淺析:安全管理中的“熱門”標準
信息安全管理是目前信息安全領(lǐng)域里最熱門的話題之一,而作為指導和規(guī)范信息安全管理的標準更是重中之重,因為得標準者得“天下”。在信息安全管理領(lǐng)域里,由于標準眾多,對于標準的爭論從未停息過。本文介紹了安全管理中的“熱門”標準。
信息安全管理是目前信息安全領(lǐng)域里最熱門的話題之一,而作為指導和規(guī)范信息安全管理的標準更是重中之重,因為得標準者得“天下”。
在信息安全管理領(lǐng)域里,由于標準眾多,對于標準的爭論從未停息過。
國際上,有ISO/IEC的國際標準17799、13335;西方國家,有美國國家標準和技術(shù)委員會(NIST)的特別出版物系列、英國標準協(xié)會(BSI)的7799系列;在我國,有風險管理、災難恢復的國家政策。
同信息安全管理交叉的ITIL、同信息系統(tǒng)審計相關(guān)的薩班斯404條款與控制目標(CoBIT),以及信息安全管理系統(tǒng)、風險管理、業(yè)務持續(xù)性和災難恢復等方面的國際、國家、組織機構(gòu)和企業(yè)的信息安全管理標準,都已經(jīng)成為信息安全界耳熟能詳?shù)臒衢T詞匯。
安全管理中的“熱門”標準
近年來,國際ISO/IEC和西方一些國家開始發(fā)布和改版一系列信息安全管理標準,使安全標準進入了一個繁忙的改版期。
這表明,信息安全管理標準已經(jīng)從零星的、隨意的、指南性標準,逐漸衍變成為層次化、體系化、覆蓋信息安全管理全生命周期的信息安全管理體系。
要了解信息安全管理標準和發(fā)展,首先我們需了解主要“門派”、影響和使用認可范圍。
國際標準ISO/IEC
首先需要介紹的是國際上最權(quán)威的由國際標準化組織(ISO)和國際電工委員會(IEC)所制定的國際標準。
ISO和IEC是世界范圍的標準化組織,它由各個國家和地區(qū)的成員組成,各國的相關(guān)標準化組織都是其成員,他們通過各技術(shù)委員會,參與相關(guān)標準的制定。
為了更好的協(xié)作和共同規(guī)范信息技術(shù)領(lǐng)域,ISO和國際電工委員會(ITU)成立了聯(lián)合技術(shù)委員會,即ISO/IEC JTC1,負責信息技術(shù)領(lǐng)域的標準化工作。其中的子委員會27專門負責IT安全技術(shù)領(lǐng)域的標準化工作。
ISO/IEC聯(lián)合技術(shù)委員會1子委員會27(ISO/IEC JTC1 SC27)是信息安全領(lǐng)域最權(quán)威和國際認可的標準化組織,它已經(jīng)為信息安全保障領(lǐng)域發(fā)布了一系列的國際標準和技術(shù)報告,為信息安全領(lǐng)域的標準化工作做出了巨大貢獻。
在ISO/IEC JTC1 SC 27所發(fā)布的標準和技術(shù)報告中,目前最主要的標準是ISO/IEC 13335、ISO/IEC 17799等。
另外,ISO/IEC JTC1 SC27正在對信息安全管理系統(tǒng)(ISMS)國際標準族進行開發(fā),此標準族將采用27000系列號碼作為編號方案,并將綜合信息安全管理系統(tǒng)要求、風險管理、度量和測量以及實施指南等一系列國際標準。
隨著ISO/IEC 27000系列標準的規(guī)劃和發(fā)布,ISO/IEC已形成了以ISMS為核心的一整套信息安全管理體系。
2005年,ISO/IEC在信息安全管理標準的主要發(fā)展趨勢是:改版ISO/IEC 17799,并正式發(fā)布ISO/IEC 17799:2005。ISO/IEC 17799建立了組織機構(gòu)內(nèi)啟動、實施、維護和改進信息安全管理的指導方針和通用原則。
此外,ISO/IEC 13335將從原先的技術(shù)報告變?yōu)檎降膰H標準。ISO/IEC 13335是ISO/IEC JTC1 SC27中關(guān)于風險管理、IT安全管理的一個重要的標準系列。
ISO/IEC 13335另一個重要的變動是從原先包含五部分的技術(shù)報告,變動為現(xiàn)在重新立項的包含兩部分的國際標準,即信息和通信技術(shù)安全管理標準。
還有,ISO/IEC將采用27000系列號碼作為編號方案,將原先所有的信息安全管理標準進行綜合,并進行進一步的開發(fā),形成一整套包括ISMS要求、風險管理、度量和測量以及實施指南等在內(nèi)的信息安全管理體系。
西方國家的信息安全管理標準
信息安全是一項涉及國家安全的領(lǐng)域,在西方發(fā)達國家信息安全管理的實踐中,制定了一些自有的標準,并形成一整套自有的、完整的信息安全管理體系。
美國信息安全管理標準體系
2002年,美國通過了一部聯(lián)邦信息安全管理法案(FISMA)。根據(jù)它,美國國家標準和技術(shù)委員會(NIST)負責為美國政府和商業(yè)機構(gòu)提供信息安 全管理相關(guān)的標準規(guī)范。因此,NIST的一系列FIPS標準和NIST 特別出版物800系列(NIST SP 800系列)成為了指導美國信息安全管理建設(shè)的主要標準和參考資料。
在NIST的標準系列文件中,雖然NIST SP并不作為正式法定標準,但在實際工作中,已經(jīng)成為美國和國際安全界得到廣泛認可的事實標準和權(quán)威指南。
目前,NIST SP 800系列已經(jīng)出版了近90本同信息安全相關(guān)的正式文件,形成了從計劃、風險管理、安全意識培訓和教育以及安全控制措施的一整套信息安全管理體系。
2005年,NIST SP 800系列最主要的的發(fā)展是配合FISMA 2002年的法案,建立以800-53等標準為核心的一系列認證和認可的標準指南。
英國信息安全管理標準體系
同美國NIST相對應,英國標準協(xié)會(BSI)是英國負責信息安全管理標準的機構(gòu)。在信息安全管理和相關(guān)領(lǐng)域,BSI做了大量的工作,其成果已得到國際社會的廣泛認可。
最讓人關(guān)注的是BS 7799的第一部分,它已成為國際ISO/IEC 17799國際標準。另外,其BS 15000系列標準。也成為指導ITIL的公認標準。
現(xiàn)在,隨著BS 7799被廣泛接受,BSI準備進一步將它推向全世界,為各個國家的組織機構(gòu)提供BS 7799的認證服務。
國內(nèi)信息安全管理標準
相比國外,國內(nèi)的信息安全領(lǐng)域的標準起步較晚,但隨著2002年全國信息安全標準化技術(shù)委員會(簡稱信息安全標委會)的成立,信息安全相關(guān)標準的建設(shè)工作開始走向了規(guī)范化管理和發(fā)展的快車道。
從20世紀80年代開始,在信息安全標委會和各部門各界的努力下,本著積極采用國際標準的原則,轉(zhuǎn)化了一批國際信息安全基礎(chǔ)技術(shù)標準,為我國信息安全技術(shù)的發(fā)展做出了一定貢獻。
同時,公安部、國家安全部、國家保密局、國家密碼管理委員會等相繼制定和頒布了一批信息安全的行業(yè)標準,為推動信息安全技術(shù)在各行業(yè)的應用和普及,發(fā)揮了積極的作用。
現(xiàn)在,在信息安全標委會中,成立了信息安全標準體系與協(xié)調(diào)工作組(WG1)、鑒別與授權(quán)工作組(WG4)、信息安全評估工作組(WG5)和信息安全管理工作組(WG7)四個工作組,它們在對我國信息安全保障體系建設(shè)和信息安全產(chǎn)業(yè)的發(fā)展方面,起到了積極作用。
從信息安全管理的建設(shè)和評估角度看,信息安全管理和信息安全評估分別建設(shè)和規(guī)范了信息安全管理的相關(guān)標準。
近年來(特別是2005年),信息安全管理標準化工作中主要的研究熱點包括:信息安全國際標準的轉(zhuǎn)化(主要是國際ISO/IEC 17799和ISO/IEC 13335的采標工作);風險管理指南的標準化工作(主要是風險評估和風險管理指南的標準化工作);以及信息系統(tǒng)評估的標準制定工作(主要是信息系統(tǒng)安全 保障評估框架標準的編制工作等)。
這些工作將在近兩年內(nèi)完成,其標準化的流程將成為正式的國家標準,指導和規(guī)范我國的信息安全管理工作。
信息安全是一個綜合的交叉學科,信息安全管理領(lǐng)域的很多內(nèi)容同信息技術(shù)服務、信息系統(tǒng)審計等有著非常密切的聯(lián)系。
在此,我們希望向用戶傳達這樣一個思想,信息安全管理不應該成為一個孤立的、為安全管理而管理的學科,信息安全管理應同IT服務、信息系統(tǒng)審計等建立密切的聯(lián)系,更好地服務于用戶應用。
“天下”且須這樣得
一套完善的信息安全管理體系,應該包括規(guī)范化的信息安全管理內(nèi)容、以風險和策略為核心的建設(shè)方法、定性和定量的度量信息安全管理。
同時,信息安全管理體系應該能夠?qū)⑿畔踩芾硗畔⑾到y(tǒng)審計、信息系統(tǒng)內(nèi)控體系、信息技術(shù)服務體系相互結(jié)合,形成有安全保障的信息系統(tǒng)運維管理體系,以真正達到保護組織機構(gòu)信息和信息資產(chǎn)的安全,保護業(yè)務持續(xù)性。
制定標準是用來規(guī)范企業(yè)行為,在應用標準時,我們需要把握如下一些要點。
要點一:使用信息安全管理標準,規(guī)范信息安全管理的內(nèi)容。
隨著信息安全標準的發(fā)展(特別是2005年),信息安全標準的主要特征已從原先形勢隨意的最佳實踐方式,發(fā)展到層次結(jié)構(gòu)化的安全管理控制集合,形成了信息安全管理標準的一個主流趨勢。
信 息安全管理相關(guān)人員可以使用這些標準中規(guī)范化的安全管理控制措施,規(guī)范其信息安全管理的內(nèi)容和范圍。
信息安全管理標準中所提供的管理控制措施有如下幾項。
ISO/IEC 17799:2005年第2版的改版中,最主要的變動是以層次結(jié)構(gòu)化形式提供安全策略、信息安全的組織結(jié)構(gòu)、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通 信和運行管理、訪問控制、信息系統(tǒng)采購、開發(fā)和維護、信息安全事故管理、業(yè)務持續(xù)性管理、符合性這11個安全控制章節(jié),還有39個主要安全類和133個具 體控制措施,以規(guī)范化組織機構(gòu)信息安全管理建設(shè)的內(nèi)容。
美國NIST SP 800-53聯(lián)邦信息系統(tǒng)推薦安全控制:提供了安全控制的層次化、結(jié)構(gòu)化的安全控制措施要求,意識和培訓,認證、認可和安全評估,配置管理,持續(xù)性規(guī)劃, 事件響應,維護,介質(zhì)保護,物理和環(huán)境保護,規(guī)劃,人員安全,風險評估,系統(tǒng)和服務采購,系統(tǒng)和信息完整性這13個安全管理和運營控制族以及106個具體 控制措施。
Cobit:提供了規(guī)劃和組織、采購和實施、交付和支持以及監(jiān)控4個域,還有34個表達IT過程的高層控制流程以及多達318個控制目標。
通過解決這34個高層控制目標,組織機構(gòu)可以確保已為其IT環(huán)境提供了一個充分的控制系統(tǒng)。
責任編輯:黎陽錦
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)