淺析ISO/IEC27001（ISMS Requirements）發(fā)展及兼容性

王文君 朱健序 劉歡 魯俊皓 高琛陽(yáng)

摘 要：隨著全球經(jīng)濟(jì)的飛速發(fā)展，各領(lǐng)域信息化的廣泛應(yīng)用，以獲取各類信息為直接作案目的犯罪數(shù)量直線上升，信息安全則顯得尤為重要。本文通過(guò)對(duì)國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求（ISMS Requiremenas）》的起源發(fā)展以及新版特性進(jìn)行介紹，并對(duì)標(biāo)準(zhǔn)的在不同時(shí)期的修改變化進(jìn)行分析。同時(shí)對(duì)標(biāo)準(zhǔn)體系與其他標(biāo)準(zhǔn)的兼容性使用進(jìn)行了舉例說(shuō)明。

關(guān)鍵詞：ISO/IEC 27001；安全信息兼容

國(guó)際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）于2005年10月15日聯(lián)合發(fā)布了國(guó)際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求（ISMS Requirements）》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機(jī)構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等，在建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系時(shí)提供模型，并規(guī)定了為適應(yīng)不同組織或其部門的需要而制定安全控制措施的實(shí)施要求。ISO/IEC 27001標(biāo)準(zhǔn)涉及了最廣泛意義上的信息安全，為組織實(shí)施、維護(hù)和管理信息安全提供了最好的商業(yè)操作指南和原則，并可以用作第三方認(rèn)證的依據(jù)。

一、ISO/IEC27001

（一）ISO/IEC 27000標(biāo)準(zhǔn)家族

ISO/IEC 27000是一個(gè)系列編號(hào)，類似于質(zhì)量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標(biāo)準(zhǔn)。當(dāng)初ISO/IEC規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn)：

ISO 27000 原理與術(shù)語(yǔ)Principles and vocabulary

ISO 27001 信息安全管理體系—要求 ISMS Requirements

ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)范

ISO 27003 信息安全管理體系—實(shí)施指南ISMS Implementation guidelines

ISO 27004 信息安全管理體系—指標(biāo)與測(cè)量ISMS Metrics and measurement

ISO 27005 信息安全管理體系—風(fēng)險(xiǎn)管理ISMS Risk management

ISO 27006 信息安全管理體系—認(rèn)證機(jī)構(gòu)的認(rèn)可要求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息技術(shù)-安全技術(shù)-信息安全管理體系審核員指南

Information technology_Securitytechniques_ISMS auditor guidelines

（二）ISO/IEC 27001的基本概念及標(biāo)準(zhǔn)內(nèi)容概述

ISO/IEC 27001標(biāo)準(zhǔn)通篇就在講一件事，ISMS（信息安全管理系統(tǒng)）。本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系（InformationSecurity Management System，簡(jiǎn)稱ISMS）提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需要實(shí)施ISMS，是本標(biāo)準(zhǔn)所期望的，例如，簡(jiǎn)單的情況可采用簡(jiǎn)單的ISMS解決方案。

該標(biāo)準(zhǔn)分為三個(gè)部分，分別為引言、正文和附錄。引言介紹了建立信息安全管理體系（簡(jiǎn)稱ISMS）的意義和原則；描述了體系建設(shè)過(guò)程中使用的過(guò)程方法和PDCA模型；說(shuō)明了ISMS與其他管理體系的兼容性。正文的前三章介紹了標(biāo)準(zhǔn)的基本情況和涉及的術(shù)語(yǔ)和定義，從第四章開(kāi)始，正式提出了ISMS的要求。標(biāo)準(zhǔn)也指出：“組織聲稱符合本標(biāo)準(zhǔn)時(shí)，對(duì)于第4章、第5章、第6章、第7章和第8章的要求不能刪減。”標(biāo)準(zhǔn)有3個(gè)附錄，其中附錄A是規(guī)范性附錄，根據(jù)標(biāo)準(zhǔn)要求，依據(jù)附錄A的控制目標(biāo)和控制措施的選擇和實(shí)施是標(biāo)準(zhǔn)正文的一部分。ISO 27001的審核依據(jù)主要集中在標(biāo)準(zhǔn)的第4到第8章和附錄。

二、ISO/IEC 27001：2013的新版特性

（一）采用新構(gòu)架。在新版中采用ISO導(dǎo)則83做結(jié)構(gòu)性要求，從8個(gè)章節(jié)拓展到10個(gè)章節(jié)，重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)架構(gòu)，這個(gè)結(jié)構(gòu)在已發(fā)布的IS022301中已經(jīng)進(jìn)行了應(yīng)用，未來(lái)將在ISO其他標(biāo)準(zhǔn)改版中會(huì)普遍采用（包括IS09000，IS020000等）。

（二）控制更精益。從舊版11個(gè)領(lǐng)域更新為14個(gè)領(lǐng)域。密碼學(xué)、供應(yīng)關(guān)系成為一個(gè)獨(dú)立領(lǐng)域（A10，A15）。通訊與操作管理被劃分到操作安全（A12）和通信安全（A13）。

新增或調(diào)整了一些控制措施，涉及信息系統(tǒng)開(kāi)發(fā)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理等部分；刪除了一些舊版中重復(fù)的和操作級(jí)的控制項(xiàng)；附錄A的調(diào)整并沒(méi)有顛覆原有的結(jié)構(gòu)，只是在原有控制項(xiàng)結(jié)構(gòu)的基礎(chǔ)上，進(jìn)行了優(yōu)化，較舊版來(lái)說(shuō)的確更清晰了，相信這樣的變化可以更容易的讓組織去實(shí)現(xiàn)它們。

（三）引入新重點(diǎn)。將原分布在各領(lǐng)域的加密及供應(yīng)鏈管理控制項(xiàng)級(jí)別提升，組成新領(lǐng)域，形成新重點(diǎn)，以反映目前信息安全的發(fā)展趨勢(shì)。新增了智能型裝置管理的控制項(xiàng)強(qiáng)化IC丁供應(yīng)鏈委外管理的要求完善了系統(tǒng)開(kāi)發(fā)項(xiàng)目管理的信息安全要求

三、ISO/IEC27001的兼容性

（一）PDCA（戴明環(huán)）。PDCA（Plan、Do、Check 和Act）是管理學(xué)慣用的一個(gè)過(guò)程模型，最早是由休哈特（WalterShewhart）于19 世紀(jì)30 年代構(gòu)想的，后來(lái)被戴明（Edwards Deming）采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過(guò)程當(dāng)中。

1.P（Plan）--計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃；

2.D（Do）--執(zhí)行。實(shí)地去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；

3.C（Check）--檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問(wèn)題；

4.A（Action）--行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問(wèn)題放到下一個(gè)PDCA循環(huán)。

（二）戴明環(huán)的特點(diǎn)。

1.大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級(jí)部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過(guò)循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來(lái)，彼此協(xié)同，互相促進(jìn)。

2.不斷前進(jìn)、不斷提高。PDCA循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個(gè)螺旋式上升的過(guò)程。

作者簡(jiǎn)介：王文君（1993-），女，重慶人，中國(guó)人民公安大學(xué)2011級(jí)安全防范工程專業(yè)。

朱健序（1991-），男，山東人，中國(guó)人民公安大學(xué)2011級(jí)安全防范工程專業(yè)。

劉歡（1992-），男，陜西人，中國(guó)人民公安大學(xué)2012網(wǎng)絡(luò)保衛(wèi)學(xué)院。

魯俊皓（1993-），男，河南人，中國(guó)人民公安大學(xué)2012級(jí)警務(wù)戰(zhàn)術(shù)指揮。

高琛陽(yáng)（1994-），男，山東人，中國(guó)人民公安大學(xué)2012級(jí)安全防范工程專業(yè)。