ISO/IEC27001知识介绍

更新时间：2017-03-07 12:55:52阅读量：次字号：T|T

　　信息安全管理体系(Information Security Management System，简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系(Management System，MS)思

　　信息安全管理体系(Information Security Management System，简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系(Management System，MS)思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。

　　在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中，对ISMS的定义如下：

　　ISMS(信息安全管理体系)：是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。

　　这个定义看上去同其他管理体系的定义描述不尽相同，但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义，将ISMS描述为：组织在信息安全方面建立方针和目标，并实现这些目标的一组相互关联、相互作用的要素。

　　ISMS同其他MS(如QMS、EMS、OHSMS)一样，有许多共同的要素，其原理、方法、过程和体系的结构也基本一致。

　　单纯从定义理解，可能无法立即掌握ISMS的实质，我们可以把ISMS理解为一台“机器”，这台机器的功能就是制造“信息安全”，它由许多“部件”(要素)构成，这些“部件”包括ISMS管理机构、ISMS文件以及资源等，ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。

　　1.2 为什么需要ISMS

　　今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。

　　可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：

　　2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。

　　2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。

　　2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。

　　2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。

　　(以上案例均来自互联网)

　　这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。

　　因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。

　　信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用，一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生，组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题，信息安全成本和效益的平衡问题，信息安全目标、业务连续性、信息安全相关法规符合性等问题，依靠产品和技术是解决不了的。

　　人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准-ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management)”，2005年6月，国际标准化组织对该标准进行了修订，颁布了ISO/IEC17799:2005(现已更名为ISO/IEC27002:2005)，10月，又发布了ISO/IEC27001:2005“信息安全管理体系要求(Information Security Management System Requirement)”。

　　自此，ISMS在国际上确立并发展起来。今天，ISMS已经成为信息安全领域的一个热门话题。