ISO27001“信息安全管理体系(ISMS)”标准解析
1、ISO27001标准“4.1 总要求”理解要点
组织建立ISMS信息安全管理体系,首先须考虑的是:
a)在其整体业务框架下,其业务运营面临的内部、外部环境中,有哪些相关方?
b)他们对组织业务运营的要求有哪些?
c)相关方的意见对组织确定信息安全方针和策略的影响程度、内容及方式是什么?
组织应对这些环境因素给予充分的了解,进而考虑对其具体的业务过程活动中的信息安全需求和风险进行识别和评价,针对所评估的风险以及组织可接受的风险水平, 设计适合于组织经营环境以及业务性质的信息安全管理体系,并将相应的信息安全管理过程以及控制措施要求形成文件,予以批准、发布和实施。
对于运行中的ISMS信息安全管理体系,组织还应按照规定的程序、方法和准则对ISMS信息安全管理体系的运行绩效以及信息安全风险的状况进行持续地监视和评审,适时采取纠正、预防和改进措施。
组织运营的内部、外部环境往往处在不断的变化之中,这些变化可能会给组织的信息安全带来新的风险,也可能会影响组织已识别和评价的风险,因此组织的ISMS信息安全管理体系应随着这些变化适时予以改进和更新。
组织的ISMS信息安全管理体系的建立、实施、保持和改进应体现PDCA循环的思想。
2、ISO27001标准“4.2 建立和管理ISMS”要点
(1)“4.2.1 建立ISMS”理解要点
a)在组织的整体业务框架下,确定ISMS的范围和边界,即确定在哪些业务活动中应用本标准,是组织设计ISMS信息安全管理体系要做的第一项工作。
信息安全管理体系的范围和边界的确定,以及相应的业务和活动以及其支持性活动中涉及到的技术和资产,则决定了ISO27001标准附录A中列出的控制措施要求的适用性。但对于ISO27001标准附录A的删减的细节,还需要在详细识别了资产之后才能确定。
b)所谓“方针”,即实施某项活动的指导原则和行动路线,它可以是一个组织在其整体业务范围框架下开展某项活动的总的指导原则和行动路线,也可以是针对某项具体活动的指导原则和行动路线。
对于前一种情况,实例包括组织的质量方针、组织的信息安全方针等,对于后一种情况,为了便于区分,在本标准中使用了“策略”一词表述,例如,“清空桌面和屏幕策略”。
c)从方法论的角度讲,ISMS信息安全管理体系的基础是风险管理。
关于风险管理过程,ISO31000:2009给出了一个框架性示意图,见下图。
风险管理过程
针对某一项资产,如何通过影响并确定风险的一组条件得出科学的风险等级,取决于组织所选用的具体风险评估技术的类型。常用的风险评估技术包括头脑风暴法、FMEA、ETA、FTA、风险矩阵法等。
明确风险准则,还包括组织对可接受风险水平的确定和批准。就可以针对已识别的信息安全相关资产的脆弱性和威胁以及资产价值,进行具体的风险分析和计算,将风险按高低排序,找出高于可接受风险水平的风险,对其进行风险处置。
d)对信息安全进行管理,并不意味着将所有的资产置于绝对安全的保护措施,因为“绝对安全”的成本是巨大的。因此,需要有选择地实施风险处置。一般来说,风险处置可考虑:风险降低、风险转移、风险规避和风险接受。
e)准备一份《适用性声明》,用来向相关方提供有关组织风险处置决定的信息,内容可包括选择的控制目标和控制措施,但不宜太细,以避免过多披露控制措施的细节。
(2)“4.2.2 实施和运行ISMS”理解要点一个可执行的风险处置计划,必然要包括以下内容:
1)计划的任务内容;
2)任务展开与执行需要的职务、权限、责任的指派;
3)处置计划中的技术方案与资金预算;
4)资源提供,包括充足数量的具备实施技术方案相应能力的人员、软件或硬件产品与工具、必要的设备等。
针对风险评估的结果,需要进行处置的风险往往不止一项,风险处置计划当然也就不止一项。对于已经识别的不可接受风险,风险处置的目的当然是要将风险水平降低到可接受水平以下。出于其他的业务经营的需要,组织也可能制定风险处置计划,以改变原来的可能性或后果。
针对组织的信息安全管理现状和《适用性声明》的内容,风险处置计划中的任务内容可能包括:
制定管理信息安全相关活动的规程;
对基础设施和物理安全系统进行安全加固或技术更新;
对信息系统的硬件或软件实施安全加固或技术更新;
对人员进行信息安全相关的知识、技能、具使用等进行培训和有关风险后果的意识教育;
就信息安全管理规程的要求对人员进行培训,并推行信息安全规程;
与第三方服务提供方就信息安全管理事项进行沟通和协商,等等。
风险处置计划的实施应在受控条件下进行,责任分工明确,记录计划的实施,记录计划的实施结果,这些数据将可作为对信息安全管理绩效和风险处置计划实施后风险的变化进行评估的输入。
(3)“4.2.3 监视和评审ISMS”理解要点
一般说来,监视和测量可分为管理性监视测量和技术性监视测量。
对系统实施技术性监视和测量,一种情况是为了实时监测系统资源的占用情况是否在安全阈值内,以及是否有安全违规情况发生和能否对这些安全违规进行有效的拦截。另一方面,这些系统中的设备硬件的耗损情况虽不需进行实时监测,但也需要根据硬件的寿命定期进行检查,以便于及时排除因设备故障而导致的系统功能不可 用,进而影响信息的完整性。
管理性的监视和测量则是针对各种信息安全管理规程执行情况的常规检查,通常使用以管理规程的要求为依据的检查表的方法。例如:内部管理体系审核,以高层管理者为主导的管理评审等。
监视测量记录都应予以保持,作为纠正或预防措施、或改进措施的信息输入。
(4)“4.2.4 保持和改进ISMS”理解要点
各种监视测量的结果应可为确定改进措施提供信息输入。应针对监视测量数据显示的信息,以及相应的风险评估结果,确定改进的目标以及改进的具体措施方案。对其他组织在信息安全方面的经验和教训的分析,也可为本组织的改进提供输入。
可能的改进措施可包括:
1)信息系统以及其他系统的更新或技术升级;
2)管理规程的更新和流程改善;
3)人员知识与技能的持续教育和培训,等等。
改进过程本身应经过良好策划,以确保改进方案的实施达到预期的目标。需要时,改进方案应与相关方协商取得一致意见后进行。
当改进项目涉及到相关方的要求时,为了确保信息安全持续地与相关方的要求一致,使组织在信息安全方面能够持续地给予相关方信心,组织应按照预先商定的方式向所有相关方沟通改进方案实施的细节。
3、ISO27001标准“4.3 文件要求”理解
(1)“4.3.1 总则”理解要点
组织的信息安全管理体系要求应形成文件。
信息安全管理体系文件的作用可包括:
1)表述组织信息安全的统一宗旨和方向;
2)作为培训教材,使人们对于信息安全要求有一致的理解;
3)作为人们在信息安全管理活动中的一致的行为标准;
4)作为监视和测量信息安全管理绩效的一致的方法和准则;
5)作为采取纠正、预防和改进措施决策的依据;
6)作为追溯信息安全管理活动的依据。
ISO27001标准本条款列出了基本的信息安全管理体系文件的类别。在特定的组织业务运营环境中,除了ISO27001标准中(ISO27001标准正文以及附录A)明确要求“形成文件”的内容外,所有体现组织信息安全管理要求的文件,都是组织信息安全管理体系文件的一部分。
按照组织的规模、业务活动特点和性质、技术应用的程度等其他内、外部环境的需求,这些文件可能以“程序”或“规程”的形式出现,也可能以“规范”或“规则”、“标准”、“操作说明”或“作业指导书”等其他适用的形式出现。
ISO27001标准并没有列出所有的信息安全管理体系文件类别,亦没有对文件数量提出要求。文件的多少与详略程度取决于组织自身的信息安全管理需求。承载文件的介质可以是纸介质、电子介质或其他类型的适用介质,取决于文件使用者的需要以及组织实施文件管理的需要和安全要求。
(2)“4.3.2 文件控制”理解要点
组织的ISMS信息安全管理体系文件本身亦应作为信息资产予以管理,以确保这些文件的完整性和可用性,以及必要的保密性,这就是为什么管理体系文件需要受控。标准本 条款针对文件的发布、分发、使用、修改、作废各阶段的控制提出了要求,同时要求编制形成文件的规程,以规定和描述ISO27001标准本条款的要求在组织环境如何执行和实现。
(3)“4.3.3 记录控制”理解要点
管理体系运行的记录应予以保持。记录应真实、信息完整、相关活动的责任人信息明确。为记录设计唯一的标识,使得相应活动的发生被唯一地追溯。
记录保存的期限,取决于组织和相关方需要追溯记录的时间期限。一般情况下,记录的保存期限应不低于记录所指对象的自然生命周期。
记录的介质形式可以有多种,纸介质、图片、胶片、磁带、光盘、磁盘等,都可能用作记录的载体。
记录贮存期间的保护方法,就取决于这些介质的性质,例如防火、防水、防热、防光照、防压力、防磁、防小动物等,都有可能是需要考虑的内容。
为确保记录不会在存贮期间失效,须安排定期对记录进行完整性、可用性的检查,并根据需要考虑重新备份。
关于各类记录的具体管理要求和方法,组织应编制形成文件的规程,所谓“形成文件的规程”,可以是独立的一份文件,也可以融合在其他规程中,例如,描述某项活动具体实施步骤的规程。
