一、什么是标准
1.1 标准
国际标准、国家标准、行业标准、地方标准
1.2 我国标准分类
- GB 强制性国家标准
一经颁布必须贯彻执行,违反则构成经济或法律方面的责任
- GB/T 推荐性国家标准
自愿采用的标准,共同遵守的技术依据,严格贯彻执行
- GB/Z 国家标准指导性技术文件
由于技术发展过程中或其他理由,将来可能达成一致意见指导性技术文件,实施后3年内必须进行复审。复审结果可能是:再延长3年;转为国家标准;撤销。
1.3 海外标准分类
一般性要求、一般性指南 、行业指南。
二、标准化组织
2.1 国际化标准组织
- 国际标准化组织(ISO) ISO/IEC JTC1 信息技术标准化委员会所属SC27是安全领域最具代表性的。
- 国际电工委员会(IEC) IEC 60950 信息技术设备安全 国际标准
- Internet工程任务组(IETF) 著名的IKE 和IPsec 都在RFC系列内,还有TLS安全标准
- 国际电信联盟(ITU)及国际电信联盟远程通信标准化组织(ITU-T)
2.2 国家级标准组织:
- 美国国家标准化协会(ANSI)
- 美国国家标准技术研究院(NIST) DES 、FIPS 联邦信息处理标准、
- 美国卡梅隆大学等研究院也经常推出一些标准。
2.3 我国标准化组织
中国国家标准化管理委员会,是我国最高级别的国家标准机构。
全国信息安全标准化技术委员会(TC260) 也就是常说的 信安标委,TC260)
三、安全相关常用标准
3.1 ISO 27000 标准族 (待补充)
3.2 我国 等级保护标准族 (待补充)
3.3 其他常见标准
CC标准 《信息技术安全性通用评估准则》欧美六国七方 NSA和NIST共同制定的标准,简称CC标准;
1、CC标准的演进历史
2、我国的CC标准
我国在2008年等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为GB/T 18336
结构
- GB/T 18336.1-2008 简介和一般模型 定义了IT 安全评估的一般概念和原理,并提出了评估的一般模型
- GB/T 18336.2-2008 安全功能要求 建立一系列功能组件作为表达TOE功能要求的标准方法
- GB/T 18336.3-2008 安全保证要求 建立一系列保证组件作为表达TOE保证要求的标准方法
TCSEC 1985年美国国防部 《可信计算机系统评估标准》
- 美国政府国防部(DoD)标准,为评估计算机系统内置的计算机安全功能的有效性设定了基本要求
- 国家安全局的国家计算机安全中心(NCSC)于1983年发布,1985年更新,作为国防部彩虹系列出版物的核心,TCSEC经常被称为橙皮书。
- TCSEC已被2005年最初公布的国际标准《通用准则(CC)》所取代。
CTCPEC 加拿大《可信计算机产品评估标准》
FC 1991年 美国《联邦(最低安全要求)评估标准》
ITSEC《信息技术安全评估标准》1991年欧洲英、法、德、荷 死过国防部门信息安全机构率先联合制定。
CC标准 《信息技术安全性通用评估准则》欧美六国七方 NSA和NIST共同制定的标准,简称CC标准;
17799-2005(待补充)
ISOIEC13335(待补充)
信息安全管理体系(Information Security Management System,简称ISMS)起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799,是系统化管理思想在信息安全领域的应用。
【ISO27001认证】
什么是 ISO27001认证?
ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为 正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面 系统地持续改进组织的安全管理。
其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》
需要特别注意的是:新的国际标准是双重的,既可以是ISO/IEC 27001:2005,又可以是 BS 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。
然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。
实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC 27001:2005标准的认证。如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。
2013年10月份,ISO组织公布ISO27001:2013标准正式版。
组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基础上,英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版,2000年12月被采纳成为国际标准,即ISO/IEC17799:2000。2005年6月15日,该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC 27000。
同时伴随着ISO/IEC27000发展的还有另一个标准,即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年修订后发布1999版。2000年12月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。2005年10月,这个标准被采纳成为国际标准ISO/IEC27001:2005。
2013年10月份,ISO组织公布ISO27001:2013标准正式版。
ISO27001源于英国标准BS7799的第二部分,即BS7799-2 《信息安全管理体系规范》。
英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织。
1998年英国公布标准的第二部分《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。BS7799-1与BS7799-2经过修订于1999年重新予以发布,1999版考虑了信息处理技术,尤其是在网络和通信领域应用的近期发展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。2005年6月,ISO 对ISO/IEC 17799进行了改版,新版标准为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。
2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了 BS7799-2:2002《信息安全管理体系规范》。
2005年10月,BS7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准— ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。
2013年10月份,ISO组织公布ISO27001:2013标准正式版。
ISO27001发展历程简要归纳如下:
1993年,BS7799标准由英国贸易工业部立项。
1995年,BS7799-1《信息安全管理实施细则》首次出版,标准提供了一套综合的、由信息安全最佳惯例组成的实施细则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小型组织。
1998年,英国公布BS 7799-2《信息安全管理体系规范》,本标准规定信息安全管理体系要求与信息安全控制要求,它是一个组织信息安全管理体系评估的基础,可以作为认证的依据。
1999年,在BSI/DISC(British Standards Institute/Delivering Information Solutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展,取代了BS 7799-1:1995和BS 7799-2:1998。BS 7799:1999涵盖了以前版本的所有内容,并在原有的基础上扩展了新的控制,新版本考虑了信息处理技术,尤其是在网络和通信领域应用的最新发展,例如电子商务、移动计算、远程工作等领域的控制。
2000年12月,BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准——ISO/IEC 17799:2000《信息技术—信息安全管理实施细则》。
2002年,为了与其他管理标准协调一致,例如ISO 9001:2000和ISO 14001:1996,以及引入并应用PDCA过程模式,以建立、实施组织的信息安全管理体系,并持续改进有效性,BSI对BS 7799-2:1999进行了修订,于2002年9月5日发布BS 7799-2:2002。
2005年6月,ISO对ISO/IEC 17799:2000进行了修订,发布为 ISO/IEC 17799:2005《信息技术—安全技术—信息安全管理实施细则》。
2005年10月,BS 7799-2:2002通过了国际标准化组织ISO的认可,正式成为国际标准—ISO/IEC 27001:2005《信息技术—安全技术—信息安全管理体系要求》。
2013年10月份,ISO组织公布ISO27001:2013标准正式版。
ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号,类似于质量管理体系的ISO 9000系列和环境管理体系的ISO14000系列标准。规划的ISO27000系列包含下列标准:上述标准中,ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO 27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。目前的有效版本是ISO/IEC 27001:2005。
2013年10月份,ISO组织公布ISO27001:2013标准正式版。
信息安全发展至今,人们越来越认识到安全管理在整个信息安全建设过程中的重要性,而作为信息安全管理方面最著名的国际标准——ISO27001(即之前所称的BS7799标准),则成为可以指导我们现实工作的最好的参照。
BS7799是英国标准协会(British Standards InstituteBSI于1995年2月制定的信息安全管理标准,分两个部分,其第一部分于2000年被ISO组织采纳,正式成为ISO/IEC 17799标准。该标准2005年经过最新改版,发展成为ISO/IEC 17799:2005标准BS7799标准的第二部分经过长时间讨论修订,也于2005年成为正式的ISO标准,即ISO/IEC 27001:2005。
ISO17799:2005标准(即BS7799第一部分),是信息安全管理实施细则(Code of Practice for Information Security Management),其中包含11个主题,定义了133个安全控制。ISO17799:2005中的11个主题分别是:
◆ 安全策略(Security policy);
◆ 信息安全组织(Organization of information security);
◆ 资产管理(Asset management);
◆ 人力资源安全 (Human resource security);
◆ 物理和环境安全(Physical and environmental security);
◆ 通信和操作管理(Communication and operation management);
◆ 访问控制(Access control);
◆ 信息系统获取、开发和维护(Information systems acquisition, development and maintenance);
◆ 信息安全事件管理(Information security incident management);
◆ 业务连续性管理(Business continuity management);
◆ 符合性(Compliance)。
ISO27001:2005标准,是建立信息安全管理体系(ISMS)的一套规范(Specification for Information Security Management Systems),其中详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据ISO27001建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,ISO27001指导相关人员怎样去应用ISO/IEC 17799,其最终目的,还在于建立适合企业需要的信息安全管理体系。
2013年10月份,ISO组织公布ISO27001:2013标准正式版。
ISO27000系列共包括哪些标准?
ISO27000系列共包括10个标准,当前已经发布和在研究的有6个,分别为:
1、ISO/IEC 27000《信息安全管理体系 基础和词汇》;
2、ISO/IEC 27001:2005《信息安全管理体系要求》;
3、ISO/IEC 17799:2005《信息安全管理实用规则》(编号已经改为27002);
4、ISO/IEC 27003《信息安全管理体系实施指南》;
5、ISO/IEC 27004《信息安全管理测量》;
6、ISO/IEC 27005《信息安全风险管理》。
BS7799 部分 2 : 2002 (条款号) | ISO/IEC 27001:2005 (条款号) | 变化和差异的注解 |
1.2 应用 | 1.2 应用 | 确定对 ISO/IEC 27001 条款 4-8 的删减都是不可接受的,解释在何种情况下对控制进行了删减是可能的。 |
3 术语和定义 | 3 术语和定义 | 从 ISO/IEC 13335-1 : 2004 , ISO/IEC TR 18044 : 2004 和 ISO/IEC 指南 73:2002 中添加定义。 改变部分现有定义以配合 ISO/IEC 13335-1 : 2004 标准。重新明确定义了“风险处理”和“适用性声明”。 |
4.2.1 建立 ISMS 项目 a) 定义 ISMS 的范围 | 4.2.1 建立 ISMS 项目 a) 定义 ISMS 的范围和界线 | 现在 , 定义了 ISMS 的“范围和界线”的要求。要求包括: 1 、说明在范围内的部分 2 、解释被排除在范围外的理由。 |
项目 c) 定义风险评估的系统方法 | 在项目 c) 中的第二句“定义组织的风险评估方法”被删除后新增了一条。 | 新增一条对现有的要求进行阐明和补充。 同时声明风险评估方法应产生可比较、可重复的结果。 |
项目 g) 为风险处理选择控制目标及控制。 | 项目 g) “为风险处理选择控制目标及控制”已经被延伸了。 | 现有的要求加上了这样的阐释:选择应该考虑到在法律、法规及合同的要求范围内接受风险的标准。 |
项目 h) 准备适用性声明。 | 项目 j) 添加了新项目 j)2) “准备适用性声明”。 | 阐明了现有关于适用性声明的要求。 现在强调它要包括当前实施的控制目标及控制。 |
4.22 实施和运作 ISMS | 4.22 实施和运作 ISMS 新增项目 d) 定义如何测量有效性。 | 这可能是实施和运作 ISMS 过程中最大的改变,要求定义如何测量控制及控制组合的有效性,要求详细列出测量方法使控制效果评估产生可比较、可重复的结果。 |
4.2.3 监控和评审 ISMS 项目 a) 执行监控程序及其它的控制。 | 4.2.3 监控和评审 ISMS 项目 a) 4) 添加了“执行监控程序及其它的控制以探测安全事件”。 项目 c) 添加了“测量控制的效力”。 | 阐明了有助于预防安全事故的安全事件探测。 包括使用指标。 |
项目 c) 评审剩余风险和可接受风险。 | 新增项目 d) 5) 按计划的时间间隔评审风险评估,评审剩余风险和可接受风险,评审时要考虑现行控制的有效性的变化。 新增项目 g) 更新安全计划 | 与 4.2.2 .d 结合以监控 ISMS 的效力。 现有要求的阐述,帮助监测现行控制的效果。 阐述和补充了以下要求 : 根据监控评审活动的发现来监控评审 ISMS 以更新安全计划的要求。 |
4.31 概要 | 4.31 概要第一段 | 阐明:文件要包括管理决策的记录,活动要根据管理决策和方针进行,记录 / 结果是可重复的。 |
第二段 | 新增一句说明所选择的控制与风险评估和风险处理过程的关系,以及与 ISMS 方针和目标的关系。 | |
新增项目 d) 风险评估方法的描述 | 风险评估方法的描述要包含在文件中。 | |
项目 e) 文件化的程序 | 项目 g) “文件化的程序”已经被更新了 | 阐明并补充了描述如何测量控制的有效性的要求。 |
4.3.2 文件控制 | 4.3.2 文件控制 新增项目 f) 确保文件是可用的 | 阐述了确保使用者可以获得所需文件的要求,及文件的转移存储和最终处置要按照合适的等级来处理。 |
5.1 管理承诺 | 5.1 管理承诺 新增项目 g )保证 ISMS 内部审核得到管理。 | 在管理承诺中声明确保 ISMS 内部审核得到管理。 |
条款 6.1 到 6.3 | 条款 7.1 到 7.3 | 移动的章节 |
条款 7.1 到 7.3 | 条款 8.1 到 8.3 | 移动的章节 |
6.2 评审输入 | 7.2 评审输入 新增项目 f) 有效性测量的结果 | 移动的章节 新增了有效性测量的结果。 |
6.3 评审输出 | 7.3 评审输出 新增项目 b )更新风险评估和风险处理计划。 | 移动的章节 阐明确保更新风险评估和风险处理计划。 |
项目 c) 必要时,修改影响信息安全的程序,以响应对 ISMS 造成影响的内外事件。 | 项目 c) 必要时,修改影响信息安全的程序和控制,以响应对 ISMS 造成影响的内外事件。包括合同责任的改变。 | 阐明包括合同责任的改变。 |
新增项目 e) 改进控制有效性的测量方法。 | 加进了“改进控制效力的测量方法。”的声明。 | |
6.4 ISMS 内部审核 | 6.4ISMS 内部审核 | 现在是第六章的唯一要求。 |
7.3 预防措施 | 8.3 预防措施 项目 8.3b) “评估采取措施预防不符合发生的必要性” | 移动的章节 阐明预防措施。评估采取措施预防不符合发生的必要性 |
附录 A | 附录 A | 根据 ISO/IEC 17799:2005 的修订版本更新附录 A |
附录 B 和表 B1 | 附录 B | 除了说明 OECD 原则和本国际标准之间的关系的表格外,其他被删除。删除的部分可能被 ISO/IEC 作为发展成新指南的基础。 |
附录 C | 附录 C | 更新后的版本 |
附录 D | 从 ISO/IEC 27001:2005 版本中删除。 |