1.?? ISMS標(biāo)準(zhǔn)
1.1 ?ISMS標(biāo)準(zhǔn)體系－ISO/IEC27000族簡(jiǎn)介
1.2 ? 信息安全管理實(shí)用規(guī)則－ISO/IEC27002:2005介紹
1.3 信息安全管理體系要求－ISO/IEC27001:2005介紹

1.???? ISMS標(biāo)準(zhǔn)

1.1?? ISMS標(biāo)準(zhǔn)體系－ISO/IEC27000族簡(jiǎn)介

ISMS是近兩年來在管理體系和信息安全領(lǐng)域興起的一個(gè)熱門話題，按照ISO/IEC27001建立和實(shí)施ISMS并積極申請(qǐng)認(rèn)證成為許多組織解決其信息安全問題的選擇。
ISO/IEC27000族是國際標(biāo)準(zhǔn)化組織專門為ISMS預(yù)留下來的系列相關(guān)國際標(biāo)準(zhǔn)的總稱。根據(jù)國際標(biāo)準(zhǔn)化組織的最新計(jì)劃，該系列標(biāo)準(zhǔn)的序號(hào)已經(jīng)預(yù)留到27019，其中將27000～27009留給ISMS基本標(biāo)準(zhǔn)，27010～27019預(yù)留給ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔。可見ISMS標(biāo)準(zhǔn)將來會(huì)是一個(gè)龐大的家族。

1.1.1???? ISMS國際標(biāo)準(zhǔn)化組織

ISO/IEC JTC1/SC27/WG1（國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì) 信息技術(shù)委員會(huì)/安全技術(shù)分委員會(huì)/第一工作組）是制定和修訂ISMS標(biāo)準(zhǔn)的國際組織，我國是該組織的P成員國。ISO/IEC JTC1/SC27成立后設(shè)有三個(gè)工作組：
l? WG1：需求、安全服務(wù)及指南工作組
l? WG2：安全技術(shù)與機(jī)制工作組
l? WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組
在2006年5月8日至17日西班牙馬德里舉行的SC27第32屆工作組會(huì)議和第18屆全體會(huì)議上，通過了2005年11月在馬來西亞會(huì)議上提出的調(diào)整SC27組織結(jié)構(gòu)的提案，將原來的三個(gè)工作組調(diào)整為現(xiàn)在五個(gè)工作組：
l? WG1：ISMS標(biāo)準(zhǔn)工作組
l? WG2：安全技術(shù)與機(jī)制工作組
l? WG3：信息系統(tǒng)、部件和產(chǎn)品相關(guān)的安全評(píng)估準(zhǔn)則工作組
l? WG4：安全控制與服務(wù)工作組
l? WG5：身份管理與隱私保護(hù)技術(shù)工作組
SC27組織機(jī)構(gòu)的這次調(diào)整，專門將WG1做為ISMS標(biāo)準(zhǔn)的工作組，負(fù)責(zé)開發(fā)ISMS相關(guān)的標(biāo)準(zhǔn)與指南，充分體現(xiàn)了ISMS的發(fā)展在全球范圍內(nèi)受到高度重視。

1.1.2???? 已經(jīng)發(fā)布的ISMS標(biāo)準(zhǔn)－ISO/IEC27001和ISO/IEC27002

目前國際標(biāo)準(zhǔn)化組織已經(jīng)正式發(fā)布的ISMS國際標(biāo)準(zhǔn)有兩個(gè)：ISO/IEC27001和ISO/IEC27002，它們是ISMS的核心標(biāo)準(zhǔn)。
l? ISO/IEC27001:2005：信息安全管理體系要求
Information technology-Security techniques-Information security management systems-Requirements
l? ISO/IEC27002:2005：信息安全管理實(shí)用規(guī)則
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式發(fā)布。它同ISO9001的性質(zhì)一樣，是ISMS的要求標(biāo)準(zhǔn)，內(nèi)容共分8章和3個(gè)附錄，其中附錄A中的內(nèi)容直接引用并與ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005適用于所有類型的組織（如企事業(yè)單位、政府機(jī)關(guān)等）。它從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。ISO/IEC27001:2005是組織建立和實(shí)施ISMS的依據(jù)，也是ISMS認(rèn)證機(jī)構(gòu)實(shí)施審核的依據(jù)。
ISO/IEC17799于2000年12月1日正式發(fā)布，2005年6月15日發(fā)布修訂版即ISO/IEC17799:2005，原來版本同時(shí)廢止。ISO/IEC17799的2005年版本比2000年版本在結(jié)構(gòu)和內(nèi)容上都有較大的變化。
根據(jù)今年召開的第18屆SC27全體會(huì)議決議，將于2007年4月將ISO/IEC17799的標(biāo)準(zhǔn)序號(hào)更改為ISO/IEC27002。
1.1.3???? ISMS標(biāo)準(zhǔn)的類型
根據(jù)ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards 管理體系標(biāo)準(zhǔn)合理性和制定導(dǎo)則）和ISO/IEC的相關(guān)導(dǎo)則，ISO/IEC JTC1/SC27/WG1將ISMS標(biāo)準(zhǔn)分為4類：
l? Type A – Vocabulary Standard?????? A類－詞匯標(biāo)準(zhǔn)
l? Type B – Requirements Standard???? B類－要求標(biāo)準(zhǔn)
l? Type C – Guidelines Standard?????? C類－指南標(biāo)準(zhǔn)
l? Type D – Related Standard????????? D類－相關(guān)標(biāo)準(zhǔn)
A類－詞匯標(biāo)準(zhǔn)：主要提供標(biāo)準(zhǔn)族中所有標(biāo)準(zhǔn)所涉及的基礎(chǔ)信息，包括通用術(shù)語、基本原則等內(nèi)容。ISO/IEC27000同ISO 9000（質(zhì)量管理體系 基礎(chǔ)和術(shù)語）類似，屬于此類標(biāo)準(zhǔn)。
B類－要求標(biāo)準(zhǔn)：主要提供管理體系的相關(guān)規(guī)范，它能夠使一個(gè)組織證明其滿足內(nèi)部和外部要求的能力。ISO/IEC27001同ISO 9001（質(zhì)量管理體系 要求）、ISO 14001（環(huán)境管理體系 規(guī)范及使用指南）、OHSAS 18001（職業(yè)健康安全管理體系 規(guī)范）等標(biāo)準(zhǔn)一樣，屬于此類標(biāo)準(zhǔn)。
C類－指南標(biāo)準(zhǔn)：此類標(biāo)準(zhǔn)目的是為一個(gè)組織實(shí)施要求標(biāo)準(zhǔn)提供相關(guān)的指南，ISO/IEC27002、ISO/IEC27003等同ISO 9004（質(zhì)量管理體系 業(yè)績改進(jìn)指南）、ISO 14004（環(huán)境管理體系 原則、體系和支持技術(shù)通用指南）、OHSMS 18002（職業(yè)健康安全管理體系 指南）等標(biāo)準(zhǔn)一樣，屬于此類標(biāo)準(zhǔn)。
D類－相關(guān)標(biāo)準(zhǔn)：此類標(biāo)準(zhǔn)嚴(yán)格說不是管理體系標(biāo)準(zhǔn)族中的標(biāo)準(zhǔn)，他們主要提供關(guān)于特定方面或相關(guān)支持技術(shù)的進(jìn)一步的指導(dǎo)，此類標(biāo)準(zhǔn)一般獨(dú)立開發(fā)，與要求類標(biāo)準(zhǔn)和指南類標(biāo)準(zhǔn)無明顯的關(guān)聯(lián)。ISO/IEC27006同ISO19011（質(zhì)量和環(huán)境管理體系審核指南）等標(biāo)準(zhǔn)一樣屬于此類。
1.1.4???? 制訂中的ISO/IEC27000系列標(biāo)準(zhǔn)介紹
截至2006年5月18日，ISO/IEC JTC1/SC27/WG1正在制定中的標(biāo)準(zhǔn)包括5個(gè)，分別是：
ISO/IEC 27000
ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理體系基礎(chǔ)和術(shù)語），屬于A類標(biāo)準(zhǔn)。ISO/IEC 27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則，是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。ISMS標(biāo)準(zhǔn)族中的每個(gè)標(biāo)準(zhǔn)都有“術(shù)語和定義”部分，但不同標(biāo)準(zhǔn)的術(shù)語間往往缺乏協(xié)調(diào)性，而ISO/IEC27000則主要用于實(shí)現(xiàn)這種協(xié)調(diào)。
ISO/IEC 27000目前處于WD（工作組草案）階段，正在SC27內(nèi)研究并征求意見。
ISO/IE 27003
ISO/IEC27003（Information security management system implementation guidance 信息安全管理體系實(shí)施指南），屬于C類標(biāo)準(zhǔn)。ISO/IEC27003為建立、實(shí)施、監(jiān)視、評(píng)審、保持和改進(jìn)符合ISO/IEC27001的ISMS提供了實(shí)施指南和進(jìn)一步的信息，使用者主要為組織內(nèi)負(fù)責(zé)實(shí)施ISMS的人員。
該標(biāo)準(zhǔn)給出了ISMS實(shí)施的關(guān)鍵成功因素，實(shí)施過程依照ISO/IEC27001要求的PDCA模型進(jìn)行，并進(jìn)一步介紹了各個(gè)階段的活動(dòng)內(nèi)容及詳細(xì)實(shí)施指南。
ISO/IEC 27003目前也處在WD階段，正在SC27內(nèi)研究并征求意見。
ISO/IEC 27004
ISO/IEC27004（Information security management measurements 信息安全管理測(cè)量），屬于C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)主要為組織測(cè)量信息安全控制措施和ISMS過程的有效性提供指南。
該標(biāo)準(zhǔn)將測(cè)量分為兩個(gè)類別：有效性測(cè)量和過程測(cè)量，列出了多種測(cè)量方法，例如調(diào)查問卷、觀察、知識(shí)評(píng)估、檢查、二次執(zhí)行、測(cè)試（包括設(shè)計(jì)測(cè)試和運(yùn)行測(cè)試）以及抽樣等。
該標(biāo)準(zhǔn)定義了ISMS的測(cè)量過程：首先要實(shí)施ISMS的測(cè)量，應(yīng)定義選擇測(cè)量措施，同時(shí)確定測(cè)量的對(duì)象和驗(yàn)證準(zhǔn)則，形成測(cè)量計(jì)劃；實(shí)施ISMS測(cè)量的過程中，應(yīng)定義數(shù)據(jù)的收集、分析和報(bào)告程序并評(píng)審、批準(zhǔn)提供資源以支持測(cè)量活動(dòng)的開展；在ISMS的檢查和處置階段，也應(yīng)對(duì)測(cè)量措施加以改進(jìn)，這就要求首先定義測(cè)量過程的評(píng)價(jià)準(zhǔn)則，對(duì)測(cè)量過程加以監(jiān)控，并定期實(shí)施評(píng)審。
目前該標(biāo)準(zhǔn)已經(jīng)處于CD（委員會(huì)草案）階段，預(yù)計(jì)將于2008年完成。
ISO/IEC 27005
ISO/IEC27005（Information security risk management 信息安全風(fēng)險(xiǎn)管理），屬于C類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)給出了信息安全風(fēng)險(xiǎn)管理的指南，其中所描述的技術(shù)遵循ISO/IEC27001中的通用概念、模型和過程。
該標(biāo)準(zhǔn)介紹了一般性的風(fēng)險(xiǎn)管理過程，并重點(diǎn)闡述了風(fēng)險(xiǎn)評(píng)估的幾個(gè)重要環(huán)節(jié)，包括風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)處理、風(fēng)險(xiǎn)接受等。在標(biāo)準(zhǔn)的附錄中，給出了資產(chǎn)、影響、脆弱性以及風(fēng)險(xiǎn)評(píng)估的方法，并列出了常見的威脅和脆弱性。最后還給出了根據(jù)不同通信系統(tǒng)以及不同安全問題和威脅選擇控制措施的方法。
目前該標(biāo)準(zhǔn)處于Final CD（最終委員會(huì)草案）階段。
ISO/IEC 27006
ISO/IEC27005（Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可要求），屬于D類標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)的主要內(nèi)容是對(duì)從事ISMS認(rèn)證的機(jī)構(gòu)提出了要求和規(guī)范，或者說它規(guī)定了一個(gè)機(jī)構(gòu)“具備怎樣的條件就可以從事ISMS認(rèn)證業(yè)務(wù)”。
目前該標(biāo)準(zhǔn)處于Final CD（最終委員會(huì)草案）階段。
 
 
 
 

1.2?? 信息安全管理實(shí)用規(guī)則－ISO/IEC27002:2005介紹

ISO/IEC27002是國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1/SC27最早發(fā)布的ISMS系列標(biāo)準(zhǔn)之一（當(dāng)時(shí)稱之為ISO/IEC17799，2007年4月正式更名為ISO/IEC 27002）。它從信息安全的諸多方面，總結(jié)了一百多項(xiàng)信息安全控制措施，并給出了詳細(xì)的實(shí)施指南，為組織采取控制措施、實(shí)現(xiàn)信息安全目標(biāo)提供了選擇，是信息安全的最佳實(shí)踐。

1.2.1???? ISO/IEC27002的由來

組織對(duì)信息安全的要求是隨著組織業(yè)務(wù)對(duì)信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)的應(yīng)用而來的。人們?cè)诮鉀Q信息安全問題以滿足信息安全要求的過程中，經(jīng)歷了由“重技術(shù)輕管理”到“技術(shù)和管理并重”的兩個(gè)不同階段。
當(dāng)信息安全問題開始出現(xiàn)的初期，人們解決信息安全問題的主要途徑就是安裝和使用信息安全產(chǎn)品，如加密機(jī)、防火墻、入侵檢測(cè)設(shè)備等。信息安全技術(shù)和產(chǎn)品的應(yīng)用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品，仍然無法避免一些信息安全事件的發(fā)生。與組織中個(gè)人有關(guān)的信息安全問題、信息安全成本和效益的平衡、信息安全目標(biāo)、業(yè)務(wù)連續(xù)性、信息安全相關(guān)法規(guī)符合性等，這些問題與信息安全的要求都密切相關(guān)，而僅僅通過產(chǎn)品和技術(shù)是無法解決的。
上個(gè)世紀(jì)90年代末，人們開始意識(shí)到管理在解決信息安全問題中的作用。1993年9月，由英國貿(mào)工部（DTI）組織許多企業(yè)參與編寫了一個(gè)信息安全管理的文本－“信息安全管理實(shí)用規(guī)則（Code of practice for information security management）”，1995年2月，在該文本的基礎(chǔ)上，英國發(fā)布了國家標(biāo)準(zhǔn)BS7799-1:1995。1999年英國對(duì)該標(biāo)準(zhǔn)進(jìn)行了修訂后發(fā)布1999年版，2000年12月被采納成為國際標(biāo)準(zhǔn)，即ISO/IEC17799:2000。2005年6月15日，該標(biāo)準(zhǔn)被修訂發(fā)布為ISO/IEC17799:2005。2007年4月正式更名為ISO/IEC 27002。
同時(shí)伴隨著ISO/IEC27002發(fā)展的還有另一個(gè)標(biāo)準(zhǔn)，即1998年2月英國發(fā)布的英國國家標(biāo)準(zhǔn)BS7799-2:1998，1999年修訂后發(fā)布1999版。2000年12月，當(dāng)BS7799-1:1999被采納成為國際標(biāo)準(zhǔn)時(shí)，BS7799-2:1999并沒有被國際標(biāo)準(zhǔn)化組織采納為國際標(biāo)準(zhǔn)。2002年英國又對(duì)BS7799-2:1999進(jìn)行了修訂發(fā)布2002版。2005年10月，這個(gè)標(biāo)準(zhǔn)被采納成為國際標(biāo)準(zhǔn)ISO/IEC27001:2005。

1.2.2???? ISO/IEC27002的范圍

ISOS/IEC27002為組織實(shí)施信息安全管理提供建議，供一個(gè)組織中負(fù)責(zé)信息安全工作的人員使用。該標(biāo)準(zhǔn)適用于各個(gè)領(lǐng)域、不同類型、不同規(guī)模的組織。對(duì)于標(biāo)準(zhǔn)中提出的任何一項(xiàng)具體的信息安全控制措施，組織應(yīng)考慮本國的法律法規(guī)以及組織的實(shí)際情況來選擇使用。參照本標(biāo)準(zhǔn)，組織可以開發(fā)自己的信息安全準(zhǔn)則和有效的安全管理方法，并提供不同組織間的信任。

1.2.3???? ISO/IEC27002的主要內(nèi)容

ISO/IEC27002:2005是一個(gè)通用的信息安全控制措施集，這些控制措施涵蓋了信息安全的方方面面，是解決信息安全問題的最佳實(shí)踐。
標(biāo)準(zhǔn)從什么是信息安全、為什么需要信息安全、如何建立安全要求和選擇控制等問題入手，循序漸進(jìn)，從11個(gè)方面提出了39個(gè)信息安全控制目標(biāo)和133個(gè)控制措施。每一個(gè)具體控制措施，標(biāo)準(zhǔn)還給出了詳細(xì)的實(shí)施方面的信息，以方便標(biāo)準(zhǔn)的用戶使用。
值得注意的是，標(biāo)準(zhǔn)中推薦的這133個(gè)控制措施，并非信息安全控制措施的全部。組織可以根據(jù)自己的情況選擇使用標(biāo)準(zhǔn)以外的控制措施來實(shí)現(xiàn)組織的信息安全目標(biāo)。
從內(nèi)容和機(jī)構(gòu)上看，可以將標(biāo)準(zhǔn)分為四個(gè)部分：
一、引言部分。
主要介紹了信息安全的基礎(chǔ)知識(shí)，包括什么是信息安全、為什么需要信息安全、如何建立安全要求、評(píng)估安全風(fēng)險(xiǎn)等8個(gè)方面內(nèi)容。
二、標(biāo)準(zhǔn)的通用要素部分（1～3章）。
第1章是標(biāo)準(zhǔn)的范圍，給出了該標(biāo)準(zhǔn)的內(nèi)容概述、用途及目標(biāo)。第2章是術(shù)語和定義，介紹了資產(chǎn)、控制措施、指南、信息處理設(shè)施、信息安全等十七個(gè)術(shù)語。第3章則給出了該標(biāo)準(zhǔn)的結(jié)構(gòu)。
三、風(fēng)險(xiǎn)評(píng)估和處理部分。
該章簡(jiǎn)單介紹了評(píng)估安全風(fēng)險(xiǎn)和處理安全風(fēng)險(xiǎn)的原則、流程及要求。
四、控制措施部分（5～15章）。
這是標(biāo)準(zhǔn)的主體部分，包括11個(gè)控制措施章節(jié)，分別是：
5????????? 安全方針（控制目標(biāo)：1個(gè)，控制措施： 2個(gè)）
6????????? 信息安全組織（控制目標(biāo)：2個(gè)，控制措施：11個(gè)）
7????????? 資產(chǎn)管理（控制目標(biāo)：2個(gè)，控制措施： 5個(gè)）
8????????? 人力資源安全（控制目標(biāo)：3個(gè)，控制措施：9個(gè)）
9????????? 物理和環(huán)境安全（控制目標(biāo)：2個(gè)，控制措施：13個(gè)）
10????? 通信和操作管理（控制目標(biāo)：10個(gè)，控制措施：32個(gè)）
11????? 訪問控制（控制目標(biāo)：7個(gè)，控制措施：25個(gè)）
12????? 信息系統(tǒng)獲取、開發(fā)和維護(hù)（控制目標(biāo)：6個(gè)，控制措施：16個(gè)）
13????? 信息安全事件管理（控制目標(biāo)：2個(gè)，控制措施：5個(gè)）
14????? 業(yè)務(wù)連續(xù)性管理（控制目標(biāo)：1個(gè)，控制措施： 5個(gè)）
15符合性（控制目標(biāo)：3個(gè)，控制措施：10個(gè)）

1.2.4???? ISO/IEC27002的使用說明

ISO/IEC27002:2005作為信息安全管理的最佳實(shí)踐，它的應(yīng)用既有專用性的特點(diǎn)，也有通用性特點(diǎn)。
說它具有專用性，是因?yàn)樽鳛樾畔踩芾眢w系標(biāo)準(zhǔn)族（ISMS標(biāo)準(zhǔn)）中的一員，目前它與ISMS的要求標(biāo)準(zhǔn)ISO/IEC27001:2005是組合使用的，ISO/IEC27001:2005中的規(guī)范性附錄A就是ISO/IEC27002:2005的控制目標(biāo)和控制措施集。對(duì)于期望建設(shè)和實(shí)施ISMS的組織，應(yīng)根據(jù)ISO/IEC27001:2005的要求，選擇ISMS范圍，制定信息安全方針和目標(biāo)， 實(shí)施風(fēng)險(xiǎn)評(píng)估，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，選擇控制目標(biāo)和控制措施，制定和實(shí)施風(fēng)險(xiǎn)處理計(jì)劃，執(zhí)行內(nèi)部審核和管理評(píng)審，以持續(xù)改進(jìn)。
ISO/IEC27002:2005的通用性，體現(xiàn)在標(biāo)準(zhǔn)中提出的控制措施是從信息安全工作實(shí)踐中總結(jié)出來的，是最佳實(shí)踐。任何規(guī)模、任何性質(zhì)的有信息安全要求的組織，不管其是否建設(shè)ISMS，都可以從標(biāo)準(zhǔn)中找到適合自己使用的控制措施來滿足其信息安全要求。
另外，ISO/IEC27002:2005中提出的控制目標(biāo)和控制措施，對(duì)一個(gè)具體的組織并不一定全部適用，也不一定就是信息安全控制措施的全部。任何組織還可以根據(jù)具體情況選擇ISO/IEC27002:2005以外的控制目標(biāo)和控制措施。

1.2.5???? 我國采用ISO/IEC17799情況的說明

我國政府主管部門十分重視信息安全管理國家標(biāo)準(zhǔn)的制定。2002年，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（www.tc260.org.cn）成立之初，其第七工作組（WG7）就開始了ISO/IEC17799的研究和制標(biāo)工作。2005年6月15日，我國發(fā)布了國家標(biāo)準(zhǔn)“GB/T19716-2005信息安全管理實(shí)用規(guī)則”，修改采用ISO/IEC17799:2000。
2006年，根據(jù)ISMS國際標(biāo)準(zhǔn)的發(fā)展和我國的實(shí)際需要，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)又提出了GB/T19716-2005的修訂計(jì)劃和對(duì)應(yīng)ISO/IEC27001:2005等相關(guān)ISMS標(biāo)準(zhǔn)的制定和研究計(jì)劃。相信不久，對(duì)應(yīng)最新ISMS國際標(biāo)準(zhǔn)的國家標(biāo)準(zhǔn)就會(huì)發(fā)布，以供大家遵照使用。
 
 
 
 
 
 
 
 
 

1.3?? 信息安全管理體系要求－ISO/IEC27001:2005介紹

1.3.1???? 發(fā)展：一個(gè)重要的里程碑

ISO/IEC 27001:2005的名稱是 “Information technology- Security techniques-Information security management systems-requirements ”，可翻譯為“信息技術(shù)- 安全技術(shù)-信息安全管理體系 要求”。
在ISO/IEC 27001:2005標(biāo)準(zhǔn)出現(xiàn)之前，組織只能按照英國標(biāo)準(zhǔn)研究院（British Standard Institute，簡(jiǎn)稱BSI）的BS 7799-2:2002標(biāo)準(zhǔn)，進(jìn)行認(rèn)證?，F(xiàn)在，組織可以獲得全球認(rèn)可的ISO/IEC 27001:2005標(biāo)準(zhǔn)的認(rèn)證。這標(biāo)志著ISMS的發(fā)展和認(rèn)證已向前邁進(jìn)了一大步：從英國認(rèn)證認(rèn)可邁進(jìn)國際認(rèn)證認(rèn)可。ISMS的發(fā)展和認(rèn)證進(jìn)入一個(gè)重要的里程碑。這個(gè)新ISMS標(biāo)準(zhǔn)正成為最新的全球信息安全武器。

1.3.2???? 目的：認(rèn)證

ISO/IEC 27001:2005標(biāo)準(zhǔn)設(shè)計(jì)用于認(rèn)證目的，它可幫助組織建立和維護(hù)ISMS。標(biāo)準(zhǔn)的4 – 8章定義了一組ISMS要求。如果組織認(rèn)為其ISMS滿足該標(biāo)準(zhǔn)4 – 8章的所有要求，那么該組織就可以向ISMS認(rèn)證機(jī)構(gòu)申請(qǐng)ISMS認(rèn)證。如果認(rèn)證機(jī)構(gòu)對(duì)組織的ISMS進(jìn)行審核（初審）后，其結(jié)果是符合ISO/IEC 27001:2005的要求，那么它就會(huì)頒發(fā)ISMS證書，聲明該組織的ISMS符合ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求。
然而，ISO/IEC 27001:2005標(biāo)準(zhǔn)與ISO/IEC 9001:2002標(biāo)準(zhǔn)（質(zhì)量管理體系標(biāo)準(zhǔn)）不同。ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求十分“嚴(yán)格”。該標(biāo)準(zhǔn)4 – 8章有許多信息安全管理要求。這些要求是“強(qiáng)制性要求”。只要有任何一條要求得不到滿足，就不能聲稱該組織的ISMS符合ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求。相比之下，ISO/IEC 9001:2002標(biāo)準(zhǔn)的第7章的某些要求（或條款），只要合理，可允許其質(zhì)量管理體系（QMS）作適當(dāng)刪減。
因此，不管是第一方審核、第二方審核，還是第三方審核，評(píng)估組織的ISMS對(duì)ISO/IEC 27001:2005標(biāo)準(zhǔn)的符合性是十分嚴(yán)格的。

1.3.3???? 特點(diǎn)：信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估

ISO/IEC 27001:2005標(biāo)準(zhǔn)適用于所有類型的組織，而不管組織的性質(zhì)和規(guī)模如何。該新標(biāo)準(zhǔn)的特點(diǎn)之一是基于組織的資產(chǎn)風(fēng)險(xiǎn)評(píng)估。也就是說，該標(biāo)準(zhǔn)要求組織通過業(yè)務(wù)風(fēng)險(xiǎn)評(píng)估的方法，來建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)其ISMS，確保其信息資產(chǎn)的保密性、可用性和完整性。
(1) 信息資產(chǎn)
ISO/IEC 27001:2005所指“信息”可包括所有形式的數(shù)據(jù)、文件、通信件（如email和傳真等）、交談（如電話等）、消息、錄音帶和照片等。信息資產(chǎn)是被認(rèn)為對(duì)組織具有“價(jià)值”的，以任何方式存儲(chǔ)的信息。通常，系統(tǒng)（如信息系統(tǒng)和數(shù)據(jù)庫等）也可作為一類信息資產(chǎn)。
(2) 安全風(fēng)險(xiǎn)
組織的信息資產(chǎn)可面臨許多威脅，包括人員（內(nèi)部人員和外人員）誤操作 （不管有意的，還是無意的）、盜竊、惡意代碼和自然災(zāi)害等。
另一方面，組織本身存在某些可被威脅者利用或進(jìn)行破壞的薄弱環(huán)節(jié)，包括員工缺乏安全意識(shí)、基礎(chǔ)設(shè)施中的弱點(diǎn)和控制中的弱點(diǎn)等。這就導(dǎo)致組織的密級(jí)信息資產(chǎn)和應(yīng)用系統(tǒng)可能遭受未授權(quán)訪問、修改、泄露或破壞，而使其造成損失，包括經(jīng)濟(jì)損失、公司形象損失和顧客信心損失等。
(3) 風(fēng)險(xiǎn)評(píng)估與處理
ISO/IEC 27001:2005標(biāo)準(zhǔn)要求組織利用風(fēng)險(xiǎn)評(píng)估的方法，確定每一個(gè)關(guān)鍵信息資產(chǎn)的風(fēng)險(xiǎn)，并根據(jù)各類信息資產(chǎn)的重要度和價(jià)值，選擇適當(dāng)?shù)目刂拼胧?，減緩風(fēng)險(xiǎn)。
風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理是ISO/IEC 27001:2005標(biāo)準(zhǔn)要求的兩個(gè)相互關(guān)聯(lián)的必須的活動(dòng)。一個(gè)組織建立ISMS體系，要進(jìn)行信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理。其主要過程是：
1)??????? 制定組織的ISMS方針和風(fēng)險(xiǎn)接受準(zhǔn)則；
2)??????? 定義組織的風(fēng)險(xiǎn)評(píng)估方法；
3)??????? 識(shí)別要保護(hù)的信息資產(chǎn)，并進(jìn)行登記；
4)??????? 識(shí)別安全風(fēng)險(xiǎn)，包括識(shí)別資產(chǎn)所面臨的威脅、組織的脆弱點(diǎn)和造成的影響等；
5)??????? 對(duì)照組織的風(fēng)險(xiǎn)接受準(zhǔn)則，評(píng)價(jià)和確定已估算的風(fēng)險(xiǎn)的嚴(yán)重性、可否接受；
6)??????? 形成風(fēng)險(xiǎn)評(píng)估報(bào)告；
7)??????? 制定風(fēng)險(xiǎn)處理計(jì)劃，選擇風(fēng)險(xiǎn)控制措施；
標(biāo)準(zhǔn)明確規(guī)定，有4種風(fēng)險(xiǎn)處理方法：采用適當(dāng)?shù)目刂拼胧?、接受風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)和轉(zhuǎn)移風(fēng)險(xiǎn)；
8)??????? 執(zhí)行風(fēng)險(xiǎn)處理計(jì)劃，將風(fēng)險(xiǎn)降低到可接受的級(jí)別。
從理論上，風(fēng)險(xiǎn)只能降低（或減少），而不能完全消除。選擇控制措施的原則是既能使本組織的資產(chǎn)受到與其價(jià)值和保密等級(jí)相符的保護(hù)，將其所受的風(fēng)險(xiǎn)降低到可接受的水準(zhǔn)，又能使所需要的費(fèi)用在該組織的預(yù)算范圍之內(nèi)，使該組織能夠保持良好的競(jìng)爭(zhēng)力和成功運(yùn)作的狀態(tài)。
另外，風(fēng)險(xiǎn)是動(dòng)態(tài)的。風(fēng)險(xiǎn)評(píng)估活動(dòng)應(yīng)定期進(jìn)行。特別是在出現(xiàn)新的信息資產(chǎn)、技術(shù)發(fā)生重大變化和內(nèi)外環(huán)境發(fā)生重大變化時(shí)，風(fēng)險(xiǎn)評(píng)估應(yīng)重新進(jìn)行。

1.3.4???? 要求：基于過程

(1) “PDCA”過程
圖1 ISMS“PDCA”過程周期
國際標(biāo)準(zhǔn)化組織(ISO)使用Plan-Do-Check-Act (即計(jì)劃-實(shí)施-檢查-糾正)過程模型組織ISO/IEC 27001:2005標(biāo)準(zhǔn)。這個(gè)標(biāo)準(zhǔn)4 – 8章規(guī)定了ISMS的建立、實(shí)
施與運(yùn)行、監(jiān)督與評(píng)審、維護(hù)與改進(jìn)所要遵循的活動(dòng)(過程)，并形成一個(gè)周期，稱“PDCA”周期，如圖1
(2) 過程方法
過程是指使用資源把輸入轉(zhuǎn)為輸出的一組活動(dòng)。更通俗地說，過程就是將原料（輸入）加工成產(chǎn)品（輸出）的工作（活動(dòng)）。輸入之所以能轉(zhuǎn)為輸出是因?yàn)殚_展了某些工作或活動(dòng)。
ISO/IEC 27001:2005標(biāo)準(zhǔn)4 – 8章規(guī)定了一組ISMS過程。該標(biāo)準(zhǔn)也要求組織使用“過程方法”來管理和控制其ISMS過程。即：
1)??????? 組織必須對(duì)應(yīng)4 – 8章的相應(yīng)要求，建立其實(shí)際的ISMS過程；
2)??????? 組織的ISMS需按“過程方法”進(jìn)行管理和控制。
這意味著組織的ISMS要包含有許多符合該標(biāo)準(zhǔn)4 – 8章規(guī)定的、相互協(xié)調(diào)的過程。通常，一個(gè)過程的輸出便是另一個(gè)過程的輸入。通過這些輸出和輸入把各個(gè)ISMS過程“粘”在一起，而形成一個(gè)相互依賴的統(tǒng)一整體。
標(biāo)準(zhǔn)還規(guī)定，某些ISMS過程要用形成文件的程序加以控制。
(3) 過程要求
ISO/IEC 27001:2005標(biāo)準(zhǔn)4 – 8章規(guī)定了一組ISMS過程。因此，從另一個(gè)角度，ISO/IEC 27001:2005標(biāo)準(zhǔn)的要求就是過程要求。組織的ISMS必要滿足這些過程要求。
注：與ISO/IEC 27001:2005正文內(nèi)容不同，ISO/IEC 27001:2005附錄A的內(nèi)容屬于控制要求。