信息安全管理是目前信息安全领域里最热门的话题之一,而作为指导和规范信息安全管理的标准更是重中之重,因为得标准者得“天下”。在信息安全管理领域里,由于标准众多,对于标准的争论从未停息过。本文介绍了安全管理中的“热门”标准。
信息安全管理是目前信息安全领域里最热门的话题之一,而作为指导和规范信息安全管理的标准更是重中之重,因为得标准者得“天下”。
在信息安全管理领域里,由于标准众多,对于标准的争论从未停息过。
国际上,有ISO/IEC的国际标准17799、13335;西方国家,有美国国家标准和技术委员会(NIST)的特别出版物系列、英国标准协会(BSI)的7799系列;在我国,有风险管理、灾难恢复的国家政策。
同信息安全管理交叉的ITIL、同信息系统审计相关的萨班斯404条款与控制目标(CoBIT),以及信息安全管理系统、风险管理、业务持续性和灾难恢复等方面的国际、国家、组织机构和企业的信息安全管理标准,都已经成为信息安全界耳熟能详的热门词汇。
安全管理中的“热门”标准
近年来,国际ISO/IEC和西方一些国家开始发布和改版一系列信息安全管理标准,使安全标准进入了一个繁忙的改版期。
这表明,信息安全管理标准已经从零星的、随意的、指南性标准,逐渐衍变成为层次化、体系化、覆盖信息安全管理全生命周期的信息安全管理体系。
要了解信息安全管理标准和发展,首先我们需了解主要“门派”、影响和使用认可范围。
国际标准ISO/IEC
首先需要介绍的是国际上最权威的由国际标准化组织(ISO)和国际电工委员会(IEC)所制定的国际标准。
ISO和IEC是世界范围的标准化组织,它由各个国家和地区的成员组成,各国的相关标准化组织都是其成员,他们通过各技术委员会,参与相关标准的制定。
为了更好的协作和共同规范信息技术领域,ISO和国际电工委员会(ITU)成立了联合技术委员会,即ISO/IEC JTC1,负责信息技术领域的标准化工作。其中的子委员会27专门负责IT安全技术领域的标准化工作。
ISO/IEC联合技术委员会1子委员会27(ISO/IEC JTC1 SC27)是信息安全领域最权威和国际认可的标准化组织,它已经为信息安全保障领域发布了一系列的国际标准和技术报告,为信息安全领域的标准化工作做出了巨大贡献。
在ISO/IEC JTC1 SC 27所发布的标准和技术报告中,目前最主要的标准是ISO/IEC 13335、ISO/IEC 17799等。
另外,ISO/IEC JTC1 SC27正在对信息安全管理系统(ISMS)国际标准族进行开发,此标准族将采用27000系列号码作为编号方案,并将综合信息安全管理系统要求、风险管理、度量和测量以及实施指南等一系列国际标准。
随着ISO/IEC 27000系列标准的规划和发布,ISO/IEC已形成了以ISMS为核心的一整套信息安全管理体系。
2005年,ISO/IEC在信息安全管理标准的主要发展趋势是:改版ISO/IEC 17799,并正式发布ISO/IEC 17799:2005。ISO/IEC 17799建立了组织机构内启动、实施、维护和改进信息安全管理的指导方针和通用原则。
此外,ISO/IEC 13335将从原先的技术报告变为正式的国际标准。ISO/IEC 13335是ISO/IEC JTC1 SC27中关于风险管理、IT安全管理的一个重要的标准系列。
ISO/IEC 13335另一个重要的变动是从原先包含五部分的技术报告,变动为现在重新立项的包含两部分的国际标准,即信息和通信技术安全管理标准。
还有,ISO/IEC将采用27000系列号码作为编号方案,将原先所有的信息安全管理标准进行综合,并进行进一步的开发,形成一整套包括ISMS要求、风险管理、度量和测量以及实施指南等在内的信息安全管理体系。
西方国家的信息安全管理标准
信息安全是一项涉及国家安全的领域,在西方发达国家信息安全管理的实践中,制定了一些自有的标准,并形成一整套自有的、完整的信息安全管理体系。
美国信息安全管理标准体系
2002年,美国通过了一部联邦信息安全管理法案(FISMA)。根据它,美国国家标准和技术委员会(NIST)负责为美国政府和商业机构提供信息安 全管理相关的标准规范。因此,NIST的一系列FIPS标准和NIST 特别出版物800系列(NIST SP 800系列)成为了指导美国信息安全管理建设的主要标准和参考资料。
在NIST的标准系列文件中,虽然NIST SP并不作为正式法定标准,但在实际工作中,已经成为美国和国际安全界得到广泛认可的事实标准和权威指南。
目前,NIST SP 800系列已经出版了近90本同信息安全相关的正式文件,形成了从计划、风险管理、安全意识培训和教育以及安全控制措施的一整套信息安全管理体系。
2005年,NIST SP 800系列最主要的的发展是配合FISMA 2002年的法案,建立以800-53等标准为核心的一系列认证和认可的标准指南。
英国信息安全管理标准体系
同美国NIST相对应,英国标准协会(BSI)是英国负责信息安全管理标准的机构。在信息安全管理和相关领域,BSI做了大量的工作,其成果已得到国际社会的广泛认可。
最让人关注的是BS 7799的第一部分,它已成为国际ISO/IEC 17799国际标准。另外,其BS 15000系列标准。也成为指导ITIL的公认标准。
现在,随着BS 7799被广泛接受,BSI准备进一步将它推向全世界,为各个国家的组织机构提供BS 7799的认证服务。
国内信息安全管理标准
相比国外,国内的信息安全领域的标准起步较晚,但随着2002年全国信息安全标准化技术委员会(简称信息安全标委会)的成立,信息安全相关标准的建设工作开始走向了规范化管理和发展的快车道。
从20世纪80年代开始,在信息安全标委会和各部门各界的努力下,本着积极采用国际标准的原则,转化了一批国际信息安全基础技术标准,为我国信息安全技术的发展做出了一定贡献。
同时,公安部、国家安全部、国家保密局、国家密码管理委员会等相继制定和颁布了一批信息安全的行业标准,为推动信息安全技术在各行业的应用和普及,发挥了积极的作用。
现在,在信息安全标委会中,成立了信息安全标准体系与协调工作组(WG1)、鉴别与授权工作组(WG4)、信息安全评估工作组(WG5)和信息安全管理工作组(WG7)四个工作组,它们在对我国信息安全保障体系建设和信息安全产业的发展方面,起到了积极作用。
从信息安全管理的建设和评估角度看,信息安全管理和信息安全评估分别建设和规范了信息安全管理的相关标准。
近年来(特别是2005年),信息安全管理标准化工作中主要的研究热点包括:信息安全国际标准的转化(主要是国际ISO/IEC 17799和ISO/IEC 13335的采标工作);风险管理指南的标准化工作(主要是风险评估和风险管理指南的标准化工作);以及信息系统评估的标准制定工作(主要是信息系统安全 保障评估框架标准的编制工作等)。
这些工作将在近两年内完成,其标准化的流程将成为正式的国家标准,指导和规范我国的信息安全管理工作。
信息安全是一个综合的交叉学科,信息安全管理领域的很多内容同信息技术服务、信息系统审计等有着非常密切的联系。
在此,我们希望向用户传达这样一个思想,信息安全管理不应该成为一个孤立的、为安全管理而管理的学科,信息安全管理应同IT服务、信息系统审计等建立密切的联系,更好地服务于用户应用。
“天下”且须这样得
一套完善的信息安全管理体系,应该包括规范化的信息安全管理内容、以风险和策略为核心的建设方法、定性和定量的度量信息安全管理。
同时,信息安全管理体系应该能够将信息安全管理同信息系统审计、信息系统内控体系、信息技术服务体系相互结合,形成有安全保障的信息系统运维管理体系,以真正达到保护组织机构信息和信息资产的安全,保护业务持续性。
制定标准是用来规范企业行为,在应用标准时,我们需要把握如下一些要点。
要点一:使用信息安全管理标准,规范信息安全管理的内容。
随着信息安全标准的发展(特别是2005年),信息安全标准的主要特征已从原先形势随意的最佳实践方式,发展到层次结构化的安全管理控制集合,形成了信息安全管理标准的一个主流趋势。
信 息安全管理相关人员可以使用这些标准中规范化的安全管理控制措施,规范其信息安全管理的内容和范围。
信息安全管理标准中所提供的管理控制措施有如下几项。
ISO/IEC 17799:2005年第2版的改版中,最主要的变动是以层次结构化形式提供安全策略、信息安全的组织结构、资产管理、人力资源安全、物理和环境安全、通 信和运行管理、访问控制、信息系统采购、开发和维护、信息安全事故管理、业务持续性管理、符合性这11个安全控制章节,还有39个主要安全类和133个具 体控制措施,以规范化组织机构信息安全管理建设的内容。
美国NIST SP 800-53联邦信息系统推荐安全控制:提供了安全控制的层次化、结构化的安全控制措施要求,意识和培训,认证、认可和安全评估,配置管理,持续性规划, 事件响应,维护,介质保护,物理和环境保护,规划,人员安全,风险评估,系统和服务采购,系统和信息完整性这13个安全管理和运营控制族以及106个具体 控制措施。
Cobit:提供了规划和组织、采购和实施、交付和支持以及监控4个域,还有34个表达IT过程的高层控制流程以及多达318个控制目标。
通过解决这34个高层控制目标,组织机构可以确保已为其IT环境提供了一个充分的控制系统。