xún)(ISMS管理體系建設(shè))
依據(jù)ISO27001標(biāo)準(zhǔn),將信息安全管理方法、理念、意識(shí)、技術(shù)和解決方案通過(guò)項(xiàng)目傳遞給客戶(hù),幫助客戶(hù)解決信息安全問(wèn)題。從管理、技術(shù)、人員、過(guò)程的角度來(lái)定義、建立、實(shí)施信息安全管理體系從多個(gè)層面保障組織的信息安全。根據(jù)評(píng)估結(jié)果,為企業(yè)制定具體安全方案、管理制度、工作流程和操作指引,避免企業(yè)各部門(mén)在信息安全建設(shè)中容易產(chǎn)生的盲目性、重復(fù)性建設(shè)問(wèn)題,幫助企業(yè)建立符合國(guó)際規(guī)范的有效的信息安全體系,幫助企業(yè)通過(guò)認(rèn)證。
ISO27001信息安全管理相關(guān)文章 IT治理標(biāo)準(zhǔn)、對(duì)比和思索
一、 IT治理內(nèi)涵和標(biāo)準(zhǔn)的發(fā)展
IT治理的概念,從安全管理、到IT審計(jì)延展而來(lái),是從安全管理的概念上延伸而來(lái)的,有人把ISO17799(BS7799)作為第一個(gè)IT治理的工具;中間牽涉到IT服務(wù)的管理(ITIL)其實(shí)時(shí)間上出現(xiàn)得比COBIT要晚,概念上更接近安全管理一些;IT審計(jì)的概念是由COBIT主導(dǎo),從那時(shí)候開(kāi)始,人們已經(jīng)開(kāi)始思考治理的問(wèn)題了。
1. 治理,從7799到COBIT
原先的BS7799標(biāo)準(zhǔn)(后來(lái)的ISO17799、再后來(lái)發(fā)展到ISO27000系列標(biāo)準(zhǔn),其核心的內(nèi)容為11個(gè)大類(lèi)安全的最佳實(shí)踐、133個(gè)安全控制措施;ITIL標(biāo)準(zhǔn)(信息系統(tǒng)基礎(chǔ)設(shè)施庫(kù))目前發(fā)展到ISO20000,是針對(duì)IT服務(wù)而制定的標(biāo)準(zhǔn),其核心內(nèi)容是IT服務(wù)中的問(wèn)題管理、事故管理、配置管理和連續(xù)性服務(wù),ITIL過(guò)程中加入了服務(wù)臺(tái)管理的內(nèi)容,ISO20000沒(méi)有服務(wù)臺(tái)管理而加入了持續(xù)改進(jìn)的內(nèi)容;COBIT是IT審計(jì)管理,目前已經(jīng)發(fā)展到COBIT3.0,其核心內(nèi)容為控制目標(biāo)與指標(biāo),采用規(guī)劃與組織、輸入與采集、運(yùn)營(yíng)與服務(wù)、監(jiān)控四個(gè)大類(lèi),34個(gè)內(nèi)部控制流程,工具上推薦使用平衡積分卡。從COBIT之后,人們提出不同的IT治理工具,很多人還綜合了不少其它的標(biāo)準(zhǔn),其目的是希望一個(gè)更加全面、宏觀,適合管理角度的標(biāo)準(zhǔn)來(lái)控制和管理整個(gè)IT的過(guò)程,其中,CMM、ISO9000等更加基礎(chǔ)的概念也被引入,直到第一個(gè)國(guó)際治理的標(biāo)準(zhǔn)ISO38500出現(xiàn),這種探索仍然在繼續(xù)。
圖1 IT治理概念發(fā)展圖
2. 治理道路,從單向到全過(guò)程
從安全管理出發(fā),IT治理的概念和道路由單項(xiàng)也走向全過(guò)程。BS7799(ISO17799)階段,主要的關(guān)注內(nèi)容為安全管理;到了ITIL關(guān)注的是動(dòng)態(tài)服務(wù)的安全,內(nèi)容轉(zhuǎn)向服務(wù)管理;COBIT的角度是內(nèi)部控制,與BS7799和ITIL一并關(guān)系到的是效率管理ISO38500內(nèi)容核心轉(zhuǎn)向業(yè)務(wù)目標(biāo)的管理,關(guān)心的是效能問(wèn)題;另外像TIVOLI、上海IT治理試點(diǎn)等行業(yè)和企業(yè)標(biāo)準(zhǔn),更加融合行業(yè)應(yīng)用,以行業(yè)、地域和應(yīng)用為特色。CIO視野的安全與治理,更加關(guān)注角色的治理,可以說(shuō)應(yīng)該融合以上標(biāo)準(zhǔn)和其它項(xiàng)目管理和質(zhì)量管理的有益的知識(shí),從CIO的視角上來(lái)關(guān)心和關(guān)注IT項(xiàng)目和組織的管理和控制,更加走向全面和全過(guò)程。
圖2IT治理的內(nèi)涵發(fā)展圖
二、 ISO38500介紹
1. 目的
確保利益相關(guān)者對(duì)于組織IT治理的信心;
指導(dǎo)管理者治理組織的IT使用;
為IT治理的目標(biāo)評(píng)估提供了基礎(chǔ);
2. 應(yīng)用范圍
“ISO/IEC 38500:2008可以用于任何規(guī)模的組織,包括公/私有性質(zhì)的公司,政府機(jī)構(gòu)以及非營(yíng)利組織。這一標(biāo)準(zhǔn)提供了一個(gè)IT治理的框架,以協(xié)助組織高層管理者理解并履行他們對(duì)于其組織IT使用的既定職責(zé),實(shí)現(xiàn)IT治理的有效性、可用性及效率。”
3. 來(lái)源:
“ISO(國(guó)際標(biāo)準(zhǔn)化組織)和I(yíng)EC(國(guó)際電工委員會(huì))是世界范圍的標(biāo)準(zhǔn)化組織。各國(guó)的相關(guān)標(biāo)準(zhǔn)化組織都是其成員,并通過(guò)各種技術(shù)委員會(huì)參與相關(guān)標(biāo)準(zhǔn)的制定。其他國(guó)際組織,政府機(jī)構(gòu)及非政府機(jī)構(gòu)也協(xié)同工作。國(guó)際標(biāo)準(zhǔn)的草案,須能得到所有會(huì)員75%以上的贊成票,該標(biāo)準(zhǔn)才可被公布為國(guó)際標(biāo)準(zhǔn)。在信息技術(shù)領(lǐng)域,I(yíng)SO和IEC成立了一個(gè)聯(lián)合技術(shù)委員會(huì)ISO/IEC JTC 1。該委員會(huì)以澳大利亞標(biāo)準(zhǔn)AS8015為藍(lán)本,并結(jié)合 AS 8000:2003 – 良好的治理原則和AS 3806:2006 – 合 規(guī)性程序,制定了IT治理的國(guó)際標(biāo)準(zhǔn)ISO/IEC 38500:2008。”
“ISO/IEC 29382,信息和通訊技術(shù)治理標(biāo)準(zhǔn),作為現(xiàn)有澳大利亞標(biāo)準(zhǔn)AS8015的快速跟隨者,于2007年首次發(fā)布。2008年4月該標(biāo)準(zhǔn)官方正式更名為ISO/IEC 38500, 原ISO/IEC 29382放棄使用。”
4. 模型
圖三 ISO38500概念模型圖
1) 三個(gè)關(guān)鍵點(diǎn):
關(guān)于IT,管理者有三項(xiàng)主要活動(dòng),即:指導(dǎo)、評(píng)價(jià)與監(jiān)控。有效地IT治理應(yīng)當(dāng)是可實(shí)施的、具有一致性的。DEM模型聚焦于更廣泛層次上的IT治理,它略微不同于管理者典型使用的PDCA模型。在這一模型中,管理者依據(jù)業(yè)務(wù)壓力與業(yè)務(wù)需求來(lái)監(jiān)控(Monitor)并評(píng)價(jià)(Evaluate)組織的IT使用,而后指導(dǎo)(Direct)實(shí)施政策方針以彌補(bǔ)差距。
2) 6項(xiàng)原則:
A. 準(zhǔn)則一:職責(zé)分工
對(duì)分配職責(zé)進(jìn)行評(píng)價(jià)
確保能夠勝任所分配的職責(zé)
監(jiān)控所分配職責(zé)的實(shí)施
為IT分配職責(zé)的方式取決于組織所使用的業(yè)務(wù)模式和組織架構(gòu)。例如:有些設(shè)備需要內(nèi)部管理;建議來(lái)自于外部的咨詢(xún)顧問(wèn);還有一些IT來(lái)源于廠商與專(zhuān)業(yè)服務(wù)提供商。
B.準(zhǔn)則二:IT支持組織發(fā)展
考慮機(jī)遇使IT更好的服務(wù)于業(yè)務(wù)發(fā)展
分配其當(dāng)下的活動(dòng)
指導(dǎo)計(jì)劃的實(shí)施與發(fā)展以彌補(bǔ)差距
C.準(zhǔn)則三:可獲得性
這一準(zhǔn)則覆蓋了風(fēng)險(xiǎn)與價(jià)值的規(guī)劃分配和近期的IT投資。
管理者需要履行政策與程序來(lái)確保投資的安全性。
投資案例中的資源分配必須確保以及時(shí)的形式重新分配。
D.準(zhǔn)則四:可用性
IT實(shí)施包括信息整合、系統(tǒng)能力。
拓展了退出與處理,以確保組織的環(huán)境和數(shù)據(jù)管理職責(zé)得以履行。
E. 準(zhǔn)則五:符合性
技術(shù)使用(包括:電子郵件與搜索引擎)
職責(zé)履行(記錄保持、財(cái)務(wù)報(bào)表、關(guān)于組織與業(yè)務(wù)持續(xù)性隱私信息的保護(hù))
F.準(zhǔn)則六:尊重人性因素
用戶(hù)界面的可用性與友好性
人們受到IT所帶來(lái)的業(yè)務(wù)流程改變的影響的需求
由于IT會(huì)直接而迅速的影響組織的實(shí)施,管理者應(yīng)當(dāng)像管理其財(cái)務(wù)與人力資源那樣,指揮、評(píng)價(jià)與監(jiān)控其組織的IT應(yīng)用。
三、 IT治理和COBIT
表1 ISO38500與COBIT對(duì)比
ISO38500是第一個(gè)IT治理國(guó)際標(biāo)準(zhǔn),先出的部分給出了一個(gè)框架,并沒(méi)有給出評(píng)估的過(guò)程;這個(gè)標(biāo)準(zhǔn)簡(jiǎn)短的、易讀,但相關(guān)概念十分復(fù)雜;IT治理提供了一個(gè)有效的、易實(shí)施的、高效的框架,更好的將組織決策與IT聯(lián)系起來(lái);該標(biāo)準(zhǔn)中建議與指南適用于任何形式規(guī)模組織;該標(biāo)準(zhǔn)中的建議與指南建議和著眼點(diǎn)不僅供管理者使用,還可面向其下屬職員,組織中各個(gè)層面人都能讀懂;該標(biāo)準(zhǔn)為所有關(guān)鍵員工提供了合適的IT治理基本指南;該標(biāo)準(zhǔn)介紹了好的治理所需要的一些特征及治理流程,但是離真正的實(shí)施還有距離,需要其他標(biāo)準(zhǔn)的補(bǔ)充。
四、 CIO視野下的治理思考
1. CIO視野下的安全治理與IT治理的需求
ISO38500出現(xiàn)以前,人們已經(jīng)開(kāi)始有很多IT治理的實(shí)踐和思索了,每個(gè)人和每個(gè)組織的定義都很不同,也沒(méi)有業(yè)內(nèi)一致的看法,ISO39500的出現(xiàn),給出了一個(gè)很好的IT治理模型參考,然而這種參考模型也只是一個(gè)框架,更多的適合組織的宏觀管理,再加上沒(méi)有還沒(méi)有評(píng)估和認(rèn)證機(jī)構(gòu),其也是一種很重要的嘗試。然而,針對(duì)一個(gè)CIO來(lái)講,它面對(duì)的很多所謂“治理”是一個(gè)集合的概念,包含了大量的內(nèi)涵,因此,ISO38500不能也不可能代替以往的標(biāo)準(zhǔn)和控制,CIO針對(duì)行業(yè)需要融合其它標(biāo)準(zhǔn)和實(shí)踐。
作為一個(gè)CIO來(lái)講,非常希望將安全管理的內(nèi)容、審計(jì)的內(nèi)容、IT治理的內(nèi)容融合起來(lái),而ISO38500與我們理解的CIO角色的IT治理方面項(xiàng)目并不重合,欠缺我們關(guān)注的基于項(xiàng)目視角的管理內(nèi)容。
企業(yè)的CIO是一個(gè)綜合的角色,不可能像專(zhuān)業(yè)的學(xué)術(shù)機(jī)構(gòu)那樣把每個(gè)標(biāo)準(zhǔn)的準(zhǔn)確概念的細(xì)節(jié)掌握得像學(xué)者和軟件開(kāi)發(fā)人員那樣清晰,需要一個(gè)融合的綜合的概念,總結(jié)起來(lái),CIO視角的治理需要的11個(gè)融合治理準(zhǔn)則和四個(gè)主要內(nèi)容:那就是安全管理、績(jī)效管理、項(xiàng)目周期管理和能力管理的四個(gè)主要內(nèi)容,以及目標(biāo)管理、生命周期、裁減優(yōu)化、效能評(píng)價(jià)、效率控制、內(nèi)部控制、能力成熟、價(jià)值貢獻(xiàn)、過(guò)程改進(jìn)、最佳實(shí)踐、控制措施,這些概念或有交叉,然而出于標(biāo)準(zhǔn)來(lái)源的模塊完整性和概念的餓延續(xù)性考慮,還是不合并或者拆分這些概念為好。
圖4 CIO視野下的治理準(zhǔn)則和內(nèi)容
2. CIO視野下的安全與治理的建議:
項(xiàng)目視角。管理項(xiàng)目有兩個(gè)視角項(xiàng)目成功和能力成熟,前者著眼于項(xiàng)目,后著著眼于組織和人員。CIO的成長(zhǎng)其實(shí)是項(xiàng)目和組織相輔相成在發(fā)展,我們假設(shè)組織選擇CIO是最合適的選擇,那么,項(xiàng)目視角就非常重要,CIO只有通過(guò)項(xiàng)目的不斷鍛煉,自身的能力和組織的成熟度才會(huì)不斷提高,“大項(xiàng)目培養(yǎng)人”,往往經(jīng)過(guò)一個(gè)真正項(xiàng)目的洗禮,CIO本人和其團(tuán)隊(duì),成熟能力也會(huì)得到很大提高。
生命周期控制。在項(xiàng)目進(jìn)展的過(guò)程,最開(kāi)始的概念和最容易接受和實(shí)施的概念就是項(xiàng)目生命周期控制,這里面,就不免要用到ISO9000的一些原則和PDCA的基本概念,只有掌握了項(xiàng)目生命周期中的關(guān)鍵要素,配合持續(xù)改進(jìn)的觀念,項(xiàng)目才能夠獲得基本的保障。
效率和效能管理。傳統(tǒng)的目標(biāo)管理比較重視效能管理,其實(shí)效率管理和效能管理同樣重要,就像目標(biāo)管理和過(guò)程管理在IT管理中一樣重要。
CIO職能應(yīng)用和行業(yè)只能應(yīng)用。CIO不但要面對(duì)技術(shù)上的創(chuàng)新和管理、外包的管理,更重要的是要圍繞組織的目標(biāo)和IT的戰(zhàn)略,因此,在進(jìn)行IT治理的時(shí)候,非常注重應(yīng)用,對(duì)關(guān)鍵點(diǎn)的敏感性要求高而對(duì)概念的餓嚴(yán)謹(jǐn)性以及細(xì)節(jié)的要求并不是很高。
融合標(biāo)準(zhǔn)在行業(yè)中的應(yīng)用。CIO的治理要求各種標(biāo)準(zhǔn)的位置以及解決的問(wèn)題及關(guān)鍵措施要有充分和綜合的認(rèn)識(shí),要善于吸取不同標(biāo)準(zhǔn)的核心為我所用。
狀態(tài)管理和能力成熟并舉。較好的組織成熟能力會(huì)帶來(lái)較好的項(xiàng)目結(jié)果,較好的項(xiàng)目經(jīng)驗(yàn)又會(huì)訓(xùn)練出來(lái)更好的組織成熟能力,CIO來(lái)說(shuō),重復(fù)采購(gòu)和不斷的項(xiàng)目是必然的,因此要注意狀態(tài)管理、成功度管理的同時(shí),能力管理不僅僅是CIO為項(xiàng)目而使用的手段,其實(shí)也是CIO存在的重要目標(biāo)。
充分吸收最新的國(guó)際成果。各國(guó)的標(biāo)準(zhǔn)、概念以及行業(yè)標(biāo)準(zhǔn)和國(guó)家標(biāo)準(zhǔn)發(fā)展很快,每個(gè)標(biāo)準(zhǔn)、概念都會(huì)有自己的使用場(chǎng)所,都會(huì)聲稱(chēng)自己的重要性。對(duì)于一個(gè)成熟的CIO來(lái)講,正像CMM5中所要求的不段優(yōu)化和持續(xù)的改進(jìn),要客觀地和謙虛地掌握和吸收最新的標(biāo)準(zhǔn),又不能被新標(biāo)準(zhǔn)或其推廣者所聲稱(chēng)的表象所迷惑。
充分融合已有的有益經(jīng)驗(yàn)和標(biāo)準(zhǔn)。CIO掌握各種標(biāo)準(zhǔn)之后,要有機(jī)地融合到自己的餓實(shí)踐當(dāng)中,“只有有效才是衡量最終的唯一標(biāo)準(zhǔn)”,不要怕概念不嚴(yán)謹(jǐn),其實(shí)學(xué)者的爭(zhēng)論更多,只要堅(jiān)持實(shí)踐,其實(shí)任何一種方式都會(huì)走到最終的系統(tǒng)化解決之路的。
充分關(guān)注其它 CIO多年最佳實(shí)踐成果和項(xiàng)目管理沉淀.對(duì)于項(xiàng)目管理,歐洲、美國(guó)的思路也很不同,對(duì)于每一個(gè)行業(yè)以及地域特點(diǎn),具有濃厚的特點(diǎn)不但不是項(xiàng)目管理能力差的表現(xiàn),反而是必然的事情。關(guān)鍵在于除了吸收不同國(guó)家和行業(yè)高度概括和濃縮的標(biāo)準(zhǔn)、概念之外,更加應(yīng)該重視同行業(yè)、其它類(lèi)似項(xiàng)目或者組織、環(huán)境中CIO的成功經(jīng)驗(yàn),以及采納和使用最新標(biāo)準(zhǔn)的經(jīng)驗(yàn)。一般標(biāo)準(zhǔn)的發(fā)展也有一個(gè)從實(shí)踐、總結(jié)、學(xué)者提煉、再實(shí)踐、變革和餓變化、再改進(jìn)和總結(jié)、新標(biāo)準(zhǔn)的過(guò)程,而往往實(shí)踐的例子是,一個(gè)成熟的CIO聽(tīng)一個(gè)新標(biāo)準(zhǔn)的推廣者、學(xué)習(xí)、實(shí)踐,最后不久,往往水準(zhǔn)比原先的推廣者還高、認(rèn)識(shí)還深刻。
信息安全標(biāo)準(zhǔn)一覽表
序號(hào) 標(biāo)準(zhǔn)號(hào) 名 稱(chēng)
1. GB 3907-1983 工業(yè)無(wú)線電干擾基本測(cè)量方法
2. GB 6650-1986 計(jì)算機(jī)機(jī)房用活動(dòng)地板技術(shù)條件
3. GB 9361-1988 計(jì)算站場(chǎng)地安全要求
4. GB 12190-1990 高性能屏蔽室屏蔽效能的測(cè)量方法
5. GB/T 12505-1990 計(jì)算機(jī)軟件配置管理計(jì)劃規(guī)范
6. GB 50174-1993 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范
7. GB/T 19021.1-1993 質(zhì)量體系審核指南 審核
8. GB/T 19021.2-1993 質(zhì)量體系審核指南 質(zhì)量體系審核員的評(píng)定準(zhǔn)則
9. GB/T 19021.3-1993 質(zhì)量體系審核指南 審核工作管理
10. GB/T 15277-1994 信息處理 64bit分組密碼算法的工作方式
11. GB/T 15278-1994 信息處理 數(shù)據(jù)加密 物理層互操作性要求
12. GB/T 19022.1-1994 測(cè)量設(shè)備的質(zhì)量保證要求 第1部分:測(cè)量設(shè)備的計(jì)量確認(rèn)體系
13. GB/T 19004.2-1994 質(zhì)量管理和質(zhì)量體系要素 第2部分:服務(wù)指南
14. GB/T 19004.3-1994 質(zhì)量管理和質(zhì)量體系要素 第三部分:流程性材料指南
15. GB/T 19004.4-1994 質(zhì)量管理和質(zhì)量體系要素 第四部分:質(zhì)量改進(jìn)指南
16. GB/T 19000.4-1995 質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn) 第4部分:可信性大綱管理指南
17. GB 15852-1995 信息技術(shù) 安全技術(shù) 用塊密碼算法作密碼校驗(yàn)函數(shù)的數(shù)據(jù)完整性機(jī)制
18. GB 15851-1995 信息技術(shù) 安全技術(shù) 帶消息恢復(fù)的數(shù)字簽名方案
19. GB/T 9387.2-1995 信息技術(shù) 開(kāi)放系統(tǒng)互連 基本參考模型 第2部分:安全體系結(jié)構(gòu)
20. GB/T 9387.3-1995 信息技術(shù) 開(kāi)放系統(tǒng)互連 基本參考模型 第3部分:命名與編址
21. GB/T 9387.4-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 基本參考模型 第4部分:管理框架
22. GB/T 16262-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 抽象語(yǔ)法記法-(ASN.1)規(guī)范
23. GB/T 16263-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 抽象語(yǔ)法記法-(ASN.1)基本編碼規(guī)則規(guī)范
24. GB/T 16264.1-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第1部分:概念、模型和服務(wù)的概述
25. GB/T 16264.2-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第2部分:模型
26. GB/T 16264.3-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第3部分:抽象服務(wù)定義
27. GB/T 16264.4-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第4部分:發(fā)布式操作規(guī)程
28. GB/T 16264.5-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第5部分:協(xié)議規(guī)范
29. GB/T 16264.6-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第6部分:選擇屬性類(lèi)型
30. GB/T 16264.7-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第7部分:選擇客體類(lèi)
31. GB/T 16264.8-1996 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第8部分:鑒別框架
32. GB/T 16260-1996 信息技術(shù) 軟件產(chǎn)品評(píng)價(jià) 質(zhì)量特性及其使用指南
33. GB/T 19023-1996 質(zhì)量手冊(cè)編制指南
34. GB/T 19017-1997 質(zhì)量管理 技術(shù)狀態(tài)管理指南
35. GB/T 17143.7-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 安全報(bào)警報(bào)告功能
36. GB/T 17143.8-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 安全審計(jì)跟蹤功能
37. GB/T 17142-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理綜述
38. GB/T 17143.1-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 第1部分:客體管理功能
39. GB/T 17143.2-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 第2部分:狀態(tài)管理功能
40. GB/T 17143.3-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 第3部分:表示關(guān)系的屬性
41. GB/T 17143.4-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 第4部分:告警報(bào)告功能
42. GB/T 17143.5-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 第5部分:事件報(bào)告管理功能
43. GB/T 17143.6-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 系統(tǒng)管理 第6部分:日志控制功能
44. GB/T 17175.1-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 管理信息結(jié)構(gòu) 第1部分:管理信息模型
45. GB/T 17175.2-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 管理信息結(jié)構(gòu) 第2部分:管理信息定義
46. GB/T 17175.4-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 管理信息結(jié)構(gòu) 第4部分:被管客體的定義指南
47. GB/T 17176-1997 信息技術(shù) 開(kāi)放系統(tǒng)互連 應(yīng)用層結(jié)構(gòu)
48. GB 15843.2-1997 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第2部分:采用對(duì)稱(chēng)加密算法的機(jī)制
49. GB/T 9387.1-1998 信息技術(shù) 開(kāi)放系統(tǒng)互連 基本參考模型 第1部分:基本模型
50. GB/T 15843.3-1998 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第3部分:用非對(duì)稱(chēng)簽名技術(shù)的機(jī)制
51. GB/T 17618-1998 信息技術(shù)設(shè)備抗擾度限值和測(cè)量方法
52. GB/T 17544-1998 信息技術(shù) 軟件包 質(zhì)量要求和測(cè)試
53. GB/T 19000.2-1998 質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn) 第2部分:GB/T 19001、GB/T 19002和GB/T 19003實(shí)施通用指南
54. GB 9254-1998 信息技術(shù)設(shè)備的無(wú)線電騷擾限值和測(cè)量方法
55. GB 17625.1-1998 低壓電氣及電子設(shè)備發(fā)出的諧波電流限值(設(shè)備每相輸入電流<=16A)
56. GB 17625.2-1999 電磁兼容 限值 對(duì)額定電流不大于16A的設(shè)備在低壓供電系統(tǒng)中產(chǎn)生的電壓波動(dòng)和閃爍的限制
57. GB/T 15843.1-1999 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第1部分:概述
58. GB/T 15843.4-1999 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第4部分:采用密碼校驗(yàn)函數(shù)的機(jī)制
59. GB/T 18018-1999 路由器安全技術(shù)要求
60. GB/T 18019-1999 信息技術(shù) 包過(guò)濾防火墻安全技術(shù)要求
61. GB/T 18020-1999 信息技術(shù) 應(yīng)用級(jí)防火墻安全技術(shù)要求
62. GB/T 17900-1999 網(wǎng)絡(luò)代理服務(wù)器的安全技術(shù)要求
63. GB/T 17902.1-1999 信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名 第1部分:概述
64. GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則
65. GB/T 17901.1-1999 信息技術(shù) 安全技術(shù) 密鑰管理 第1部分:框架
66. GB/T 17903.1-1999 信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第1部分:概述
67. GB/T 17903.2-1999 信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第2部分:使用對(duì)稱(chēng)技術(shù)的機(jī)制
68. GB/T 17903.3-1999 信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第3部分:使用非對(duì)稱(chēng)技術(shù)的機(jī)制
69. GB/T 2887-2000 電子計(jì)算機(jī)場(chǎng)地通用規(guī)范
70. GB/T 17963-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 網(wǎng)絡(luò)層安全協(xié)議
71. GB/T 17964-2000 信息技術(shù) 安全技術(shù) n位塊密碼算法的操作方式
72. GB/T 17965-2000 信息技術(shù) 開(kāi)放系統(tǒng)互連 高層安全模型
73. GB/T 1.1-2000 標(biāo)準(zhǔn)化工作導(dǎo)則 第一部分:標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫(xiě)規(guī)則
74. GB/T 18233-2000 信息技術(shù) 用戶(hù)建筑群的通用布纜
75. GB/T 18238.1-2000 信息技術(shù) 安全技術(shù) 散列函數(shù) 第1部分:概述
76. GB/T 15481-2000 檢測(cè)和校準(zhǔn)實(shí)驗(yàn)室能力的通用要求
77. GB/T 19000-2000 質(zhì)量管理體系 基礎(chǔ)和術(shù)語(yǔ)
78. GB/T 19001-2000 質(zhì)量管理體系 要求
79. GB/T 19004-2000 質(zhì)量管理體系 業(yè)績(jī)改進(jìn)指南
80. GB/T 19000.3-2001 質(zhì)量管理和質(zhì)量保證標(biāo)準(zhǔn) 第3部分:GB/T 19001-1994在計(jì)算機(jī)軟件開(kāi)發(fā)、供應(yīng)、安裝和維護(hù)中的使用指南
81. GB/T 18336.1-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第1部分:簡(jiǎn)介和一般模型
82. GB/T 18336.2-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第2部分:安全功能要求
83. GB/T 18336.3-2001 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第3部分:安全保證要求
84. GB 4943-2001 信息技術(shù)設(shè)備的安全
85. GB/T 15843.5-2005 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第5部分:使用零知識(shí)技術(shù)的機(jī)制
86. GB/T 16264.8-2005 信息技術(shù) 開(kāi)放系統(tǒng)互連 目錄 第8部分:公鑰和屬性證書(shū)框架
87. GB/T 17902.2-2005 信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名 第2部分:基于身份的機(jī)制
88. GB/T 17902.3-2005 信息技術(shù) 安全技術(shù) 帶附錄的數(shù)字簽名 第3部分:基于證書(shū)的機(jī)制
89. GB/T 19713-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 在線證書(shū)狀態(tài)協(xié)議
90. GB/T 19714-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 證書(shū)管理協(xié)議
91. GB/T 19715.1-2005 信息技術(shù) 信息技術(shù)安全管理指南 第1部分:信息技術(shù)安全概念和模型
92. GB/T 19715.2-2005 信息技術(shù) 信息技術(shù)安全管理指南 第2部分:管理和規(guī)劃信息技術(shù)安全
93. GB/T 19716-2005 信息技術(shù) 信息安全管理實(shí)用規(guī)則
94. GB/T 19717-2005 基于多用途互聯(lián)網(wǎng)郵件擴(kuò)展(MIME)的安全報(bào)文交換
95. GB/T 19771-2005 信息技術(shù) 安全技術(shù) 公鑰基礎(chǔ)設(shè)施 PKI組件最小互操作規(guī)范
96. GB/T 20008-2005 信息安全技術(shù) 操作系統(tǒng)安全評(píng)估準(zhǔn)則
97. GB/T 20009-2005 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則
98. GB/T 20010-2005 信息安全技術(shù) 包過(guò)濾防火墻評(píng)估準(zhǔn)則
99. GB/T 20011-2005 信息安全技術(shù) 路由器安全評(píng)估準(zhǔn)則
100. GB/Z 20283-2006
(采用標(biāo)準(zhǔn):ISO/IEC TR 15446:2004) 信息安全技術(shù) 保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南
101.
102. GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求
103. GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求
104. GB/T 20271-2006 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求
105. GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求
106. GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求
107. GB/T 20274.1-2006 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第1部分:簡(jiǎn)介和一般模型
108. GB/T 20275-2006 信息安全技術(shù) 入侵檢測(cè)系統(tǒng)技術(shù)要求和測(cè)試評(píng)價(jià)方法
109. GB/T 20276-2006 信息安全技術(shù) 智能卡嵌入式軟件安全技術(shù)要求(EAL4增強(qiáng)級(jí))
110. GB/T 20277-2006 信息安全技術(shù) 網(wǎng)絡(luò)和終端設(shè)備隔離部件測(cè)試評(píng)價(jià)方法
111. GB/T 20278-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求
112. GB/T 20279-2006 信息安全技術(shù) 網(wǎng)絡(luò)和終端設(shè)備隔離部件安全技術(shù)要求
113. GB/T 20280-2006 信息安全技術(shù) 網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測(cè)試評(píng)價(jià)方法
114. GB/T 20281-2006 信息安全技術(shù) 防火墻技術(shù)要求和測(cè)試評(píng)價(jià)方法
115. GB/T 20282-2006 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求
116. GB/T 20283-2006 信息安全技術(shù) 保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南
117. GB/T 20518-2006 信息安全技術(shù) 公共基礎(chǔ)設(shè)施 數(shù)字證書(shū)格式
118. GB/T 20519-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 特定權(quán)限管理中心技術(shù)規(guī)范
119. GB/T 20520-2006 信息安全技術(shù) 公鑰基礎(chǔ)設(shè)施 時(shí)間戳規(guī)范
120. GB/T 18018-2007 信息安全技術(shù) 路由器安全技術(shù)要求
121. GB/T 21028-2007 信息安全技術(shù) 服務(wù)器安全技術(shù)要求
122.
123. GB/T 21050-2007 信息安全技術(shù) 網(wǎng)絡(luò)交換機(jī)安全技術(shù)要求(評(píng)估保證級(jí)3)
124. GB/T 21052-2007 信息安全技術(shù) 信息安全等級(jí)保護(hù) 信息系統(tǒng)物理安全技術(shù)要求
125. GB/T 21053-2007 信息安全技術(shù) PKI系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求
126. GB/T 21054-2007 信息安全技術(shù) PKI系統(tǒng)安全等級(jí)保護(hù)評(píng)估準(zhǔn)則
127. GB/T 20945-2007 信息安全技術(shù) 信息系統(tǒng)安全審計(jì)產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法
128. GB/T 20979-2007 信息安全技術(shù) 虹膜識(shí)別系統(tǒng)技術(shù)要求
129. GB/T 20983-2007 信息安全技術(shù) 網(wǎng)上銀行系統(tǒng)信息安全保障評(píng)估準(zhǔn)則
130. GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范
131. GB/T 20987-2007 信息安全技術(shù) 網(wǎng)上證券交易系統(tǒng)信息安全保障評(píng)估準(zhǔn)則
132. GB/T 20988-2007 信息安全技術(shù) 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范
133. GB/T 21028-2007 信息安全技術(shù) 服務(wù)器安全技術(shù)要求
134. GB/Z 20985-2007 信息技術(shù) 安全技術(shù) 信息安全事件管理指南
135. GB/Z 20986-2007 信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南
136. GB/T18336.1-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第1部分:簡(jiǎn)介和一般模型
137. GB/T18336.2-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第2部分:安全功能要求
138. GB/T18336.3-2008 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 第3部分: 安全保證要求
139. GB/T 22186-2008 信息安全技術(shù) 具有中央處理器的集成電路(IC)卡芯片安全技術(shù)要求(評(píng)估保證級(jí)4增強(qiáng)級(jí))
140. GB/T22019-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求
141. GB/T22020-2008 信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南
142. GB/T22081-2008 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則
143. GB/T22080-2008 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求
144. GB/T 17964-2008 信息安全技術(shù) 分組密碼算法的工作模式
145. GB/T 15843.1-2008 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第1部分: 概述
146. GB/T 15843.2-2008 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第2部分: 采用對(duì)稱(chēng)加密算法的機(jī)制
147. GB/T 15843.3-2008 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第3部分: 采用數(shù)字簽名技術(shù)的機(jī)制
148. GB/T 15843.4-2008 信息技術(shù) 安全技術(shù) 實(shí)體鑒別 第4部分: 采用密碼校驗(yàn)函數(shù)的機(jī)制
149. GB/T 15852.1-2008 信息技術(shù) 安全技術(shù) 消息鑒別碼 第1部分:采用分組密碼的機(jī)制
150. GB/T 17903.1-2008 信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第1部分: 概述
151. GB/T 17903.2-2008 信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第2部分: 采用對(duì)稱(chēng)技術(shù)的機(jī)制
152. GB/T 17903.3-2008 信息技術(shù) 安全技術(shù) 抗抵賴(lài) 第3部分: 采用非對(duì)稱(chēng)技術(shù)的機(jī)制
ISO27001認(rèn)證讓云更安全
2012年11月,阿里云通過(guò)了由BSI(英國(guó)標(biāo)準(zhǔn)協(xié)會(huì))審核的ISO27001:2005(信息安全管理體系)認(rèn)證,成為國(guó)內(nèi)首家通過(guò)ISO27001認(rèn)證的云計(jì)算安全服務(wù)提供商。
阿里云介紹,ISO27001是目前國(guó)際上最權(quán)威、最嚴(yán)格、也是最被廣泛接受和應(yīng)用的信息安全標(biāo)準(zhǔn),本次認(rèn)證的通過(guò),標(biāo)志著阿里云的安全性得到國(guó)際上的認(rèn)可。針對(duì)云計(jì)算的安全性以及這一認(rèn)證的價(jià)值,站長(zhǎng)之家專(zhuān)訪了阿里巴巴集團(tuán)安全部的安全專(zhuān)家沈錫鏞先生。
沈錫鏞先生是云計(jì)算安全的專(zhuān)家及先行者,在云計(jì)算安全管理方面有很多分享。2012年加入阿里巴巴集團(tuán),著力于幫助快速成長(zhǎng)但缺乏標(biāo)準(zhǔn)化管理的云計(jì)算領(lǐng)域建立安全管理框架。
沈先生表示:“在云計(jì)算蓬勃發(fā)展的時(shí)代,一定要將這種新型的技術(shù)業(yè)務(wù)和信息安全管理體系進(jìn)行有效整合。”
站長(zhǎng)之家:前段時(shí)間公司通過(guò)了ISO27001認(rèn)證,為什么要申請(qǐng)這個(gè)認(rèn)證?
沈錫鏞:用戶(hù)使用云計(jì)算最大的障礙之一是對(duì)于安全的擔(dān)憂,如何讓客戶(hù)能放心的把數(shù)據(jù)和應(yīng)用部署在阿里云云計(jì)算平臺(tái)上,并且相信阿里云能保證客戶(hù)數(shù)據(jù)和應(yīng)用的機(jī)密性、完整性和可用性,靠王婆賣(mài)瓜自賣(mài)自夸是無(wú)法說(shuō)服用戶(hù)的,需要一個(gè)由第三方機(jī)構(gòu)頒發(fā)的審核證明,來(lái)證明其安全管理的有效性。
云計(jì)算安全目前仍然缺乏一個(gè)國(guó)際標(biāo)準(zhǔn),所以在現(xiàn)階段ISO27001認(rèn)證是一個(gè)最貼切的標(biāo)準(zhǔn),代表我們的內(nèi)部管理與國(guó)際安全要求完全接軌。其次ISO27001是一個(gè)基于信息安全風(fēng)險(xiǎn)管理為核心的體系,該體系對(duì)信息安全的管控思想就好比把西瓜片片切開(kāi)看看是否成熟一樣,讓組織信息安全管理水平暴露在審核方的顯微鏡下無(wú)所遁形,從體系的核心和管控思想兩個(gè)方面都符合阿里云作為云計(jì)算服務(wù)提供商期望提供給客戶(hù)的安全承諾。
站長(zhǎng)之家:在申請(qǐng)ISO27001認(rèn)證的過(guò)程中,阿里云推動(dòng)了哪些方面的標(biāo)準(zhǔn)化流程,有哪些收獲?
沈錫鏞:ISO27001認(rèn)證的過(guò)程其實(shí)是對(duì)阿里云既有的安全流程的固化和檢驗(yàn),舉例來(lái)說(shuō)針對(duì)ISO27001漏洞管理的相關(guān)條款要求,阿里云現(xiàn)有的安全分制度得以在各業(yè)務(wù)部門(mén)和集團(tuán)范圍內(nèi)予以強(qiáng)化,安全漏洞大大減少,其修復(fù)速度得到大幅度提升。在運(yùn)維方面因流程執(zhí)行不規(guī)范而導(dǎo)致的故障大大減少,舉例:自7月ISO27001體系投入運(yùn)行后再未發(fā)生因流程執(zhí)行不規(guī)范而導(dǎo)致安全故障。
站長(zhǎng)之家:阿里云國(guó)內(nèi)首家通過(guò)了ISO27001認(rèn)證,這對(duì)國(guó)內(nèi)云服務(wù)會(huì)有什么影響?
沈錫鏞:即使在云計(jì)算的背景下,云計(jì)算安全與傳統(tǒng)信息安全的安全目標(biāo)仍是相同:“保護(hù)信息資產(chǎn)的保密性、完整性、可用性”,故而諸如云服務(wù)商日常運(yùn)營(yíng)中涉及的信息安全風(fēng)險(xiǎn)管理;人力資源、物理、網(wǎng)絡(luò)和主機(jī)安全;業(yè)務(wù)連續(xù)性;數(shù)據(jù)中心運(yùn)維等方面都應(yīng)將滿(mǎn)足ISO27001:2005作為基線要求。
面對(duì)越來(lái)越嚴(yán)重的個(gè)人信息泄露、個(gè)人隱私保護(hù)及云計(jì)算帶來(lái)的相關(guān)法律和合規(guī)要求,云服務(wù)商應(yīng)建立遵循ISO27001:2005對(duì)于隱私保護(hù)和法律方面的合規(guī)管理要求。
從數(shù)據(jù)安全的角度,承載客戶(hù)數(shù)據(jù)、客戶(hù)應(yīng)用的云服務(wù)商也必須通過(guò)獲得ISO27001:2005認(rèn)證來(lái)逐步規(guī)范云計(jì)算市場(chǎng),設(shè)定準(zhǔn)入門(mén)檻。
站長(zhǎng)之家:ISO27001認(rèn)證,可以給開(kāi)發(fā)者及用戶(hù)帶來(lái)哪些好處?
沈錫鏞:阿里云的目標(biāo)是打造互聯(lián)網(wǎng)數(shù)據(jù)分享第一平臺(tái),成為以數(shù)據(jù)為中心的云計(jì)算服務(wù)公司。因此我們除了借助技術(shù)的創(chuàng)新,不斷提升計(jì)算能力與規(guī)模效益,將云計(jì)算變成真正意義上的公共服務(wù),使得廣大合作伙伴、中小企業(yè)、開(kāi)發(fā)者能夠受益于云計(jì)算帶來(lái)的便利和價(jià)值,也有義務(wù)從安全角度給廣大用戶(hù)和開(kāi)發(fā)者打造一個(gè)安全、健康的云生態(tài)系統(tǒng),使其在使用云計(jì)算的同時(shí)免除對(duì)安全的后顧之憂。
因此和很多選擇IDC或IT、信息安全部門(mén)通過(guò)認(rèn)證的云計(jì)算企業(yè)不同,阿里云本次認(rèn)證選擇了以諸多云產(chǎn)品為認(rèn)證對(duì)象,這就代表阿里云傳遞給廣大的開(kāi)發(fā)者和用戶(hù)一個(gè)信息,從云產(chǎn)品的設(shè)計(jì)、運(yùn)維到售賣(mài),阿里云都接受并通過(guò)了業(yè)界最嚴(yán)苛和權(quán)威的第三方審核,保證我們向廣大公眾提供的云產(chǎn)品和服務(wù)安全可信。
站長(zhǎng)之家:獲得ISO27001認(rèn)證,意味著阿里云得到國(guó)際上的認(rèn)可,這對(duì)國(guó)外公司、服務(wù)、App應(yīng)用等進(jìn)入中國(guó)市場(chǎng)有什么吸引力嗎?阿里云在這方面是如何判斷的?
沈錫鏞:這種吸引力幾乎在第一時(shí)間就到來(lái),在得悉阿里云通過(guò)BSI審核的ISO27001體系認(rèn)證,由BSI和CSA聯(lián)合推出的OCF(Open Certificate Framework for cloud providers)第一時(shí)間就選擇了阿里云作為亞太地區(qū)第一家試點(diǎn)機(jī)構(gòu),為云安全的國(guó)際標(biāo)準(zhǔn)化進(jìn)程作出自己的貢獻(xiàn)。
國(guó)內(nèi)在信息技術(shù)的標(biāo)準(zhǔn)化方面一直采用的是關(guān)注和引進(jìn)的方式,并且即使引進(jìn)也在實(shí)際的業(yè)務(wù)開(kāi)展中未能較好的運(yùn)用和推廣。云計(jì)算業(yè)務(wù)的興起則是給了廣大中國(guó)企業(yè)一個(gè)新的契機(jī),因?yàn)樵摌I(yè)務(wù)并不是對(duì)信息技術(shù)的顛覆而是對(duì)由來(lái)已久的大型分布式計(jì)算技術(shù)的運(yùn)營(yíng)嘗試,阿里云作為具備自主開(kāi)發(fā)大型分布式操作系統(tǒng)的中國(guó)云計(jì)算企業(yè),有必要在未來(lái)云計(jì)算標(biāo)準(zhǔn)和規(guī)范的國(guó)際化進(jìn)程中占有一席之地。
站長(zhǎng)之家:安全是云服務(wù)的一個(gè)基本保障,能否結(jié)合ISO27001標(biāo)準(zhǔn),談?wù)劙⒗镌频陌踩允侨绾伪U系?例如數(shù)據(jù)存儲(chǔ)安全、防攻擊等方面。
沈錫鏞:阿里云的安全性雖然也存在內(nèi)部安全和外部安全兩個(gè)不同的緯度,但和其他企業(yè)不同地方在于阿里云的內(nèi)部安全和外部安全都遵行一個(gè)統(tǒng)一的“安全分”制度,具體來(lái)講安全部門(mén)會(huì)對(duì)所有業(yè)務(wù)部門(mén)、支撐部門(mén)從安全事件的發(fā)生率、安全漏洞的多寡角度去量化考核每個(gè)部門(mén)的安全得分,并納入公司績(jī)效考核的一部分。
在面向客戶(hù)交付的每個(gè)產(chǎn)品或服務(wù),阿里云按照ISO27001 附錄“A12信息系統(tǒng)開(kāi)發(fā)、獲取和維護(hù)”的要求,建立了軟件安全開(kāi)發(fā)周期(Security Development Lifecycle)安全開(kāi)發(fā)流程,(如下圖)來(lái)保證每個(gè)云產(chǎn)品的服務(wù)的安全性。
安全需求分析環(huán)節(jié):應(yīng)根據(jù)功能需求文檔進(jìn)行安全需求分析,針對(duì)業(yè)務(wù)內(nèi)容、業(yè)務(wù)流程、技術(shù)框架進(jìn)行溝通,形成《安全需求分析建議》。
安全設(shè)計(jì)環(huán)節(jié):應(yīng)根據(jù)項(xiàng)目特征,與測(cè)試人員溝通安全測(cè)試關(guān)鍵點(diǎn),形成《安全測(cè)試建議》。
安全編碼環(huán)節(jié):應(yīng)參考例如OWASP指南、CERT安全編碼等材料編寫(xiě)各類(lèi)《安全開(kāi)發(fā)規(guī)范》,避免開(kāi)發(fā)人員出現(xiàn)不安全的代碼。
代碼審計(jì)環(huán)節(jié):應(yīng)盡可能使用代碼掃描工具并結(jié)合人工代碼審核,對(duì)產(chǎn)品代碼進(jìn)行白盒、黑盒掃描。
應(yīng)用滲透測(cè)試:應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測(cè)試 。
系統(tǒng)發(fā)布:依據(jù)上述環(huán)節(jié)評(píng)價(jià)結(jié)果決定代碼是否發(fā)布。
而在ISO27001未覆蓋的虛擬化安全領(lǐng)域,例如虛擬服務(wù)器的隔離、虛擬服務(wù)器及映像的加固、虛擬服務(wù)器的銷(xiāo)毀,雖然以上需求因虛擬化服務(wù)器的服務(wù)類(lèi)型已無(wú)法通過(guò)購(gòu)買(mǎi)安全設(shè)備實(shí)現(xiàn)隔離,但針對(duì)用戶(hù)和云服務(wù)商自身的安全需求仍可通過(guò)一系列的軟件手段實(shí)現(xiàn)安全隔離和訪問(wèn)控制。
針對(duì)不同用戶(hù)購(gòu)買(mǎi)的虛擬服務(wù)器之間的隔離需求,阿里云借助自主開(kāi)發(fā)的后羿系統(tǒng)在虛擬服務(wù)器生產(chǎn)環(huán)節(jié)給每個(gè)虛擬服務(wù)器打上標(biāo)簽,在運(yùn)營(yíng)環(huán)節(jié)通過(guò)不同用戶(hù)之間的虛擬服務(wù)器訪問(wèn)規(guī)則,和IP 信息包過(guò)濾系統(tǒng)(iptables)技術(shù)實(shí)現(xiàn)虛擬服務(wù)器之間、虛擬服務(wù)器和其物理機(jī)之間隔離。
例如針對(duì)虛擬服務(wù)器的安全加固,阿里云通過(guò)建立安全加固流程,默認(rèn)提供主機(jī)入侵檢測(cè)和補(bǔ)丁自動(dòng)更新服務(wù)等手段來(lái)保證虛擬服務(wù)器的安全;而針對(duì)虛擬服務(wù)器映像的安全加固,阿里云不但在其生產(chǎn)流程上加入安全審核環(huán)節(jié),來(lái)保證虛擬服務(wù)器映像能滿(mǎn)足最新的安全要求,而且目前已通過(guò)安全部門(mén)直接制作安全映像交付給運(yùn)營(yíng)部門(mén);針對(duì)虛擬服務(wù)器的銷(xiāo)毀,阿里云采用虛擬化在線管理系統(tǒng)對(duì)虛擬服務(wù)器進(jìn)行管理保證其遷移后自動(dòng)消除原有物理服務(wù)器上磁盤(pán)和內(nèi)存數(shù)據(jù),并采用實(shí)時(shí)審計(jì)技術(shù)予以監(jiān)控流程的執(zhí)行。
上海賽學(xué)專(zhuān)業(yè)提供ISO27001認(rèn)證,信息安全體系認(rèn)證證書(shū)信息安全體系認(rèn)證公司,上海iso27001認(rèn)證咨詢(xún)中心。黃浦區(qū)、盧灣區(qū)、徐匯區(qū)、長(zhǎng)寧區(qū)、靜安區(qū)、普陀區(qū)、閘北區(qū)、虹口區(qū)、楊浦區(qū)、寶山區(qū)、閔行區(qū)、嘉定區(qū)、浦東新區(qū)、松江區(qū)、金山區(qū)、青浦區(qū)企業(yè)做上門(mén)診斷。
|
