世界广泛采用的关于信息安全管理体系的英国标准——BS7799-2:2002,经修订后,于2005年10月15日作为国际标准ISO/IEC27001:2005发布。
本文旨在向组织指出标准的变化及在实际应用中的意义,协助组织做好向新标准过渡的准备。
新标准的正式标题是:《BS 7799-2:2005 (ISO/IEC27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准,标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现,但总体上标准执行的重点仍应放在业务信息的风险上。
标准的主要改变在于它现在是国际公认的,这意味着除了英国标准的国际认可,组织可以构建一个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息,如财政信息,知识产权,职员资料等等,或者是客户或第三方与组织间沟通的信息,标准都是适用的。实际上,它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。
新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的组织来说,新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。(详见ISO/IEC27001:2005的4.2.2 d)
下面是该标准重大改变的解释概要。附录A是一个显示BS7799-2:2002和 ISO/IEC27001:2005之间的变化的表格。《ISO/IEC27001:2005》。
范围和界线
在执行信息安全管理体系的时候,组织所要做的第一件事就是定义ISMS的范围。现在国际标准要求组织定义ISMS的范围和界线[4.2.1 a],包括被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会寻找这些东西,但是现在把这个要求加到标准中了,如果组织打算超越根据2002版标准取得的认证而达到新标准的要求,就必须把这个要求考虑在内。
评估风险
该国际标准的基础是:信息的保护是基于业务信息的风险,该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下,因此太多的安全措施可能使公司花费过多的成本。
标准的一个重大改变是组织现在需要详细说明(并文件化)风险评估的步骤[4.2.1 c],这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过BS7799-2:2002认证的组织不会把这点看成一个比较大的变化,因为在评估过程中已经考虑过它了。打算通过BS7799-2:2002认证的组织可能会把它看成该国际标准的新要求。
风险评估按照计划的时间间隔[4.2.3 d]进行复查,对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1],至少一年完成一次。
在对BS 7799-2:2002版标准进行审核的过程中,审核员应该根据ISMS的方针和目标[4.3.1],寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点,但现在已经在国际标准中阐明了。想获得BS 7799-2:2002认证的组织可以把它看作国际标准的新要求。
合同责任
除了法律法规的要求,该国际标准还特别强调在所有ISMS所有过程中的合同责任,包括风险评估、风险处理、控制选择、记录控制、资源、ISMS的监视和复查、以及文件要求。
通过BS 7799-2认证的组织现在需要做什么?
需要特别注意的是:新的国际标准是双重的,既可以是ISO/IEC 27001:2005,又可以是 BS 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。
通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC 27001:2005标准的认证。
如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。
新标准发布后,就可以依据ISO/IEC 27001:2005进行认证了。
附录A变化摘要
BS7799部分2:2002(条款号) |
ISO/IEC 27001:2005(条款号) |
变化和差异的注解 |
1.2应用 |
1.2应用 |
确定对ISO/IEC 27001条款4-8的删减都是不可接受的,解释在何种情况下对控制进行了删减是可能的。 |
3术语和定义 |
3术语和定义 |
从ISO/IEC 13335-1:2004,ISO/IEC TR 18044:2004和ISO/IEC指南 73:2002中添加定义。 |
4.2.1 建立ISMS项目a)定义ISMS的范围 |
4.2.1 建立ISMS |
现在,定义了ISMS的“范围和界线”的要求。要求包括:1、说明在范围内的部分2、解释被排除在范围外的理由。 |
项目c)定义风险评估的系统方法 |
在项目c) 中的第二句“定义组织的风险评估方法”被删除后新增了一条。 |
新增一条对现有的要求进行阐明和补充。 |
项目g)为风险处理选择控制目标及控制。 |
项目g)“为风险处理选择控制目标及控制”已经被延伸了。 |
现有的要求加上了这样的阐释:选择应该考虑到在法律、法规及合同的要求范围内接受风险的标准。 |
项目h)准备适用性声明。 |
项目j)添加了新项目j)2)“准备适用性声明”。 |
阐明了现有关于适用性声明的要求。 |
4.22实施和运作ISMS
|
4.22实施和运作ISMS |
这可能是实施和运作ISMS过程中最大的改变,要求定义如何测量控制及控制组合的有效性,要求详细列出测量方法使控制效果评估产生可比较、可重复的结果。 |
4.2.3监控和评审ISMS |
4.2.3监控和评审ISMS |
阐明了有助于预防安全事故的安全事件探测。 |
项目c)评审剩余风险和可接受风险。 |
新增项目d) 5)按计划的时间间隔评审风险评估,评审剩余风险和可接受风险,评审时要考虑现行控制的有效性的变化。 |
与4.2.2.d结合以监控ISMS的效力。 |
4.31概要 |
4.31概要第一段 |
阐明:文件要包括管理决策的记录,活动要根据管理决策和方针进行,记录/结果是可重复的。 |
|
第二段 |
新增一句说明所选择的控制与风险评估和风险处理过程的关系,以及与ISMS方针和目标的关系。 |
|
新增项目d)风险评估方法的描述 |
风险评估方法的描述要包含在文件中。 |
项目e)文件化的程序 |
项目g)“文件化的程序”已经被更新了 |
阐明并补充了描述如何测量控制的有效性的要求。 |
4.3.2文件控制 |
4.3.2文件控制 |
阐述了确保使用者可以获得所需文件的要求,及文件的转移存储和最终处置要按照合适的等级来处理。 |
5.1管理承诺 |
5.1管理承诺 |
在管理承诺中声明确保ISMS内部审核得到管理。 |
条款6.1 到6.3 |
条款7.1 到7.3 |
移动的章节 |
条款7.1 到7.3 |
条款8.1 到8.3 |
移动的章节 |
6.2评审输入 |
7.2评审输入 |
移动的章节 |
6.3评审输出 |
7.3评审输出 |
移动的章节 |
项目c) 必要时,修改影响信息安全的程序,以响应对ISMS造成影响的内外事件。 |
项目c) 必要时,修改影响信息安全的程序和控制,以响应对ISMS造成影响的内外事件。包括合同责任的改变。 |
阐明包括合同责任的改变。 |
|
新增项目e)改进控制有效性的测量方法。 |
加进了“改进控制效力的测量方法。”的声明。 |
6.4 ISMS内部审核 |
6.4ISMS内部审核 |
现在是第六章的唯一要求。 |
7.3预防措施 |
8.3预防措施 |
移动的章节 |
附录A |
附录A |
根据ISO/IEC 17799:2005的修订版本更新附录A |
附录B和表B1 |
附录B |
除了说明OECD原则和本国际标准之间的关系的表格外,其他被删除。删除的部分可能被ISO/IEC作为发展成新指南的基础。 |
附录C |
附录C |
更新后的版本 |
附录D |
|
从ISO/IEC27001:2005版本中删除。 |