复习指南
剖析ISO 27002:2005
2015-06-08      官方公众号
【字体: 】              

        0.1 什么是信息安全?

  信息是一种资产,就象其它重要的业务资产一样,对于组织的业务是不可缺少的,因此需要得到妥善保护。这种保护在当今互连日益紧密的业务环境中尤为重要。正是因为互连的增加,信息面临着数量更多、种类更广的威胁和弱点(参见OECD 信息系统和网络安全指南)。
  信息可以以多种方式存在,可以打印或书写在纸张上,以电子形式存储,通过邮递或电子方式传播,以幻灯片形式显示或在交谈中表达出来。无论采取何种方式存在,或手段进行共享或存储,都应得到妥善保护。
  信息安全就是要保护信息免受威胁的影响,以确保业务的连续性,最小化业务风险,最大化投资收益和最大程度地把握业务机会。
  通过实施一套适当的控制来实现信息安全,包括策略、过程、程序、组织结构和软硬件功能。这些控制需要得到建立、实施、运行、监控和评审,必要时改进这些控制,已确保组织确定的安全和业务目标得到实现。此过程应与组织的其他业务管理过程联合起来。 
 
  0.2 为什么需要信息安全?
  信息及其支持性过程、系统和网络都是重要的业务资产。定义、实现、维持和改进信息安全,对于保持竞争优势、现金流、盈利能力、法律符合性及商业形象都是至关重要的。
  组织及其信息系统和网络会面临来源广泛的安全威胁,包括计算机辅助欺诈、间谍、不满员工、恶意破坏、火灾或水灾。危害的来源也变得更加普遍、充满野心和复杂老练,如恶意代码、计算机黑客和拒绝服务攻击。
  信息安全对于公共部门业务、私营部门业务及国家关键的基础设施都是很重要的。对于公共部门和私营部门,信息安全将能有效避免或降低有关风险,并且对业务还能起到很好的促进作用,如电子政务或电子商务。公共网络与私有网络的互连以及信息资源的共享,都增大了访问控制的难度。分布式计算的发展也降低了集中、专门控制的有效性。
  很多信息系统在设计时,没有考虑安全问题。要确保安全,通过技术手段得到的保障是十分有限的,必须采用合适的管理和程序。确定采用何种控制,需要经过周密计划和细节推敲。作为信息安全管理的最基本要求,组织的全体员工都应参与到信息安全管理中来。信息安全管理可能还需要股东、供应商、第三方、客户或其他外部机构的参与,以及外部专家的建议。
 
  0.3 如何确定安全要求
  组织首先要确定其安全要求。安全要求有三个主要来源:
  1. 第一个来源是组织风险评估的结果。进行风险评估时,应考虑组织的整体业务战略和业务目标。通过风险评估,识别资产面临的威胁,评价资产的弱点以及风险发生的可能性,并评估风险的影响。
  2. 第二个来源是组织、其商业伙伴、合同方和服务提供商必须满足的法律、法规、规章和合同的要求以及社会文化环境。
  3. 第三个来源是组织为支持其业务运作而为信息处理规定的一套专门的原则、目标和业务要求。
 
  0.4 评估安全风险
  应通过系统的安全风险评估识别安全要求。应将实施控制的支出与安全失效可能导致的业务影响进行权衡。
  风险评估的结果将为信息安全风险管理和为防范风险所选控制的实施,提供指导并确定适当的管理行动和优先级。
  风险评估应定期重复进行,以指出任何可能影响风险评估结果的变化。
  关于安全风险评估的更多信息,参见4.1“评估安全风险”。 
 
  0.5 选择控制
  一旦确定了风险和安全要求并做出风险处置的决策,则应选择并实施适当的控制以确保风险被降低到可接受的程度(风险可接受水平)。可以从本标准或其它控制库中选择控制,适当时,也可以为特定需求设计新的控制。应在组织确定的风险接受准则、风险处置策略(比如接受风险、减轻风险、转移风险、规避风险)以及组织应用的全面风险管理方法的基础上,选择安全控制,同时要遵守所有相关的国家或国际法律法规。
  本标准中的部分控制适用于大多数组织,可以考虑作为信息安全管理的指导原则。在“信息安全起点”中会做更详细地说明。
  关于控制的选择和风险处置策略的更多信息,参见4.2“安全风险的处置”。
 
  0.6 信息安全起点
  许多控制都为实施信息安全提供了一个好的起点。这些控制要么是源于基本的法律法规要求,要么是信息安全的通用实践惯例。
  从法律法规(基于适用的法律法规)的角度来看,对组织至关重要的控制包括:
  a) 数据保护和个人隐私保护(见15.1.4);
  b) 组织记录的保护(见15.1.3);
  c) 知识产权(见15.1.2)。
  属于信息安全通用实践惯例的控制包括:
  a) 信息安全策略文档(见5.1.1);
  b) 信息安全责任的分配(见6.1.3);
  c) 信息安全意识、教育与培训(见8.2.2);
  d) 应用程序的正确处理(见12.2);
  e) 技术漏洞的管理(见12.6);
  f) 业务连续性管理(见14);
  g) 信息安全事件管理和改进(见13.2)。
  这些控制适用于大多数组织和大多数环境。
  需要注意的是,尽管本标准中的所有控制都很重要并且要予以考虑,但是控制是否适当,要取决于组织所面临的特定风险。因此,尽管上述方法是实施信息安全的好起点,但是不能取代风险评估而选择控制。
 
  0.7 关键成功因素
  实践表明,组织要成功地实施信息安全,通常下列因素是非常关键的:
  a) 信息安全策略、目标和活动都要反映业务目标;
  b) 实施、维持、监控和改进信息安全的方法和架构要与组织文化保持一致;
  c) 各级管理层要做出付诸行动的支持和承诺;
  d) 对信息安全要求、风险评估和风险管理有着良好的理解;
  e) 向所有管理者、雇员和第三方宣导信息安全,以提高安全意识;
  f) 对于信息安全策略和标准,向所有管理者、雇员和第三方提供指导;
  g) 为信息安全管理活动提供资金支持;
  h) 提供适当的意识宣导、培训和教育;
  i) 建立有效的信息安全事件管理程序;
  j) 应用测量系统(注1),对信息安全管理的效果和改进的反馈意见进行评价。
  注1:测量系统超出了本标准的范围,不在本标准中阐述。
 
  0.8 开发自己的指南
  本实施规范(即ISO27002)可作为组织制定指南的起点。本标准中的控制和指导(Guidance)并非全部适用。此外,可能还需要本标准之外的控制和指导。当开发的文档包含额外的指导或控制时,标示出与本标准条款的对照关系将有助于审核员和业务伙伴进行符合性检查。
  1.范围
  本国际标准为组织发起、实施、维护和改进信息安全管理提供指南和通用准则。本国际标准中列举的控制目标为信息安全管理目标提供普遍适用的指导。
  实施本国际标准中的控制目标和控制,用于满足风险评估识别出来的需求。本国际标准为组织开发安全标准和有效的安全管理提供实践指南,并为组织间活动建立信心。
  2.术语及定义
  本国际标准采用以下术语及定义。
  2.1 资产
  任何对组织有价值的事物。
  [ISO/IEC 13335-1:2004]
  2.2 控制
  管理风险的方法,包括策略、程序、指南、实践惯例或组织架构,这些方法可以是行政的、技术的、管理的或法律性质的。
  注:控制也被用作安全措施或对策的同义词。
  2.3 指南
  阐明为实现策略中设定的目标应该做什么和如何做的描述。
  [ISO/IEC 13335-1:2004]
  2.4 信息处理设施
  任何信息处理系统、服务或基础设施,或放置它们的物理场所。
  2.5 信息安全
  保护信息的保密性、完整性和可用性,另外也可以包括其 性,例如真实性、可审查性、抗抵赖性、可靠性。
  2.6 信息安全情况(Event)
  识别出从系统、服务或网络状况中表明可能违反信息安全策略、防护措施失效、或以前未知的与安全相关的情况。
  [ISO/IEC TR 18044:2004]
  笔者笔记:“Event”在这里指的是情况而非事件,属于事件之前的状态
  2.7 信息安全事件(Incident)
  出现单个或一系列非期望或非预期的信息安全情况(Event),很可能危及业务运营和威胁信息安全。
  [ISO/IEC TR 18044:2004]
  2.8 策略
  管理层正式表达的总体意图与指示。
  2.9 风险
  事件(event)发生的可能性及其后果的结合。
  [ISO/IEC Guide 73:2002]
手机扫一扫
进行注册审核员考试咨询

微信号:ccaa315
功能介绍:注册审核员 考试通知、培训信息;
认证机构挂靠、人员注册、复习题、模拟试题。