《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以 及十几个非OECD成员国家都批准了这一指南。信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。下面讲ISO27001的安全治理规范:
一、经济合作和发展组织,《信息系统安全指南》(1992)
ISO27001信息安全体系,《信息系统安全指南》用于协助国家和企业构建信息系统安全框架。美国、OECD的其他23个成员国,以 及十几个非OECD成员国家都批准了这一指南。该指南旨在提高信息系统风险意识和安全措施,提供一个一般性的框架以辅助信息系统 安全度量方法、操作流程和实践的制定和实施,鼓励关心信息系统安全的公共和私有部门间的合作,促进人们对信息系统的信心,促 进人们应用和使用信息系统,方便国家间和国际间信息系统的开发、使用和安全防护。这个框架包括法律、行动准则、技术评估、管 理和用户实践,及公众教育或宣传。该指南目的是作为政府、公众和私有部门的标杆,通过此标杆测量进展。
二、国际会计师联合会,《信息安全管理》(1998)
信息安全目标是“保护依靠信息 、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。任何组织在满足三条准 则时可认为达到信息安全目标:数据和信息只透露给有权知道该数据和信息的人(机密性);数据和信息保护不受未经授权的修改(完 整性);信息系统在需要时可用和有用(可用性)。机密性、完整性和可用性之间的相对优先级和重要性根据信息系统中的信息和使用 信息的商业环境而不同。 信息安全因急速增长的事故和风险种类而日益重要。对信息系统的威胁既有可能来自有意或无意的行动,也 可能来自内部或外部。信息安全事故的发生可能是因为技术方面的因素、自然灾害、环境方面、人的因素、非法访问或病毒。另外, 业务依赖性(依靠第三方通信设施传送信息,外包业务等等)也可能潜在地导致管理控制的失效和监督不力。
三、国际标准化组织,《ISO 17799国际标准》(最新版是2005)
ISO17799(根据BS 7799第一部分制定)作为确定控制范围的单一参考点, 在大多数情况下,这些控制是使用业务信息系统所必须的。该标准适应任何规模的组织。它把信息作为一种资产,像其他重要商业资 产一样,这种资产对组织有价值,因此需要恰当保护它。ISO 17799认为信息安全有下列特征:机密性,确保信息只被相应的授权用户 访问;完整性,保护信息和处理信息程序的准确性和完整性;可用性,确保授权用户在需要时能够访问信息和相关资产。信息安全保护 信息不受广泛威胁的损毁,确保业务连续性,将商业损失降至最小,使投资收益最大并抓住各种商业机遇。安全是通过实施一套恰当 的控制措施实现的。该控制措施由策略、实践、程序、组织结构和软件组成。
四、信息系统审计和控制 协会,《信息和相关技术的控制目标》(CoBIT)
CoBIT起源于IT需要传递组织为达到业务目标所需 的信息这个前提,至今已有三个版本。除了鼓励以业务流程为中心,实行业务流程负责制外,CoBIT还考虑到组织对信用、质量和安全 的需要,它提供了组织用于定义其对IT业务要求的几条信息准则:效率、效果、可用性、完整性、机密性、可靠性和一致性。CoBIT进 一步把IT分成4个领域(计划和组织,获取和实施,交付和支持,监控),共计34个IT业务流程。CoBIT为正在寻求控制实施最佳实践 的管理者和IT实施人员提供了超过300个详细的控制目标,以及建立在这些目标上的广泛的行动指南。COBIT框架通过联结业务风险、 控制需要和技术手段来帮助满足管理当局多样化的需求。它提供了通过一个范围和过程框架的最佳惯例,以形成一个可控和逻辑结构 内的活动。
五、美国注册会计师协会(加拿大特许会计师协会),《SysTrust TM系统可靠性原理和准则 V20》(2001)
SysTrust服务是一种保证服务,用于增强管理者、客户和商业伙伴对支持业务或某 种特别活动的系统的信任。SysTrust服务授权注册会计师承担的保证服务包括:注册会计师从可用性、安全性、完整性和可维护性四个 基本方面评估和测试系统是否可靠。
SysTrust定义在特定环境下及特定时期内,没有重大错误、缺 陷或故障地运行的系统为可靠系统。系统界限由系统所有者确定,但必须包括基础设施、软件、人、程序和数据这几个关键部分。 SysTrust的框架可升级,企业能够灵活选择SysTrust标准的任何部分或全部来验证系统的可靠性。对系统四个标准的判断组成对系统 整体可靠性的判断。注册会计师也能单独判断某一标准如可用性或安全性的可靠性状况。但是这种判断仅仅对特定标准的可靠性做出 判断,不是对系统整体可靠性的判断。
信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。
BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
信息安全是一个重要的讨论主题,眼下那些依靠内部计算机系统和互联网来开展业务的公司,很难承受其业务运营中断所带来的损失。一次安全事故可以对公司的收益流、客户信心和公共关系产生大范围的消极影响。因此这种状况使得信息安全成为一个有效的整体 业务战略的基本组成部分之一。建立ISO27000信息安全管理体系来应对公司面对的信息安全风险应该是非常紧要的。
在美国银行联盟(ABA)近期的一次会议中,四位首席执行官在会面期间谈起了他们最近正面临的一些挑战。霍华德讲述了近期一次由蠕虫王(Slammer)引起的安全事故,这次事故使得他的银行的13,000台自动取款机(ATM)停止向客户服务达24小时左右。这个蠕虫传播如此之快,以至于信息技术(IT) 部门根本无法及时反应。蠕虫是一种能够自我复制的有害程序,它不需要用户的干预,就可以在计算机和网络间传播。快速复制的蠕虫可以消耗资源,降低计算机和网络的速度,使其性能大大下降,甚至完全崩溃。
ISO27001信息安全体系的安全例子:
萨姆和霍华德的不幸遭遇差不多,因为有人从其银行的办公室偷窃了一台笔记本电脑,其中存放着成千上万的客户的机密财务信息。萨姆的银行还算幸运,几天之后重新找到了这台笔记本电脑;然而,他的客户服务机构花费了相当多的时间去联系这些受影响的客户,并一直监控他们的账户来防止可能的欺诈。
罗杰就没有这么幸运了。一个东欧的黑客利用欺骗手段攻入其公司的系统中,并向黑客的账户转入了大约1千万美元。虽然他的银行能追回这些资金中的大部分,但是这个事件给公司的品牌带来相当大的损害。查尔斯则在惋惜其信用卡业务所受的损害,黑客向其一些没有疑心的客户发送电子邮件,这些电子邮件看起来像是正式的,但是实际上是假冒的(此过程被称为“网上钓鱼”),诱骗他们泄露机密信息。然后,这些黑客就利用这些落入圈套的客户的账户进行非法消费。
上面这些故事是来源于一些近期在金融服务行业中实际发生的安全事故。但是信息安全事故并不只在此行业发生。所有的进行一部分电子商务处理的组织机构都是潜在 的目标。在2003年4月,Slammer蠕虫中断了一个核能源工厂的安全监控系统达5个小时之久,并且严重影响了此工厂整个网络的性能。在2003年1月,一个重要的美国计算机网络公司向中国的竞争对手提出关于其窃取知识产权的控告。此公司声称其竞争对手复制了其源代码、文档和其他保留版权的信息。20个月后,双方解决了争端,中国的竞争对手同意不再销售诉讼中提及的所有产品。
1999年12月,一家在线音乐发行商拒绝了一个黑客的10万美元的勒索,此黑客窃取其大约35万名客户的包括信用卡号在内的机密个人信息。黑客随后将这些信息发布到互联网上,导致了非常严重的品牌形象破坏。最后一个例子:两家位于硅谷的软件公司曾卷入一宗数10 亿美元的关于知识产权窃取的法律诉讼,其原因是有管理人员从一家公司离开并组建了与之竞争的另一家公司。