ISMS信息安全管理及相关标准简介.doc
- 文档编号:13523764
- 上传时间:2023-06-14
- 格式:DOC
- 页数:8
- 大小:55.50KB
ISMS信息安全管理及相关标准简介.doc
《ISMS信息安全管理及相关标准简介.doc》由会员分享,可在线阅读,更多相关《ISMS信息安全管理及相关标准简介.doc(8页珍藏版)》请在冰点文库上搜索。
中国3000万经理人首选培训网站
信息安全管理及相关标准简介
一、社会发展对信息资源的依赖程度
人类正进入信息化社会,社会发展对信息资源的依赖程度越来越大,从人们日常生活、组织运作到国家管理,信息资源都是不可或缺的重要资源,没有各种信息的支持,现代社会将不能生存和发展。
在信息社会中,一方面信息已成为人类重要资产,在政治、经济、军事、教育、科技、生活等方面发挥着重要作用,另一方面计算机技术的迅猛发展而带来的信息安全问题正变得日益突出。
由于信息具有易传播、易扩散、易毁损的特点,信息资产的比传统的实物资产更加脆弱,更容易受到损害,使组织在业务运作过程中面临大量的风险。
其风险主要来源于组织管理、信息系统、信息基础设施等方面的固有薄弱环节,以及大量存在于组织内、外的各种威胁,因此对信息系统需要加以严格管理和妥善保护。
信息可以理解为消息、情报、数据或知识,它可以以多种形式存在,可以是组织中信息设施中存储与处理的数据、程序,可以是打印出来的或写出来的论文、电子邮件、设计图纸、业务方案,也可以显示在胶片上或表达在会话中消息。
所有的组织都有他们各自处理信息的形式,例如,银行、保险和信用卡公司都需要处理消费者信息,卫生保健部门需要管理病人信息,政府管理部门存储机密的和分类信息。
无论组织对这些信息采用什么样的共享、处理和存储方式,都需要对敏感信息加以安全、妥善的保护,不仅要保证信息处理和传输过程是可靠的、有效的,而且要求重要的敏感信息是机密的、完整的和真实的。
为达到这样的目标,组织必须采取一系列适当的信息安全控制措施才可以使信息避免一系列威胁,保障业务的连续性,最大限度地减少业务的损失,最大限度地获取投资回报。
在ISO27002中,对信息的定义更确切、具体:
“信息是一种资产,像其他重要的业务资产一样,对组织具有价值,因此需要妥善保护”。
通过风险评估与控制,不但能确保企业持续营运,还能减少企业在面对类似‘911事件’之时出现的危机。
二、信息安全的内容
网络技术的发展加速了信息的传输和处理,缩短了人们之间的时空距离,方便了交流;同时对信息安全提出了新的挑战。
据统计,全球平均20秒就发生一次计算机病毒入侵;互联网上的防火墙大约25%被攻破;窃取商业信息的事件平均以每月260%的速度增加;约70%的网络主管报告了因机密信息泄露而受损失。
国与国之间的信息战问题更是关系到国家的根本安全问题。
信息安全已扩展到了信息的可靠性、可用性、可控性、完整性及不可抵赖性等更新、更深层次的领域。
这些领域内的相关技术和理论都是信息安全所要研究的领域。
国际标准化组织(ISO)定义信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。
信息安全一般包括实体安全、运行安全、信息安全和管理安全四个方面的内容。
实体安全是指保护计算机设备、网络设施以及其他通讯与存储介质免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏的措施、过程。
运行安全是指为保障系统功能的安全实现,提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
信息安全是指防止信息资源的非授权泄露、更改、破坏,或使信息被非法系统辨识、控制和否认。
即确保信息的完整性、机密性、可用性和可控性。
管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
美国国家电信与信息系统安全委员会(NTISSC)主席、美国C3I负责人、前国防部副部长LathamDC认为,信息安全(INFOSEC)应包括以下六个方面:
l通信安全(COMSEC)
l计算机安全(COMPUSEC)
l符合瞬时电磁脉冲辐射标准(TEMPEST)
l传输安全(TRANSEC)
l物理安全(PhysicalSecurity)
l人员安全(PersonnelSecurity)
综上所述,信息安全的主要内容包括:
机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、真实性(Authenticity)和有效性(Utility)。
在BS7799中信息安全主要指信息的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。
即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。
机密性是指确保只有那些被授予特定权限的人才能够访问到信息。
信息的机密性依据信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级。
例如,军队内部文件一般分为秘密、机密和绝密三个等级,已授权用户根据所授予的操作权限可以对保密信息进行操作。
有的用户只可以读取信息,有的用户既可以进行读操作有可以进行写操作。
信息的完整性是指要保证信息和处理方法的正确性和完整性。
信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理的方法的正确性,执行不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。
信息的可用性是指确保那些已被授权的用户在他们需要的时候,确实可以访问得到所需要信息。
即信息及相关的信息资产在授权人需要的时候,可以立即获得。
例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。
提供信息的系统必须能适当地承受攻击并在失败时恢复。
另外还要保证信息的真实性和不可否认性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。
三、信息技术安全标准的制定情况
1、国内信息技术安全标准的制定工作
国内信息技术安全标准的制定工作是从80年代中期开始的。
一方面是定信息技术设备和设施的安全标准,1985年发布了第一个标准GB4943;另一方面是制定信息安全技术标准,于1994年月发布了第一批标准。
至1997年底,已制定、报批和发布了有关信息技术安全的国家标准13个和国家军用标准6个。
现正在制定中的国家标准14个。
1.1信息技术安全标准化的展望
信息安全关系到国家的安全、社会的安定、经济的发展,信息技术安全标准是信息安全规范化和法制化的基础,是实现技术安全和安全管理的重要手段。
信息技术安全标准化必须统一领导、统筹规划、各方参与、分工合作进行,保证其顺利和协调发展。
为此,国家有关部门组织各方面专家参加的标准化技术委员会正在开展以下工作:
1.2加强信息安全标准化的研究
信息技术的安全技术是比较新的和复杂的技术,也是在近年来才得到较快的发展,特别是它的标准化更是如此。
为了全面认识和了解信息技术的安全标准,需要对国内外信息技术标准化的情况和发展趋势进行深入的研究。
特别是庆将信息技术安全标准体和纱作为重点课题进行综合研究,并建立我国的信息技术安全标准体系,以便能够有目的、有组织、有计划地分期分批进行标准制定工作。
这样才能避免标准项目重复和混乱,避免标准之间不协调,也可避免资金人才和时间的浪费。
国际上有很多制定信息安全标准的组织,他们工作各有特点,制定标准的层次不同,也有部分工作重迭,我国对此也应进行深入具体的分析研究。
例如:
IS0/IECJTCI/SC27的重点是制定通用的信息技术安全标准;而ISO/TC68则是针对银行系统制定行业具体应用的信息安全标准;ECMA还制定信息技术设备的安全标准。
1.3加快信息技术安全标准的制定
国际互联网的开通,对信息安全标准的需求更加迫切,标准的数量也日益增加,因此应加快信息技术标准的制定工作。
国际上ISO的信息技术安全标准,包括已正式发布、正在制定的标准项目已有近70项,国际互联网的RFC文中有100多项涉及信息安全,都是比较实用的。
2、国外信息技术安全标准化的情况
国外早在70年代中期就开始了信息技术安全标准化工作,现将国际标准化组织、欧洲计算机厂商协会和美国开展信息技术标准化的情况简要介绍如下。
2.1国际标准化组织的信息技术安全标准化
2.1.1ISO/IECJTC1/SC27信息技术安全
随着跨国计算机网络的开发和不同计算机系统之间互连的要求,数据加密标准化工作也开始走向国际。
英国于1979年向ISO/TC97提出开展数据加密技术标准化的建议,ISO/TC97采纳了建议,并于1980年组建直属工作组。
后来,TC97认为,数据加密技术专业性很强,需幅个分技术委员会来专门开展这方面的标准化工作,于是,1984年1月在联邦德国波恩正式成立分技术委员会SC20。
我国也派人出席了这次会议,并成为该分委员会的P成员。
从此,数据加密技术标准化工作在ISO/TC97内正式蓬勃展开。
1984年SC20成立后,就把在直属工作组期间已开始的密码算法的国际标准化工作接过来,并作为第一优先制定的标准。
该算法其实就是美国的DES,SC27称其为DEA-1,而且还指定由法国起草DEA-2报告,实际上是公苴算法RSA。
1985年1月第二次分技委员会上同意推进到DIS,但随后的一年里发生了很大变化。
先是1985年夏天发布的美国总统令宣布政府将不再支持DES,并由国家安全局NSA设计新的算法标准,算法细节不予公开。
这就引起大家对DES安全强度的怀疑。
有的成员国原本就一直反对密码算法的国际标准化,认为一个国家采用什么样的密码算法是十分敏感的问题,别人无权干涉。
1986年第三次年会分歧很大,但多数仍赞成推进到国际标准,并交TC97处理。
同年5月,TC97年会形成决议,密码算法的国际标准化工作已不属技术性问题,而是政治性问题。
同年10月,ISO中央理事会决定撤消该项目,并且将密码算法的标准化工作从SC20的工作范围内以消,还明确写出不再研究密码算法的标准化。
SC20的标准项目中包含OSI环境下使用加密技术的互操作要求,它与SC6和SC21的工作范围有重复。
1986年5月,TC97要求三个分委员会主席开会协调,向技术委员会报告协调结果,再由技术委员会决定采以措施。
至1989年6月正式决定撤消原来的SC20,组建新的SC27。
在SC20存在的五年期间完成了两个正式标准:
ISO8372和ISO9160。
1990年4月瑞典斯德哥尔摩托车年会上正式成立SC27,其名称为:
信息技术-安全技术,并对其工作范围作了明晰表述,即信息技术安全的一般方法和技术的标准化,包括:
确定信息技术系统安全的一般要求(含要求方法);
开发安全技术和机制(含注册程序和安全组成部分的关系);
开发安全指南(如解释性文件,风险分析);
开发管理支撑性文件和标准(如术语和安全评价准则)。
1997年国际标准化组织的信息技术标准化的技术领域又作了合并和重大调整,但信息技术安全检分委会仍然保留,并作为ISO/IECJTC1安全问题的主导组织。
运行模式是既作为了个技术领域的分委员运行,还要履行特殊职能。
它负责信息的通信安全的通用框架、方法、技术和机制的标准化,信息技术安全的标准化工作将会更加集中统一和加强。
该分委会负责制定标准的项目约为40项。
2.1.2ISO/TC68银行和有关的金融服务
在国际标准化组织内,ISO/IDCJTC1/SC27负责通用信息技术安全标准的制定,ISO/TC68负责争行业务应用范围内有关信息安全标准的制定。
一个是制定通用基础标准,一个是制定行业应用标准,两者在组织上和标准之间都有着密切的联系。
他们都是在80年代中期开始制定标准的,ISO/TC68负责制定标准的项目约有30项。
2.1.3国际标准化组织的信息安全管理标准化
信息安全管理标准化是国际标准化组织近几年开展的一项重要工作,虽然起步较晚发展却非常迅速。
在欧洲、日本、美国等发达国家得到迅猛发展。
信息安全管理标准已经成为继质量管理标准、环境管理标准等之后发展起来的一个新兴的管理标准体系。
该标准体系在国际标准化组织内已构成一组系列标准,即:
ISO/IEC27000族标准。
目前,主要标准有6个:
ISO/IEC27000:
2008《信息技术安全技术信息安全管理体系--概况与术语》
ISO/IEC27001:
2005《信息技术安全技术信息安全管理体系要求》
ISO/IEC27002:
2005《信息技术安全技术信息安全管理实用规则》
ISO/IEC27003:
200X《信息技术安全技术信息安全管理体系实施指南》
ISO/IEC27004:
200X《信息技术安全技术信息安全管理--测量》
ISO/IEC27005:
2008《信息技术安全技术信息安全风险管理》
ISO/IEC27006:
2007《信息技术安全技术信息安全管理体系审核认证机构的要求》
ISO/IEC27007:
2007《信息技术安全技术信息安全管理体系审核员指南》
ISO/IEC27001标准是组织进行信息安全管理体系认证的依据,相当于质量管理体系中的ISO9001标准。
ISO/IEC27006:
2007标准是认证机构获取认证认可的依据。
ISO/IEC27002标准为组织建立信息安全管理体系提供了39个控制目标和133个控制措施。
其他几个标准提供了信息安全管理体系建立、实施的参考指南。
ISO27001信息安全管理标准理解及内审员培训
培训热线:
0755-25936263、25936264李小姐 客服QQ:
1484093445、675978375
ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表
【课程描述】
ISO/IEC27001:
2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。
本课程将详述ISO27001:
2005/ISO27002:
2005标准的每一个要求,指导如何管理信息安全风险,并附以大量的审核实战案例以作说明。
内部审核部分将以ISO19011:
2002为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。
掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。
【课程帮助】
如果你想对本课程有更深入的了解,请参考>>>德信诚ISO27001内审员相关资料手册
【课程对象】
信息安全管理人员,欲将ISO27001导入组织的人员,在ISO27001实施过程中承担内部审核工作的人员,有志于从事IT信息安全管理工作的人员。
【课程大纲】
第一部分:
ISO27001:
2005信息安全概述、标准条款讲解
◆信息安全概述:
信息及信息安全,CIA目标,信息安全需求来源,信息安全管理。
◆风险评估与管理:
风险管理要素,过程,定量与定性风险评估方法,风险消减。
◆ISO/IEC27001简介:
ISO27001标准发展历史、现状和主要内容,ISO27001标准认证。
◆信息安全管理实施细则:
从十个方面介绍ISO27001的各项控制目标和控制措施。
◆信息安全管理体系规范:
ISO/IEC27001-2005标准要求内容,PDCA管理模型,ISMS建设方法和过程。
第二部分:
ISO27001:
2005信息安全管理体系文件建立(ISO27001与ISO9001、ISO14001管理体系如何整合)
◆ISO27001与ISO9001、ISO14001的异同
◆ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件
◆如何将三体系整合降低公司的体系运行成本
◆ISO9001、ISO14001、ISO27001体系三合一整合案例分析
第三部分:
信息安全管理体系内部审核技巧和认证应对案例分析
◆ISO27001:
2005标准对内审员的新要求
◆信息安全管理体系认证现场审核的流程、技巧及沟通方法
◆如何应对认证公司的认证审核、监督审核、案例分析
◆考试>>>考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”
2.2欧洲计算机厂商协会(ECMA)标准
ECMA人欧洲计算机厂商中吸收会员,经常向ISO提交标准提案。
ECMA内的一个组(TC32/TG9)已定义了开放系统应用层安全结构。
它的TC12负责信息技术设备的安全标准。
它们的工作都假定终端用户控制着通过应用服务元素(ASE)进行通信的实体。
ASE是利用基本服务在恰当地点提供OSI环境能力的应用实体的一部分,如文件服务器和打印重绕器。
这个小组涉及这些实体之间的安全通信尤其在分布式环境下的安全通信。
它们所开发的结构把这些通信分成称为“设施”的单元,每个单元都在提供总体安全中扮演一定的角度,这些设施组合起来就形成了安全系统,这在方式上类似于ISO工作中所指的模型。
2.3美国信息技术安全标准化情况
2.3.1美国国家标准(ANSI)
美国标准化协会于80年代初开始数据加密标准化工作,只制定了三个通用的国家标准。
金融界是实行安全最自觉的早大商业实体,它直接涉及货币和证券的安全电子汇兑。
因此,不得不把大量资源投入信息安全。
虽然银行和公司的商贸人员属金融界最有形的部分,但也不乏它物。
很多大公司已开始采用电子方式订购产品或支付业务费用。
随着越来越多地采用电子方式传送货币或资产,计算机犯罪可能性大增,安全方法变行十分重要。
为了解决安全问题,金融界正积极制定各种标准。
美国国家标准化协会(ANSI)负责金融安全的小组是ASCX9和X12。
ASCX9制定金融业务标准,ASCX12制定商业交易标准。
已与美国标准委员会(ASC)召开联席会,共同制定了汇兑的安全标准9个。
与此同时,金融领域也在进行金融交易卡、密码服务消息,以及实现商业交易安全等方面的工作。
2.3.2美国联邦信息处理安全标准(FIPS)
美国联邦政府非常重视自动信息处理的安全,早在70年代初就开始了信息技术安全标准化工作,1974年就已发布标准。
1987年的“计算机安全法案”明确规定了政府的机密数据、发展经济有效的安全保密标准和指南。
联邦信息处理标准由国家标准局(NBS)颁发。
FIPS由NBS在广泛搜集政府各部门及私人部门的意见的基础上写成。
正式发布之前,将FIPS分送给每个政府机构,并在“联邦注册”上刊印出版。
经再次征求意见之后,NSB局长把标准连同NBS的建议一起呈送美国商业部和工,由商业部长签字划押同意或反对这个标准。
FIPS安全标准的一个著名实例就是数据加密标准(DES)。
至今,它已发布了信息技术安全标准和指南约20个。
2.3.3美国国防部的信息安全指令和标准(DOD)
美国国防部十分重视信息的安全问题,美国国防部发布了一些有关信息安全和自动信息系统安全的指令、指示和标准,并且加强信息安全的管理,特别是DOD5200.28-STD《国防可信和计算机系统评估准则》,受到各方面广泛的关注。
更多免费资料下载请进:
好好学习社区
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISMS 信息 安全管理 相关 标准 简介