乐竞官网-乐竞(中国)一站式体育服务

标准的主（zhǔ）要内容

ISO/IEC17799-2000（BS7799-1）对信息安（ān）全管（guǎn）理给出建议，供负责在（zài）其组织启动、实施或维护安全的（de）人员使用（yòng）。该标准为开发组织的（de）安全标准和有效的安全（quán）管（guǎn）理做法提供（gòng）公共基础，并为组织之间的（de）交（jiāo）往提（tí）供信任。

标准指出“象其他重要业务资产（chǎn）一样（yàng），信息也（yě）是一种资产（chǎn）”。它对一个组织（zhī）具有价值，因此需（xū）要加以合适地保护。信息安全防止信息受到的（de）各种威（wēi）胁，以确保（bǎo）业务连续性，使业务受（shòu）到（dào）损（sǔn）害的（de）风险减至**小，使（shǐ）********和业务（wù）机（jī）会****。

信（xìn）息（xī）安全是通（tōng）过（guò）实现一组合适控制获（huò）得的（de）。控（kòng）制可以是策（cè）略、惯例、规程、组织结构和软件功（gōng）能。需要建立（lì）这些控制，以确（què）保满足该组（zǔ）织的特定安全目标。

内容章节

ISO/IEC17799-2000包（bāo）含了127个安全控制措（cuò）施来帮助（zhù）组织识别在运做过程中对信息安全有（yǒu）影（yǐng）响的元素，组（zǔ）织可以根据适用（yòng）的（de）法律法规和章程加以选择（zé）和（hé）使用，或者（zhě）增加其（qí）他附加控制。国际标准化组织（ISO）在（zài）2005年对ISO 17799进行了修订（dìng），修订后的标准（zhǔn）作（zuò）为ISO 27000标准族的****部分——ISO/IEC 27001，新标（biāo）准去掉9点控（kòng）制（zhì）措施，新增17点（diǎn）控制措施，并重组部分（fèn）控制措施而新增一章（zhāng），重组部分控制措施，关联（lián）性逻（luó）辑性更（gèng）好，更适合应用；并修改了（le）部分控制措施（shī）措辞。修改后的标准包括11个（gè）章节：

1）安全策略。指定信（xìn）息安全方（fāng）针，为信息（xī）安全提供管理指引和（hé）支持，并定期评审（shěn）。

2）信息安全的组（zǔ）织（zhī）。建立信息安全管（guǎn）理组织体系，在内部开展和控制信（xìn）息安全的实（shí）施。

3）资（zī）产管理。核查（chá）所有信息资（zī）产，做（zuò）好信（xìn）息分类，确保信息资产受到适当（dāng）程度的保护。

4）人力资源安全。确保所有（yǒu）员（yuán）工（gōng），合同（tóng）方和第三（sān）方了解信（xìn）息安全（quán）威胁（xié）和相关事（shì）宜以（yǐ）及各（gè）自的责任，义务，以减少人为差错，盗窃，欺诈或误用设施（shī）的风（fēng）险。

5）物理和（hé）环境安全。定义安全区（qū）域，防止对办公场（chǎng）所和信息的（de）未（wèi）授权访问，破坏和干扰；保护设备的安全，防止信息资产的丢失，损坏或（huò）被盗（dào），以及对（duì）企业业务的干扰；同时，还（hái）要做好一般（bān）控制，防止（zhǐ）信（xìn）息（xī）和信息（xī）处理设（shè）施的损（sǔn）坏和被（bèi）盗。

6）通信和操作（zuò）管理（lǐ）。制定操作规（guī）程和职（zhí）责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统失效的（de）风险降到（dào）****；防范恶意代码和移动代码，保护软件和（hé）信（xìn）息的（de）完整性（xìng）；做好信息备（bèi）份和网（wǎng）络安（ān）全管理，确保信息在网络中的安全，确保其支持性（xìng）基础设施得到（dào）保护；建立媒体处置和（hé）安全的规程，防止（zhǐ）资（zī）产损坏（huài）和业务活动的（de）中断；防止信息（xī）和（hé）软件在组织（zhī）之间交换时丢失，修改或误用（yòng）。

7）访问控制。制（zhì）定（dìng）访问控制策（cè）略，避（bì）免信（xìn）息系统的非授权（quán）访问，并（bìng）让用（yòng）户了解（jiě）其职责和义务，包括网络访问控制，操（cāo）作系统访问控制，应用系统和信息访问控（kòng）制，监视（shì）系统访问（wèn）和使用，定期检测未授权的活动；当（dāng）使（shǐ）用移动办（bàn）公和远程控制时，也要确（què）保（bǎo）信息安全。

8）系统（tǒng）采集（jí）、开发和维护。标示系（xì）统的安全要求，确保安（ān）全（quán）成为（wéi）信息系统的内（nèi）置部分，控制（zhì）应用系统的安全，防（fáng）止应用系（xì）统中（zhōng）用户数据的丢（diū）失，被修改或（huò）误用；通过加密手段保护信息的保（bǎo）密性，真实（shí）性和完整（zhěng）性；控制对（duì）系统（tǒng）文件（jiàn）的访问，确保（bǎo）系（xì）统（tǒng）文档，源程序代（dài）码的安全；严格控制开发（fā）和支（zhī）持过（guò）程，维护应用系统软件和信息安全。

9）信息安（ān）全事故管理。报告信息安全事件和弱点，及时采取纠正措（cuò）施，确保使用持（chí）续有效的方（fāng）法管（guǎn）理信息安全事（shì）故，并确保（bǎo）及时修复。

10）业务连续（xù）性管理。目的（de）是为减少业（yè）务活动的中断（duàn），是（shì）关（guān）键（jiàn）业务过程免受主要故（gù）障或天灾的（de）影响，并确保及时（shí）恢复（fù）。

11）符合性。信息系统的设计，操作，使（shǐ）用（yòng）过程和管理要（yào）符合（hé）法律法规的要求（qiú），符合组织安全方针和（hé）标准，还要控制系（xì）统审计，使信息审核（hé）过程的效力（lì）****化，干扰（rǎo）**小（xiǎo）化。

ISO27001的（de）效益

1、通过定义、评估和（hé）控制风（fēng）险，确保经营的（de）持续性和能力

2、减少由于合（hé）同违规行为以及直接触犯法律（lǜ）法规要（yào）求（qiú）所（suǒ）造成（chéng）的责任

3、通过遵守（shǒu）国际标（biāo）准提高企业竞（jìng）争能力，提（tí）升企业形象

4、明确定义所有（yǒu）组织的（de）内部和外（wài）部的信息接口目标（biāo）：谨防数据的误用（yòng）和丢（diū）失

5、建立（lì）安全工具使用（yòng）方针

6、谨防技术诀窍的丢失

7、在组（zǔ）织内部增强（qiáng）安全意识

8、可作为（wéi）公共（gòng）会计审计的（de）证据

认识ISO27001国际标准（zhǔn）

ISO27001（BS7799/ISO17799）国际标准（zhǔn）究竟（jìng）是什么？它如何帮助一个（gè）组织更加有效地管理信息安全？BS7799/ISO27001和（hé）ISO9001之间有什么联系？初次涉猎（liè）信息安全管理领（lǐng）域应该掌握哪些（xiē）内容，以便组（zǔ）织发（fā）起信（xìn）息安（ān）全管理项目？如何（hé）获得BS7799国际（jì）标（biāo）准（zhǔn）认证？

IT治理和信息安全

近年来（lái）企（qǐ）业高（gāo）层对内部治理需（xū）求越来越实际而具体。随着信息（xī）技术普遍渗透到（dào）企（qǐ）业组织中的（de）各（gè）个方面，企业（yè）越来越（yuè）依（yī）赖IT系统（tǒng）来处理和储存各种信（xìn）息，以****业务正常运（yùn）营，由（yóu）此IT系统在企业（yè）治（zhì）理中的作（zuò）z用越来越明（míng）晰，IT治理也逐渐被大多数企（qǐ）业认可，成为董事会（huì）和企业（yè）内部共（gòng）同关注的领域（yù）。IT治理的基（jī）础部分是信（xìn）息（xī）安全保（bǎo）护（hù）——包括确保（bǎo）信息的可用性（xìng）、机密性和完整性——这是其他IT治（zhì）理环节实施（shī）的前提。

与此同（tóng）时，和信息安（ān）全相关的国际标准已（yǐ）经出台，成为标准IT治理框（kuàng）架中的一大基石（shí）。

信息安全和法律（lǜ）法规

业内人士（shì）对（duì）ISO27001认证（zhèng）趋之若（ruò）鹜，这其中有（yǒu）两（liǎng）个关键性（xìng）的驱动因素：一是日益严（yán）峻的（de）信息安全（quán）威胁，二是（shì）不断增长（zhǎng）的信（xìn）息（xī）保护相关法规（guī）的需求。

本质上说，信息安全威胁是（shì）全球化的。一般来说，它将（jiāng）毫无差别地辐射（shè）到每（měi）一个拥有（yǒu）、使用电（diàn）子信息的（de）机构和个人。这种（zhǒng）威胁在因特网的环境中自动（dòng）生成并释放。更严重的问题是，其他（tā）各种（zhǒng）形式的危险也在（zài）整日威胁数据安全，包（bāo）括从外部攻击行为到内部破坏、偷盗等一系列危险。

过去的十年内（nèi），围绕信息和（hé）数据安全问题建立（lì）起来的（de）法律法规（guī）体系从无到有、不（bú）断（duàn）壮大，其中（zhōng）包括专门针对个人（rén）数据保护问题的，也（yě）有针（zhēn）对（duì）企业财政、运营和（hé）风险管（guǎn）理体系建（jiàn）立的（de）法规保障问题（tí）的。一套正（zhèng）式规（guī）范（fàn）的信息安全管理（lǐ）体系应当可以提（tí）供****实践部（bù）署指导。目前，建立这样（yàng）的管理体系（xì）逐渐成为（wéi）诸多合（hé）规项目的必要条件（jiàn），与（yǔ）此同时，针对该管理体（tǐ）系的认证逐（zhú）渐成为各种组织（包括政府部门）的热门需求，这份（fèn）认证可以为他们带来重要的潜在商业合同。

信息（xī）安全和技术

绝大多数人认（rèn）为（wéi）信息安全是一个纯粹（cuì）的有关技术（shù）的话题，只有那些（xiē）技术人员，尤（yóu）其是（shì）计算（suàn）机安全技术人员，才能（néng）够（gòu）处理任何保障数据（jù）和计算机安全的相关事宜（yí）。这（zhè）固然有一定（dìng）道（dào）理（lǐ）。不（bú）过，实（shí）际上，恰恰是计（jì）算机用户本身需要考虑这样的问题：避免哪些威胁（xié）？在信息安全和信（xìn）息通畅中如（rú）何平衡取舍？的确如此，一旦用户给出答案，计算（suàn）机（jī）安全专家**可以设计并执（zhí）行（háng）一个技（jì）术方案（àn）以达成（chéng）用户需求。

在组（zǔ）织内（nèi）部，管理层（céng）应当（dāng）负责决策，而（ér）不（bú）是IT部门。一个规范（fàn）的信息安全管（guǎn）理体系必须明确指出（chū），组织机构（gòu）董（dǒng）事会和管理层应当负（fù）责相关信息（xī）安（ān）全管（guǎn）理体系（xì）的决策，同（tóng）时，这个体系也（yě）应当能够（gòu）反（fǎn）映这种决策（cè），并且在运行（háng）过（guò）程中能够提（tí）供证据证明（míng）其（qí）有效（xiào）性。

所以机构（gòu）组织（zhī）内（nèi）部的（de）信息安全管理体系的建立项目不必由一个技术专家来领导。事实上，技（jì）术专（zhuān）家在很多情况（kuàng）下起到相反（fǎn）的作（zuò）用，可（kě）能会阻碍（ài）项（xiàng）目进程。因此，这个项目应该（gāi）由质量（liàng）管理经（jīng）理、总经理或者其他负责机（jī）构内部重大职能的（de）执行主管负责主（zhǔ）持。

信息安全（quán）标准

1995年，英国标准协（xié）会（huì）（BSI）发布BS7799标准，即ISMS（信息安全管（guǎn）理体系），旨在规范（fàn）、引导（dǎo）信息安全管理（lǐ）体系（xì）的发展过程和实施情况。BS7799标准被外界认为是一个（gè）不偏（piān）向任何技术、任何企业和产品供应商的价值中立的管理（lǐ）体（tǐ）系。只要实施得当，BS7799标准将帮（bāng）助企业检查并确认其信息安（ān）全管理手段（duàn）和实施方案的有效性。

从企（qǐ）业外部来看，BS7799关注信息（xī）的可用性（xìng）、机密（mì）性和完整性，至今这仍然是这项标准****达到（dào）的目（mù）标。BS7799集中关注企（qǐ）业组织层面上的风险规避（一定程度上主要是商（shāng）业和金融（róng）风（fēng）险），而（ér）不包括避免每一个潜在（zài）风险的（de）保护措施——尽管它们至（zhì）关重要。

BS7799**初仅有一份文档，且具有明（míng）显（xiǎn）的实践指南（nán）性质。也**是说，它为（wéi）组织提供信息安全指（zhǐ）引，但（dàn）没有形成（chéng）规范，不（bú）能为（wéi）外部第三方审计和认证等提供依据。随着越来越多（duō）的企业（yè）开始（shǐ）认识到（dào）来自信息安（ān）全（quán）的威胁波及范（fàn）围越（yuè）来（lái）越广，影响程度越来越大，并且关于数据和隐私权保护的法律法（fǎ）规不断出台（tái），信息安全标准认证的需（xū）求（qiú）开始不断增加。

这种（zhǒng）需求的增加（jiā）**终促成（chéng）了（le）该项标（biāo）准****部分的出台（tái），即标准（zhǔn）规范（fàn）。实（shí）践指南和标准规范（fàn）之间的关系是这样的：标准规范是认证方（fāng）案的（de）基（jī）础（chǔ），同时标准（zhǔn）规范要求实践者遵从（cóng）实践指南的指引。

这个实践指南**近被修订为ISO/IEC 17799：2005，标准规范也被修订为（wéi）ISO/IEC 27001:2005，逐步得到国际认同（tóng）。

许多国家（jiā）也已发布了（le）自己的相关标（biāo）准，比如AS/NZS7799。这些标（biāo）准的国际化版本可以在（zài）世界任何国家得（dé）到（dào）认可（kě），这促使了**粱曜嫉南耍（shuǎ）ǔ嘶诹礁霰曜（yào）己怕牖∩系谋**粱（liáng）曜家酝猓

认（rèn）证与遵从

一个组织可以仅遵从（cóng）ISO17799来建立和发展ISMS（信息安全管理体系），因为实践指南中的内容是普遍适（shì）用的。然而，由于ISO17799并非基于认（rèn）证框架，它（tā）不具备关（guān）于通过认证所必（bì）需的（de）信息安（ān）全管理体系的要求。而ISO/EC27001则包含这些具体详尽的（de）管理体系认证要（yào）求。在技术层（céng）面来讲，这**表（biǎo）明一个正（zhèng）在独立运用（yòng）ISO17799的机构组织（zhī），****符合实践指（zhǐ）南（nán）的（de）要求，但是这并不足以让外（wài）界认可其已经达到认证框架（jià）所制（zhì）定的认证要求。不同的是，一个（gè）正（zhèng）在同时运用ISO27001和ISO17799标准的（de）机构组织，可以建立一个****符合认证具体要（yào）求的ISMS，同（tóng）时这个ISMS体系也（yě）符（fú）合（hé）实践指（zhǐ）南的要求，于是，这（zhè）一组织**可以获得外界的认同（tóng），即获得认证。

ISO27001认证要求

ISO27001标准是（shì）为（wéi）了与其他管理标准，比如ISO9000和ISO14001等相互（hù）兼容而设计（jì）的，这一标（biāo）准中的编号系统和文件管理需求的设（shè）计初衷，**是为了提供良好的兼容性，使得组织可以建立起这样一（yī）套管理（lǐ）体系：能够在****程度上融入这个组织正在（zài）使用（yòng）的其他任何（hé）管理体系。一般来说，组（zǔ）织（zhī）通常会使（shǐ）用（yòng）为其（qí）ISO9000认证或者其他管（guǎn）理体系认（rèn）证提供认证服务的机构（gòu），来提供（gòng）ISO27001认证（zhèng）服务。正是（shì）因为这个缘故，在ISMS体系（xì）建立的（de）过程中，质（zhì）量管理（lǐ）的（de）经验举（jǔ）足轻重。

但是（shì）有一（yī）点需要注意，一（yī）个组（zǔ）织（zhī）如果没有事先拥（yōng）有并使用任（rèn）何形式的管理体系，并不意（yì）味着该组织不能进行ISO27001认证。这种（zhǒng）情况下，该组织（zhī）**应当从经济利（lì）益（yì）考虑，选择（zé）一（yī）个（gè）合适的管理（lǐ）体系的认证机（jī）构（gòu）来（lái）提供认证服务。认证（zhèng）机构必须得到（dào）一个国家鉴定（dìng）机（jī）构的委托（tuō）授权，才能为认证（zhèng）组织提供认（rèn）证服（fú）务，并发（fā）放认（rèn）证证书。大多数国家（jiā）都有自己的国家鉴定机构（gòu）（比（bǐ）如：英国UKAS），任何（hé）获得该机构授权进行（háng）ISMS认证的（de）机构均记录在（zài）案。

风险评估应对计（jì）划

任（rèn）何一个ISMS体系的建立和开发都应（yīng）当（dāng）满足组织独特的需求。每个组（zǔ）织不仅都（dōu）有自（zì）己独特（tè）的业务模（mó）式、运营目标、形象特（tè）点和内部文（wén）化（huà），他们对待风险（xiǎn）的态（tài）度倾向也大相径庭。换句话说，同一个东西（xī），一个机（jī）构组织（zhī）认为是必（bì）须提防的威（wēi）胁，在（zài）另（lìng）一个组（zǔ）织看来可能是一个必须抓住的机遇。同样地，各个机（jī）构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因，每个运行ISMS的组织，其（qí）内（nèi）部成员必须对（duì）风险（xiǎn）评估有一个共识，这个（gè）风险评估的（de）方法（fǎ）论、结果发（fā）现和推（tuī）荐（jiàn）解决方式都必须得（dé）到（dào）董事（shì）会的首肯（kěn）。

ISMS项目和PDCA流（liú）程

ISMS项目（mù）很复杂，可能（néng）持续若干个月甚至若干年，涉及整个机构组（zǔ）织（zhī）以及从管理（lǐ）层到收发部门的每（měi）个成员。ISO27001认证诞生时间短，成功（gōng）的案（àn）例比较少。从务实的角度考（kǎo）虑（lǜ），这表（biǎo）明在项目计划（huá）过程中，必须尽早对这些仅有（yǒu）的（de）指导性的书籍和案例进行分析和研究。

ISO27001标准指导（dǎo）一个企业如何着手（shǒu）开（kāi）展ISMS项目，并且关注整个项目（mù）进程中的（de）若（ruò）干重要（yào）元素。

1950年（nián）W. Edwards Deming提（tí）出PDCA流（liú）程，即计（jì）划（huá）（Plan）－执行（Do）－检查（Check）－提升（Act）过程（chéng），意在说（shuō）明业务流程（chéng）应当（dāng）是不（bú）断改进的，该方（fāng）法使得职能部门（mén）经理（lǐ）可（kě）以识别出那（nà）些需要修正的环节并进（jìn）行（háng）修正（zhèng）。这个流程以及流程的（de）改进，都（dōu）必须（xū）遵循这（zhè）样一个过程：先计划，再执行，而（ér）后对其运行结果进行评估，紧接着按照计（jì）划的具体要求对该评估（gū）进行复查，而后寻找（zhǎo）到任何与计划（huá）不符的结（jié）果（guǒ）偏差（即（jí）潜在改进的可能性），**后向管理层提出如何运行的**终报告（gào）。

ISO27001认证审核（hé）费用（yòng）及周（zhōu）期

除了组（zǔ）织自身投入之外，ISO27001 认证审核费用主要体现在聘请第三方认（rèn）证机构及审（shěn）核员方（fāng）面了。在组织向认（rèn）证机构提（tí）出申请之（zhī）后，认（rèn）证（zhèng）机（jī）构会初（chū）步（bù）了（le）解组织现状（zhuàng），确定审核（hé）范（fàn）围，提出审（shěn）核报（bào）价。认（rèn）证机（jī）构的报（bào）价通常是（shì）根（gēn）据其投入的时（shí）间和人员来确定的（de），决定因素包括：

1、受（shòu）审核组织的员（yuán）工数量；

2、纳入审核范围的信息量（liàng）；

3、场所（suǒ）数量；

4、组织与外界的关联（lián）；

5、组织 IT 的复杂性；

6、组织类型和（hé）业务（wù）性（xìng）质等。

除了费用问（wèn）题，认证审（shěn）核（hé）的周期通常也是组织比较（jiào）关心的。一般来说，从组（zǔ）织启（qǐ）动 ISMS建设项目开始，到（dào）**终通过审核（hé），至少要有半年时（shí）间（不包括（kuò）获取证（zhèng）书的（de）时间）。对于（yú）很多因为外（wài）部驱动力而（ér）决心实施 ISO27001 认证项目的组织（zhī）来（lái）说，提早进（jìn）行规划是必要的。^[6]