1.1 信息安全管理体系要求－ISO/IEC27001:2005介绍

1.1.1 发展：一个重要的里程碑

ISO/IEC 27001:2005的名称是 “Information technology- Security techniques-Information security management systems-requirements ”，可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。

在ISO/IEC 27001:2005标准出现之前，组织只能按照英国标准研究院（British Standard Institute，简称BSI）的BS 7799-2:2002标准，进行认证。现在，组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步：从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。

1.1.2 目的：认证

ISO/IEC 27001:2005标准设计用于认证目的，它可帮助组织建立和维护ISMS。标准的4 - 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4 - 8章的所有要求，那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核（初审）后，其结果是符合ISO/IEC 27001:2005的要求，那么它就会颁发ISMS证书，声明该组织的ISMS符合ISO/IEC 27001:2005标准的要求。

然而，ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准（质量管理体系标准）不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 - 8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足，就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下，ISO/IEC 9001:2002标准的第7章的某些要求（或条款），只要合理，可允许其质量管理体系（QMS）作适当删减。

因此，不管是第一方审核、第二方审核，还是第三方审核，评估组织的ISMS对ISO/IEC 27001:2005标准的符合性是十分严格的。

1.1.3 特点：信息资产风险评估

ISO/IEC 27001:2005标准适用于所有类型的组织，而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说，该标准要求组织通过业务风险评估的方法，来建立、实施、运行、监视、评审、保持和改进其ISMS，确保其信息资产的保密性、可用性和完整性。

(1) 信息资产

ISO/IEC 27001:2005所指“信息”可包括所有形式的数据、文件、通信件（如email和传真等）、交谈（如电话等）、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的，以任何方式存储的信息。通常，系统（如信息系统和数据库等）也可作为一类信息资产。

(2) 安全风险

组织的信息资产可面临许多威胁，包括人员（内部人员和外人员）误操作 （不管有意的，还是无意的）、盗窃、恶意代码和自然灾害等。

另一方面，组织本身存在某些可被威胁者利用或进行破坏的薄弱环节，包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏，而使其造成损失，包括经济损失、公司形象损失和顾客信心损失等。

(3) 风险评估与处理

ISO/IEC 27001:2005标准要求组织利用风险评估的方法，确定每一个关键信息资产的风险，并根据各类信息资产的重要度和价值，选择适当的控制措施，减缓风险。

风险评估和风险处理是ISO/IEC 27001:2005标准要求的两个相互关联的必须的活动。一个组织建立ISMS体系，要进行信息资产风险评估和风险处理。其主要过程是：

1) 制定组织的ISMS方针和风险接受准则；

2) 定义组织的风险评估方法；

3) 识别要保护的信息资产，并进行登记；

4) 识别安全风险，包括识别资产所面临的威胁、组织的脆弱点和造成的影响等；

5) 对照组织的风险接受准则，评价和确定已估算的风险的严重性、可否接受；

6) 形成风险评估报告；

7) 制定风险处理计划，选择风险控制措施；

标准明确规定，有4种风险处理方法：采用适当的控制措施、接受风险、避免风险和转移风险；

8) 执行风险处理计划，将风险降低到可接受的级别。

从理论上，风险只能降低（或减少），而不能完全消除。选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护，将其所受的风险降低到可接受的水准，又能使所需要的费用在该组织的预算范围之内，使该组织能够保持良好的竞争力和成功运作的状态。

另外，风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时，风险评估应重新进行。

1.1.4 要求：基于过程

(1) “PDCA”过程

图1 ISMS“PDCA”过程周期

国际标准化组织(ISO)使用Plan-Do-Check-Act (即计划-实施-检查-纠正)过程模型组织ISO/IEC 27001:2005标准。这个标准4 - 8章规定了ISMS的建立、实

施与运行、监督与评审、维护与改进所要遵循的活动(过程)，并形成一个周期，称“PDCA”周期，如图1

(2) 过程方法

过程是指使用资源把输入转为输出的一组活动。更通俗地说，过程就是将原料（输入）加工成产品（输出）的工作（活动）。输入之所以能转为输出是因为开展了某些工作或活动。

ISO/IEC 27001:2005标准4 - 8章规定了一组ISMS过程。该标准也要求组织使用“过程方法”来管理和控制其ISMS过程。即：

1) 组织必须对应4 - 8章的相应要求，建立其实际的ISMS过程；

2) 组织的ISMS需按“过程方法”进行管理和控制。

这意味着组织的ISMS要包含有许多符合该标准4 - 8章规定的、相互协调的过程。通常，一个过程的输出便是另一个过程的输入。通过这些输出和输入把各个ISMS过程“粘”在一起，而形成一个相互依赖的统一整体。

标准还规定，某些ISMS过程要用形成文件的程序加以控制。

(3) 过程要求

ISO/IEC 27001:2005标准4 - 8章规定了一组ISMS过程。因此，从另一个角度，ISO/IEC 27001:2005标准的要求就是过程要求。组织的ISMS必要满足这些过程要求。

注：与ISO/IEC 27001:2005正文内容不同，ISO/IEC 27001:2005附录A的内容属于控制要求。