浅析ISO/IEC27001(ISMS Requirements)发展及兼容性
2014-11-10王文君朱健序刘欢鲁俊皓高琛阳
王文君 朱健序 刘欢 鲁俊皓 高琛阳
摘 要:随着全球经济的飞速发展,各领域信息化的广泛应用,以获取各类信息为直接作案目的犯罪数量直线上升,信息安全则显得尤为重要。本文通过对国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求(ISMS Requiremenas)》的起源发展以及新版特性进行介绍,并对标准的在不同时期的修改变化进行分析。同时对标准体系与其他标准的兼容性使用进行了举例说明。
关键词:ISO/IEC 27001;安全信息兼容
国际标准化组织(ISO)和国际电工委员会(IEC)于2005年10月15日联合发布了国际标准ISO/IEC 27001《信息技术-安全技术-信息安全管理体系-要求(ISMS Requirements)》,旨在为所有类型的组织,包括政府、银行、电讯、研究机构、外包服务企业、软件服务企业等,在建立、实施、运行、监视、评审、保持和改进信息安全管理体系时提供模型,并规定了为适应不同组织或其部门的需要而制定安全控制措施的实施要求。ISO/IEC 27001标准涉及了最广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则,并可以用作第三方认证的依据。
一、ISO/IEC27001
(一)ISO/IEC 27000标准家族
ISO/IEC 27000是一个系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO 14000系列标准。当初ISO/IEC规划的ISO27000系列包含下列标准:
ISO 27000 原理与术语Principles and vocabulary
ISO 27001 信息安全管理体系—要求 ISMS Requirements
ISO 27002 信息技术—安全技术—信息安全管理实践规范
ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines
ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement
ISO 27005 信息安全管理体系—风险管理ISMS Risk management
ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification
ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南
Information technology_Securitytechniques_ISMS auditor guidelines
(二)ISO/IEC 27001的基本概念及标准内容概述
ISO/IEC 27001标准通篇就在讲一件事,ISMS(信息安全管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurity Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。
该标准分为三个部分,分别为引言、正文和附录。引言介绍了建立信息安全管理体系(简称ISMS)的意义和原则;描述了体系建设过程中使用的过程方法和PDCA模型;说明了ISMS与其他管理体系的兼容性。正文的前三章介绍了标准的基本情况和涉及的术语和定义,从第四章开始,正式提出了ISMS的要求。标准也指出:“组织声称符合本标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。”标准有3个附录,其中附录A是规范性附录,根据标准要求,依据附录A的控制目标和控制措施的选择和实施是标准正文的一部分。ISO 27001的审核依据主要集中在标准的第4到第8章和附录。
二、ISO/IEC 27001:2013的新版特性
(一)采用新构架。在新版中采用ISO导则83做结构性要求,从8个章节拓展到10个章节,重新构建了ISO标准PDCA的章节架构,这个结构在已发布的IS022301中已经进行了应用,未来将在ISO其他标准改版中会普遍采用(包括IS09000,IS020000等)。
(二)控制更精益。从旧版11个领域更新为14个领域。密码学、供应关系成为一个独立领域(A10,A15)。通讯与操作管理被划分到操作安全(A12)和通信安全(A13)。
新增或调整了一些控制措施,涉及信息系统开发、信息安全事件管理、业务连续性管理等部分;删除了一些旧版中重复的和操作级的控制项;附录A的调整并没有颠覆原有的结构,只是在原有控制项结构的基础上,进行了优化,较旧版来说的确更清晰了,相信这样的变化可以更容易的让组织去实现它们。
(三)引入新重点。将原分布在各领域的加密及供应链管理控制项级别提升,组成新领域,形成新重点,以反映目前信息安全的发展趋势。新增了智能型装置管理的控制项强化IC丁供应链委外管理的要求完善了系统开发项目管理的信息安全要求
三、ISO/IEC27001的兼容性
(一)PDCA(戴明环)。PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。
1.P(Plan)--计划,确定方针和目标,确定活动计划;
2.D(Do)--执行。实地去做,实现计划中的内容;
3.C(Check)--检查,总结执行计划的结果,注意效果,找出问题;
4.A(Action)--行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下一个PDCA循环。
(二)戴明环的特点。
1.大环套小环,小环保大环,推动大循环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。
2.不断前进、不断提高。PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。
作者简介:王文君(1993-),女,重庆人,中国人民公安大学2011级安全防范工程专业。
朱健序(1991-),男,山东人,中国人民公安大学2011级安全防范工程专业。
刘欢(1992-),男,陕西人,中国人民公安大学2012网络保卫学院。
鲁俊皓(1993-),男,河南人,中国人民公安大学2012级警务战术指挥。
高琛阳(1994-),男,山东人,中国人民公安大学2012级安全防范工程专业。