廣德竹昌電子科技有限公司順利取得ISO27001認證證書
上海寶信數(shù)字技術有限公司順利通過ISO27001信息安全管理體系認證
上海宇天網(wǎng)絡科技有限公司順利通過ISO27001信息安全體系認證審核
上海磊璨信息科技有限公司順利取得ISO27001信息安全認證證書
iso27001認證的背后:信息安全不僅僅是一張證書
云南電網(wǎng)信息中心順利通過iso27001認證
2017年信息安全的必要性:30個細節(jié)能在一分鐘毀滅你的公司
2017年我們的信息管理安全化
上海易優(yōu)服設備管理咨詢有限公司啟動iso27001體系認證
上海翼依信息技術有限公司順利通過iso27001認證
從美國大選說起iso27001認證
針對iso27001信息安全,網(wǎng)約車亮身份
iso27001信息安全體系認證的難點
信息安全管理體系有多重要
ISO27000系列標準介紹
企業(yè)為什么要實施ISO27001認證
ISO27001認證咨詢流程
ISO27001認證咨詢顧問服務內容
對于ISO27001和ISO13335區(qū)別
與ISO27001相關的幾個重要的信息安全標準
ISO27001認證咨詢(ISMS管理體系建設)
ISO27001信息安全管理相關文章 IT治理標準、對比和思索
信息安全標準一覽表
ISO27001認證讓云更安全
ISO27000系列標準介紹
ISO已為信息安全管理體系標準預留了ISO/IEC 27000系列編號,類似于質量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標準。
規(guī)劃的ISO 27000系列包含下列標準:
ISO 27000——《信息安全管理體系原理和術語》《Information security management system fundamentals and vocabulary》該標準主要用于闡述ISMS的基本原理和術語,預計2008年發(fā)布。
ISO 27001——《信息安全管理體系要求》《Information security management system requirements》該標準源于BS7799-2,主要提出ISMS的基本要求,已于2005年10月正式發(fā)布。
ISO 27002——《信息安全管理實踐規(guī)則》《Code of practice for information security management》
該標準將取代 ISO /IEC 17799:2005,計劃2007年發(fā)布。
ISO 27003——《信息安全管理體系實施指南》《Information security management systems implementation guidance》該標準將為ISMS的建立、實施、維持、改進提供指導,目前還在開發(fā)中,預計2007年發(fā)布。
ISO 27004——《信息安全管理測量與指標》《Information security management measurements and metrics》該標準闡述信息安全管理的測量和指標,用于測量信息安全管理的實施效果,預計2007年底或2008年發(fā)布。
ISO 27005——《信息安全風險管理》《Information security risk management》該標準以BS7799-3和ISO13335為基礎,預計2007年發(fā)布。
ISO 27006——《信息安全管理體系審核認證機構要求》《Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems》該標準對提供ISMS認證的機構提出要求,所有提供ISMS認證服務的機構需要按照該標準的要求證明其能力和可靠性。
上述標準中, ISO27001是ISO27000系列的主標準,類似于ISO 9000系列中的ISO9001,各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系(ISMS),并通過認證。目前的有效版本是ISO/IEC 27001:2013。
ISO27001信息安全在企業(yè)風險管理中極為重要,強調對一個組織運行所必需的IT系統(tǒng)和信息的保密性、完整性、可用性的保護,提高投資回報率,降低由信息安全事故造成的損失及業(yè)務中斷的風險。ISO27001體系已由國際標準組織頒布為國際標準ISO 27001:2005,是目前世界上唯一的“信息安全管理標準”,成為“信息安全管理”之國際通用語言,并被全球五千多家政府機構和知名企業(yè)所采用。其方法是通過“風險評估”、“風險管理”切入企業(yè)的信息安全需求,有效降低企業(yè)面臨的風險。建立信息安全管理體系(ISMS)已成為各種組織,特別是高科技產(chǎn)業(yè)、金融機構等管理運營風險不可缺少的重要機制。在某些行業(yè),如軟件外包,ISO27001認證已經(jīng)成為客戶要求必備條件。
企業(yè)為什么要實施ISO27001認證
某公司遇到這樣的難題:
A:當公司的項目經(jīng)理面對客戶時,客戶會問:“你如何保障我的信息在你們公司是安全的?你如何保證我公司的信息不會透露給第三方?”
B:當項目經(jīng)理為此客戶解決了所有問題,雙方的合作僅差一步時,項目經(jīng)理卻遇到這樣的問題:“下個月就需要交付了,本來工期就比較緊,該死的病毒將我上周的數(shù)據(jù)資料全刪掉了,我該怎么辦?”
C:經(jīng)理很無奈地說:“又一個骨干員工離職了,多少公司的信息又會被傳播出去呀!
D:最后事情到了總經(jīng)理那里,總經(jīng)理卻感到:“客戶在抱怨;項目不能如期交付;對客戶的承諾要食言,公司機密在外傳;公司的經(jīng)營要出現(xiàn)危機,怎么辦?”
這是一個已經(jīng)通過CMMI認證公司的無奈。想必在很多企業(yè)中,這類問題也是屢見不鮮的,在面臨這類問題時也是束手無策。俗話說“三分技術七分管理”,目前企業(yè)普遍采用現(xiàn)代化通信、計算機、網(wǎng)絡技術來構建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴重性認識不足,缺乏明確的信息安全方針、缺乏完整的信息安全管理制度、相應的管理措施不到位。導致了許多信息安全事件的發(fā)生:系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫,甚至客戶資料的流失,以及公司內部資料的泄漏等等。這些給企業(yè)的經(jīng)營管理、生存及安全都帶來了嚴重的影響。
一、ISO27001認證的引入
企業(yè)信息化給企業(yè)能夠帶來高效的工作,持久的競爭力,但同時也帶來了更多的風險。為了化解這種風險可能造成的惡劣結果,信息安全的重要性得到了越來越多企業(yè)管理者們的認可。
早期時候,人們把信息安全的希望寄托在加密技術上面,認為一經(jīng)加密,什么安全問題都可以解決。隨著互聯(lián)網(wǎng)絡的發(fā)展,一段時期我們又常聽到“防火墻決定一切”的論調。在防火墻的神話破滅之后,入侵檢測,PKI,VPN和UTM等新的技術應用又被接二連三地提了出來,信息安全的技術創(chuàng)新從未停止。
然而,企業(yè)在采購大量安全設備,采用大量的安全技術之后,仍然不能走出信息安全問題的陰影。原因何在?
實際上,對安全技術和產(chǎn)品的選擇運用,這只是信息安全實踐活動中的一部分,只是實現(xiàn)安全需求的手段而已。信息安全更廣泛的內容,還包括制定完備的安全策略,通過風險評估來確定需求,根據(jù)需求選擇安全技術和產(chǎn)品,并按照既定的安全策略和流程規(guī)范來實施、維護和審查安全控制措施。Gartner曾經(jīng)在一份安全報告中指出:“各類令企業(yè)損失慘重的安全違規(guī)事件歸根到底都是人所造成的,并且發(fā)展成為物理安全和人員的問題。IT安全部門試圖用技術方法來解決這些安全問題,但這是行不通的!
歸根到底,信息安全并不是技術過程,而是管理過程。
信息安全管理提供管理程序,技術和保證措施,是商業(yè)管理者確信商業(yè)交易的可信性,確保信息技術服務的可用性,能適當?shù)氐挚共徽敳僮鳌⑿钜夤艋蛘咦匀粸暮,并從這些故障中恢復;確保拒絕沒有經(jīng)過授權地訪問重要的機密信息。關于信息安全管理的標準和規(guī)范也沒有安全技術那么眾多,最有代表性的,就是 ISO27001。
二、ISO27001認證在企業(yè)中的重要性
上述公司認為企業(yè)達到了CMM標準就足以應付這些問題,可事實上CMMI 無法使其擺脫這些問題所帶來的困擾。在經(jīng)過一段時間探試和研究后,該公司采用了ISO27001 標準。
ISO27001標準是由英國標準協(xié)會(British Standards Institution, BSI )針對信息安全管理方面而制定的,最初源于英國標準BS7799,經(jīng)過十年的不斷改版,終于在2005年被國際標準化組織發(fā)布為正式的國際標準,用于組織的信息安全管理體系的建立,保障組織的信息安全,采用相關指定方法,基于風險評估的風險管理理念,全面系統(tǒng)地持續(xù)改進組織的安全管理。是目前世界上唯一的信息安全管理標準,已被全球五千多家政府機構和知名企業(yè)所采用。如今是否通過ISO27001認證在某些行業(yè)中,已經(jīng)成為一些客戶的要求條件之一。目前除英國外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準;日本、瑞士、盧森堡等國也表示對 ISO27001 標準感興趣;我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網(wǎng)絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統(tǒng)的管理。這套標準注重體系的完整性,強調對法律法規(guī)的符合性,并且可與ISO9000 標準有很強的兼容性。
公司可通過ISO27001體系建設和實施,建立了完備的信息安全管理體系,為公司各項安全相關活動提供了明確的目標和操作指南。同時,通過系統(tǒng)的方法建立起組織保障體系,具備了信息安全風險駕馭能力,保證了公司核心業(yè)務的可持續(xù)運行。通過把ISO27001 的要求引入業(yè)務流程,使現(xiàn)有的業(yè)務運作更加安全規(guī)范,全面提升了公司本身和客戶信息資產(chǎn)的安全度,尤其是加強了對客戶知識產(chǎn)權和商業(yè)秘密的保護,提高了對客戶信息安全的保障水平。不僅如此,在公司通過ISO27001標準認證過程中,強化員工的信息安全意識,規(guī)范組織信息安全行為,在信息系統(tǒng)受到侵襲時,仍然可以確保業(yè)務持續(xù)開展并將損失降到最低程度。
三、ISO27001認證過程
信息安全對每個企業(yè)或組織來說都是需要的,從目前獲得認證的企業(yè)情況看,較多的是涉及電信、保險、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)。通過一個獨立的第三方的評審,公司的管理體系或產(chǎn)品可以成功通過某種標準的認證,為公司提供了一個向客戶表明其體系或產(chǎn)品符合國家或國際標準的系認證和產(chǎn)品認證,其過程會有所不同。首先要得到標準并通讀,可以了解到該標準的要求。從而,得知實施該標準對公司來說是不是有意義。之后是充分了解標準,通過各種媒介有相當多的已公布的信息可以用來幫助企業(yè)了解和實施一個標準。當然,采用一個特定的管理體系應該是公司的一個戰(zhàn)略性的決定,除了指派一個專門的團隊具體負責體系的開發(fā)與實施外,資深高層經(jīng)理的參與往往是成功的關鍵。其次是人員培訓。負責實施與維護管理體系的人員需要了解標準的全部細節(jié),有一些專門的培訓正好提供了這方面的幫助。
但是在很多時候,大部分企業(yè)限于自身經(jīng)驗、意識、技能的欠缺,往往在如何合理規(guī)劃和有效實施方面陷入困境,畢竟信息安全建設是一項技術性很強而且尚處于探索階段的全新課題,另一方面,ISO27001所要求建立的信息安全管理體系,較之純粹的信息安全技術又更顯得“務虛”和“高端”,是和組織的整體經(jīng)營緊密相關的。面對這樣全新而復雜的難題,傳統(tǒng)行業(yè)內機構通常都會自嘆摸不著頭腦,大有“門外漢的感覺”。即便是始終走在信息通信領域前沿的高技術性企業(yè),也不見得在信息安全管理方面有足夠的積累。于是越來越多的組織選擇求助于專業(yè)的咨詢機構。獨立的咨詢機構可幫助設計一個可行、實際、成本合理的執(zhí)行計劃。
ISO27001認證咨詢流程
ISMS模型將整個信息安全管理體系建設項目劃分成五個大的階段,并包含25項關鍵的活動,如果每項前后關聯(lián)的活動都能很好地完成,最終就能建立起有效的ISMS,實現(xiàn)信息安全建設整體藍圖,接受ISO27001審核并獲得認證更是水到渠成的事情。
ISMS模型將整個信息安全管理體系建設項目劃分成五個大的階段,并包含25項關鍵的活動,如果每項前后關聯(lián)的活動都能很好地完成,最終就能建立起有效的ISMS,實現(xiàn)信息安全建設整體藍圖,接受ISO27001審核并獲得認證更是水到渠成的事情。
現(xiàn)狀調研階段:從日常運維、管理機制、系統(tǒng)配置等方面對組織信息安全管理安全現(xiàn)狀進行調研,通過培訓使組織相關人員全面了解信息安全管理的基本知識。包括:
項目啟動:前期溝通,實施計劃,項目小組,資源支持,啟動會議。
前期培訓:信息安全管理基礎,風險評估方法。
現(xiàn)狀評估:初步了解信息安全現(xiàn)狀,分析與ISO27001標準要求的差距。
業(yè)務分析:訪談調查,核心與支持業(yè)務,業(yè)務對資源的需求,業(yè)務影響分析。
風險評估階段:對組織信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析,從而評估組織信息安全風險,選擇適當?shù)拇胧、方法實現(xiàn)管理風險的目的。
資產(chǎn)識別:識別組織的各種信息資產(chǎn)。
風險評估:重要資產(chǎn)、威脅、弱點、風險識別與評估。
管理策劃階段:根據(jù)組織對信息安全風險的策略,制定相應的信息安全整體規(guī)劃、管理規(guī)劃、技術規(guī)劃等,形成完整的信息安全管理系統(tǒng)。
文件編寫:編寫ISMS各級管理文件,進行Review及修訂,管理層討論確認。
發(fā)布實施:ISMS實施計劃,體系文件發(fā)布,控制措施實施。
中期培訓:全員安全意識培訓,ISMS實施推廣培訓,必要的考核。
體系實施階段:ISMS建立起來(體系文件正式發(fā)布實施)之后,要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。
認證申請:與認證機構磋商,準備材料申請認證,制定認證計劃,預審核。
后期培訓:審核員等角色的專業(yè)技能培訓。
內部審核:審核計劃,Checklist,內部審核,不符合項整改。
管理評審:信息安全管理委員會組織ISMS整體評審,糾正預防。
認證審核階段:經(jīng)過一定時間運行,ISMS達到一個穩(wěn)定的狀態(tài),各項文檔和記錄已經(jīng)建立完備,此時,可以提請進行認證。
認證準備:準備送審文件,安排部署審核事項。
協(xié)助認證:內部審核小組陪同協(xié)助,應對審核問題。
ISO27001認證咨詢顧問服務內容
咨詢內容
1 項目準備階段
目的:充分體現(xiàn)領導作用和全員參與的原則,確保各個層面意識到管理體系的必要性和管理層的決心
內容:咨詢工作關注貴公司為啟動該項目所必需的組織準備
包括:
1.) 理解管理層意圖,滲透管理思路;
2.) 將實施ISO27001項目的決定、目的、意義、要求在組織內傳達,這也是體現(xiàn)內部溝通,提高全體員工意識的必要手段;
3. ) 組織建設,包括任命管理者代表、成立貫標組織機構、各級質量及信息 安全管理人員,明確其職責。
2 現(xiàn)場診斷
目的:了解現(xiàn)狀,尋找與標準的差距
內容:實施診斷
包括:
根據(jù)貴公司的主要業(yè)務流程所產(chǎn)生的信息流及其所依賴的計算環(huán)境(包括硬件、軟件、數(shù)據(jù)、人力、服務等)進行安全要求的確定;
對企業(yè)現(xiàn)行業(yè)務流程進行全面的了解,按照標準評估企業(yè)的質量體系;
識別各業(yè)務流程所采取的管理流程和管理職責;
對照標準要求,尋找改進的機會;
根據(jù)ISO27001的風險評估方法論,國家標準,制定科學、有效、適用的風險評估方法。
3 管理層培訓
目的:提升各級領導和全員的質量和安全意識,使內審員具備相應能力
內容:培訓是落實要求的重要手段,索信達十分注重培訓
包括:
管理層培訓擴大到中層領導,最后與高層領導在一起培訓,高層領導的 參與就是一種榜樣的力量,有助于全體員工質量及信息安全意識的提高;
4. 整合體系文件架設計
目的:策劃覆蓋各個業(yè)務流程的系統(tǒng)的文件化程序,包括作業(yè)指導書。
內容:根據(jù)現(xiàn)場診斷的結果,梳理所有管理活動流程,根據(jù)標準要求形成管理體系文件清單,
包括:
根據(jù)所識別的業(yè)務流程,形成管理活動流程圖;優(yōu)化或再造業(yè)務流程,保證管理活動的系統(tǒng)和順暢;
根據(jù)流程圖及流程的復雜程度,策劃符合標準要求和實際業(yè)務要求的管理體系文件清單;
形成管理體系文件說明,包括文件的目的、管控范圍、職責、管理活動接口、管理流程等;與各業(yè)務流程負責人溝通修訂文件清單
5. 確定質量和信息安全方針和目標
目的:明確質量和信息安全方針和目標,為管理體系提供導向。
內容:根據(jù)業(yè)務要求及組織實際情況,制定質量和安全方針和目標,
包括:
與最高管理者進行溝通,理解管理意圖和管理要求,設計質量和安全方針;
根據(jù)方針的要求,制定目標,并分解到各個管理活動中,形成可測量的指標體系,確保方針和目標得以實現(xiàn);
6. 建立管理組織機構
目的:建立完善的內控組織架構,為整合體系提供支持。
內容:良好的組織架構是確保各項管理活動落實的根本.
包括:
建立整合體系管理委員會,就重大質量管理和信息安全事項進行決策;
建立管理協(xié)調小組,就日常管理活動中的質量及信息安全事項進行溝通改進;
明確管理活動中各流程責任人的職責,并文件化。
7. 信息安全風險評估
目的:實施風險評估,識別不可接受風險,明確管理目標;
內容:風險評估是整個風險管理的基礎,本階段將根據(jù)前期策劃的風險評估方法
包括:
根據(jù)業(yè)務要求及信息的密級劃分,對信息資產(chǎn)的重要程度進行判定,識別對關鍵核心業(yè)務具有關鍵作用的信息資產(chǎn)清單;對重要信息資產(chǎn)從內部及外部識別其所面臨的威脅;
根據(jù)威脅,從管理和技術兩方面識別重要信息資產(chǎn)所存在的薄弱點;
根據(jù)風險評估的方法指南,對威脅利用薄弱點對重要信息資產(chǎn)所產(chǎn)生的風險在保密性、完整性、可用性三方面所造成的影響進行評價;評價威脅利用薄弱點引發(fā)安全風險事件的可能性;
根據(jù)風險影響及發(fā)生的可能性評價風險等級;
根據(jù)信息安全方針,各核心業(yè)務流程的安全要求,與管理層進行溝通,確定不可接受風險等級的標準;
針對不可接受的高風險,制定風險處理計劃,從ISO27002及顧問的行業(yè)經(jīng)驗來選擇適宜的風險管控措施;實施所選擇的控制措施,降低、轉移或消除安全風險;
編寫風險評估報告。
8. 體系文件編寫
目的:建立文件化的管理體系。
內容:根據(jù)文件體系策劃的結果,編寫管理體系文件,
包括:
整合體系手冊,明確各管理過程的順序及相互關系;
整合體系所要求的程序文件,從體系維護管理、資產(chǎn)管理、物理環(huán)境安全、人力資源安全、訪問控制、通信和運作管理、業(yè)務連續(xù)性管理、信息安全事件管理、符合性等方面對各類管理活動及作業(yè)指導進行文件化;
制定各類安全策略,如:電子郵件策略、互聯(lián)網(wǎng)訪問策略,訪問控制策略等
9. 管理體系記錄的設計
目的:設計科學的管理體系記錄,保證各管理流程的可控性和可追溯性。
內容:根據(jù)各個管理流程和文件對管理過程的記錄要求,設計記錄表格格式
包括:
搜集原有管理記錄;
優(yōu)化記錄或重新設計;
溝通記錄的形式和管理記錄填寫的必要性,保證管理體系的可控性與記錄保持的數(shù)量之間的平衡。
10. 管理體系文件審核
目的:確保管理體系文件的系統(tǒng)性、有效性和效率。
內容:對管理體系文件進行評審
包括:
對照風險評估結果及SoA的框架,對照核心業(yè)務流程,審核程序文件及作業(yè)指導書的系統(tǒng)性;
針對每一個具體的管理流程,審核文件所描述的管理職責、管理活動是否符合實際情況,流程責任人是否能夠按照文件要求執(zhí)行管理活動;
針對文件所要求的管理活動,審核其效率是否滿足管理的要求;形成文件審核的結論,并通過管理層的審批,對文件進行修訂,形成發(fā)布稿
11. 體系文件發(fā)布實施
目的:發(fā)布管理體系文件,落實管理要求。
內容:由最高管理者組織發(fā)布管理文件,并提出管理要求
包括:
召開文件發(fā)布會,最高管理者提出管理體系運行的總要求,使全員意識到管理體系文件是管理活動的行動指南和強制要求;
各流程責任人根據(jù)管理體系文件的要求落實各項管理活動,保持管理體系所要求的記錄;認證項目組搜集體系運行中所發(fā)現(xiàn)的問題,包括流程上的、職責上的、 資源上的、技術上的等,統(tǒng)一修改、處理、答復。
12. 組織全員進行文件學習
目的:確保管理體系文件要求在各個層級、各個崗位均得到有效的溝通和理解。
內容:培訓是提升質量和安全意識,明確質量和安全要求的有效途徑,組織全員參與到體系的運行維護中,發(fā)揮每一個員工的重要作用
包括:
充分考慮管理活動的范圍,設計分層次、分階段的系統(tǒng)性的培訓計劃;
培訓中考慮到管理要求的內容,也將考慮到技術上的要求,不簡單的對 體系文件照本宣科;對培訓的效果進行評價,采用考試、實際操作、討論等多種方式進行,確保培訓的有效性。
13. 業(yè)務連續(xù)性管理
目的:確保在任何情況下,核心業(yè)務均可保持提供連續(xù)提供服務的能力。
內容:根據(jù)標準要求,結合英國標準協(xié)會 BSI 最新發(fā)布的 BS25999 業(yè)務連續(xù)性管理標準,對重大的災難性事件發(fā)生時所引發(fā)的業(yè)務中斷進行應急響應和災難恢復的設計
包括:
從戰(zhàn)略的層面進行業(yè)務連續(xù)、永續(xù)經(jīng)營的考慮,明確各核心業(yè)務流程的最大可容許中斷時間;
識別核心業(yè)務可能遭受到的災難性風險事件;
評估災難性事件所引發(fā)的影響;
針對災難性事件,設計管控措施,制定詳細的業(yè)務連續(xù)性計劃,包括應急響應的組織架構、人員職責、響應流程、恢復流程等;
實施業(yè)務連續(xù)性計劃所要求的管理上及技術上的改進;
測試業(yè)務連續(xù)性計劃的每一個步驟,確保其有效性;根據(jù)測試的結果進一步改進業(yè)務連續(xù)性計劃,為應對災難事件提供信心保證。
14. 內部審核
目的:實施內部審核,發(fā)現(xiàn)管理體系運行中的不符合,尋找改進的機會。
內容:根據(jù)項目計劃實施內部審核
包括:
制定內部審核計劃,與受審核人員進行溝通;
召開內部審核首次會議,明確審核計劃、審核范圍、審核目的、審核活動的安排等事項;
帶領內審員實施現(xiàn)場審核活動:
根據(jù)審核發(fā)現(xiàn)開具不符合項報告,明確審核的對象、審核發(fā)現(xiàn)、不符合事實、改進要求,并確定整改責任人,限期改進:
召開內部審核末次會議,報告所有的審核發(fā)現(xiàn):對不符合事項進行跟蹤驗證,確保所有的不符合均被有效關閉。
15. 管理體系有效性測量
目的:根據(jù)量化指標,測量管理體系的有效性。
內容:制定測量的方法論,根據(jù) ISO27004 指南的內容,進行管理體系有效性測量。
包括:
設計測量方法,從各個管理流程中制定安全關鍵績效指標KPI;
搜集運行過程中的記錄數(shù)據(jù),利用量化的數(shù)據(jù)分析,體現(xiàn)管理體系所帶來的改進;
對比信息安全管理目標和指標體系,測量KPI是否達成管理目標的要求;
對所發(fā)現(xiàn)的問題進行溝通,制定糾正預防措施并落實責任人,改進管理 體系的有效性。
16. 管理評審
目的:將體系運行過程中的成效和問題向管理層匯報,由最高管理者提出改進的要求和資源的支持。
內容:根據(jù)管理評審流程的要求實施管理評審,
包括:
制定管理評審計劃;
準備管理評審輸入材料,包括風險狀況、安全措施落實情況、各相關方的反饋、業(yè)務連續(xù)性管理架構、管理體系內部審核情況、體系有效性測 量報告等;
召開管理評審會議;根據(jù)最高管理者提出的管理要求,實施糾正預防措施或管理改進方案;
跟蹤糾正預防措施及管理改進方案的落實情況。
17. 認證機構初訪及正式審核
目的:由第三方權威機構審核管理體系的有效性。
內容:由認證機構對索信達所提供的咨詢服務進行進一步的審核驗證,發(fā)現(xiàn)改進機會
包括:
與審核機構溝通審核的時間計劃安排;實施審核活動,并提交審核報告;
根據(jù)審核報告,制定必要的糾正預防措施,并將改進的證據(jù)提交審核機構;
獲得質量管理體系和信息安全管理體系認證證書。
對于ISO27001和ISO13335區(qū)別
ISO(國際標準化組織)和IEC(國際電工委員會)一起形成了全世界標準化的專門體系。作為ISO或IEC成員的國家機構,通過相應組織所建立的涉及技術活動特定領域的委員會參國際標準所制定。而對于ISO27001和ISO13335就是這個組織所指定的標準。
經(jīng)過幾天的理解,我發(fā)現(xiàn)ISO 27001主要是為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系(ISMS)提供了模型。對于ISMS來說,ISMS是采用組織的戰(zhàn)略性決策,ISMS的設計和實施是受組織的需求、目標、安全需求、應用的過程以及組織規(guī)模和結構的影響。所以,ISO27001說的是,如何做,怎么做,怎么實施,從內容上來說就有些晦澀難懂,畢竟對于我這個剛工作不久的同志理解起來還是比較困難的。所幸,還有ISO 13335,相比較于ISO27001來說,ISO13335就顯得不那么專一性了,就如同是網(wǎng)絡安全方面一本小百科全書,無論是對于IT安全的概念和模型,還是對于IT安全管理與策劃,安全管理技術和防護措施的選擇等等,都寫的十分詳細和清楚。ISO13335在以下幾個方面是表現(xiàn)的比較突出的:
第一, 對安全的概念和模型的描述非常獨特,具有很大的借鑒意義。在全面考慮安全問題、進行安全教育、普及安全理念的時候,完全可以將其中的多種概念和模型結合起來。
第二, 對安全管理的過程描述得非常細致,而且完全可以操作。一個企業(yè)的信息安全主管機構安全可以參照這個完整的過程規(guī)劃自己的管理計劃和實施步驟。
第三, 對安全管理過程中最關鍵的環(huán)節(jié)——風險分析和管理有非常細致的描述。包括基線方法、非正式方法、詳細分析方法和綜合分析方法等風險管理策略的闡述,以及對風險分析過程細節(jié)的描述都很有參考價值。
第四, 在標準的第4部分,有比較完整的針對6種安全需求的防護措施的介紹。將世界構件一個信息安全管理框架和防護體系的工作變成了一個搭積木的過程。
所以,就目前對于我的工作來說,ISO27001是一種方法,一種如何構建我們安全網(wǎng)絡的方法,是一種先提出我們目前的網(wǎng)絡環(huán)境和所需要的安全要求,針對性的提出一種方案。這種方案,從計劃開始,首先是建立ISMS,然后是實施和運行ISMS,接著是監(jiān)視和評審ISMS,最后再進行保持和改進ISMS。是一個循環(huán)的過程,歷經(jīng)計劃——實施——檢查——改進,在過程中,不斷的用信息安全要求和期望以及被管理的信息安全來考核、改進,最終形成一個成熟的決策。而在這個過程中,自然也包括有風險評估、文件管理、完整性、記錄控制、管理職責等一系列的方法和措施。對于ISO13335來說,各種方法和措施,就顯的詳細了很多,從五大類,三十多個小類方面詳細的描寫了各種安全的概覽和模型。對于我目前的工作來說,最重要的無疑是第四大類。對于第四大類,主要是關于防護措施的選擇方面。在這部分中,先是眾所周知的各種范圍和標準、定義。然后就是從基本評估開始,先是識別IT系統(tǒng)的類型,然后就是識別物理、環(huán)境條件,最后評估已存在和計劃的防護措施,然后工作就開始了!開始是組織和物理方面的防護措施,有:安全符合性檢查,事故處置,人員管理,操作問題,業(yè)務中斷計劃,物理安全。然后是IT系統(tǒng)特有的防護措施,包括:識別和鑒權,邏輯訪問控制和審計,防范惡意代碼,網(wǎng)絡管理和加密。然后就是基于這兩種類型的系統(tǒng)來選擇防護措施。接著就是評估工作,從保密性防護措施(竊聽、電磁干擾、惡意代碼、偽裝用戶身份、消息的錯誤路由、軟件失效、盜竊、對計算機和各種服務的未授權訪問、對存儲介質的未授權訪問),到完整性防護措施(存儲介質的老化、維護錯誤、惡意代碼、偽裝用戶身份、消息的錯誤路由、抗抵賴性、軟件失效、電力和空調供應中斷、技術性失、傳輸錯誤、對計算機和服務的未授權訪問、使用未經(jīng)授權的程序和數(shù)據(jù)、對存儲介質的未授權訪問、用戶錯誤),再到可用性的防護措施(破壞性攻擊、存儲介質的老化、通訊設備和服務中斷、水災火災、維護錯誤、惡意代碼、偽裝用戶身份、消息的錯誤路由、資源濫用、自然災害、軟件失效、電力和空調供應中斷、技術性失效、盜竊、流量過載、傳輸錯誤、對計算機和服務的未授權訪問、使用未經(jīng)授權的程序和數(shù)據(jù)、對存儲介質的未授權訪問、用戶錯誤),最后進行可審計性,鑒權和可靠性防護措施的總評估,來得到最后結論。所以對于我們的工作來說,這方面的工作無疑是重中之重。
與ISO27001相關的幾個重要的信息安全標準
幾個重要的信息安全標準
主要內容如下:
BS7799系列(ISO/IEC 27000系列)
ISO/IEC TR 13335系列
SSE-CMM
ITIL和BS15000
CC
CoBIT
NIST SP800系列
1、ISO/IEC TR 13335
ISO/IEC TR 13335,早前被稱作“IT 安全管理指南”(Guidelines for the Management of IT Security,GMITS),新版稱作“信息和通信技術安全管理”(Management of Information and Communications Technology Security,MICTS),是ISO/IEC JTC1 制定的技術報告,是一個信息安全管理方面的指導性標準,其目的是為有效實施IT安全管理提供建議和支持。
ISO/IEC TR 13335系列標準(舊版)- GMITS,由5部分標準組成:
ISO/IEC13335-1:1996《IT安全的概念與模型》
ISO/IEC13335-2:1997《IT安全管理與策劃》
ISO/IEC13335-3:1998《IT安全管理技術》
ISO/IEC13335-4:2000《防護措施的選擇》
ISO/IEC13335-5:2001《網(wǎng)絡安全管理指南》
目前,ISO/IEC 13335-1:1996 已經(jīng)被新的ISO/IEC 13335-1:2004(MICTS 第1部分:信息和通信技術安全管理的概念和模型)所取代,ISO/IEC 13335-2:1997也將被正在開發(fā)的ISO/IEC 13335-2(MICTS 第2 部分:信息安全風險管理)取代。
ISO/IEC TR 13335 只是一個技術報告和指導性文件,并不是可依據(jù)的認證標準,信息安全體系建設參考BS 7799,具體實踐參考ISO TR 13335。
2、SSE-CMM
SSE-CMM (System Security Engineering Capability Maturity Model)模型是CMM在系統(tǒng)安全工程這個具體領域應用而產(chǎn)生的一個分支,是美國國家安全局(NSA)領導開發(fā)的,是專門用于系統(tǒng)安全工程的能力成熟度模型。
SSE-CMM第一版于1996年10月出版,1999年4月,SSE-CMM模型和相應評估方法2.0版發(fā)布。
系統(tǒng)安全工程過程一共有三個相關組織過程:
工程過程
風險過程
保證過程
共分5個能力級別,11個過程區(qū)域:
基本執(zhí)行級
計劃跟蹤級
充分定義級
量化控制級
持續(xù)改進級
2002年被國際標準化組織采納成為國際標準即ISO/IEC 21827:2002《信息技術系統(tǒng)安全工程-成熟度模型》。
SSE-CMM 和BS 7799 都提出了一系列最佳慣例,但BS 7799 是一個認證標準(第二部分),提出了一個可供認證的ISMS 體系,組織應該將其作為目標,通過選擇適當?shù)目刂拼胧ǖ谝徊糠郑┤崿F(xiàn)。而SSE-CMM 則是一個評估標準, 適合作為評估工程實施組織能力與資質的標準
3、通用標準(CC)
我們通常所稱的通用標準或通用準則(Common Criteria,簡稱CC)是指ISO/IEC15408:1999標準。目前CC標準的最新版本是2.2;CC2.1版在1999年成為國際標準ISO/IEC15408:1999;我國在2001年等同采用為國家標準GB/T 18336-2001。
CC標準由三個部分組成:
GB/T 18336.1-2001 idt ISO/IEC15408-1:1999 信息技術安全技術信息技術安全性評估準則第1部分:簡介和一般模型
GB/T 18336.2-2001 idt ISO/IEC15408-2:1999 信息技術安全技術信息技術安全性評估準則第2部分:安全功能要求
GB/T 18336.3-2001 idt ISO/IEC15408-3:1999 信息技術安全技術信息技術安全性評估準則第3部分:安全保證要求
與BS7799 標準相比,CC 的側重點放在系統(tǒng)和產(chǎn)品的技術指標評價上,BS7799 在闡述信息安全管理要求時,并沒有強調技術細節(jié)。因此,組織在依照BS7799 標準來實施ISMS 時,一些牽涉系統(tǒng)和產(chǎn)品安全的技術要求,可以借鑒CC 標準。
4、ITIL和BS15000
ITIL的全稱是信息技術基礎設施庫(Information Technology Infrastructure Library)。ITIL針對一些重要的IT實踐,詳細描述了可適用于任何組織的全面的Checklists、Tasks、Procedures、Responsibilities等。
IT服務管理中最主要的內容就是服務交付(Service Delivery)和服務支持(Service Support)
服務交付(Service Delivery):
Service Level Management
Financial Management for IT Service
Capacity Management
IT Service Continuity Management
Availability Management
服務支持(Service Support):
Service Desk
Incident Management
Problem Management
Configuration Management
Change Management
Release Management
有關ITIL,我之前也有一篇文章進行過簡單介紹。
2001年,英國標準協(xié)會在國際IT 服務管理論壇(itSMF)上正式發(fā)布了以ITIL為核心的英國國家標準BS15000。這成為IT 服務管理領域具有歷史意義的重大事件。
BS15000 有兩個部分,目前都已經(jīng)轉化成國際標準了。
ISO/IEC 20000-1:2005 信息技術服務管理-服務管理規(guī)范(Information technology service management. Specification for Service Management)
ISO/IEC 20000-2:2005 信息技術服務管理- 服務管理最佳實踐( Information technology service management. Code of Practice for Service Management)
與BS7799 相比,ITIL 關注面更為廣泛(信息技術),而且更側重于具體的實施流程。ISMS實施者可以將BS7799 作為ITIL 在信息安全方面的補充,同時引入ITIL 流程的方法,以此加強信息安全管理的實施能力。
5、CoBIT
CoBIT的全稱是信息和相關技術的控制目標(Control Objectives for Information and related Technology),是ITGI提出的IT治理模型(IT Governance),是一個IT控制和IT治理的框架(Framework)。CobiT是一個在更高的層面上指導管理層進行技術標準和信息系統(tǒng)管理的IT治理模型。
CoBIT的八個控制過程:
計劃和組織(Planning & Organisation)
采購和實施(Acquisition & Implementation)
交付和支持(Delivery & Support)
監(jiān)視和評估(Monitoring & Evaluation)
CoBIT的七個控制目標:
機密性(Confidentiality)
完整性(Integrity)
可用性(Availability)
有效性(Effectiveness)
高效性(Efficiency)
可靠性(Reliability)
符合性(Compliance)
目前基本上存在著兩類控制模型,一類是類似COSO這樣的商業(yè)控制模式(business control model),另一類則是像BS7799這樣的更關注IT的控制模型(more focused on IT control model),而CoBIT的目標是在兩者之間架起一座橋梁。
6、NIST SP800系列
美國國家標準技術協(xié)會(National Institute of Standards and Technology,NIST)發(fā)布的Special Publication 800 文檔是一系列針對信息安全技術和管理領域的實踐參考指南,其中有多篇是有關信息安全管理的,包括:
SP 800-12:計算機安全介紹(An Introduction to Computer Security: The NIST Handbook)
SP 800-30 : IT 系統(tǒng)風險管理指南(Risk Management Guide for Information Technology Systems)
SP 800-34:IT 系統(tǒng)應急計劃指南(Contingency Planning Guide for Information Technology Systems)
SP 800-26 : IT 系統(tǒng)安全自我評估指南( Security Self-Assessment Guide for Information Technology Systems)
這些文件可以作為實施ISMS 過程中一些關鍵任務的指導和參照(例如風險評估、應急計劃等),是對BS7799 標準很好的補充和細化。
7、BS7799系列(ISO/IEC 27000系列)
BS7799 Part 1:
BSBS7799 Part 1的全稱是Code of Practice for Information Security,也即為信息安全的實施細則。2000年被采納為ISO/IEC 17799,目前其最新版本為2005版,也就是ISO 17799: 2005。
ISO/IEC 17799:2005 通過層次結構化形式提供安全策略、信息安全的組織結構、資產(chǎn)管理、人力資源安全等11個安全管理要素,還有39個主要執(zhí)行目標和133個具體控制措施(最佳實踐),供負責信息安全系統(tǒng)應用和開發(fā)的人員作為參考使用,以規(guī)范化組織機構信息安全管理建設的內容。
ISO/IEC 17799:2005的內容如下圖:(見附件)
BS7799 Part 2:
BS7799 Part 2的全稱是Information Security Management Specification,也即為信息安全管理體系規(guī)范,其最新修訂版在05年10月正式成為ISO/IEC 27001:2005,ISO/IEC 27001是建立信息安全管理體系(ISMS)的一套規(guī)范,其中詳細說明了建立、實施和維護信息安全管理體系的要求,可用來指導相關人員去應用ISO/IEC 17799,其最終目的,在于建立適合企業(yè)需要的信息安全管理體系(ISMS)。
目前,在信息安全管理體系方面,ISO/IEC 27001:2013――信息安全管理體系標準已經(jīng)成為世界上應用最廣泛與典型的信息安全管理標準。標準適用于各種性質、各種規(guī)模的組織,如政府、銀行、電訊、研究機構、外包服務企業(yè)、軟件服務企業(yè)等。
2008年6月,ISO27001同等轉換成國內標準GB/T22080-2008,并在2008年11月1日正式實施。
經(jīng)過多年的發(fā)展,信息安全管理體系國際標準已經(jīng)出版了一系列的標準,其中ISO/IEC27001是可用于認證的標準,其他標準可為實施信息安全管理的組織提供實施的指南。
2013年10月,為適應信息安全管理的發(fā)展趨勢,ISO組織發(fā)布了ISO/IEC 27001:2013-信息安全管理體系標準,新版標準相對舊版標準作了較大修訂,為組織加強信息安全管理提供的指導。
ISO27001認證咨詢(ISMS管理體系建設)
依據(jù)ISO27001標準,將信息安全管理方法、理念、意識、技術和解決方案通過項目傳遞給客戶,幫助客戶解決信息安全問題。從管理、技術、人員、過程的角度來定義、建立、實施信息安全管理體系從多個層面保障組織的信息安全。根據(jù)評估結果,為企業(yè)制定具體安全方案、管理制度、工作流程和操作指引,避免企業(yè)各部門在信息安全建設中容易產(chǎn)生的盲目性、重復性建設問題,幫助企業(yè)建立符合國際規(guī)范的有效的信息安全體系,幫助企業(yè)通過認證。
ISO27001信息安全管理相關文章 IT治理標準、對比和思索
一、 IT治理內涵和標準的發(fā)展
IT治理的概念,從安全管理、到IT審計延展而來,是從安全管理的概念上延伸而來的,有人把ISO17799(BS7799)作為第一個IT治理的工具;中間牽涉到IT服務的管理(ITIL)其實時間上出現(xiàn)得比COBIT要晚,概念上更接近安全管理一些;IT審計的概念是由COBIT主導,從那時候開始,人們已經(jīng)開始思考治理的問題了。
1. 治理,從7799到COBIT
原先的BS7799標準(后來的ISO17799、再后來發(fā)展到ISO27000系列標準,其核心的內容為11個大類安全的最佳實踐、133個安全控制措施;ITIL標準(信息系統(tǒng)基礎設施庫)目前發(fā)展到ISO20000,是針對IT服務而制定的標準,其核心內容是IT服務中的問題管理、事故管理、配置管理和連續(xù)性服務,ITIL過程中加入了服務臺管理的內容,ISO20000沒有服務臺管理而加入了持續(xù)改進的內容;COBIT是IT審計管理,目前已經(jīng)發(fā)展到COBIT3.0,其核心內容為控制目標與指標,采用規(guī)劃與組織、輸入與采集、運營與服務、監(jiān)控四個大類,34個內部控制流程,工具上推薦使用平衡積分卡。從COBIT之后,人們提出不同的IT治理工具,很多人還綜合了不少其它的標準,其目的是希望一個更加全面、宏觀,適合管理角度的標準來控制和管理整個IT的過程,其中,CMM、ISO9000等更加基礎的概念也被引入,直到第一個國際治理的標準ISO38500出現(xiàn),這種探索仍然在繼續(xù)。
圖1 IT治理概念發(fā)展圖
2. 治理道路,從單向到全過程
從安全管理出發(fā),IT治理的概念和道路由單項也走向全過程。BS7799(ISO17799)階段,主要的關注內容為安全管理;到了ITIL關注的是動態(tài)服務的安全,內容轉向服務管理;COBIT的角度是內部控制,與BS7799和ITIL一并關系到的是效率管理ISO38500內容核心轉向業(yè)務目標的管理,關心的是效能問題;另外像TIVOLI、上海IT治理試點等行業(yè)和企業(yè)標準,更加融合行業(yè)應用,以行業(yè)、地域和應用為特色。CIO視野的安全與治理,更加關注角色的治理,可以說應該融合以上標準和其它項目管理和質量管理的有益的知識,從CIO的視角上來關心和關注IT項目和組織的管理和控制,更加走向全面和全過程。
圖2IT治理的內涵發(fā)展圖
二、 ISO38500介紹
1. 目的
確保利益相關者對于組織IT治理的信心;
指導管理者治理組織的IT使用;
為IT治理的目標評估提供了基礎;
2. 應用范圍
“ISO/IEC 38500:2008可以用于任何規(guī)模的組織,包括公/私有性質的公司,政府機構以及非營利組織。這一標準提供了一個IT治理的框架,以協(xié)助組織高層管理者理解并履行他們對于其組織IT使用的既定職責,實現(xiàn)IT治理的有效性、可用性及效率!
3. 來源:
“ISO(國際標準化組織)和IEC(國際電工委員會)是世界范圍的標準化組織。各國的相關標準化組織都是其成員,并通過各種技術委員會參與相關標準的制定。其他國際組織,政府機構及非政府機構也協(xié)同工作。國際標準的草案,須能得到所有會員75%以上的贊成票,該標準才可被公布為國際標準。在信息技術領域,ISO和IEC成立了一個聯(lián)合技術委員會ISO/IEC JTC 1。該委員會以澳大利亞標準AS8015為藍本,并結合 AS 8000:2003 – 良好的治理原則和AS 3806:2006 – 合 規(guī)性程序,制定了IT治理的國際標準ISO/IEC 38500:2008!
“ISO/IEC 29382,信息和通訊技術治理標準,作為現(xiàn)有澳大利亞標準AS8015的快速跟隨者,于2007年首次發(fā)布。2008年4月該標準官方正式更名為ISO/IEC 38500, 原ISO/IEC 29382放棄使用!
4. 模型
圖三 ISO38500概念模型圖
1) 三個關鍵點:
關于IT,管理者有三項主要活動,即:指導、評價與監(jiān)控。有效地IT治理應當是可實施的、具有一致性的。DEM模型聚焦于更廣泛層次上的IT治理,它略微不同于管理者典型使用的PDCA模型。在這一模型中,管理者依據(jù)業(yè)務壓力與業(yè)務需求來監(jiān)控(Monitor)并評價(Evaluate)組織的IT使用,而后指導(Direct)實施政策方針以彌補差距。
2) 6項原則:
A. 準則一:職責分工
對分配職責進行評價
確保能夠勝任所分配的職責
監(jiān)控所分配職責的實施
為IT分配職責的方式取決于組織所使用的業(yè)務模式和組織架構。例如:有些設備需要內部管理;建議來自于外部的咨詢顧問;還有一些IT來源于廠商與專業(yè)服務提供商。
B.準則二:IT支持組織發(fā)展
考慮機遇使IT更好的服務于業(yè)務發(fā)展
分配其當下的活動
指導計劃的實施與發(fā)展以彌補差距
C.準則三:可獲得性
這一準則覆蓋了風險與價值的規(guī)劃分配和近期的IT投資。
管理者需要履行政策與程序來確保投資的安全性。
投資案例中的資源分配必須確保以及時的形式重新分配。
D.準則四:可用性
IT實施包括信息整合、系統(tǒng)能力。
拓展了退出與處理,以確保組織的環(huán)境和數(shù)據(jù)管理職責得以履行。
E. 準則五:符合性
技術使用(包括:電子郵件與搜索引擎)
職責履行(記錄保持、財務報表、關于組織與業(yè)務持續(xù)性隱私信息的保護)
F.準則六:尊重人性因素
用戶界面的可用性與友好性
人們受到IT所帶來的業(yè)務流程改變的影響的需求
由于IT會直接而迅速的影響組織的實施,管理者應當像管理其財務與人力資源那樣,指揮、評價與監(jiān)控其組織的IT應用。
三、 IT治理和COBIT
表1 ISO38500與COBIT對比
ISO38500是第一個IT治理國際標準,先出的部分給出了一個框架,并沒有給出評估的過程;這個標準簡短的、易讀,但相關概念十分復雜;IT治理提供了一個有效的、易實施的、高效的框架,更好的將組織決策與IT聯(lián)系起來;該標準中建議與指南適用于任何形式規(guī)模組織;該標準中的建議與指南建議和著眼點不僅供管理者使用,還可面向其下屬職員,組織中各個層面人都能讀懂;該標準為所有關鍵員工提供了合適的IT治理基本指南;該標準介紹了好的治理所需要的一些特征及治理流程,但是離真正的實施還有距離,需要其他標準的補充。
四、 CIO視野下的治理思考
1. CIO視野下的安全治理與IT治理的需求
ISO38500出現(xiàn)以前,人們已經(jīng)開始有很多IT治理的實踐和思索了,每個人和每個組織的定義都很不同,也沒有業(yè)內一致的看法,ISO39500的出現(xiàn),給出了一個很好的IT治理模型參考,然而這種參考模型也只是一個框架,更多的適合組織的宏觀管理,再加上沒有還沒有評估和認證機構,其也是一種很重要的嘗試。然而,針對一個CIO來講,它面對的很多所謂“治理”是一個集合的概念,包含了大量的內涵,因此,ISO38500不能也不可能代替以往的標準和控制,CIO針對行業(yè)需要融合其它標準和實踐。
作為一個CIO來講,非常希望將安全管理的內容、審計的內容、IT治理的內容融合起來,而ISO38500與我們理解的CIO角色的IT治理方面項目并不重合,欠缺我們關注的基于項目視角的管理內容。
企業(yè)的CIO是一個綜合的角色,不可能像專業(yè)的學術機構那樣把每個標準的準確概念的細節(jié)掌握得像學者和軟件開發(fā)人員那樣清晰,需要一個融合的綜合的概念,總結起來,CIO視角的治理需要的11個融合治理準則和四個主要內容:那就是安全管理、績效管理、項目周期管理和能力管理的四個主要內容,以及目標管理、生命周期、裁減優(yōu)化、效能評價、效率控制、內部控制、能力成熟、價值貢獻、過程改進、最佳實踐、控制措施,這些概念或有交叉,然而出于標準來源的模塊完整性和概念的餓延續(xù)性考慮,還是不合并或者拆分這些概念為好。
圖4 CIO視野下的治理準則和內容
2. CIO視野下的安全與治理的建議:
項目視角。管理項目有兩個視角項目成功和能力成熟,前者著眼于項目,后著著眼于組織和人員。CIO的成長其實是項目和組織相輔相成在發(fā)展,我們假設組織選擇CIO是最合適的選擇,那么,項目視角就非常重要,CIO只有通過項目的不斷鍛煉,自身的能力和組織的成熟度才會不斷提高,“大項目培養(yǎng)人”,往往經(jīng)過一個真正項目的洗禮,CIO本人和其團隊,成熟能力也會得到很大提高。
生命周期控制。在項目進展的過程,最開始的概念和最容易接受和實施的概念就是項目生命周期控制,這里面,就不免要用到ISO9000的一些原則和PDCA的基本概念,只有掌握了項目生命周期中的關鍵要素,配合持續(xù)改進的觀念,項目才能夠獲得基本的保障。
效率和效能管理。傳統(tǒng)的目標管理比較重視效能管理,其實效率管理和效能管理同樣重要,就像目標管理和過程管理在IT管理中一樣重要。
CIO職能應用和行業(yè)只能應用。CIO不但要面對技術上的創(chuàng)新和管理、外包的管理,更重要的是要圍繞組織的目標和IT的戰(zhàn)略,因此,在進行IT治理的時候,非常注重應用,對關鍵點的敏感性要求高而對概念的餓嚴謹性以及細節(jié)的要求并不是很高。
融合標準在行業(yè)中的應用。CIO的治理要求各種標準的位置以及解決的問題及關鍵措施要有充分和綜合的認識,要善于吸取不同標準的核心為我所用。
狀態(tài)管理和能力成熟并舉。較好的組織成熟能力會帶來較好的項目結果,較好的項目經(jīng)驗又會訓練出來更好的組織成熟能力,CIO來說,重復采購和不斷的項目是必然的,因此要注意狀態(tài)管理、成功度管理的同時,能力管理不僅僅是CIO為項目而使用的手段,其實也是CIO存在的重要目標。
充分吸收最新的國際成果。各國的標準、概念以及行業(yè)標準和國家標準發(fā)展很快,每個標準、概念都會有自己的使用場所,都會聲稱自己的重要性。對于一個成熟的CIO來講,正像CMM5中所要求的不段優(yōu)化和持續(xù)的改進,要客觀地和謙虛地掌握和吸收最新的標準,又不能被新標準或其推廣者所聲稱的表象所迷惑。
充分融合已有的有益經(jīng)驗和標準。CIO掌握各種標準之后,要有機地融合到自己的餓實踐當中,“只有有效才是衡量最終的唯一標準”,不要怕概念不嚴謹,其實學者的爭論更多,只要堅持實踐,其實任何一種方式都會走到最終的系統(tǒng)化解決之路的。
充分關注其它 CIO多年最佳實踐成果和項目管理沉淀.對于項目管理,歐洲、美國的思路也很不同,對于每一個行業(yè)以及地域特點,具有濃厚的特點不但不是項目管理能力差的表現(xiàn),反而是必然的事情。關鍵在于除了吸收不同國家和行業(yè)高度概括和濃縮的標準、概念之外,更加應該重視同行業(yè)、其它類似項目或者組織、環(huán)境中CIO的成功經(jīng)驗,以及采納和使用最新標準的經(jīng)驗。一般標準的發(fā)展也有一個從實踐、總結、學者提煉、再實踐、變革和餓變化、再改進和總結、新標準的過程,而往往實踐的例子是,一個成熟的CIO聽一個新標準的推廣者、學習、實踐,最后不久,往往水準比原先的推廣者還高、認識還深刻。
信息安全標準一覽表
序號 標準號 名 稱
1. GB 3907-1983 工業(yè)無線電干擾基本測量方法
2. GB 6650-1986 計算機機房用活動地板技術條件
3. GB 9361-1988 計算站場地安全要求
4. GB 12190-1990 高性能屏蔽室屏蔽效能的測量方法
5. GB/T 12505-1990 計算機軟件配置管理計劃規(guī)范
6. GB 50174-1993 電子計算機機房設計規(guī)范
7. GB/T 19021.1-1993 質量體系審核指南 審核
8. GB/T 19021.2-1993 質量體系審核指南 質量體系審核員的評定準則
9. GB/T 19021.3-1993 質量體系審核指南 審核工作管理
10. GB/T 15277-1994 信息處理 64bit分組密碼算法的工作方式
11. GB/T 15278-1994 信息處理 數(shù)據(jù)加密 物理層互操作性要求
12. GB/T 19022.1-1994 測量設備的質量保證要求 第1部分:測量設備的計量確認體系
13. GB/T 19004.2-1994 質量管理和質量體系要素 第2部分:服務指南
14. GB/T 19004.3-1994 質量管理和質量體系要素 第三部分:流程性材料指南
15. GB/T 19004.4-1994 質量管理和質量體系要素 第四部分:質量改進指南
16. GB/T 19000.4-1995 質量管理和質量保證標準 第4部分:可信性大綱管理指南
17. GB 15852-1995 信息技術 安全技術 用塊密碼算法作密碼校驗函數(shù)的數(shù)據(jù)完整性機制
18. GB 15851-1995 信息技術 安全技術 帶消息恢復的數(shù)字簽名方案
19. GB/T 9387.2-1995 信息技術 開放系統(tǒng)互連 基本參考模型 第2部分:安全體系結構
20. GB/T 9387.3-1995 信息技術 開放系統(tǒng)互連 基本參考模型 第3部分:命名與編址
21. GB/T 9387.4-1996 信息技術 開放系統(tǒng)互連 基本參考模型 第4部分:管理框架
22. GB/T 16262-1996 信息技術 開放系統(tǒng)互連 抽象語法記法-(ASN.1)規(guī)范
23. GB/T 16263-1996 信息技術 開放系統(tǒng)互連 抽象語法記法-(ASN.1)基本編碼規(guī)則規(guī)范
24. GB/T 16264.1-1996 信息技術 開放系統(tǒng)互連 目錄 第1部分:概念、模型和服務的概述
25. GB/T 16264.2-1996 信息技術 開放系統(tǒng)互連 目錄 第2部分:模型
26. GB/T 16264.3-1996 信息技術 開放系統(tǒng)互連 目錄 第3部分:抽象服務定義
27. GB/T 16264.4-1996 信息技術 開放系統(tǒng)互連 目錄 第4部分:發(fā)布式操作規(guī)程
28. GB/T 16264.5-1996 信息技術 開放系統(tǒng)互連 目錄 第5部分:協(xié)議規(guī)范
29. GB/T 16264.6-1996 信息技術 開放系統(tǒng)互連 目錄 第6部分:選擇屬性類型
30. GB/T 16264.7-1996 信息技術 開放系統(tǒng)互連 目錄 第7部分:選擇客體類
31. GB/T 16264.8-1996 信息技術 開放系統(tǒng)互連 目錄 第8部分:鑒別框架
32. GB/T 16260-1996 信息技術 軟件產(chǎn)品評價 質量特性及其使用指南
33. GB/T 19023-1996 質量手冊編制指南
34. GB/T 19017-1997 質量管理 技術狀態(tài)管理指南
35. GB/T 17143.7-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 安全報警報告功能
36. GB/T 17143.8-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 安全審計跟蹤功能
37. GB/T 17142-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理綜述
38. GB/T 17143.1-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 第1部分:客體管理功能
39. GB/T 17143.2-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 第2部分:狀態(tài)管理功能
40. GB/T 17143.3-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 第3部分:表示關系的屬性
41. GB/T 17143.4-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 第4部分:告警報告功能
42. GB/T 17143.5-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 第5部分:事件報告管理功能
43. GB/T 17143.6-1997 信息技術 開放系統(tǒng)互連 系統(tǒng)管理 第6部分:日志控制功能
44. GB/T 17175.1-1997 信息技術 開放系統(tǒng)互連 管理信息結構 第1部分:管理信息模型
45. GB/T 17175.2-1997 信息技術 開放系統(tǒng)互連 管理信息結構 第2部分:管理信息定義
46. GB/T 17175.4-1997 信息技術 開放系統(tǒng)互連 管理信息結構 第4部分:被管客體的定義指南
47. GB/T 17176-1997 信息技術 開放系統(tǒng)互連 應用層結構
48. GB 15843.2-1997 信息技術 安全技術 實體鑒別 第2部分:采用對稱加密算法的機制
49. GB/T 9387.1-1998 信息技術 開放系統(tǒng)互連 基本參考模型 第1部分:基本模型
50. GB/T 15843.3-1998 信息技術 安全技術 實體鑒別 第3部分:用非對稱簽名技術的機制
51. GB/T 17618-1998 信息技術設備抗擾度限值和測量方法
52. GB/T 17544-1998 信息技術 軟件包 質量要求和測試
53. GB/T 19000.2-1998 質量管理和質量保證標準 第2部分:GB/T 19001、GB/T 19002和GB/T 19003實施通用指南
54. GB 9254-1998 信息技術設備的無線電騷擾限值和測量方法
55. GB 17625.1-1998 低壓電氣及電子設備發(fā)出的諧波電流限值(設備每相輸入電流<=16A)
56. GB 17625.2-1999 電磁兼容 限值 對額定電流不大于16A的設備在低壓供電系統(tǒng)中產(chǎn)生的電壓波動和閃爍的限制
57. GB/T 15843.1-1999 信息技術 安全技術 實體鑒別 第1部分:概述
58. GB/T 15843.4-1999 信息技術 安全技術 實體鑒別 第4部分:采用密碼校驗函數(shù)的機制
59. GB/T 18018-1999 路由器安全技術要求
60. GB/T 18019-1999 信息技術 包過濾防火墻安全技術要求
61. GB/T 18020-1999 信息技術 應用級防火墻安全技術要求
62. GB/T 17900-1999 網(wǎng)絡代理服務器的安全技術要求
63. GB/T 17902.1-1999 信息技術 安全技術 帶附錄的數(shù)字簽名 第1部分:概述
64. GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則
65. GB/T 17901.1-1999 信息技術 安全技術 密鑰管理 第1部分:框架
66. GB/T 17903.1-1999 信息技術 安全技術 抗抵賴 第1部分:概述
67. GB/T 17903.2-1999 信息技術 安全技術 抗抵賴 第2部分:使用對稱技術的機制
68. GB/T 17903.3-1999 信息技術 安全技術 抗抵賴 第3部分:使用非對稱技術的機制
69. GB/T 2887-2000 電子計算機場地通用規(guī)范
70. GB/T 17963-2000 信息技術 開放系統(tǒng)互連 網(wǎng)絡層安全協(xié)議
71. GB/T 17964-2000 信息技術 安全技術 n位塊密碼算法的操作方式
72. GB/T 17965-2000 信息技術 開放系統(tǒng)互連 高層安全模型
73. GB/T 1.1-2000 標準化工作導則 第一部分:標準的結構和編寫規(guī)則
74. GB/T 18233-2000 信息技術 用戶建筑群的通用布纜
75. GB/T 18238.1-2000 信息技術 安全技術 散列函數(shù) 第1部分:概述
76. GB/T 15481-2000 檢測和校準實驗室能力的通用要求
77. GB/T 19000-2000 質量管理體系 基礎和術語
78. GB/T 19001-2000 質量管理體系 要求
79. GB/T 19004-2000 質量管理體系 業(yè)績改進指南
80. GB/T 19000.3-2001 質量管理和質量保證標準 第3部分:GB/T 19001-1994在計算機軟件開發(fā)、供應、安裝和維護中的使用指南
81. GB/T 18336.1-2001 信息技術 安全技術 信息技術安全性評估準則 第1部分:簡介和一般模型
82. GB/T 18336.2-2001 信息技術 安全技術 信息技術安全性評估準則 第2部分:安全功能要求
83. GB/T 18336.3-2001 信息技術 安全技術 信息技術安全性評估準則 第3部分:安全保證要求
84. GB 4943-2001 信息技術設備的安全
85. GB/T 15843.5-2005 信息技術 安全技術 實體鑒別 第5部分:使用零知識技術的機制
86. GB/T 16264.8-2005 信息技術 開放系統(tǒng)互連 目錄 第8部分:公鑰和屬性證書框架
87. GB/T 17902.2-2005 信息技術 安全技術 帶附錄的數(shù)字簽名 第2部分:基于身份的機制
88. GB/T 17902.3-2005 信息技術 安全技術 帶附錄的數(shù)字簽名 第3部分:基于證書的機制
89. GB/T 19713-2005 信息技術 安全技術 公鑰基礎設施 在線證書狀態(tài)協(xié)議
90. GB/T 19714-2005 信息技術 安全技術 公鑰基礎設施 證書管理協(xié)議
91. GB/T 19715.1-2005 信息技術 信息技術安全管理指南 第1部分:信息技術安全概念和模型
92. GB/T 19715.2-2005 信息技術 信息技術安全管理指南 第2部分:管理和規(guī)劃信息技術安全
93. GB/T 19716-2005 信息技術 信息安全管理實用規(guī)則
94. GB/T 19717-2005 基于多用途互聯(lián)網(wǎng)郵件擴展(MIME)的安全報文交換
95. GB/T 19771-2005 信息技術 安全技術 公鑰基礎設施 PKI組件最小互操作規(guī)范
96. GB/T 20008-2005 信息安全技術 操作系統(tǒng)安全評估準則
97. GB/T 20009-2005 信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全評估準則
98. GB/T 20010-2005 信息安全技術 包過濾防火墻評估準則
99. GB/T 20011-2005 信息安全技術 路由器安全評估準則
100. GB/Z 20283-2006
(采用標準:ISO/IEC TR 15446:2004) 信息安全技術 保護輪廓和安全目標的產(chǎn)生指南
101.
102. GB/T 20269-2006 信息安全技術 信息系統(tǒng)安全管理要求
103. GB/T 20270-2006 信息安全技術 網(wǎng)絡基礎安全技術要求
104. GB/T 20271-2006 信息安全技術 信息系統(tǒng)通用安全技術要求
105. GB/T 20272-2006 信息安全技術 操作系統(tǒng)安全技術要求
106. GB/T 20273-2006 信息安全技術 數(shù)據(jù)庫管理系統(tǒng)安全技術要求
107. GB/T 20274.1-2006 信息安全技術 信息系統(tǒng)安全保障評估框架 第1部分:簡介和一般模型
108. GB/T 20275-2006 信息安全技術 入侵檢測系統(tǒng)技術要求和測試評價方法
109. GB/T 20276-2006 信息安全技術 智能卡嵌入式軟件安全技術要求(EAL4增強級)
110. GB/T 20277-2006 信息安全技術 網(wǎng)絡和終端設備隔離部件測試評價方法
111. GB/T 20278-2006 信息安全技術 網(wǎng)絡脆弱性掃描產(chǎn)品技術要求
112. GB/T 20279-2006 信息安全技術 網(wǎng)絡和終端設備隔離部件安全技術要求
113. GB/T 20280-2006 信息安全技術 網(wǎng)絡脆弱性掃描產(chǎn)品測試評價方法
114. GB/T 20281-2006 信息安全技術 防火墻技術要求和測試評價方法
115. GB/T 20282-2006 信息安全技術 信息系統(tǒng)安全工程管理要求
116. GB/T 20283-2006 信息安全技術 保護輪廓和安全目標的產(chǎn)生指南
117. GB/T 20518-2006 信息安全技術 公共基礎設施 數(shù)字證書格式
118. GB/T 20519-2006 信息安全技術 公鑰基礎設施 特定權限管理中心技術規(guī)范
119. GB/T 20520-2006 信息安全技術 公鑰基礎設施 時間戳規(guī)范
120. GB/T 18018-2007 信息安全技術 路由器安全技術要求
121. GB/T 21028-2007 信息安全技術 服務器安全技術要求
122.
123. GB/T 21050-2007 信息安全技術 網(wǎng)絡交換機安全技術要求(評估保證級3)
124. GB/T 21052-2007 信息安全技術 信息安全等級保護 信息系統(tǒng)物理安全技術要求
125. GB/T 21053-2007 信息安全技術 PKI系統(tǒng)安全等級保護技術要求
126. GB/T 21054-2007 信息安全技術 PKI系統(tǒng)安全等級保護評估準則
127. GB/T 20945-2007 信息安全技術 信息系統(tǒng)安全審計產(chǎn)品技術要求和測試評價方法
128. GB/T 20979-2007 信息安全技術 虹膜識別系統(tǒng)技術要求
129. GB/T 20983-2007 信息安全技術 網(wǎng)上銀行系統(tǒng)信息安全保障評估準則
130. GB/T 20984-2007 信息安全技術 信息安全風險評估規(guī)范
131. GB/T 20987-2007 信息安全技術 網(wǎng)上證券交易系統(tǒng)信息安全保障評估準則
132. GB/T 20988-2007 信息安全技術 信息系統(tǒng)災難恢復規(guī)范
133. GB/T 21028-2007 信息安全技術 服務器安全技術要求
134. GB/Z 20985-2007 信息技術 安全技術 信息安全事件管理指南
135. GB/Z 20986-2007 信息安全技術 信息安全事件分類分級指南
136. GB/T18336.1-2008 信息技術 安全技術 信息技術安全性評估準則 第1部分:簡介和一般模型
137. GB/T18336.2-2008 信息技術 安全技術 信息技術安全性評估準則 第2部分:安全功能要求
138. GB/T18336.3-2008 信息技術 安全技術 信息技術安全性評估準則 第3部分: 安全保證要求
139. GB/T 22186-2008 信息安全技術 具有中央處理器的集成電路(IC)卡芯片安全技術要求(評估保證級4增強級)
140. GB/T22019-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求
141. GB/T22020-2008 信息安全技術 信息系統(tǒng)安全保護等級定級指南
142. GB/T22081-2008 信息技術 安全技術 信息安全管理實用規(guī)則
143. GB/T22080-2008 信息技術 安全技術 信息安全管理體系 要求
144. GB/T 17964-2008 信息安全技術 分組密碼算法的工作模式
145. GB/T 15843.1-2008 信息技術 安全技術 實體鑒別 第1部分: 概述
146. GB/T 15843.2-2008 信息技術 安全技術 實體鑒別 第2部分: 采用對稱加密算法的機制
147. GB/T 15843.3-2008 信息技術 安全技術 實體鑒別 第3部分: 采用數(shù)字簽名技術的機制
148. GB/T 15843.4-2008 信息技術 安全技術 實體鑒別 第4部分: 采用密碼校驗函數(shù)的機制
149. GB/T 15852.1-2008 信息技術 安全技術 消息鑒別碼 第1部分:采用分組密碼的機制
150. GB/T 17903.1-2008 信息技術 安全技術 抗抵賴 第1部分: 概述
151. GB/T 17903.2-2008 信息技術 安全技術 抗抵賴 第2部分: 采用對稱技術的機制
152. GB/T 17903.3-2008 信息技術 安全技術 抗抵賴 第3部分: 采用非對稱技術的機制
ISO27001認證讓云更安全
2012年11月,阿里云通過了由BSI(英國標準協(xié)會)審核的ISO27001:2005(信息安全管理體系)認證,成為國內首家通過ISO27001認證的云計算安全服務提供商。
阿里云介紹,ISO27001是目前國際上最權威、最嚴格、也是最被廣泛接受和應用的信息安全標準,本次認證的通過,標志著阿里云的安全性得到國際上的認可。針對云計算的安全性以及這一認證的價值,站長之家專訪了阿里巴巴集團安全部的安全專家沈錫鏞先生。
沈錫鏞先生是云計算安全的專家及先行者,在云計算安全管理方面有很多分享。2012年加入阿里巴巴集團,著力于幫助快速成長但缺乏標準化管理的云計算領域建立安全管理框架。
沈先生表示:“在云計算蓬勃發(fā)展的時代,一定要將這種新型的技術業(yè)務和信息安全管理體系進行有效整合!
站長之家:前段時間公司通過了ISO27001認證,為什么要申請這個認證?
沈錫鏞:用戶使用云計算最大的障礙之一是對于安全的擔憂,如何讓客戶能放心的把數(shù)據(jù)和應用部署在阿里云云計算平臺上,并且相信阿里云能保證客戶數(shù)據(jù)和應用的機密性、完整性和可用性,靠王婆賣瓜自賣自夸是無法說服用戶的,需要一個由第三方機構頒發(fā)的審核證明,來證明其安全管理的有效性。
云計算安全目前仍然缺乏一個國際標準,所以在現(xiàn)階段ISO27001認證是一個最貼切的標準,代表我們的內部管理與國際安全要求完全接軌。其次ISO27001是一個基于信息安全風險管理為核心的體系,該體系對信息安全的管控思想就好比把西瓜片片切開看看是否成熟一樣,讓組織信息安全管理水平暴露在審核方的顯微鏡下無所遁形,從體系的核心和管控思想兩個方面都符合阿里云作為云計算服務提供商期望提供給客戶的安全承諾。
站長之家:在申請ISO27001認證的過程中,阿里云推動了哪些方面的標準化流程,有哪些收獲?
沈錫鏞:ISO27001認證的過程其實是對阿里云既有的安全流程的固化和檢驗,舉例來說針對ISO27001漏洞管理的相關條款要求,阿里云現(xiàn)有的安全分制度得以在各業(yè)務部門和集團范圍內予以強化,安全漏洞大大減少,其修復速度得到大幅度提升。在運維方面因流程執(zhí)行不規(guī)范而導致的故障大大減少,舉例:自7月ISO27001體系投入運行后再未發(fā)生因流程執(zhí)行不規(guī)范而導致安全故障。
站長之家:阿里云國內首家通過了ISO27001認證,這對國內云服務會有什么影響?
沈錫鏞:即使在云計算的背景下,云計算安全與傳統(tǒng)信息安全的安全目標仍是相同:“保護信息資產(chǎn)的保密性、完整性、可用性”,故而諸如云服務商日常運營中涉及的信息安全風險管理;人力資源、物理、網(wǎng)絡和主機安全;業(yè)務連續(xù)性;數(shù)據(jù)中心運維等方面都應將滿足ISO27001:2005作為基線要求。
面對越來越嚴重的個人信息泄露、個人隱私保護及云計算帶來的相關法律和合規(guī)要求,云服務商應建立遵循ISO27001:2005對于隱私保護和法律方面的合規(guī)管理要求。
從數(shù)據(jù)安全的角度,承載客戶數(shù)據(jù)、客戶應用的云服務商也必須通過獲得ISO27001:2005認證來逐步規(guī)范云計算市場,設定準入門檻。
站長之家:ISO27001認證,可以給開發(fā)者及用戶帶來哪些好處?
沈錫鏞:阿里云的目標是打造互聯(lián)網(wǎng)數(shù)據(jù)分享第一平臺,成為以數(shù)據(jù)為中心的云計算服務公司。因此我們除了借助技術的創(chuàng)新,不斷提升計算能力與規(guī)模效益,將云計算變成真正意義上的公共服務,使得廣大合作伙伴、中小企業(yè)、開發(fā)者能夠受益于云計算帶來的便利和價值,也有義務從安全角度給廣大用戶和開發(fā)者打造一個安全、健康的云生態(tài)系統(tǒng),使其在使用云計算的同時免除對安全的后顧之憂。
因此和很多選擇IDC或IT、信息安全部門通過認證的云計算企業(yè)不同,阿里云本次認證選擇了以諸多云產(chǎn)品為認證對象,這就代表阿里云傳遞給廣大的開發(fā)者和用戶一個信息,從云產(chǎn)品的設計、運維到售賣,阿里云都接受并通過了業(yè)界最嚴苛和權威的第三方審核,保證我們向廣大公眾提供的云產(chǎn)品和服務安全可信。
站長之家:獲得ISO27001認證,意味著阿里云得到國際上的認可,這對國外公司、服務、App應用等進入中國市場有什么吸引力嗎?阿里云在這方面是如何判斷的?
沈錫鏞:這種吸引力幾乎在第一時間就到來,在得悉阿里云通過BSI審核的ISO27001體系認證,由BSI和CSA聯(lián)合推出的OCF(Open Certificate Framework for cloud providers)第一時間就選擇了阿里云作為亞太地區(qū)第一家試點機構,為云安全的國際標準化進程作出自己的貢獻。
國內在信息技術的標準化方面一直采用的是關注和引進的方式,并且即使引進也在實際的業(yè)務開展中未能較好的運用和推廣。云計算業(yè)務的興起則是給了廣大中國企業(yè)一個新的契機,因為該業(yè)務并不是對信息技術的顛覆而是對由來已久的大型分布式計算技術的運營嘗試,阿里云作為具備自主開發(fā)大型分布式操作系統(tǒng)的中國云計算企業(yè),有必要在未來云計算標準和規(guī)范的國際化進程中占有一席之地。
站長之家:安全是云服務的一個基本保障,能否結合ISO27001標準,談談阿里云的安全性是如何保障的?例如數(shù)據(jù)存儲安全、防攻擊等方面。
沈錫鏞:阿里云的安全性雖然也存在內部安全和外部安全兩個不同的緯度,但和其他企業(yè)不同地方在于阿里云的內部安全和外部安全都遵行一個統(tǒng)一的“安全分”制度,具體來講安全部門會對所有業(yè)務部門、支撐部門從安全事件的發(fā)生率、安全漏洞的多寡角度去量化考核每個部門的安全得分,并納入公司績效考核的一部分。
在面向客戶交付的每個產(chǎn)品或服務,阿里云按照ISO27001 附錄“A12信息系統(tǒng)開發(fā)、獲取和維護”的要求,建立了軟件安全開發(fā)周期(Security Development Lifecycle)安全開發(fā)流程,(如下圖)來保證每個云產(chǎn)品的服務的安全性。
安全需求分析環(huán)節(jié):應根據(jù)功能需求文檔進行安全需求分析,針對業(yè)務內容、業(yè)務流程、技術框架進行溝通,形成《安全需求分析建議》。
安全設計環(huán)節(jié):應根據(jù)項目特征,與測試人員溝通安全測試關鍵點,形成《安全測試建議》。
安全編碼環(huán)節(jié):應參考例如OWASP指南、CERT安全編碼等材料編寫各類《安全開發(fā)規(guī)范》,避免開發(fā)人員出現(xiàn)不安全的代碼。
代碼審計環(huán)節(jié):應盡可能使用代碼掃描工具并結合人工代碼審核,對產(chǎn)品代碼進行白盒、黑盒掃描。
應用滲透測試:應在上線前參照例如OWASP標準進行額外的滲透測試 。
系統(tǒng)發(fā)布:依據(jù)上述環(huán)節(jié)評價結果決定代碼是否發(fā)布。
而在ISO27001未覆蓋的虛擬化安全領域,例如虛擬服務器的隔離、虛擬服務器及映像的加固、虛擬服務器的銷毀,雖然以上需求因虛擬化服務器的服務類型已無法通過購買安全設備實現(xiàn)隔離,但針對用戶和云服務商自身的安全需求仍可通過一系列的軟件手段實現(xiàn)安全隔離和訪問控制。
針對不同用戶購買的虛擬服務器之間的隔離需求,阿里云借助自主開發(fā)的后羿系統(tǒng)在虛擬服務器生產(chǎn)環(huán)節(jié)給每個虛擬服務器打上標簽,在運營環(huán)節(jié)通過不同用戶之間的虛擬服務器訪問規(guī)則,和IP 信息包過濾系統(tǒng)(iptables)技術實現(xiàn)虛擬服務器之間、虛擬服務器和其物理機之間隔離。
例如針對虛擬服務器的安全加固,阿里云通過建立安全加固流程,默認提供主機入侵檢測和補丁自動更新服務等手段來保證虛擬服務器的安全;而針對虛擬服務器映像的安全加固,阿里云不但在其生產(chǎn)流程上加入安全審核環(huán)節(jié),來保證虛擬服務器映像能滿足最新的安全要求,而且目前已通過安全部門直接制作安全映像交付給運營部門;針對虛擬服務器的銷毀,阿里云采用虛擬化在線管理系統(tǒng)對虛擬服務器進行管理保證其遷移后自動消除原有物理服務器上磁盤和內存數(shù)據(jù),并采用實時審計技術予以監(jiān)控流程的執(zhí)行。
上海賽學專業(yè)提供ISO27001認證,信息安全體系認證證書信息安全體系認證公司,上海iso27001認證咨詢中心。黃浦區(qū)、盧灣區(qū)、徐匯區(qū)、長寧區(qū)、靜安區(qū)、普陀區(qū)、閘北區(qū)、虹口區(qū)、楊浦區(qū)、寶山區(qū)、閔行區(qū)、嘉定區(qū)、浦東新區(qū)、松江區(qū)、金山區(qū)、青浦區(qū)企業(yè)做上門診斷。
|