ISO20000 信息安全管理
随着互联网的普及,信息安全问题不断涌现,信息安全产品也日益增多,从信息加密、防病毒到防火墙、IDS、IPS入侵检测等等。但是要保障信息安全仅有安全产品和安全技术是不够的,那种靠购买安全产品和安全技术来保障企业信息安全的想法可能导致企业忽略一些严重的安全漏洞。在所有的安全事件中,安全产品只能解决由于外部非法攻击引起的事件,而由于人员的操作不当而引起的安全事件是不能靠安全产品解决的,可以通过加强管理而避免。因此,信息安全并不能只依靠产品和技术,企业需要通过对所有信息资产进行风险评估,从而制定相应的安全策略,建立完善的信息安全管理流程和内审机制,并可在不同的风险领域选择适当的安全产品和安全技术加以防范。
在ISO20000中定义信息安全管理目的为:“在所有服务活动中有效地管理信息安全。”在安全管理的主要活动中,首先,“经过适当授权的管理者应批准信息安全策略,井在适当的时候与所有相关人员和顾客沟通”。其次,要求“应采取适当的安全控制以实施信息安全策略的要求,并管理与服务或系统访问有关的风险。安全控制应记录在文件中,这些文件应描述与安全控制相关的风险以及安全控制的运行和维护方式。在实施控制措施变更前,应评估变更的影响” 。
ISO20000还定义了信息安全管理流程的其他一些活动,包括:“外部组织访问信息系统和服务的合约应基于正式的协议,协议中应规定全部所需的安全要求。应根据事件管理流程尽快报告和记录安全事故。应实施可以确保调查所有的安全事故并采取管理措施的流程。应对安全事件和故障的类型、数量和影响建立量化和监控机制。应记录信息安全管理流程所识别的改进措施,并作为服务改进计划的输入。”
由于ISO标准体系中已经发布了专门的《ISO/IEC 17799 信息技术——安全技术实施指南》,对信息安全管理进行了详细的阐述,ISO20000标准中此未再做深入的介绍。
