今天,我们已经身处信息时代,在这个时代,计算机和网络已经成为组织重要的生产工具,信息成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边发生。
这几个案例仅仅是冰山一角,打开电视、翻翻报纸、浏览一下互联网,类似这样的事件几乎每天都在发生。从这些案例可以看出,信息资产一旦遭到破坏,将给组织带来直接的经济损失、损害组织的声誉和公众形象,使组织丧失市场机会和竞争力,更为甚者,会威胁到组织的生存。
长久以来,很多人自觉不自觉地都会陷入技术决定一切的误区当中,尤其是那些出身信息技术行业的管理者和操作者。最早的时候,人们把信息安全的希望寄托在加密技术上面,认为一经加密,什么安全问题都可以解决。随着互连网络的发展,一段时期我们又常听到防火墙决定一切的论调。及至更多安全问题的涌现,入侵检测、PKI、VPN等新的技术应用被接二连三地提了出来,但无论怎么变化,还是离不开技术统领信息安全的路子。可这样的思路能够真正解决安全问题吗?也许可以解决一部分,但却解决不了根本。实际上,对安全技术和产品的选择运用,这只是信息安全实践活动中的一部分,只是实现安全需求的手段而已。信息安全更广泛的内容,还包括制定完备的安全策略,通过风险评估来确定需求,根据需求选择安全技术和产品,并按照既定的安全策略和流程规范来实施、维护和审查安全控制措施。归根到底,信息安全并不是技术过程,而是管理过程。
之所以有这样的认识误区,原因是多方面的,从安全产品提供商的角度来看,既然侧重在于产品销售,自然从始至终向客户灌输的都是以技术和产品为核心的理念。而从客户角度来看,只有产品是有形的,是看得见摸得着的,对决策投资来说,这是至关重要的一点,而信息安全的其他方面,比如无形的管理过程,自然是遭致忽略。
正是因为有这样的错误认识,我们就经常看到:许多组织使用了防火墙、IDS、安全扫描等设备,但却没有制定一套以安全策略为核心的管理措施,致使安全技术和产品的运用非常混乱,不能做到长期有效和更新。即使组织制定有安全策略,却没有通过有效的实施和监督机制去执行,使得策略空有其文成了摆设而未见效果。
实际上对待技术和管理的关系应该有充分理性的认识:技术是实现安全目标的手段,管理是选择、实施、使用、维护、审查包括技术措施在内的安全手段的整个过程,是实现信息安全目标的必由之路。
在现实的信息安全管理决策当中,必须关注以下几点:
应该制定信息安全方针和多层次的安全策略,以便为各项信息安全管理活动提供指引和支持;
应该通过风险评估来充分发掘组织真实的信息安全需求;
应该遵循预防为主的理念;
应该加强人员安全意识和教育;
管理层应该足够重视并提供切实有效的支持;
应该持有动态管理、持续改进的思想;
应该以业务持续发展为目标,达成信息安全控制的力度、使用的便利性以及成本投入之间的平衡。
因此,保护信息资产,解决信息安全问题,已经成为组织必须考虑的问题。信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题。技 术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,如防病 毒、防火墙、入侵检测、隐患扫描等,仍然无法避免一些信息安全事件的发生,组织安装的许多安全产品成了聋子的耳朵。与组织中人员相关的信息安全问题, 信息安全成本和效益的平衡问题,信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。
人们开始逐渐意识到管理在解决信 息安全问题中的作用。于是ISMS应运而生。2000年12月,国际标准化组织发布一个信息安全管理的标准-ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management),2005年6月,国际标准化组织对该标准进行了修订,颁布了ISO/IEC17799:2005(现已更名为ISO /IEC27002:2005),10月,又发布了ISO/IEC27001:2005信息安全管理体系要求(Information Security Management System Requirement)。自此,ISMS在国际上确立并发展起来。今天,ISMS已经成为信息安全领域的一个热门话题。
ISO27001中明确指出,标准中规定的要求是通用的,适用于所有的组织(商业企业、政府机构、非赢利组织),无论其类型、规模大小和业务性质怎样。
ISO27001从组织的整体业务风险的角度,为建立、实施、运行监视、评审、保持和改进文件化的信息安全管理体系规定了要求。ISO27001标准规定了为适应不同组织或其部门的需要而制定的安全控制措施的实施要求。
ISO27001可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据,无论是自我评估还是独立第三方认证。
就目前国内发展来看,最先确定实施ISMS并考虑接受ISO27001认证的组织,其驱动力都比较明显,这种驱动力可以是外部的,也可以是发自内部的。这些组织主要集中在以下几个行业:
半导体行业:尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC产业发展迅猛,大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业,鉴于IP(知识产权)保护的重要性,来自国外客户的明确要求,使得国内芯片制造企业必须在信息安全管理方面做出保证,ISO27001证书就是最好的选择。
软件开发行业:情况与芯片制造企业类似,近年来,承担软件定制开发的很多企业,也面临外部客户明确提出的信息保护的要求,特别是承接日本、欧美等国外软件开发订单业务的大型软件企业。
金融业和保险业:一直以来,金融和保险行业对信息安全的重视都是非常高的,保护客户信息、保证业务运转的可靠性和持续性,这都是此行业组织实施ISMS并寻求认证的驱动力。加之金融和保险早些年已经陆续完成了信息基础设施的建设,今后的工作重点将逐渐向全面的信息安全管理方向发展。
通讯行业:特别是一些大型的通信设备提供商,由于牵涉到对自身核心技术的保护,对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。
其他行业:只要是牵涉到IP保护的、牵涉到行业规范和法律法规要求的、牵涉到自身发展需求的,组织都会逐渐在信息安全建设上加强力度,就拿美国Sarbanes-Oxley 法案(萨班斯法案,简称SOX法案)来说,由于对在SEC注册的上市公司提出了内部控制审核的要求,相关组织必然会在信息安全方面投入关注,因为信息安全控制是企业内部控制必不可少的一个部分。
ISO27001标准所规定的要求是通用的,旨在适用于各种类型、不同规模和业务性质的组织。组织在声明符合ISO27001标准时,对于第 4.信息安全管理体系、5.管理职责、6.ISMS内部审核、7.ISMS管理评审和8.改进条款的内容不能删减。
如果组织删减了4、5、6、7、8条款内容,则不得宣称符合ISO27001标准。
需证明任何控制的删减满足风险接受的准则。应提供证据证明相关风险已被大多数人适当接受。除非删减不影响组织满足风险评估和适用法律要求的信息安全的能力和责任,否则不能声称符合ISO27001标准。
转载请注明原文网址:http://www.zhongjiyuan.com.cn/isorz/iso27001/2016/0529/114.html