王文君 朱健序 劉歡 魯俊皓 高琛陽

摘 要：隨著全球經(jīng)濟的飛速發(fā)展，各領(lǐng)域信息化的廣泛應(yīng)用，以獲取各類信息為直接作案目的犯罪數(shù)量直線上升，信息安全則顯得尤為重要。本文通過對國際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求（ISMS Requiremenas）》的起源發(fā)展以及新版特性進行介紹，并對標(biāo)準(zhǔn)的在不同時期的修改變化進行分析。同時對標(biāo)準(zhǔn)體系與其他標(biāo)準(zhǔn)的兼容性使用進行了舉例說明。

關(guān)鍵詞：ISO/IEC 27001；安全信息兼容

國際標(biāo)準(zhǔn)化組織（ISO）和國際電工委員會（IEC）于2005年10月15日聯(lián)合發(fā)布了國際標(biāo)準(zhǔn)ISO/IEC 27001《信息技術(shù)-安全技術(shù)-信息安全管理體系-要求（ISMS Requirements）》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等，在建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系時提供模型，并規(guī)定了為適應(yīng)不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標(biāo)準(zhǔn)涉及了最廣泛意義上的信息安全，為組織實施、維護和管理信息安全提供了最好的商業(yè)操作指南和原則，并可以用作第三方認(rèn)證的依據(jù)。

一、ISO/IEC27001

（一）ISO/IEC 27000標(biāo)準(zhǔn)家族

ISO/IEC 27000是一個系列編號，類似于質(zhì)量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標(biāo)準(zhǔn)。當(dāng)初ISO/IEC規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn)：

ISO 27000 原理與術(shù)語Principles and vocabulary

ISO 27001 信息安全管理體系—要求 ISMS Requirements

ISO 27002 信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范

ISO 27003 信息安全管理體系—實施指南ISMS Implementation guidelines

ISO 27004 信息安全管理體系—指標(biāo)與測量ISMS Metrics and measurement

ISO 27005 信息安全管理體系—風(fēng)險管理ISMS Risk management

ISO 27006 信息安全管理體系—認(rèn)證機構(gòu)的認(rèn)可要求ISMS Requirements for the accreditation of bodies providing certification

ISO 27007 信息技術(shù)-安全技術(shù)-信息安全管理體系審核員指南

Information technology_Securitytechniques_ISMS auditor guidelines

（二）ISO/IEC 27001的基本概念及標(biāo)準(zhǔn)內(nèi)容概述

ISO/IEC 27001標(biāo)準(zhǔn)通篇就在講一件事，ISMS（信息安全管理系統(tǒng)）。本標(biāo)準(zhǔn)用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（InformationSecurity Management System，簡稱ISMS）提供模型。采用ISMS應(yīng)當(dāng)是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS的設(shè)計和實施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS，是本標(biāo)準(zhǔn)所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。

該標(biāo)準(zhǔn)分為三個部分，分別為引言、正文和附錄。引言介紹了建立信息安全管理體系（簡稱ISMS）的意義和原則；描述了體系建設(shè)過程中使用的過程方法和PDCA模型；說明了ISMS與其他管理體系的兼容性。正文的前三章介紹了標(biāo)準(zhǔn)的基本情況和涉及的術(shù)語和定義，從第四章開始，正式提出了ISMS的要求。標(biāo)準(zhǔn)也指出：“組織聲稱符合本標(biāo)準(zhǔn)時，對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。”標(biāo)準(zhǔn)有3個附錄，其中附錄A是規(guī)范性附錄，根據(jù)標(biāo)準(zhǔn)要求，依據(jù)附錄A的控制目標(biāo)和控制措施的選擇和實施是標(biāo)準(zhǔn)正文的一部分。ISO 27001的審核依據(jù)主要集中在標(biāo)準(zhǔn)的第4到第8章和附錄。

二、ISO/IEC 27001：2013的新版特性

（一）采用新構(gòu)架。在新版中采用ISO導(dǎo)則83做結(jié)構(gòu)性要求，從8個章節(jié)拓展到10個章節(jié)，重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)架構(gòu)，這個結(jié)構(gòu)在已發(fā)布的IS022301中已經(jīng)進行了應(yīng)用，未來將在ISO其他標(biāo)準(zhǔn)改版中會普遍采用（包括IS09000，IS020000等）。

（二）控制更精益。從舊版11個領(lǐng)域更新為14個領(lǐng)域。密碼學(xué)、供應(yīng)關(guān)系成為一個獨立領(lǐng)域（A10，A15）。通訊與操作管理被劃分到操作安全（A12）和通信安全（A13）。

新增或調(diào)整了一些控制措施，涉及信息系統(tǒng)開發(fā)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理等部分；刪除了一些舊版中重復(fù)的和操作級的控制項；附錄A的調(diào)整并沒有顛覆原有的結(jié)構(gòu)，只是在原有控制項結(jié)構(gòu)的基礎(chǔ)上，進行了優(yōu)化，較舊版來說的確更清晰了，相信這樣的變化可以更容易的讓組織去實現(xiàn)它們。

（三）引入新重點。將原分布在各領(lǐng)域的加密及供應(yīng)鏈管理控制項級別提升，組成新領(lǐng)域，形成新重點，以反映目前信息安全的發(fā)展趨勢。新增了智能型裝置管理的控制項強化IC丁供應(yīng)鏈委外管理的要求完善了系統(tǒng)開發(fā)項目管理的信息安全要求

三、ISO/IEC27001的兼容性

（一）PDCA（戴明環(huán)）。PDCA（Plan、Do、Check 和Act）是管理學(xué)慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19 世紀(jì)30 年代構(gòu)想的，后來被戴明（Edwards Deming）采納、宣傳并運用于持續(xù)改善產(chǎn)品質(zhì)量的過程當(dāng)中。

1.P（Plan）--計劃，確定方針和目標(biāo)，確定活動計劃；

2.D（Do）--執(zhí)行。實地去做，實現(xiàn)計劃中的內(nèi)容；

3.C（Check）--檢查，總結(jié)執(zhí)行計劃的結(jié)果，注意效果，找出問題；

4.A（Action）--行動，對總結(jié)檢查的結(jié)果進行處理，成功的經(jīng)驗加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問題放到下一個PDCA循環(huán)。

（二）戴明環(huán)的特點。

1.大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動大循環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動。通過循環(huán)把企業(yè)上下或工程項目的各項工作有機地聯(lián)系起來，彼此協(xié)同，互相促進。

2.不斷前進、不斷提高。PDCA循環(huán)就像爬樓梯一樣，一個循環(huán)運轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會提高一步，然后再制定下一個循環(huán)，再運轉(zhuǎn)、再提高，不斷前進，不斷提高，是一個螺旋式上升的過程。

作者簡介：王文君（1993-），女，重慶人，中國人民公安大學(xué)2011級安全防范工程專業(yè)。

朱健序（1991-），男，山東人，中國人民公安大學(xué)2011級安全防范工程專業(yè)。

劉歡（1992-），男，陜西人，中國人民公安大學(xué)2012網(wǎng)絡(luò)保衛(wèi)學(xué)院。

魯俊皓（1993-），男，河南人，中國人民公安大學(xué)2012級警務(wù)戰(zhàn)術(shù)指揮。

高琛陽（1994-），男，山東人，中國人民公安大學(xué)2012級安全防范工程專業(yè)。