前言
ISO(国际标准化组织)和IEC(国际电工委员会)形成了一个专门体系,进行世界性的标准化工作。 ISO或IEC成员体国家通过各自机构建立的技术委员会参与了国际标准制订和推广,这些技术委员会要设法应对一些特殊领域的技术活动。 ISO和IEC技术委员会在共同感兴趣的领域中合作。其他与ISO和IEC有联络的国际性组织、政府和非政府机构也参与了这项工作。
国际标准是根据ISO/IEC指导方针第3部分中的规定起草的。
在信息技术领域,ISO和IEC已经建立了一个联合技术委员会,叫做ISO/IEC JTC 1. 该联合技术委员会采纳的国际标准草案要经由成员体投票。 若作为国际标准正式出版,则需要至少百分之七十五的成员体投票赞成。
请您注意,该国际标准中的一些内容可能涉及专利权问题。ISO和IEC不负责辨别任何或者所有这样的专利权。
国际标准ISO/IEC 17799由英国标准协会筹备起草(BS 7799), 随后被联合技术委员会——信息技术ISO/IEC JTC 1按照特殊的“快速程序”所采纳。该标准同时得到了ISO和IEC各个成员体的批准。
介绍
什么是信息安全?
信息是一种资产,同其他重要的商业资产一样,它对一个组织而言具有一定价值,因而需要适当地保护。信息安全是要在很大的范围内保护信息免受各种威胁,从而确保业务的连续性、减少业务损失并且使投资和商务机会获得最大的回报。
信息可以以多种形式存在。它能被打印或者写在纸上,能够电化存储;也可以由邮局或者用电子方式发送;还可以在电影中展示或者在交谈中提到。无论以任何形式存在,或者以何种方式共享或存储, 信息都应当得到恰当的保护。
在这里,信息安全特指保护:
a)保密性:确保信息只能够由得到授权的人访问。
b)完整性:保护信息的正确性和完整性以及信息处理方法。
c)有效性:保证经授权的用户可以访问到信息。如果需要的话,还能够访问相关资产。
信息安全通过实施一整套的控制达到。这些控制措施可能是策略、做法、程序、组织结构或者软件功能。需要建立这些控制措施以确保实现该机构特殊的安全目标。
为什么需要信息安全?
信息及其辅助程序、系统和网络,是重要的商业资产。信息的保密性、完整性和有效性对于保持竞争能力、资金流动、盈利率、法律柔量和商业形象都十分关键。
各种组织和它们的信息系统及网络日益面临着来自四面八方的安全威胁。 这些威胁的来源有计算机诈骗、间谍活动、蓄意破坏、火灾和水灾等等。 能够损坏信息的因素比如计算机病毒、计算机黑客和拒绝服务,已经越来越常见、越来越富于挑战性并且愈加复杂。
这些组织对信息系统及其服务的依赖,意味着它们更容易受到安全威胁。 公众网络和私有网络的互相链接和信息共享增加了实现访问控制的难度。 分布式计算的趋势已经逐渐削弱了集中化专家控制模式的效率。
很多信息系统的设计并不安全。 通过技术手段可以得到的安全是很有限的,还应当有适当的管理和程序的帮助。 为确认采用何种控制措施,需要进行认真规划而且要关注细节问题。信息安全管理至少要求组织中所有雇员参与其中。 它可能还需要供应商、客户和股东的参与。也可能需要来自组织以外的专家的建议。
如果在需求分析和设计阶段进行合作,信息安全管理的成本就会相当便宜, 而且也会更加有效。
如何确定安全需要?
确定安全需要对一个组织机构来说,是十分关键的。安全需要有三个主要来源。
第一个来源是组织风险的评估。通过风险评估,辨别出对资产的威胁、评价了组织对这种威胁的易损性和威胁发生的可能性,并且对可能的冲击进行了估计。
第二个来源是法律的、规定的和合同约定的要求。这些要求是一个组织、它的贸易伙伴、立约人和服务提供商都要满足的。
第三个来源是一个组织已经制订的特殊原则、目标和需要,它们是用来支持信息处理操作的。
评估安全风险
安全需要是由一个有系统的安全风险评估确定的。 在安全管理上的花费要同安全故障可能造成的商业利益损失相平衡。 风险评估方法可以用于整个组织,也可以只是用于它的某些部分,还可以用在独立的信息系统、特殊系统部件或者服务上。 在此范围内进行风险评估是具有可操作性的、实际的和有帮助的。
风险评估是对下面因素的系统考虑:
a)安全事故可能造成的商业损失。要把信息和其它资产的保密性、完整性和安全性的损失的潜在后果也考虑进去;
b)在极为普遍的危害和采取的相应管理措施的共同作用下,这样的故障实际发生的可能性。
评估的结果能够帮助指导和确定适当的管理行为, 并有助于确定管理信息安全风险的优先权和执行抵御这些风险的安全措施的优先级。风险评估和管理措施的选择可能需要重复进行多次,以便保护组织或者独立信息系统的不同部分。
对安全风险和实行的管理措施进行定期复查,是非常重要的。 这样就可以:
a)考虑到商务需求和优先级的变化;
b)考虑到新的威胁和危害;
c)确认所采取的管制仍然有效、适合。
应当根据以前评估,在不同的深度层次进行复查。 而且,还要根据管理所要承受风险的不同,在变化了的层次上做考查。风险评估常常是先在一个较高的水平进行的,这是一种在高风险领域确定优先级的方式,从而能够在更细致的水平上确定特殊的风险。
选择控制措施
安全需要一旦确定了,就应当选择并实施控制措施,来确保风险降低到可以接受的程度。 控制措施可以从本文件或其它控制措施的资料中选择, 或者从那些制订出的用来满足特殊需要的新控制措施中间选择。 有很多不同的风险管理方式,本文件给出了一些常用方式的例子。然而,有一些方法并不能够适用于每一个信息系统或者环境,并且也可能对所有组织都不合适。注意到这点是十分重要的。例如,8.1.4阐述了怎样通过划分责任来防止错误和失误的发生。 对于比较小组织就不太可能把所有的责任都做明确划分,必须通过其它途径来达到相同的控制目标。 再比如,9.7和12.1阐述了如何检测系统使用状况以及如何收集证据。其中所提到的控制措施,例如事件记录,可能与现行规范相抵触,比如要对客户或者工作间的私密性进行保护。
管理措施的选择应当根据实施成本与所减少风险的关系和执行成本与出现一个安全漏洞时可能造成损失的关系进行。非资金损失因素,比如声誉损失,也应当考虑进去。
本文件中的一些安全管理措施可以当作信息安全管理的指导性原则,并且适用于大多数组织。下面标题为“信息安全起点”一节中会更加详细地解释这些措施。
信息安全起点
有一些管理措施可以看作是指导性的原则,它们为实施信息安全提供了一个出发点。这些原则要么基于根本性的立法要求,要么被认为是应对信息安全的常用的好办法。
从法律角度看,对一个组织具有根本性的管理措施包括:
a)数据保护和个人信息的保密性(见12.1.4)
b)组织的档案资料的保护;
c)知识产权。(见12.1.2)
被认为对信息安全是常用的好方法的管理措施有:
a)信息安全策略文件(见3.1);
b)信息安全责任的划分(见4.1.3);
c)信息安全教育和培训(见6.2.1);
d)安全事故报告(见6.3.1);
e)业务连续性管理(见11.1).
这些管理措施可以用在大多数的组织和多数环境之中。 应当注意的是,尽管本文件中的所有管理措施都重要,还是应当根据一个组织所面临的特殊风险来确定任何相关的管理措施。因此,尽管上述途径被认为是一个很好的起点,它并不能替代根据风险评估所做出的管理措施的选择。
关键的成功因素
经验表明,要在一个组织内部成功的实现信息安全,下面一些因素常常是非常关键的:
a)反映业务目标的安全策略、目的和活动;
b)实现与组织文化相协调的安全的途径;
c)管理方面明显的支持和承诺;
d)对安全需要、风险评估和风险管理的清晰理解;
e)向所有的管理者和雇员有效地传播安全知识;
f)向所有的雇员和立约人发布信息安全策略和标准的指导;
g)进行适当的培训和教育;
h)综合的、平衡的测量系统。 该系统要用于评价在信息安全管理和反馈改进意见中的表现。
制订自己的准则
这个实施规则可以看成是制订组织专门准则的一个起点。 并不是所有在该实施准则中的指导和管理措施都可行。而且,还可能需要其它不包括在该文件中的管理措施。这种情况一旦发生,保持交叉引用很有用处,这将有助于审计人员和业务伙伴进行符合性审计。
