信息安全管理体系

信息安全等级保护管理办法（公通字2007]43号）MenuISO/IEC27001知识体系Menu目录TOC\o"1-5"\h\z\o"CurrentDocument"ISMS概述 2\o"CurrentDocument"什么是ISMS 2\o"CurrentDocument"为什么需要ISMS 3\o"CurrentDocument"如何建立ISMS 5\o"CurrentDocument"ISMS标准 11\o"CurrentDocument"ISMS标准体系—ISO/IEC27000族简介 11\o"CurrentDocument"信息安全管理实用规则一ISO/IEC27002：2005介绍 17\o"CurrentDocument"信息安全管理体系要求一ISO/IEC27001：2005介绍 22\o"CurrentDocument"ISMS认证 27\o"CurrentDocument"什么是ISMS认证 27\o"CurrentDocument"为什么要进行ISMS认证 27\o"CurrentDocument"ISMS认证适合何种类型的组织 28\o"CurrentDocument"全球ISMS认证状况及发展趋势 29\o"CurrentDocument"如何建设ISMS并取得认证 36页脚内容信息安全等级保护管理办法（公通字2007]43号）1.ISMS概述什么是ISMS信息安全管理体系（InformationSecurityManagementSystem简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（ManagementSystem，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。在ISMS的要求标准ISO/IEC27001：2005（信息安全管理体系要求）的第3章术语和定义中，对ISMS的定义如下：ISMS（信息安全管理体系）：是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。这个定义看上去同其他管理体系的定义描述不尽相同，但我们也可以用ISOGUIDE72:2001（Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理体系标准合理性和制定导则）中管理体系页脚内容信息安全等级保护管理办法（公通字2007]43号）的定义，将ISMS描述为：组织在信息安全方面建立方针和目标，并实现这些目标的一组相互关联、相互作用的要素。ISMS同其他MS（如QMS、EMS、OHSMS）一样，有许多共同的要素，其原理、方法、过程和体系的结构也基本一致。单纯从定义理解，可能无法立即掌握ISMS的实质，我们可以把ISMS理解为一台“机器”，这台机器的功能就是制造“信息安全”，它由许多“部件”（要素）构成，这些“部件”包括ISMS管理机构、ISMS文件以及资源等，ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。为什么需要ISMS今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3页脚内容信息安全等级保护管理办法（公通字2007]43号）名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。（以上案例均来自互联网）这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生，组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题，信息安全成本和效益的平衡问题，信息安全目标、业务连页脚内容信息安全等级保护管理办法(公通字2007]43号)续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准一ISO/IEC17799:2000“信息安全管理实用规则(Codeofpracticeforinformationsecuritymanagement)”，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005(现已更名为ISO/IEC27002:2005),10月，又发布了ISO/IEC27001:2005“信息安全管理体系要求(InformationSecurityManagementSystemRequirement)”。自此，ISMS在国际上确立并发展起来。今天，ISMS已经成为信息安全领域的一个热门话题。如何建立ISMS组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此，如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC27001:2005ISMS,已成为时代的需要。从简单分析ISO/IEC27001:2005标准的要求入手，下面的内容论述了建立一个符合标准要求的ISMS的要点。正确理解ISMS的含义和要素ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC27001:2005标准的要求之后，才有可能建立一个符合要求的完善的ISMS。ISMS的含义页脚内容信息安全等级保护管理办法（公通字2007]43号）在ISO/IEC27001标准中，已对ISMS做出了明确的定义。通俗地说，组织有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。如果一个组织有多个管理体系，例如包括ISMS、QMS（质量管理体系）和EMS（环境管理体系）等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组成部分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。ISMS的要素标准还指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC27001:20053.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括：1）信息安全管理机构通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等。ISMS文件包括ISMS方针、过程、程序和其它必须的文件等。资源包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。ISMS的建立要确保这些ISMS要素得到满足。页脚内容信息安全等级保护管理办法（公通字2007]43号）1.3.2建立信息安全管理机构1）信息安全管理机构的名称标准没有规定信息安全管理机构的名称，因此名称并不重要。从目前的情况看，许多组织在建立ISMS之前，已经运行了其它的管理体系，如QMS和EMS等。因此，最有效与节省资源的办法是将信息安全管理机构合并于现有管理体系的管理机构，实行一元化领导。2）信息安全管理机构的级别信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效果看，对于中等以上规模的组织，最好设立三个不同级别的信息安全管理机构：a）高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。b）中层：负责该组织日常信息安全的管理与监督活动。c）基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。1.3.3执行标准要求的ISMS建立过程按照ISO/IEC27001:2005“4.2.1建立ISMS”条款的要求，建立ISMS的步骤包括：1）定义ISMS的范围和边界，形成ISMS的范围文件；2）定义ISMS方针（包括建立风险评价的准则等），形成ISMS方针文件；3）定义组织的风险评估方法；4）识别要保护的信息资产的风险，包括识别：页脚内容信息安全等级保护管理办法（公通字2007]43号）a）资产及其责任人；b）资产所面临的威胁；c）组织的脆弱点；d）资产保密性、完整性和可用性的丧失造成的影响。5）分析和评价安全风险，形成《风险评估报告》文件，包括要保护的信息资产清单；6）识别和评价风险处理的可选措施，形成《风险处理计划》文件；7）根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；8）管理者正式批准所有残余风险；9）管理者授权ISMS的实施和运行；10）准备适用性声明。1.3.4完成所需要的ISMS文件ISMS文件是ISMS的主要要素，既要与ISO/IEC27001:2005保持一致，又要符合本组织的信息安全的需要。实际上，ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准，是ISO/IEC27001:2005的具体体现。对一般员工来说，在其实际工作中，可以不过问国际信息安全管理标准-ISO/IEC27001:2005,但必须按照ISMS文件的要求执行工作。ISMS文件的类型根据ISO/IEC27001:2005标准的要求，ISMS文件有三种类型。1）方针类文件（Policies）方针是政策、原则和规章。主要是方向和路线上的问题，包括：页脚内容信息安全等级保护管理办法(公通字2007]43号)ISMS方针(ISMSpolicy)；信息安全方针(informationsecuritypolicy)。2)程序类文件(Procedures)3)记录(Records)记录是提供客观证据的一种特殊类型的文件。通常，记录发生于过去，是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。4)适用性声明文件(StatementofApplicability,简称SOA)ISO/IEC27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施，实施ISMS的组织只要有正当性理由，可以只选择适合本组织使用的那些部分，而不适合使用的部分，可以不选择。选择，或不选择，要做出声明(说明),并形成《适用性声明》文件。(2)必须的文件“必须的ISMS文件”是指ISO/IEC27001:2005“4.3.1总则”明确规定的，一定要有的文件。这些文件就是所谓的强制性文件(mandatorydocuments)°“4.3.1总则”要求ISMS文件必须包括9方面的内容：ISMS方针ISMS方针是组织的顶级文件，规定该组织如何管理和保护其信息资产的原则和方向，以及各方面人员的职责等。ISMS的范围3)支持ISMS的程序和控制措施；4)风险评估方法的描述；页脚内容信息安全等级保护管理办法（公通字2007]43号）5）风险评估报告；6）风险处理计划；7）控制措施有效性的测量程序；8）本标准所要求的记录；9）适用性声明。（3）可选的文件除了上述必须的文件外，组织可以根据其实际的业务活动和风险的需要，而确定某些文件（包括某些程序文件和方针类文件）。这些文件就是所谓的可选的文件（Discretionarydocuments）。这类文件的内容可随组织的不同而有所不同，主要取决于：1）组织的业务活动及风险；2）安全要求的严格程度；3）管理的体系的范围和复杂程度。这里，需要特别提出的是，ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何，通常可根据风险评估决定。如果风险评估的结果，发现有不可接受的风险，那么就应识别处理这些风险的可能方法，包括形成相关文件。（4）文件的符合性ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此：1）参考相关法律法规要求和标准要求页脚内容信息安全等级保护管理办法（公通字2007]43号）在编写ISMS文件时，编写者应参考相关法律法规要求和标准的相应条款的要求，例如，在编写ISMS方针时，要参考ISO/IEC27001“4.2.1b）定义ISMS方针”；编写适用性声明时，要参考ISO/IEC27001“4.2.1j）准备适用性声明”；编写文件控制程序时，要参考ISO/IEC27001“4.3.2文件控制”等等。2）将本组织的最好实践形成文件为了易于操作，编写者最好把本组织当前的最好实践写下来，补充标准的要求，形成统一格式的文件。3）保持一致性a）同一个文件中，上下文不能有不一致或矛盾的地方b）同一个体系的不同文件之间不能有矛盾的地方c）不同体系的文件之间不能有不一致的地方如果组织同时运行多个管理体系，例如质量管理体系（QMS）、环境管理体^（EMS）»ISMS等，那么各个体系的文件之间应相互协调，避免产生不一致的地方。此外，在文字的表达上，应准确，无二义。ISMS标准ISMS标准体系一ISO/IEC27000族简介ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题，按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划，该系列标准的序号已经预留到页脚内容信息安全等级保护管理办法（公通字2007]43号）27019,其中将27000〜27009留给ISMS基本标准，27010〜27019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。ISMS国际标准化组织ISO/IECJTC1/SC27/WG1（国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会/第一工作组）是制定和修订ISMS标准的国际组织，我国是该组织的P成员国。ISO/IECJTC1/SC27成立后设有三个工作组：WG1：需求、安全服务及指南工作组WG2：安全技术与机制工作组WG3：信息系统、部件和产品相关的安全评估准则工作组在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上，通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案，将原来的三个工作组调整为现在五个工作组：WG1：ISMS标准工作组WG2：安全技术与机制工作组WG3：信息系统、部件和产品相关的安全评估准则工作组WG4：安全控制与服务工作组WG5：身份管理与隐私保护技术工作组SC27组织机构的这次调整，专门将WG1做为ISMS标准的工作组，负责开发ISMS相关的标准与指南，充分体现了ISMS的发展在全球范围内受到高度重视。页脚内容信息安全等级保护管理办法（公通字2007]43号）已经发布的ISMS标准-ISO/IEC27001和ISO/IEC27002目前国际标准化组织已经正式发布的ISMS国际标准有两个：ISO/IEC27001和ISO/IEC27002，它们是ISMS的核心标准。ISO/IEC27001：2005：信息安全管理体系要求Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-RequirementsISO/IEC27002:2005：信息安全管理实用规则Informationtechnology-Securitytechniques-CodeofpracticeforInformationsecuritymanagementISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样，是ISMS的要求标准，内容共分8章和3个附录，其中附录A中的内容直接引用并与ISO/IEC17799:2005第5至U15章一致。ISO/IEC27001:2005适用于所有类型的组织（如企事业单位、政府机关等）。它从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求，并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001:2005是组织建立和实施ISMS的依据，也是ISMS认证机构实施审核的依据。ISO/IEC17799于2000年12月1日正式发布，2005年6月15日发布修订版即ISO/IEC17799:2005,原来版本同时废止。ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。页脚内容信息安全等级保护管理办法（公通字2007]43号）根据今年召开的第18届SC27全体会议决议，将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。ISMS标准的类型根据ISOGUIDE72:2001（Guidelinesforthejustificationanddevelopmentofmanagementsystemstandards管理体系标准合理性和制定导则）和ISO/IEC的相关导则，ISO/IECJTC1/SC27/WG1将ISMS标准分为4类：TypeA-VocabularyStandardA类一词汇标准TypeB-RequirementsStandardB类一要求标准TypeC-GuidelinesStandardC类一指南标准TypeD-RelatedStandard D类一相关标准A类一词汇标准：主要提供标准族中所有标准所涉及的基础信息，包括通用术语、基本原则等内容。ISO/IEC27000同ISO9000（质量管理体系基础和术语）类似，属于此类标准。B类一要求标准：主要提供管理体系的相关规范，它能够使一个组织证明其满足内部和外部要求的能力。ISO/IEC27001同ISO9001（质量管理体系要求）、ISO14001（环境管理体系规范及使用指南）、OHSAS18001（职业健康安全管理体系规范）等标准一样，属于此类标准。C类一指南标准：此类标准目的是为一个组织实施要求标准提供相关的指南，ISO/IEC27002、ISO/IEC27003等同ISO9004（质量管理体系业绩页脚内容信息安全等级保护管理办法（公通字2007]43号）改进指南）、ISO14004（环境管理体系原则、体系和支持技术通用指南）、OHSMS18002（职业健康安全管理体系指南）等标准一样，属于此类标准。D类一相关标准：此类标准严格说不是管理体系标准族中的标准，他们主要提供关于特定方面或相关支持技术的进一步的指导，此类标准一般独立开发，与要求类标准和指南类标准无明显的关联。ISO/IEC27006同ISO19011（质量和环境管理体系审核指南）等标准一样属于此类。制订中的ISO/IEC27000系列标准介绍截至2006年5月18日，ISO/IECJTC1/SC27/WG1正在制定中的标准包括5个，分别是：ISO/IEC27000ISO/IEC27000（Informationsecuritymanagementsystemfundamentalsandvocabulary信息安全管理体系基础和术语），属于A类标准。ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。ISO/IEC27000目前处于WD（工作组草案）阶段，正在SC27内研究并征求意见。ISO/IE27003页脚内容信息安全等级保护管理办法（公通字2007]43号）ISO/IEC27003（Informationsecuritymanagementsystemimplementationguidance信息安全管理体系实施指南），属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施ISMS的人员。该标准给出了ISMS实施的关键成功因素，实施过程依照ISO/IEC27001要求的PDCA模型进行，并进一步介绍了各个阶段的活动内容及详细实施指南。ISO/IEC27003目前也处在WD阶段，正在SC27内研究并征求意见。ISO/IEC27004ISO/IEC27004（Informationsecuritymanagementmeasurements信息安全管理测量），属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。该标准将测量分为两个类别:有效性测量和过程测量，列出了多种测量方法，例如调查问卷、观察、知识评估、检查、二次执行、测试（包括设计测试和运行测试）以及抽样等。该标准定义了ISMS的测量过程：首先要实施ISMS的测量，应定义选择测量措施，同时确定测量的对象和验证准则，形成测量计划；实施ISMS测量的过程中，应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展；在ISMS的检查和处置阶段，也应对测量措施加以改进，这就要求首先定义测量过程的评价准则，对测量过程加以监控，并定期实施评审。目前该标准已经处于CD（委员会草案）阶段，预计将于2008年完成。ISO/IEC27005页脚内容信息安全等级保护管理办法（公通字2007]43号）ISO/IEC27005（Informationsecurityriskmanagement信息安全风险管理），属于C类标准。该标准给出了信息安全风险管理的指南，其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。该标准介绍了一般性的风险管理过程，并重点阐述了风险评估的几个重要环节，包括风险评估、风险处理、风险接受等。在标准的附录中，给出了资产、影响、脆弱性以及风险评估的方法，并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。目前该标准处于FinalCD（最终委员会草案）阶段。ISO/IEC27006ISO/IEC27005（Requirementsfortheaccreditationofbodiesprovidingcertificationofinformationsecuritymanagementsystems信息安全管理体系认证机构的认可要求），属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范，或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。目前该标准处于FinalCD（最终委员会草案）阶段。信息安全管理实用规则一ISO/IEC27002：2005介绍ISO/IEC27002是国际标准化组织ISO/IECJTC1/SC27最早发布的ISMS系列标准之一（当时称之为ISO/IEC17799,2007年4月正式更名为ISO/IEC27002）。它从信息安全的诸多方面，总结了一百多项信息安全控制页脚内容信息安全等级保护管理办法（公通字2007]43号）措施，并给出了详细的实施指南，为组织采取控制措施、实现信息安全目标提供了选择，是信息安全的最佳实践。ISO/IEC27002的由来组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中，经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。当信息安全问题开始出现的初期，人们解决信息安全问题的主要途径就是安装和使用信息安全产品，如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等，这些问题与信息安全的要求都密切相关，而仅仅通过产品和技术是无法解决的。上个世纪90年代末，人们开始意识到管理在解决信息安全问题中的作用。1993年9月，由英国贸工部（DTI）组织许多企业参与编写了一个信息安全管理的文本一“信息安全管理实用规则（Codeofpracticeforinformationsecuritymanagement）”,1995年2月，在该文本的基础上，英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版，2000年12月被采纳成为国际标准，即ISO/IEC17799:2000。2005年6月15日，该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC27002。同时伴随着ISO/IEC27002发展的还有另一个标准，即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年修订后发布1999版。2000年12月，当BS7799-1:1999被采纳成为国际标准时，BS7799-2:1999并没有被页脚内容信息安全等级保护管理办法（公通字2007]43号）国际标准化组织采纳为国际标准。2002年英国又对BS7799-2：1999进行了修订发布2002版。2005年10月，这个标准被采纳成为国际标准ISO/IEC27001：2005。ISO/IEC27002的范围ISOS/IEC27002为组织实施信息安全管理提供建议，供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施，组织应考虑本国的法律法规以及组织的实际情况来选择使用。参照本标准，组织可以开发自己的信息安全准则和有效的安全管理方法，并提供不同组织间的信任。ISO/IEC27002的主要内容ISO/IEC27002：2005是一个通用的信息安全控制措施集，这些控制措施涵盖了信息安全的方方面面，是解决信息安全问题的最佳实践。标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手，循序渐进，从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施，标准还给出了详细的实施方面的信息，以方便标准的用户使用。值得注意的是，标准中推荐的这133个控制措施，并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。从内容和机构上看，可以将标准分为四个部分：一、引言部分。主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。页脚内容信息安全等级保护管理办法（公通字2007]43号）二、标准的通用要素部分（1〜3章）。第1章是标准的范围，给出了该标准的内容概述、用途及目标。第2章是术语和定义，介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。三、风险评估和处理部分。该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。四、控制措施部分（5〜15章）。这是标准的主体部分，包括11个控制措施章节，分别是：5安全方针（控制目标：1个，控制措施：2个）6信息安全组织（控制目标：2个，控制措施：11个）7资产管理（控制目标：2个，控制措施：5个）8人力资源安全（控制目标：3个，控制措施：9个）9物理和环境安全（控制目标：2个，控制措施：13个）10通信和操作管理（控制目标：10个，控制措施：32个）11访问控制（控制目标：7个，控制措施：25个）12信息系统获取、开发和维护（控制目标：6个，控制措施：16个）13信息安全事件管理（控制目标：2个，控制措施：5个）14业务连续性管理（控制目标：1个，控制措施：5个）15符合性（控制目标：3个，控制措施：10个）ISO/IEC27002的使用说明ISO/IEC27002：2005作为信息安全管理的最佳实践，它的应用既有专用性的特点，也有通用性特点。页脚内容信息安全等级保护管理办法（公通字2007]43号）说它具有专用性，是因为作为信息安全管理体系标准族（ISMS标准）中的一员，目前它与ISMS的要求标准ISO/IEC27001：2005是组合使用的，ISO/IEC27001：2005中的规范性附录A就是ISO/IEC27002：2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织，应根据ISO/IEC27001：2005的要求，选择ISMS范围，制定信息安全方针和目标，实施风险评估，根据风险评估的结果，选择控制目标和控制措施，制定和实施风险处理计划，执行内部审核和管理评审，以持续改进。ISO/IEC27002：2005的通用性，体现在标准中提出的控制措施是从信息安全工作实践中总结出来的，是最佳实践。任何规模、任何性质的有信息安全要求的组织，不管其是否建设ISMS，都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。另外，ISO/IEC27002：2005中提出的控制目标和控制措施，对一个具体的组织并不一定全部适用，也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC27002：2005以外的控制目标和控制措施。我国采用ISO/IEC17799情况的说明我国政府主管部门十分重视信息安全管理国家标准的制定。2002年，全国信息安全标准化技术委员会（）成立之初，其第七工作组（WG7）就开始了ISO/IEC17799的研究和制标工作。2005年6月15日，我国发布了国家标准“GB/T19716-2005信息安全管理实用规则”，修改采用ISO/IEC17799：2000。2006年，根据ISMS国际标准的发展和我国的实际需要，全国信息安全标准化技术委员会又提出了GB/T19716-2005的修订计划和对应ISO/IEC27001：2005等相关ISMS标准的制定和研究计划。相信不久，对应页脚内容信息安全等级保护管理办法(公通字2007]43号)最新ISMS国际标准的国家标准就会发布，以供大家遵照使用。信息安全管理体系要求一ISO/IEC27001：2005介绍发展：一个重要的里程碑ISO/IEC27001:2005的名称是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements”，可翻译为“信息技术-安全技术-信息安全管理体系要求”。在ISO/IEC27001:2005标准出现之前，组织只能按照英国标准研究院(BritishStandardInstitute,简称BSI)的BS7799-2:2002标准，进行认证。现在，组织可以获得全球认可的ISO/IEC27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步：从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。目的：认证ISO/IEC27001:2005标准设计用于认证目的，它可帮助组织建立和维护页脚内容信息安全等级保护管理办法（公通字2007]43号）ISMS。标准的4-8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4-8章的所有要求，那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核（初审）后，其结果是符合ISO/IEC27001:2005的要求，那么它就会颁发ISMS证书，声明该组织的ISMS符合ISO/IEC27001:2005标准的要求。然而，ISO/IEC27001:2005标准与ISO/IEC9001:2002标准（质量管理体系标准）不同。ISO/IEC27001:2005标准的要求十分“严格”。该标准4-8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足，就不能声称该组织的ISMS符合ISO/IEC27001:2005标准的要求。相比之下，ISO/IEC9001:2002标准的第7章的某些要求（或条款），只要合理，可允许其质量管理体系（QMS）作适当删减。因此，不管是第一方审核、第二方审核，还是第三方审核，评估组织的ISMS对ISO/IEC27001:2005标准的符合性是十分严格的。特点：信息资产风险评估ISO/IEC27001:2005标准适用于所有类型的组织，而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说，该标准要求组织通过业务风险评估的方法，来建立、实施、运行、监视、评审、保持和改进其ISMS，确保其信息资产的保密性、可用性和完整性。（1）信息资产ISO/IEC27001:2005所指“信息”可包括所有形式的数据、文件、通信件（如email和传真等）、交谈（如电话等）、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的，以任何方式存储的信息。通常，系统（如信息页脚内容信息安全等级保护管理办法（公通字2007]43号）系统和数据库等）也可作为一类信息资产。（2）安全风险组织的信息资产可面临许多威胁，包括人员（内部人员和外人员）误操作（不管有意的，还是无意的）、盗窃、恶意代码和自然灾害等。另一方面，组织本身存在某些可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。（3）风险评估与处理ISO/IEC27001:2005标准要求组织利用风险评估的方法，确定每一个关键信息资产的风险，并根据各类信息资产的重要度和价值，选择适当的控制措施，减缓风险。风险评估和风险处理是ISO/IEC27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系，要进行信息资产风险评估和风险处理。其主要过程是：1）制定组织的ISMS方针和风险接受准则；2）定义组织的风险评估方法；3）识别要保护的信息资产，并进行登记；4）识别安全风险，包括识别资产所面临的威胁、组织的脆弱点和造成的影响等；5）对照组织的风险接受准则，评价和确定已估算的风险的严重性、可否接受;6）形成风险评估报告；7）制定风险处理计划，选择风险控制措施；标准明确规定，有4种风险处理方法：采用适当的控制措施、接受风险、页脚内容信息安全等级保护管理办法（公通字2007]43号）避免风险和转移风险；8）执行风险处理计划，将风险降低到可接受的级别。从理论上，风险只能降低（或减少），而不能完全消除。选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护，将其所受的风险降低到可接受的水准，又能使所需要的费用在该组织的预算范围之内，使该组织能够保持良好的竞争力和成功运作的状态。另外，风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时，风险评估应重新进行。要求：基于过程“PDCA”过程图1ISMS“PDCA”过程周期国际标准化组织（ISO）使用Plan-Do-Check-Act（即计划-实施-检查-纠正）过程模型组织ISO/IEC27001:2005标准。这个标准4-8章规定了ISMS的建立、实页脚内容信息安全等级保护管理办法（公通字2007]43号）施与运行、监督与评审、维护与改进所要遵循的活动（过程），并形成一个周期，称“PDCA”周期，如图1（2）过程方法过程是指使用资源把输入转为输出的一组活动。更通俗地说，过程就是将原料（输入）加工成产品（输出）的工作（活动）。输入之所以能转为输出是因为开展了某些工作或活动。ISO/IEC27001:2005标准4-8章规定了一组ISMS过程。该标准也要求组织使用“过程方法”来管理和控制其ISMS过程。即：1）组织必须对应4-8章的相应要求，建立其实际的ISMS过程；2）组织的ISMS需按“过程方法”进行管理和控制。这意味着组织的ISMS要包含有许多符合该标准4-8章规定的、相互协调的过程。通常，一个过程的输出便是另一个过程的输入。通过这些输出和输入把各个ISMS过程“粘”在一起，而形成一个相互依赖的统一整体。标准还规定，某些ISMS过程要用形成文件的程序加以控制。（3）过程要求ISO/IEC27001:2005标准4-8章规定了一组ISMS过程。因此，从另一个角度，ISO/IEC27001:2005标准的要求就是过程要求。组织的ISMS必要满足这些过程要求。注：与ISO/IEC27001:2005正文内容不同，ISO/IEC27001:2005附录A的内容属于控制要求。页脚内容信息安全等级保护管理办法（公通字2007]43号）ISMS认证什么是ISMS认证所谓认证，即由可以充分信任的第三方认证机构依据特定的审核准则，按照规定的程序和方法对受审核方实施审核，以证实某一经鉴定的产品或服务符合特定标准或规范性文件的活动。针对ISO/IEC27001的受认可的认证，是对组织ISMS符合ISO/IEC27001要求的一种认证。这是一种通过权威的第三方审核之后提供的保证：受认证的组织实施了ISMS，并且符合ISO/IEC27001标准的要求。通过认证的组织，将会被注册登记。为什么要进行ISMS认证根据CSI/FBI的ComputerCrimeandSecuritySurvey2005中的统计，65%的组织至少发生了一次信息安全事故，而在这份报告中同时表明有97%的组织部署了防火墙，96%组织部署了杀毒软件。可见，我们的信息安全手段并不奏效，信息安全现状不容乐观。实际上，只有在宏观层次上实施了良好的信息安全管理，即采用国际上公认的最佳实践或规则集等，才能使微观层次上的安全，如物理措施等，实现其恰当的作用。采用ISMS标准并得到认证无疑是组织应该考虑的方案之一。1）预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：重要的商业秘密信息的泄漏、丢失、篡改和不可用；重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；2）节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，页脚内容信息安全等级保护管理办法（公通字2007]43号）而且也能帮助组织合理筹划信息安全费用支出，包括：依据信息资产的风险级别，安排安全控制措施的投资优先级；对于可接受的信息资产的风险，不投资安全控制；3）保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；4）增强客户、合作伙伴等相关方的信任和信心。MS认证适合何种类型的组织ISO/IEC27001:2005中明确指出，标准中规定的要求是通用的，适用于所有的组织，无论其类型、规模和业务性质怎样。ISO/IEC27001:2005可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据，无论是自我评估还是独立第三方认证。就目前国内发展来看，最先确定实施ISMS并考虑接受ISO/IEC27001:2005认证的组织，其驱动力都比较明显，这种驱动力可以是外部的，也可以是发自内部的。这些组织主要集中在以下几个行业：半导体行业：尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC产业发展迅猛，大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业，鉴于IP（知识产权）保护的重要性，来自国外客户的明确要求，使得国内芯片制造企业必须在信息安全管理方面做出保证，ISO/IEC27001:2005证书就是最好的选择。软件外包行业：情况与芯片制造企业类似，近年来，承担软件定制开发的很多企业，也面临外部客户明确提出的信息保护的要求。金融业和保险业：一直以来，金融和保险行业对信息安全的重视都是非页脚内容信息安全等级保护管理办法（公通字2007]43号）常高的，保护客户信息、保证业务运转的可靠性和持续性，这都是此行业组织实施ISMS，并寻求认证的驱动力。通讯行业：特别是一些大型的通信设备提供商，由于牵涉到对自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。电子商务行业：对于电子商务交易平台、电子商务支付平台，由于客户以及合作伙伴对交易过程的高度安全需求，导致这类组织都会在信息安全建设方面加大投入建设，全面的信息安全管理体系。其他行业：只要是涉及到IP保护、行业规范和法律法规要求、自身发展需求的，组织都会逐渐在信息安全建设上加强力度，就拿美国Sarbanes-Oxley法案（萨班斯法案，简称SOX法案）来说，由于对在SEC注册的上市公司提出了内部控制审核的要求，相关组织必然会在信息安全方面投入关注，因为信息安全控制是企业内部控制必不可少的一个部分。ISMS认证状况及发展趋势ISMS证书统计自2002年以来，全球许多组织开始建立和实施ISMS，并认识到ISMS认证给组织带来的利益。截至Saturday,06January2007,全球通过的ISMS认证的组织已达3274家，其中包括我国大陆的41家（在xisec网站上列出了39个证书的企业名称），台湾112家，香港26家和澳门3家。各个国家通过ISMS的企业数量如下表所示：页脚内容信息安全等级保护管理办法（公通字2007]43号）Japan1850Mexico11SlovakRepublic2UK334Spain9SouthAfrica2India290Sweden9SriLanka2Taiwan123Philippines8Thailand2Germany75Iceland7Armenia1Hungary52UAE7Chile1Korea46Greece5Egypt1Italy42SaudiArabia5Lebanon1USA42Kuwait4Lithuania1China41Russian4Luxemburg1Netherlands31Argentina3Macedonia1HongKong29Canada3Moldova1Singapore28Croatia3Morocco1Australia21France3NewZealand1Switzerland19IsleofMan3Pakistan1Ireland17Macau3Peru1Poland17Slovenia3Qatar1Czech16Bahrain2Serbiaand1Finland15Belgium2Ukraine1Brazil14Colombia2Uruguay1Malaysia14Denmark2Vietnam1Norway14Indonesia2Turkey12Oman2RelativeTotal3287Austria11Romania2AbsoluteTotal3274表一：Saturday,06January2007全球ISMS证书数量及分布（数据来源XISEC）ISMS证书统计中国大陆地区目前已经取得ISMS认证的企业有44家（xisec网站上只统计了41个证书），大多数都是从去年下半年开始新出现的，详见表二。在这44个证书中，按位置划分：上海11家；深圳9家；大连6家；北京8家；沈阳2家；厦门、辽宁、嘉兴、山东、苏州、东莞、广州、四川各1家。页脚内容

信息安全等级保护管理办法（公通字2007]43号）按行业划分：生产业企业有10家；软件开发是10家；通信业有8家；1丁服务5家；咨询业3家；电力行业2家；保险业2家；广告、业务流程外包、数据恢复、互联网各1家。表二：国内通过ISMS认证的各企业信息如下表所示:数量企业名称位置所属行业主营业务1埃森哲信息技术（大连）有限公司大连咨询业顾问、会计师、审计师、法律2上海市先进半导体制造有限公司上海生产业专门制造仿真半导体及双极型内容较高的混合讯号半导体3毕博信息技术（上海）有限公司上海咨询业提供战略咨询、应用服务、技术解决方案及管理外包服务4北京核心软件北京软件开发为客户和政府部门提供多种IT系统解决方案，提供适合顾客需求的系统集成方案，同时从事软件新产品的研发和软件产品出口工作5北京移动通信有限公司数据中心北京通信业数据中心6北京中海神鹰科技发展有限公司北京咨询及开发主要从事信息化建设以及信息安全系统的架构、咨询和建设实施，还提供信息技术的应用开发、流程设计和技术服务。7博朗软件开发（上海）有限公司上海软件开发软件开发8北京恒信联邦高科信息技术有限公司北京软件开发、系统集成专门从事计算机软件开发、系统集成业务，致力于为各个行业提供先进、可靠、完备的电子解决页脚内容

信息安全等级保护管理办法（公通字2007]43号）数量企业名称位置所属行业主营业务方案。9北京电信公司北京通信业电信运营商10大连华信计算机技术有限公司大连软件开发从事计算机应用软件开发、系统集成、软件外包服务及IT教育与培训等11大连信华信息技术有限公司大连软件开发是以大量的对日商业流程外包（BPO）为主要业务的信息技术公司12广东省广博报堂广告有限公司广州广告公司广告13简柏特（大连）有限公司大连外包为通用电气各业务集团以及其他知名跨国公司提供各种业务流程外包服务，包括金融保险业的交易处理、财务服务、信息技术支持、客户服务中心、员工服务、工业供应链管理等。14GDS万国数据（深圳）深圳数据灾难恢复数据灾难恢复15广东生益科技股份有限公司东莞市生产业生产销售敷铜板和粘结片等产品16广东电信有限公司深圳分公司深圳龙岗互联网数据中心深圳通信业数据中心17和舰科技（苏州）有限公司苏州生产业雄厚外资的先进晶圆专工企业18山东黄岛电厂山东电力行业山东电网主力发电厂19深圳市华为技术有限公司深圳通信业业务涵盖移动、宽带、IP、光网络、电信增值业务和终端等领域页脚内容

信息安全等级保护管理办法（公通字2007]43号）数量企业名称位置所属行业主营业务20益德穿梭科技（大连）有限公司大连软件硬件开发计算机软、硬件产品的开发与销售，国内外客户的计算机软件项目的承包，计算机数据处理，技术咨询。21捷智半导体（上海）有限公司上海生产业半导体22浙江嘉兴电力局京也力口八电力行业23川崎重工（大连）科技开发有限公司大连IT服务提供IT服务，包括系统监视运行等更广泛的解决方案及技术服务24深圳市金德精密五金有限公司深圳生产业主要从事打印机、复印机、电脑机箱等产品的精密五金配