ISMS(ISO 27001)信息安全管理体系

　　信息是所有组织赖以生存和发展的最有价值的资产之一，犹如维持生命所必需的血液。然而，在当今激烈竞争的商业环境下，作为组织生命血液的信息总是面临多方面的威胁和风险。这些威胁可能来自内部，也可能来自外部，可能是无意的，也可能是恶意的。随着信息储存、传输和检索新技术的不断涌现，许多组织感到面对各种威胁防不胜防，犹如敞开了大门。一旦损毁、丢失、或被不适当地曝光，会给组织带来一系列的损失，如“冰山原理”所描述，我们能直接感知到的数据的丢失，只是整体损失的冰山一角，潜藏在水面下的部分，可能会是直接损失的6~53倍，这包括：损失了时间，替代的成本，可能的法律风险，声誉受损，丢失潜在的业务，竞争力和生产力受损等等。这些损失是我们不愿意面对的，因此信息安全越来越成为我们关注的热点问题。
信息安全(Information security):是指信息的保密(Confidentiality) 、完整性 (Integrity) 和可用性 (Availability)  的保持。
保密性 ：为保障信息仅仅为那些被授权使用的人获取。
完整性 ：为保护信息及其处理方法的准确性和完整性。
可用性 ：为保障授权使用人在需要时可以获取信息和使用相关的资产。
如何确保信息安全，已是各种组织改进其竞争能力的一个新挑战。组织建立一个基于ISO/IEC 27001: 2005标准的信息安全管理体系（ISMS），已成为时代的需要。

一．建立信息安全管理体系的作用

　 按照先进的信息安全管理标准建立组织完整的信息安全管理体系并实施与保持，达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，就可以从根本上保证业务的连续性。 组织建立、实施与保持信息安全管理体系将会产生如下作用：
强化员工的信息安全意识，规范组织信息安全行为；
对组织的关键信息资产进行全面系统的保护，维持竞争优势；
在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度；
使组织的生意伙伴和客户对组织充满信心；
如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。

二．掌握ISMS的含义和要素

　　ISMS创建人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001标准的要求之后，才有可能建立一个符合要求的完善的ISMS。
1．“体系”的含义
信息安全管理体系（Information Security Management System）中的“体系”来自英文“System”。System可翻译为“体系”，但通常译为“系统”。同样，“Management System”可翻译为“管理体系”，但通常也翻译为“管理系统”。例如在计算机领域中，一个十分常见的术语“Database Management System”，被普遍公认地翻译为“数据库管理系统”（简称DBMS），而几乎没有人将其翻译为“数据库管理体系”。显然，如果把ISMS翻译为“信息安全管理系统”，也未尝不可。

实际上，“体系”和“系统”的含义都一样：由若干个为实现共同目标而相互依赖、协调工作的部件（或组分）组成的统一体。这些组成体系或系统的部件也称“要素”（Element），这些要素互相依赖，缺一不可，否则体系或系统就会受破坏、瘫痪，而不能工作或运行。例如，计算机系统（Computer System）是由相互依赖的硬件和软件组成。如果硬件或软件受到破坏，该计算机系统就不能正常运行。此外，体系或系统是可分级的，即有上级和下级之分。系统的上级称为上级系统，其下级称为子系统。
2．ISMS的含义
ISO/IEC 27001标准对ISMS作出了明确定义。通俗地说，组织有一个总管理体系，ISMS是这个总管理体系的一部分，或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础，其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个组织有多个管理体系，如质量管理体系（QMS）和环境管理体系（EMS）等，那么这些管理体系就组成该组织的总管理体系，而每一个管理体系只是该组织总管理体系中的一个组分，或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作，才能实现该组织的总目标。
3．ISMS的要素
ISO/IEC 27001标准3.7条款指出，管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”。这些就是构成管理体系的组分或要素。经过归纳，ISMS的要素包括：
（1）信息安全管理机构，通过信息安全管理机构，可建立各级安全组织、确定相关人员职责、策划信息安全活动和实践等；
（2）ISMS文件，包括ISMS方针、过程、程序和其他必需的文件等；
（3）资源，包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。

三．建立ISMS的过程
ISO/IEC 27001:2005标准4.2.1条款已经规定了建立ISMS的内容和步骤。组织要遵照这些内容和步骤，结合其总体业务活动和风险的需要，建立其ISMS 并形成相应的ISMS 文件。
1．正确理解标准的要求
ISO/IEC 27001:2005 4.2.1条款有10条强制性要求。由于在英文标准中，这些要求都通过一个英语词“shall”引出，因此，英国标准研究院（BSI）把这些强制性要求称为shall要求。这意味着，凡是跟在“shall”后面的要求都是ISMS必须完全满足的命令式要求。
这10条强制性要求既是10个过程或活动，也可作为建立ISMS的10个步骤。
2．ISMS的建立步骤
按照ISO/IEC 27001:2005 4.2.1条款的要求，建立ISMS的步骤包括：
（1）定义ISMS的范围和边界，形成ISMS的范围文件；
（2）定义ISMS方针（包括建立风险评价的准则等），形成ISMS方针文件；
（3）定义组织的风险评估方法；
（4）识别要保护的信息资产的风险，包括识别资产及其责任人，资产所面临的威胁，组织的脆弱点，资产保密性、完整性和可用性的丧失造成的影响；
（5）分析和评价安全风险，形成《风险评估报告》文件，包括要保护的信息资产清单；
（6）识别和评价风险处理的可选措施，形成风险处理计划文件；
（7）根据风险处理计划，选择风险处理控制目标和控制措施，形成相关文件；
（8）管理者正式批准所有残余风险；
（9）管理者授权ISMS的实施和运行；
（10）准备适用性声明。