IT安全管理新起点

Alan Calder及Steve Watkins先生指出：IT安全在企业中总是被认为是壁垒而不是促进业务的有力工具。现在人们的这一理念正在发生变化，而ISO 27001（新出台的信息安全标准）将有助于将其IT安全活动与实际的业务需求紧密结合起来

ISO 27001 是世界上第一个国际承认的信息安全管理体系标准。它覆盖了更广泛的行业，但如果错误使用，它将成为新八股，并将被日新月异的技术革命所淘汰。

一个新兴的专业领域

信息安全是一个相对新兴的专业领域，但现代化的计算机和计算机网络也是一样。IBM没有发明个人电脑，或建立微软公司，但二十世纪七十年代中叶出现的电子网络孕育了一个崭新的在线世界。在这个世界里数码数据可以大容量和被更多的人们移动并存储。

计算机骇客几乎是从组织在电脑里存储信息开始就出现了。在电子网络出现前，骇客们只有进入电脑本身才能获取电脑的数据。但当电脑一旦和其它电脑连接起来，远程骇客就得到了巨大的机会。接踵而来就是电脑病毒：20年前才出现第一个计算机病。而现在呢？有120,000种病毒自由自在地生存在电子网络里。

我们将二十一世纪视为信息的时代。如果真是如此，那么在任何组织的资产平衡表上最重要的内容应该是知识资本- 这种无形的资产包括

知识产权，如品牌、商标、版权和专利
顾客和供方数据库
个人和部门人员的技术
业务过程
组织能力 (包括那些能使组织实现其业务目标的技能、过程体系和经历)

知识资本需要依赖IT来支持，而我们知道IT又非常容易受到外部的侵袭。它同时也容易受到内部操作失误侵害，巴林银行（英国著名的商业银行）的惨痛经历说明了它可能造成的损失。它可以在几小时之内摧毁一个组织。它还容易收到简单的人为过失的破坏。

个人隐私

当然，不仅是企业信息受到了威胁。数据库中还包含了个人和顾客私人信息-姓名、地址、社会安全号码、信用卡信息-每天都在复制。它们成为身份盗贼注意的目标，他们可以悄无声息地利用这一信息盗取百万英镑并万无一失地将其转入世界的另一地方。遗憾的是顾客无论在家里或公司都不能保护自己不受这些威胁的伤害。在一次最近的调查中，85%的参与者为了一杯Starbucks的咖啡而告知其个人密码-参与者如果能记住（并共享）其公司的密码将获得一杯免费咖啡-而那些不愿透露密码的人，多数也愿意确认其母亲的家族姓氏、或其孩子的生日。法规制定机构察觉了这一情况：他们估计如果他们能保护消费者不使其个人信息被盗用将得到公众的支持。为此，数据保护和个人隐私法遍及经济合作和发展体国家。

所有欧盟国家都实施严格的法律制度，而超过半数的美国各州的法规也是一样的。当然，由于在法规制定机构间没有任何合作，使得在多国制度下运行的组织（或在某些情况下，其数据库包含了来自多个法律制度）有可能面临一些冲突-尽管没有测定-法律法规。

法规符合性

个人隐私只不过是浮冰的一个小角。还有特定的行业要求，如美国的HIPAA (健康保险可携带性和可获得性法)及GLBA (Gramm-Leach-Bliley 法) ，支付卡行业要求（它适用于所有接受Visa和Master卡的行业），财务服务法规等等。同时，还有日益繁杂的企业审计要求，审计要求的目的是确保组织赖以生存的信息和沟通体系的安全和控制。

‘IT安全’ – 由IT小组选择和实施的控制活动-不是有效解决组织面临的复杂问题的手段。各个组织所需要的是一个协调统一、全面的信息安全方法，它应该符合其特定的需求和环境。答案不仅是IT安全，而是信息安全。

在ISO 27001中信息安全被定义为：“信息的保密性、真实性和可获得性的保护。此外，还可以包括有其它产权如授权、责任、不可否定性和可靠性：

可获得性 – “任何受权者可以获得和使用”
保密性 – “信息不供任何非受权个人、实体或过程使用或向他们透露”
真实性 – “保证资产的准确性和完整性”

ISO 27001 系统化地说明了如果确保组织内信息的可获得性、保密性和真实性。它指出由于信息受到威胁，所以必须对它们进行控制。

非常明显，组织首先需识别风险。对于多数风险，控制级别是一种切合实际的管理方法。人们面临的挑战是：尽管管理人员能识别出所有真正的信息安全风险及其适当的控制方法，控制实施成本，但若将每项可能的控制措施付诸实施基本上是不可能或是没有必要的。

在英国，组织还需要考虑以下要求：

数据保护法
计算机误用法
隐私法规
版权、设计和专利法
对于公共行业组织，信息自由法

所有这些都将直接影响组织的信息管理。

1998年，认证行业按照特定的标准要求引入了一个新的认证项目-信息安全管理。标准的是BS 7799 第1和第2部分 (第1部分是行为准则及第2部分规定了管理体系要求，它是组织审核用依据标准)。

2000年第1部分被重新发布。作为一个国际标准ISO/IEC 17799新标准包括了一些微小的变化。从那时起标准发生了正大的变换，且于2005年被重新发布。新标准仍然包含了行为准则并增加了针对特定风险的控制措施清单。该标准得到了广泛的采用，标准的内容体现了各类不同标准的要求从支付卡行业到美国联邦信息安全管理法。

管理体系规定BS 7799第2部分于2002年经修订，引入了PDCA模式。到2005年，BS 7799-2已被转换成世界各国的标准，而标准本身的被新的国际标准-ISO 27001所取代。该标准主要依据原英国标准制定。

ISO 27001定义PDCA循环是建立和实施信息安全管理体系（ISMS）的一种途径。对于这个循环的每个步骤，标准都有以下要求：

计划 – 规定了的ISMS范围、规定信息安全方针、规定和实施系统风险评估 – 在个人信息资产方面，识别和评价处理风险的方法、选择控制目标和风险处置决定的控制，及拟定适用性声明
实施 – 制定风险处置计划，包括策划过程和程序；实施风险处置计划和控制；提供人员培训并提高员工的意识；按ISMS管理运行和资源；实施安全事故反应程序
检查 – 此步骤包括监控、测试、审核和评审
措施 – 应评审从“检查”阶段提出的检查发现，并采取相应的措施，包括实施风险影响因素变化的措施

ISO 27001 and ISO 17799

ISO 27001的附录A 是一个控制清单。共有134控制点，涵盖12个主要控制领域。这些控制点包括了所有潜在的风险领域，从病毒和移动码到知识产权失窃、业务稳定性和可获得性的控制。附录A 控制重复了ISO 17799的内容，标准建议用户该部分可以作为组织实施控制运行指南。实际上，ISO 27001规定在建立管理体系时必须使用ISO 17799，这使ISO 17799控制要求成为组织完整管理体系的一部分。

在计划阶段，组织应准备适用性声明。该声明说明附录A所列的控制措施有哪些是适用于组织的，以及措施的实施方法。如附录A的5.1中的控制声明是：组织应有一个信息安全方针，该方针应经董事会批准，并向所有员工及组织局域网涉及的、适当的第三方发布。当一项控制措施不适用时，应有适当的解释，如不要求软件开发的控制声明，是由于组织所有的软件都来自供方。

Be business-able

ISO 27001对信息安全管理体系提出了严格的逻辑、统一要求，标准具备较强的通用性，但不是包治百病的仙丹妙药。设计和实施ISO 27001体系真正的成功取决于三个因素：风险评估过程、管理层真正承诺的程度，及员工和使用方实际和日常的参与。

ISO 27001的主要原则是：组织实施的控制应能在不违反业务目标的前提下，有效地帮助企业实现自我保护。应用这一原则的组织应视信息安全小组为业务发展的促进因素，而不是障碍。管理层-自CEO向下-应理解并接受信息安全，并将其作为组织内部的一个体系和理念。管理层应向其信息安全负责人提出业务指南，帮助他们制定并（持续不断地）实施风险评价方法，只有这样组织才可以对其信息安全活动制定有益的控制方法。

不断发展的技术

短信、IP网络电话系统、无线电网络是在各个企业飞速发展的技术。它们起先被视为消费者技术，所以不如典型的企业产品功能强劲或具备与企业产品等级别的内置安全性。但它们是非常有用且便于操作的技术，但同时又是令IT安全人员的头疼的技术 –除非这些技术适应技术的发展并避免日益加剧的风险威胁。

在很多世界性组织，信息安全网络由IT小组设置但与组织的业务无关。这使网络的使用者总是冒着数据丢失、破坏和盗用的风险，是用U盘在电脑间进行数据的存储和转移活动。对此类情况的解决方式是不使用USB端口，但许多组织仍在使用这一技术。

对于那些将信息安全视为业务活动阻碍的组织，建立 ISO 27001体系，关注风险管理和管理方向也许只能使组织从自身的困境中摆脱出来。还有一些组织将ISO 27001视为包治百病的仙丹，坚持要实施所有控制措施，而忽视了风险控制原则和业务发展需求。这些组织将不能应对由于飞速发展技术市场的变化而产生的威胁。这些组织将采用拒绝用户使用信息的方法，这无疑不利于对网上检索。

信息安全日益成为各组织企业管理重要的因素。企业不断出台管理和法规要求越来越多地涉及与信息相关的内容。在英国，Turnbull内部控制和风险管理指南向各企业的管理者们明确提出了IT管理及IT项目风险和计算机安全管理的要求。

关于作者

Alan Calder及Steve Watkins先生来自IT 管理有限公司，该公司的网站(www.itgovernance.co.uk)提供了一系列帮助组织实施IT管理和解决信息安全问题（包括ISO 27001）的书籍、工具、建议和指南。他们曾发表过名为《IT管理：数据管理和获得ISO 27001认证，BS7799/ISO17799诠释指南》。

IRCA 信息