2.1 信息安全管理体系规范

信息安全管理体系规范(ISO/IEC 27000)是由国际标准化组织(ISO)/国际电工委员会(IEC)组成的联合技术委员会ISO/IEC JTC1所发布的国际信息安全管理系列标准。ISO/IEC 27000系列标准由7个标准组成,如图2-1所示。目前,已经发布的7个标准如下。

图2-1 ISO/IEC 27000系列标准

1)ISO/IEC 27000:2018《信息安全管理体系——概述和术语》(Information Security Management Systems—Overview and Vocabulary),主要描述信息安全管理体系(Information Security Management Systems,ISMS)的基本原理及涉及的专业词汇。

2)ISO/IEC 27001:2013《信息安全管理体系——规范/要求》(Information Se-curity Management Systems—Requirements),规定了建立、实施和文件化ISMS的要求以及根据独立组织的需要应实施安全控制的要求,即明确提出ISMS及其安全控制要求,为ISO 27002:2013中安全控制要求的具体实施提供指南,适用于组织按照标准要求建立并实施ISMS,进行有效的信息安全风险管理,确保业务可持续发展,给出信息安全管理体系第三方认证的标准。

3)ISO/IEC 27002:2013《信息安全管理实施细则》(Code of Practice for Informa-tion Security Management),是一套全面综合的最佳实践经验的总结,即对ISO 27001中的安全控制要求给出通用的控制措施,它包含11个控制域、39个控制目标、133项控制措施。

4)ISO/IEC 27003:2017《信息安全管理体系——实施指南》(Information Security Management Systems—Implementation Guidance),阐述国际信息安全管理标准的应用指南,为ISMS的构建、应用、维护和升级提供实施建议。

5)ISO/IEC 27004:2016《信息安全管理度量》(Information Security Management Measurements),定义用于测量信息安全管理标准实施效果的过程度量和控制度量。

6)ISO/IEC 27005:2018《信息安全风险管理》(Information Security Risk Man-agement),定义风险评估和风险处置。

7)ISO/IEC 27006:2015《信息安全管理体系认证认可机构要求》(Requirements for Bodies Providing Audit and Certification of Information Security Management Systems),主要对提供ISMS认证的机构提出要求。

2.1.1 ISO/IEC 27001:2013

ISO/IEC27001:2013规定了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。该套标准适用于组织按照标准要求建立并实施信息安全管理体系,进行有效的信息安全风险管理,确保商务可持续性发展,同时也是信息安全管理体系第三方认证的标准。

ISO/IEC 27001:2013标准将基于PDCA——Plan(策划)、Do(执行)、Check(检查)、Action(措施)持续改进管理模式的管理思想,可作为构建ISMS过程的模型。该管理思想具体如图2-2和表2-1所示。

图2-2 适用于ISMS过程的PDCA模型

表2-1 PDCA释义

ISO/IEC 27001:2013提出的控制要求涉及信息安全管理的各个方面,目前共包括11类,分别如下。

1)安全策略(Security policy)。

2)信息安全的组织结构(Organization of information security)。

3)资产管理(Asset management)。

4)人力资源安全(Human resources security)。

5)物理和环境安全(Physical and environmental security)。

6)通信和操作管理(Communications and operations management)。

7)访问控制(Access control)。

8)信息系统采购、开发和维护(Information system acquisition,development and maintenance)。

9)信息安全事件管理(Information security incident management)。

10)业务连续性管理(Business continuity management)。

11)符合性(Compliance)。

其中,访问控制、信息系统采购、开发和维护、通信和操作管理这几个方面跟技术关系紧密,其他方面更侧重于组织整体的管理和运营操作,很好地体现了信息安全领域所谓“三分靠技术、七分靠管理”的实践原则。

2.1.2 ISO/IEC 27002:2013

ISO/IEC 27002:2013是组织建立并实施有效信息安全管理体系的指导性准则,它为信息安全提供了一套全面综合的最佳实践经验的总结。该标准从11个方面定义了39个控制目标和133项控制措施,这133个控制项很多还包含一些更具体的子控制项,以供信息安全管理体系实施者参考使用。标准中每项控制虽然都提供了实施指南,但从实施角度来看,还不够具体和细致。此外,标准也特别声明,并不是所有的控制都适合任何组织,组织可以根据自身的实际情况来选择。当然,组织也可以根据自身需要来增加额外的控制项。该标准对11大类的安全控制目标规定大致如下。

(1)安全策略

为信息安全提供与业务需求和法律法规相一致的管理指示及支持。

(2)信息安全的组织结构

在组织内部建立发起和控制信息安全实施的管理框架,维护被外部伙伴访问、处理和管理的组织的信息处理设施和信息资产的安全。

(3)资产管理

确保信息资产得到适当级别的保护。

(4)人力资源安全

涉及雇员、合同工和第三方用户聘用前、聘用期间、解聘和职位变更的控制。确保其理解自身责任,适合角色定位,减少偷窃、欺诈或误用设施带来的风险;确保其意识到信息安全威胁、利害关系、责任和义务,并在其正常工作当中支持组织的安全策略,减少人为错误导致的风险;确保其按照既定方式离职或变更职位。

(5)物理和环境安全

防止非授权物理访问、破坏和干扰组织的安全区域边界,防止资产的丢失、损害和破坏,防止业务活动被中断。

(6)通信和操作管理

履行操作程序和责任,确保正确并安全地操作信息处理设施。做好系统规划及验收,减少系统故障带来的风险。对于第三方服务交付管理,根据协议实施并保持恰当的信息安全和服务交付水平。抵御恶意和移动代码,保护软件和信息的完整性。做好备份与网络安全管理、介质处理,维护信息和信息处理设施的完整性及可用性,确保网络中的信息以及支持技术设施得到保护,保持组织内部以及与外部实体间进行信息交换的安全性,防止非授权泄露、篡改、废除和破坏资产,防止业务活动中断。对于电子商务服务,确保电子商务服务的安全性,保证安全使用电子商务服务。

(7)访问控制

根据业务和安全需求,对信息、系统和业务流程加以控制,同时考虑信息传播和授权的策略,控制对信息的访问。确保授权用户的访问,防止非授权用户访问、破坏、窃取信息及信息处理设施,防止非授权用户访问信息系统及信息系统中的信息。另外,确保使用移动计算和通信设施时的信息安全。

(8)信息系统采购、开发和维护

在信息系统的安全需求分析阶段,确保安全内建于信息系统中,确保通过加密手段保护信息的机密性、真实性和完整性。控制对系统文件和程序源代码的访问,使IT项目及其支持活动安全进行,确保系统文件的安全性。维护应用系统软件和信息的安全。应该严格控制项目和支持环境。另外,注重技术漏洞管理,防止因为利用已发布漏洞而实施的破坏。

(9)信息安全事件管理

确保与信息系统相关的信息安全事件和缺陷能够被及时发现,以便采取纠正措施,确保采取一致和有效的方法来管理信息安全事件。

(10)业务连续性管理

减少业务活动的中断,保护关键业务过程不受重大事故或灾害的影响,确保其及时恢复。

(11)符合性

避免违反任何法律、条令、法规或者合同义务,以及任何安全要求,确保遵守组织的安全策略和标准。同时,发挥系统审计过程的最大效用,并把干扰降到最低。