淺析:安全管理中的“熱門”標準
信息安全管理是目前信息安全領域里最熱門的話題之一,而作為指導和規范信息安全管理的標準更是重中之重,因為得標準者得“天下”。在信息安全管理領域里,由于標準眾多,對于標準的爭論從未停息過。本文介紹了安全管理中的“熱門”標準。
信息安全管理是目前信息安全領域里最熱門的話題之一,而作為指導和規范信息安全管理的標準更是重中之重,因為得標準者得“天下”。
在信息安全管理領域里,由于標準眾多,對于標準的爭論從未停息過。
國際上,有ISO/IEC的國際標準17799、13335;西方國家,有美國國家標準和技術委員會(NIST)的特別出版物系列、英國標準協會(BSI)的7799系列;在我國,有風險管理、災難恢復的國家政策。
同信息安全管理交叉的ITIL、同信息系統審計相關的薩班斯404條款與控制目標(CoBIT),以及信息安全管理系統、風險管理、業務持續性和災難恢復等方面的國際、國家、組織機構和企業的信息安全管理標準,都已經成為信息安全界耳熟能詳的熱門詞匯。
安全管理中的“熱門”標準
近年來,國際ISO/IEC和西方一些國家開始發布和改版一系列信息安全管理標準,使安全標準進入了一個繁忙的改版期。
這表明,信息安全管理標準已經從零星的、隨意的、指南性標準,逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。
要了解信息安全管理標準和發展,首先我們需了解主要“門派”、影響和使用認可范圍。
國際標準ISO/IEC
首先需要介紹的是國際上最權威的由國際標準化組織(ISO)和國際電工委員會(IEC)所制定的國際標準。
ISO和IEC是世界范圍的標準化組織,它由各個國家和地區的成員組成,各國的相關標準化組織都是其成員,他們通過各技術委員會,參與相關標準的制定。
為了更好的協作和共同規范信息技術領域,ISO和國際電工委員會(ITU)成立了聯合技術委員會,即ISO/IEC JTC1,負責信息技術領域的標準化工作。其中的子委員會27專門負責IT安全技術領域的標準化工作。
ISO/IEC聯合技術委員會1子委員會27(ISO/IEC JTC1 SC27)是信息安全領域最權威和國際認可的標準化組織,它已經為信息安全保障領域發布了一系列的國際標準和技術報告,為信息安全領域的標準化工作做出了巨大貢獻。
在ISO/IEC JTC1 SC 27所發布的標準和技術報告中,目前最主要的標準是ISO/IEC 13335、ISO/IEC 17799等。
另外,ISO/IEC JTC1 SC27正在對信息安全管理系統(ISMS)國際標準族進行開發,此標準族將采用27000系列號碼作為編號方案,并將綜合信息安全管理系統要求、風險管理、度量和測量以及實施指南等一系列國際標準。
隨著ISO/IEC 27000系列標準的規劃和發布,ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。
2005年,ISO/IEC在信息安全管理標準的主要發展趨勢是:改版ISO/IEC 17799,并正式發布ISO/IEC 17799:2005。ISO/IEC 17799建立了組織機構內啟動、實施、維護和改進信息安全管理的指導方針和通用原則。
此外,ISO/IEC 13335將從原先的技術報告變為正式的國際標準。ISO/IEC 13335是ISO/IEC JTC1 SC27中關于風險管理、IT安全管理的一個重要的標準系列。
ISO/IEC 13335另一個重要的變動是從原先包含五部分的技術報告,變動為現在重新立項的包含兩部分的國際標準,即信息和通信技術安全管理標準。
還有,ISO/IEC將采用27000系列號碼作為編號方案,將原先所有的信息安全管理標準進行綜合,并進行進一步的開發,形成一整套包括ISMS要求、風險管理、度量和測量以及實施指南等在內的信息安全管理體系。
西方國家的信息安全管理標準
信息安全是一項涉及國家安全的領域,在西方發達國家信息安全管理的實踐中,制定了一些自有的標準,并形成一整套自有的、完整的信息安全管理體系。
美國信息安全管理標準體系
2002年,美國通過了一部聯邦信息安全管理法案(FISMA)。根據它,美國國家標準和技術委員會(NIST)負責為美國政府和商業機構提供信息安 全管理相關的標準規范。因此,NIST的一系列FIPS標準和NIST 特別出版物800系列(NIST SP 800系列)成為了指導美國信息安全管理建設的主要標準和參考資料。
在NIST的標準系列文件中,雖然NIST SP并不作為正式法定標準,但在實際工作中,已經成為美國和國際安全界得到廣泛認可的事實標準和權威指南。
目前,NIST SP 800系列已經出版了近90本同信息安全相關的正式文件,形成了從計劃、風險管理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系。
2005年,NIST SP 800系列最主要的的發展是配合FISMA 2002年的法案,建立以800-53等標準為核心的一系列認證和認可的標準指南。
英國信息安全管理標準體系
同美國NIST相對應,英國標準協會(BSI)是英國負責信息安全管理標準的機構。在信息安全管理和相關領域,BSI做了大量的工作,其成果已得到國際社會的廣泛認可。
最讓人關注的是BS 7799的第一部分,它已成為國際ISO/IEC 17799國際標準。另外,其BS 15000系列標準。也成為指導ITIL的公認標準。
現在,隨著BS 7799被廣泛接受,BSI準備進一步將它推向全世界,為各個國家的組織機構提供BS 7799的認證服務。
國內信息安全管理標準
相比國外,國內的信息安全領域的標準起步較晚,但隨著2002年全國信息安全標準化技術委員會(簡稱信息安全標委會)的成立,信息安全相關標準的建設工作開始走向了規范化管理和發展的快車道。
從20世紀80年代開始,在信息安全標委會和各部門各界的努力下,本著積極采用國際標準的原則,轉化了一批國際信息安全基礎技術標準,為我國信息安全技術的發展做出了一定貢獻。
同時,公安部、國家安全部、國家保密局、國家密碼管理委員會等相繼制定和頒布了一批信息安全的行業標準,為推動信息安全技術在各行業的應用和普及,發揮了積極的作用。
現在,在信息安全標委會中,成立了信息安全標準體系與協調工作組(WG1)、鑒別與授權工作組(WG4)、信息安全評估工作組(WG5)和信息安全管理工作組(WG7)四個工作組,它們在對我國信息安全保障體系建設和信息安全產業的發展方面,起到了積極作用。
從信息安全管理的建設和評估角度看,信息安全管理和信息安全評估分別建設和規范了信息安全管理的相關標準。
近年來(特別是2005年),信息安全管理標準化工作中主要的研究熱點包括:信息安全國際標準的轉化(主要是國際ISO/IEC 17799和ISO/IEC 13335的采標工作);風險管理指南的標準化工作(主要是風險評估和風險管理指南的標準化工作);以及信息系統評估的標準制定工作(主要是信息系統安全 保障評估框架標準的編制工作等)。
這些工作將在近兩年內完成,其標準化的流程將成為正式的國家標準,指導和規范我國的信息安全管理工作。
信息安全是一個綜合的交叉學科,信息安全管理領域的很多內容同信息技術服務、信息系統審計等有著非常密切的聯系。
在此,我們希望向用戶傳達這樣一個思想,信息安全管理不應該成為一個孤立的、為安全管理而管理的學科,信息安全管理應同IT服務、信息系統審計等建立密切的聯系,更好地服務于用戶應用。
“天下”且須這樣得
一套完善的信息安全管理體系,應該包括規范化的信息安全管理內容、以風險和策略為核心的建設方法、定性和定量的度量信息安全管理。
同時,信息安全管理體系應該能夠將信息安全管理同信息系統審計、信息系統內控體系、信息技術服務體系相互結合,形成有安全保障的信息系統運維管理體系,以真正達到保護組織機構信息和信息資產的安全,保護業務持續性。
制定標準是用來規范企業行為,在應用標準時,我們需要把握如下一些要點。
要點一:使用信息安全管理標準,規范信息安全管理的內容。
隨著信息安全標準的發展(特別是2005年),信息安全標準的主要特征已從原先形勢隨意的最佳實踐方式,發展到層次結構化的安全管理控制集合,形成了信息安全管理標準的一個主流趨勢。
信 息安全管理相關人員可以使用這些標準中規范化的安全管理控制措施,規范其信息安全管理的內容和范圍。
信息安全管理標準中所提供的管理控制措施有如下幾項。
ISO/IEC 17799:2005年第2版的改版中,最主要的變動是以層次結構化形式提供安全策略、信息安全的組織結構、資產管理、人力資源安全、物理和環境安全、通 信和運行管理、訪問控制、信息系統采購、開發和維護、信息安全事故管理、業務持續性管理、符合性這11個安全控制章節,還有39個主要安全類和133個具 體控制措施,以規范化組織機構信息安全管理建設的內容。
美國NIST SP 800-53聯邦信息系統推薦安全控制:提供了安全控制的層次化、結構化的安全控制措施要求,意識和培訓,認證、認可和安全評估,配置管理,持續性規劃, 事件響應,維護,介質保護,物理和環境保護,規劃,人員安全,風險評估,系統和服務采購,系統和信息完整性這13個安全管理和運營控制族以及106個具體 控制措施。
Cobit:提供了規劃和組織、采購和實施、交付和支持以及監控4個域,還有34個表達IT過程的高層控制流程以及多達318個控制目標。
通過解決這34個高層控制目標,組織機構可以確保已為其IT環境提供了一個充分的控制系統。
責任編輯:黎陽錦
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
