随着信息技术与网络技术的迅猛发展,信息安全已经成为全球共同关注的话题,信息安全管理体系逐渐成为确保组织信息安全的基本要求,ISO组织在2000年发布的ISO/IEC 17799:2000,已经为广大的信息安全管理人员所熟知,并成为了通用的交流语言,其发展趋势也引导着信息安全从业人员的观念与发展。2005年6月ISO/IEC 17799:2005的正式发布,很大程度上影响着今后一段时间已经或即将希望实施信息安全管理体系的组织及相关从业人员,本文从以下几个方面对改版内容进行探讨,供大家分享,希望多多交流。
一、整体架构调整
二、 条款表现方式
每个信息安全领域包括:
1、 需要实现的控制目标的描述
2、 实现控制目标的控制措施
控制措施的描述方式如下:
三、对控制目标和控制措施进行重新分类整合
本次改版适当调整了部分控制目标与控制措施的分类,加强了丛属关系,提升了标准的完整性与易读性,例如:旧版本(ISO17799:2002)中许多控制措施与监控(Monitoring)有关,但分散在不同的控制目标及控制措施中,给使用者的阅读与使用带来了不便,新标准相关控制措施列在同一控制目标之下.
如:1、A10.10 监控(Monitoring)
|
ISO/IEC 17799:2005 |
2000版 |
|
|
|
|
|
|
|
|
无 |
|
|
|
|
|
|
|
|
|
另外,随着电子商务的蓬勃发展,原来的”8.7 Exchange of information and software”,根据当今的发展趋势被分成2个控制目标,一个为信息交换(Information exchange),维护组织中及与外部组织交换的信息及软件的安全;另一个为电子商务(Electronic commerce),保证电子商务能安全运行。
2、 信息安全事件的管理与改进(Management of information security incidents and improvements),这是一个新增控制目标,此目标将旧版本中分布在不同章节的内容整合在一起,更加完整,内容如下:
13.2.1 职责与程序
13.2.2 从信息安全事件中吸取教训
13.2.3 证据收集
四、用词范围更准确,使适用范围更广泛
进行了明确说明,如:
1、识别来自外部单位的风险(6.2.1)代替识别来自第三方的访问控制风险(4.2.1),用外部单位(external parties)来涵盖第三方(third party)与外包(outsource).
2、旧版本电子邮件的安全(8.7.4)适用对象仅为电子邮件,但目前网络上存在更多的通讯软件,如即时通讯软件msn,oo等,新版本为了适应当今的发展趋势,修改为电子信息(Electronic messaging),适用范围更广。
3、旧版本中传输介质的安全(8.7.2 Security of media in transit)为了消除歧义,新版本修改为传送信息的物理介质(10.8.3),为ISMS的审核提供了明确的指导。
五、随着信息化技术的应用,修改或增加了部分控制措施
1、随着IT的迅猛发展,一大批领先的技术层出不穷,如:PDA,笔记本电脑,移动电话
等跨平台通讯设备的出现,给我们信息的安全性带来了很大的挑战,机动程序代码(mobile code) against malicious code)
2、回顾信息技术的发展,大型主机扮演着重要的角色,所以许多词汇和名词都是从大型主机时代流传至今。随着网络的爆炸性增长,个人电脑和服务器逐渐成为了新的主角,早期的词汇与术语也应该进行相应的修改以符合现代需求。新版ISO17799:2005也作了相应的修改,如:
六、总结
随着sox法案及相关内控法规的出台,提高信息安全管理水平已是一股不可抗拒的潮流,所有企业或机构已不是”做”与”不做”的问题,而是必须尽早实施的问题,新版ISO17799:2005作为一个完整的、全方位的、系统的管理体系,更易于理解与实施,企业应该借此机会权衡自身承受安全的风险与成本,建立一套符合本身需求且可持续改进的信息安全管理体系,帮助企业降低风险,持续提升自己的管理水平,以符合国家安全标准与世界潮流。
