信息安全管理实用规则-ISO/IEC27002:2005介绍

1.1 信息安全管理实用规则-ISO/IEC27002:2005介绍

ISO/IEC27002是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一(当时称之为ISO/IEC1779920074月正式更名为ISO/IEC 27002)。它从信息安全的诸多方面,总结了一百多项信息安全控制措施,并给出了详细的实施指南,为组织采取控制措施、实现信息安全目标提供了选择,是信息安全的最佳实践。

1.1.1 ISO/IEC27002的由来

组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。

当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。

上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。19939月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,19952月,在该文本的基础上,英国发布了国家标准BS7799-1:19951999年英国对该标准进行了修订后发布1999年版,200012月被采纳成为国际标准,即ISO/IEC17799:20002005615日,该标准被修订发布为ISO/IEC17799:200520074月正式更名为ISO/IEC 27002

同时伴随着ISO/IEC27002发展的还有另一个标准,即19982月英国发布的英国国家标准BS7799-2:19981999年修订后发布1999版。200012月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。200510月,这个标准被采纳成为国际标准ISO/IEC27001:2005

1.1.2 ISO/IEC27002范围

ISOS/IEC27002为组织实施信息安全管理提供建议,供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施,组织应考虑本国的法律法规以及组织的实际情况来选择使用。参照本标准,组织可以开发自己的信息安全准则和有效的安全管理方法,并提供不同组织间的信任。

1.1.3 ISO/IEC27002的主要内容

ISO/IEC27002:2005是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的最佳实践。

标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便标准的用户使用。

值得注意的是,标准中推荐的这133个控制措施,并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。

从内容和机构上看,可以将标准分为四个部分:

一、引言部分。

主要介绍了信息安全的基础知识,包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。

二、标准的通用要素部分(13章)。

1章是标准的范围,给出了该标准的内容概述、用途及目标。第2章是术语和定义,介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。

三、风险评估和处理部分。

该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。

四、控制措施部分(515章)。

这是标准的主体部分,包括11个控制措施章节,分别是:

5 安全方针(控制目标:1个,控制措施: 2个)

6 信息安全组织(控制目标:2个,控制措施:11个)

7 资产管理(控制目标:2个,控制措施: 5个)

8 人力资源安全(控制目标:3个,控制措施:9个)

9 物理和环境安全(控制目标:2个,控制措施:13个)

10 通信和操作管理(控制目标:10个,控制措施:32个)

11 访问控制(控制目标:7个,控制措施:25个)

12 信息系统获取、开发和维护(控制目标:6个,控制措施:16个)

13 信息安全事件管理(控制目标:2个,控制措施:5个)

14 业务连续性管理(控制目标:1个,控制措施: 5个)

15符合性(控制目标:3个,控制措施:10个)

1.1.4 ISO/IEC27002的使用说明

ISO/IEC27002:2005作为信息安全管理的最佳实践,它的应用既有专用性的特点,也有通用性特点。

说它具有专用性,是因为作为信息安全管理体系标准族(ISMS标准)中的一员,目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的,ISO/IEC27001:2005中的规范性附录A就是ISO/IEC27002:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织,应根据ISO/IEC27001:2005的要求,选择ISMS范围,制定信息安全方针和目标, 实施风险评估,根据风险评估的结果,选择控制目标和控制措施,制定和实施风险处理计划,执行内部审核和管理评审,以持续改进。

ISO/IEC27002:2005的通用性,体现在标准中提出的控制措施是从信息安全工作实践中总结出来的,是最佳实践。任何规模、任何性质的有信息安全要求的组织,不管其是否建设ISMS,都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。

另外,ISO/IEC27002:2005中提出的控制目标和控制措施,对一个具体的组织并不一定全部适用,也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC27002:2005以外的控制目标和控制措施。

1.1.5 我国采用ISO/IEC17799情况的说明

我国政府主管部门十分重视信息安全管理国家标准的制定。2002年,全国信息安全标准化技术委员会(www.tc260.org.cn)成立之初,其第七工作组(WG7)就开始了ISO/IEC17799的研究和制标工作。2005615日,我国发布了国家标准GB/T19716-2005信息安全管理实用规则”,修改采用ISO/IEC17799:2000

2006年,根据ISMS国际标准的发展和我国的实际需要,全国信息安全标准化技术委员会又提出了GB/T19716-2005的修订计划和对应ISO/IEC27001:2005等相关ISMS标准的制定和研究计划。相信不久,对应最新ISMS国际标准的国家标准就会发布,以供大家遵照使用。


点击关闭
  • CMMI认证客服

    CMMI3认证客服

    CMMI咨询

    CMMI4认证