ISO27001起源和發(fā)展

信息安全管理體系ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)。2000年，國(guó)際標(biāo)準(zhǔn)化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過(guò)了ISO 17799標(biāo)準(zhǔn)，在2005年對(duì)ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005。

自2005年ISO27001：2005發(fā)布以來(lái)，此標(biāo)準(zhǔn)在國(guó)際上獲得了空前的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證。

在我國(guó)，自從2008年將ISO 27001:2005轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T 22080:2008以來(lái)，信息安全管理體系認(rèn)證在國(guó)內(nèi)進(jìn)一步獲得了全面推廣。

目前ISO27001的最新版本為ISO27001:2013版本。

ISO27001針對(duì)信息安全領(lǐng)域，不僅包含隱私保護(hù)、數(shù)據(jù)處理以及信息管理等技術(shù)層面要求，還涉及法律法規(guī)、人員管理、資產(chǎn)管理等諸多方面，對(duì)信息安全、隱私保護(hù)管理提出了非常具體的要求和標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)通過(guò)14個(gè)安全控制域、114項(xiàng)控制措施的選擇和落實(shí)，實(shí)現(xiàn)了對(duì)信息安全的全面保障。ISO27001可以幫助企業(yè)更好地識(shí)別并應(yīng)對(duì)信息安全風(fēng)險(xiǎn)，它有助于確保業(yè)務(wù)安全，幫助企業(yè)在運(yùn)行日常業(yè)務(wù)的同時(shí)，清楚地向客戶和供應(yīng)商表明公司對(duì)信息安全的承諾。

信息是一種資產(chǎn)，一旦損毀、丟失、或被不適當(dāng)?shù)仄毓猓瑫?huì)給組織帶來(lái)一系列的損失，如“冰山原理”所描述，我們能直接感知到的數(shù)據(jù)的丟失，只是整體損失的冰山一角，潛藏在水面下的部分，可能會(huì)是直接損失的6~53倍，這包括：損失了時(shí)間，替代的成本，可能的法律風(fēng)險(xiǎn)，聲譽(yù)受損，丟失潛在的業(yè)務(wù)，競(jìng)爭(zhēng)力和生產(chǎn)力受損等等。這些損失是我們不愿意面對(duì)的，因此信息安全越來(lái)越成為我們關(guān)注的熱點(diǎn)問(wèn)題。

　　三根支柱　不可偏廢

　　信息安全的問(wèn)題倍受關(guān)注，是信息技術(shù)發(fā)展到一定水平，信息化深入到一定程度之后的一個(gè)必然趨勢(shì)和結(jié)果。信息對(duì)于業(yè)務(wù)的重要性，或者講業(yè)務(wù)對(duì)于信息的依賴性，使得信息安全問(wèn)題尤為突出，另外一個(gè)方面，信息媒介的多樣性，信息傳播的廣泛性等因素也造就了保護(hù)信息安全的復(fù)雜度。因此如何來(lái)保護(hù)信息安全，怎么樣才能保護(hù)信息安全，成為技術(shù)廠商、管理專家經(jīng)常探討和論述的話題。

　　我們知道保障信息安全有三個(gè)支柱，一個(gè)是技術(shù)、一個(gè)是管理、一個(gè)是法律法規(guī)。而我們?nèi)粘Ｌ峒靶畔踩珪r(shí)，多是在技術(shù)相關(guān)的領(lǐng)域，例如IDS入侵檢測(cè)技術(shù)、Firewall防火墻技術(shù)、Anti-Virus防病毒技術(shù)、加密技術(shù)、CA認(rèn)證技術(shù)等等。這是因?yàn)樾畔踩夹g(shù)和產(chǎn)品的采納，能夠快速見(jiàn)到直接效益，同時(shí)，技術(shù)和產(chǎn)品的發(fā)展水平也相對(duì)較高，此外，技術(shù)廠商對(duì)市場(chǎng)的培育，不斷提升著人們對(duì)信息安全技術(shù)和產(chǎn)品的認(rèn)知度。雖然大家在面對(duì)信息安全事件時(shí)總是在嘆息：“道高一尺、魔高一丈”，在反思自身技術(shù)的不足，實(shí)質(zhì)上人們此時(shí)忽視的是另外兩個(gè)層面的保障。

　　國(guó)家的法律法規(guī)方面，有專門的部門在研究和制定和推廣，不是本文探討的主題，我們要討論的是，誰(shuí)來(lái)關(guān)注管理對(duì)信息安全的保障呢?這要靠組織自己通過(guò)意識(shí)提高，管理水平的提升來(lái)逐步改善。

　　正如“木桶原理”所示，你的能力是由你最弱的那個(gè)環(huán)節(jié)決定的，我們發(fā)展信息安全事業(yè)，保護(hù)信息安全，也應(yīng)該從上述三個(gè)方面全面考量，而不能只偏重其中的某一個(gè)部分。

　　管理體系如何架構(gòu)

　　當(dāng)我們考慮到用管理體系的方法來(lái)保護(hù)信息安全時(shí)，BS7799信息安全管理體系標(biāo)準(zhǔn)無(wú)疑是一個(gè)很好的幫助：

　　BS7799是一套基于最佳實(shí)踐的成功的信息安全管理體系方法，她最早由英國(guó)商務(wù)部推動(dòng)，由BSI將其發(fā)展成為標(biāo)準(zhǔn)。BS7799共分兩部分，第一部分已經(jīng)在2000年被采納為ISO17799，是信息安全管理實(shí)踐指南，第二部分BS7799-2是信息安全管理體系規(guī)范，換言之，第二部分告訴我們應(yīng)該做什么，第一部分則提供了一些如何做或者好做法的指導(dǎo)。

　　從中我們可以看到，作為一個(gè)信息安全管理體系，輸入是相關(guān)方的信息安全的期望和要求，經(jīng)過(guò)一個(gè)PDCA體系的循環(huán)，得到的輸出將是各相關(guān)方信息安全要求的滿足，也就是說(shuō)，信息安全已經(jīng)受到管理和掌控。

　　BS7799匯集了優(yōu)秀企業(yè)最佳實(shí)踐，規(guī)范了10個(gè)安全控制區(qū)域，36個(gè)安全控制目標(biāo)和127個(gè)安全控制措施。她以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，自頂向下的管理方法，從組織、人員、流程、技術(shù)、法律法規(guī)、永續(xù)經(jīng)營(yíng)等全方位實(shí)施的管理體系。

　　我們構(gòu)建一個(gè)信息安全管理體系，需要考慮以下幾個(gè)步驟：

　　1. 定義范圍

　　2. 定義方針

　　3. 確定風(fēng)險(xiǎn)評(píng)估的方法

　　4. 識(shí)別風(fēng)險(xiǎn)

　　5. 評(píng)估風(fēng)險(xiǎn)

　　6. 識(shí)別并評(píng)估風(fēng)險(xiǎn)處理的措施

　　7. 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施

　　8. 準(zhǔn)備適用性聲明

　　而構(gòu)建一個(gè)成功的信息安全管理體系的關(guān)鍵成功因素在于：

　　1. 最高領(lǐng)導(dǎo)層對(duì)管理體系的承諾；

　　2. 體系與整個(gè)組織文化的一致性，與業(yè)務(wù)營(yíng)運(yùn)目標(biāo)的一致性；

　　3. 理清職責(zé)權(quán)限；

　　4. 有效的宣傳、培訓(xùn)，提升意識(shí)，不僅要針對(duì)內(nèi)部員工，也要針對(duì)合作伙伴、供應(yīng)商、外包服務(wù)商等。

　  　5. 盤清信息資產(chǎn)、明確信息安全的要求，明晰風(fēng)險(xiǎn)評(píng)估和處理的方法和流程；

　　6. 均衡的測(cè)量監(jiān)控體系，持續(xù)監(jiān)控各種變化，從監(jiān)控結(jié)果中尋求持續(xù)改進(jìn)的機(jī)會(huì)。

　　信息安全管理體系當(dāng)前的發(fā)展：

　　BS7799-2可以提供認(rèn)證服務(wù)，該標(biāo)準(zhǔn)是當(dāng)前唯一可以提供對(duì)組織的信息安全管理體系的認(rèn)證標(biāo)準(zhǔn)。在實(shí)施了一套信息安全管理體系之后，可以籍由第三方獨(dú)立認(rèn)證，向社會(huì)、向公眾、向客戶證實(shí)所實(shí)施體系的有效性和效果，提供信心保障。

　　當(dāng)前全球已經(jīng)頒發(fā)了超過(guò)1000張證書，并且這個(gè)數(shù)字正在不斷增長(zhǎng)中，證書主要集中在日本、英國(guó)、印度、臺(tái)灣。證書的分布主要在政府、金融、通信、電子、物流等行業(yè)。我國(guó)已經(jīng)頒發(fā)證書10張，當(dāng)前正處于一個(gè)蓄勢(shì)待發(fā)的階段。