信息安全管理（ISMS）體系信息安全管理（ISMS）體系認(rèn)證資料ISO/IEC27001:2005 信息安全管理體系（ISMS）認(rèn)證推介書(shū)黨的十七大提出了“工業(yè)化、信息化、城鎮(zhèn)化、市場(chǎng)化和國(guó)際化”的“五化并舉”，以及“信息化和工業(yè)化”的“兩化融合”兩大課題，國(guó)務(wù)院國(guó)資委國(guó)信辦在《關(guān)于加強(qiáng)中央企業(yè)信息化建設(shè)的指導(dǎo)意見(jiàn)》中指出到2010年要基本實(shí)現(xiàn)中央企業(yè)信息化向整個(gè)企業(yè)集成、共享、協(xié)同的轉(zhuǎn)變，建成集團(tuán)統(tǒng)一集成的信息系統(tǒng)。國(guó)資委已經(jīng)著手把信息化納入到中央企業(yè)的績(jī)效考核的主要內(nèi)容。信息化建設(shè)在我國(guó)經(jīng)濟(jì)和社會(huì)進(jìn)步方面已經(jīng)發(fā)揮了巨大的推動(dòng)作用，特別是近幾年計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展，通過(guò)信息化手段更好地保證了經(jīng)濟(jì)建設(shè)的順利發(fā)展。信息技術(shù)已經(jīng)滲透到了人類(lèi)社會(huì)的每一個(gè)角落，融入了人們的生活的每一個(gè)細(xì)節(jié)。無(wú)處不在的信息技術(shù)孕育著無(wú)處不在的風(fēng)險(xiǎn)，計(jì)算機(jī)病毒、黑客入侵、垃圾郵件、商業(yè)秘密失竊等事件的調(diào)查和報(bào)道中，我們不難看出信息安全建設(shè)的迫切性。根據(jù)《國(guó)民經(jīng)濟(jì)與社會(huì)發(fā)展第十一個(gè)五年規(guī)劃綱要》的要求，為促進(jìn)服務(wù)外包產(chǎn)業(yè)快速發(fā)展，優(yōu)化出口結(jié)構(gòu)，擴(kuò)大服務(wù)產(chǎn)品出口，商務(wù)部決定實(shí)施服務(wù)外包“千百十工程”，對(duì)符合條件且取得信息安全管理體系（ISO/IEC27001:2005標(biāo)準(zhǔn)）認(rèn)證的中小型服務(wù)外包企業(yè)給與一定的市場(chǎng)開(kāi)拓資金獎(jiǎng)勵(lì)。國(guó)家稅務(wù)總局也提出了建設(shè)稅務(wù)系統(tǒng)信息安全管理體系的總體目標(biāo)，部署實(shí)施包括“一個(gè)平臺(tái)、兩級(jí)處理、三個(gè)覆蓋、四個(gè)系統(tǒng)”的金稅工程。為滿(mǎn)足信息安全保障不斷增長(zhǎng)的需求，信息安全管理體系（ISMS）認(rèn)證應(yīng)運(yùn)而生。華夏認(rèn)證中心有限公司有幸成為英國(guó)皇家認(rèn)可委員會(huì)（UKAS）在中國(guó)認(rèn)可的第一家同時(shí)也是目前國(guó)內(nèi)機(jī)構(gòu)中唯一一家信息安全管理體系認(rèn)證機(jī)構(gòu)和國(guó)家信息安全管理體系認(rèn)證機(jī)構(gòu)的試點(diǎn)機(jī)構(gòu)。自2005年以來(lái)，華夏認(rèn)證中心有限公司本著“公正、公開(kāi)、求真、求實(shí)”的準(zhǔn)則，積極開(kāi)發(fā)和探索在信息安全管理體系認(rèn)證方面的技術(shù)和知識(shí)，投入專(zhuān)門(mén)管理和技術(shù)人員潛心研究，取得了初步成果。在計(jì)算機(jī)領(lǐng)域、金融業(yè)、制造業(yè)、電力行業(yè)和政府信息中心等機(jī)構(gòu)成功實(shí)施了信息安全管理體系認(rèn)證，積累了豐富且寶貴的經(jīng)驗(yàn)，為今后向各行各業(yè)提供優(yōu)質(zhì)的信息安全管理體系認(rèn)證奠定了基礎(chǔ)。我們會(huì)在下一步的工作中更好的研究認(rèn)證規(guī)范以及新版的ISO/IEC27001標(biāo)準(zhǔn)，利用新品給中心的認(rèn)證工作帶來(lái)機(jī)遇和挑戰(zhàn)，努力拼搏為我們的企業(yè)提供一流的信息安全管理體系的認(rèn)證審核服務(wù)。組織信息安全管理體系建設(shè)的必要性“信息”作為一種商業(yè)資產(chǎn)，其重要性也是與日俱增。信息安全，按照國(guó)際標(biāo)準(zhǔn)化組織提出的ISO/IEC27000中的概念，需要保證信息的保密性、完整性和可用性。時(shí)至今日，“信息”作為一種商業(yè)資產(chǎn)，其所擁有的價(jià)值對(duì)于一個(gè)組織而言毋庸置疑，重要性也是與日俱增。信息安全，按照國(guó)際標(biāo)準(zhǔn)化組織提出的ISO/IEC27000中的概念，需要保證信息的“保密性”、“完整性”和“可用性”。通俗地講，就是要保護(hù)信息免受來(lái)自各方面的威脅，從而確保一個(gè)組織或機(jī)構(gòu)可持續(xù)發(fā)展。組織面臨的問(wèn)題組織對(duì)于信息系統(tǒng)依賴(lài)性不斷增長(zhǎng)，以及在信息系統(tǒng)上運(yùn)作業(yè)務(wù)的風(fēng)險(xiǎn)，使得信息安全越來(lái)越得到重視。然而事實(shí)上，目前組織所面對(duì)的信息安全狀況愈加復(fù)雜。病毒木馬、非法入侵、數(shù)據(jù)泄密、服務(wù)癱瘓、漏洞攻擊等安全事件時(shí)有發(fā)生。從便攜設(shè)備到可移動(dòng)存儲(chǔ)，再到智能手機(jī)、PDA，以及無(wú)線(xiàn)網(wǎng)絡(luò)等，安全問(wèn)題出現(xiàn)的途徑也是千奇百怪。每一項(xiàng)新技術(shù)，每一類(lèi)新產(chǎn)品的推廣伴隨著新的問(wèn)題。組織在面臨著日趨復(fù)雜的威脅的同時(shí)，遭受的攻擊次數(shù)也日益增多。正因?yàn)槿绱耍畔踩芾眢w系標(biāo)準(zhǔn)(ISO/IEC27000)的出現(xiàn)成為歷史必要，該標(biāo)準(zhǔn)經(jīng)過(guò)十多年的發(fā)展，已經(jīng)形成了一個(gè)完整規(guī)范的體系。對(duì)組織而言，建立信息安全管理體系，是一個(gè)非常系統(tǒng)的過(guò)程，從資產(chǎn)評(píng)估、風(fēng)險(xiǎn)分析、引入控制到后期的改進(jìn)，呈現(xiàn)出一個(gè)非常邏輯的架構(gòu)。通過(guò)對(duì)大型組織CIO的調(diào)查顯示，他們普遍面對(duì)的問(wèn)題是，“我們很清楚的知道內(nèi)部的安全風(fēng)險(xiǎn)問(wèn)題，可是我們不知道怎么去識(shí)別并規(guī)避風(fēng)險(xiǎn)。因此我們迫切希望引入信息安全管理體系，甚至于去獲得認(rèn)證。”可以說(shuō)，信息安全管理體系的建立和健全，目的就是降低信息風(fēng)險(xiǎn)對(duì)經(jīng)營(yíng)帶來(lái)的危害，并將其投資和商業(yè)利益最大化。信息安全管理體系標(biāo)準(zhǔn)2005年改版后的ISO/IEC27001共有133個(gè)控制措施，39個(gè)控制目標(biāo)，11個(gè)安全域。其中11個(gè)安全域包括：1)安全策略2)信息安全的組織3)資產(chǎn)管理4)人力資源安全5)物理和環(huán)境安全6)通信和操作管理7)訪問(wèn)控制8)系統(tǒng)采集、開(kāi)發(fā)和維護(hù)9)信息安全事故管理10)業(yè)務(wù)連續(xù)性管理11)符合性可見(jiàn)，信息安全不僅僅是個(gè)技術(shù)問(wèn)題，而是管理、章程、制度和技術(shù)手段以及各種系統(tǒng)的結(jié)合。實(shí)現(xiàn)信息安全不僅需要采用技術(shù)措施，還需要借助于技術(shù)以外的其它手段，如規(guī)范安全標(biāo)準(zhǔn)和進(jìn)行信息安全管理。因此，組織在選擇合作伙伴的時(shí)候，就該找那種理解需求、真正能幫助解決問(wèn)題的，只有那種有著多年的培訓(xùn)和項(xiàng)目經(jīng)驗(yàn)、豐富的服務(wù)和產(chǎn)品的公司，才夠格成為可信任的伙伴。普通的顧問(wèn)公司，常常就是提供培訓(xùn)、解決方案，折騰一通后，再推薦一些產(chǎn)品。而產(chǎn)品的實(shí)際效能如何，是否能有效解決問(wèn)題，顧問(wèn)公司并不清楚。而廠商，總是會(huì)推銷(xiāo)一大堆產(chǎn)品給組織，而這些產(chǎn)品是否真的符合組織實(shí)際要求，成為各方爭(zhēng)論的焦點(diǎn)。這些產(chǎn)品之間，或者會(huì)有功能重疊，又或者會(huì)有沖突和兼容性問(wèn)題。解決方案參照ISO/IEC27001，總結(jié)出了完整的信息安全模型。依據(jù)模型，組織可以得到一個(gè)細(xì)致的流程，再也不用摸黑走路。通過(guò)培訓(xùn)，為客戶(hù)提供高端的信息安全培訓(xùn)與評(píng)估服務(wù)，識(shí)別出信息資產(chǎn)以及存在的風(fēng)險(xiǎn)，找出所存在的問(wèn)題和深層次的需求，以便明確后續(xù)應(yīng)采取什么行動(dòng)去解決問(wèn)題。可以采用相關(guān)安全產(chǎn)品，能保護(hù)組織的任意區(qū)域，如移動(dòng)用戶(hù)、遠(yuǎn)程分支、內(nèi)部網(wǎng)絡(luò)、很難管理的桌面和服務(wù)器、個(gè)人的行為狀況等。具有完善的功能模塊，有防火墻、VPN、IPS/IDS、內(nèi)容過(guò)濾、網(wǎng)絡(luò)行為管理等。利用這些功能模塊，組織能全局有效地管理安全，并跨系統(tǒng)、平臺(tái)和區(qū)域?qū)嵤┮恢碌牟呗浴Ｎ羞\(yùn)營(yíng)，針對(duì)一些自我管理和技術(shù)能力不強(qiáng)的組織，委托運(yùn)營(yíng)是其最佳選擇。組織不再被具體的細(xì)節(jié)拖入泥沼中，只需提出問(wèn)題和希望的結(jié)果，所有的中間過(guò)程都由委托承擔(dān)者完成。后續(xù)服務(wù)，安全管理的實(shí)現(xiàn)肯定是個(gè)長(zhǎng)期的過(guò)程，那種完成項(xiàng)目就開(kāi)溜的做法，對(duì)組織來(lái)說(shuō)是種災(zāi)難。只有通過(guò)后續(xù)的服務(wù)，不斷地改進(jìn)，不斷地發(fā)現(xiàn)新問(wèn)題，才能推動(dòng)目標(biāo)不斷地前進(jìn)。總之，我們欣喜的看到，國(guó)內(nèi)組織通過(guò)積極努力，探索尋求整體解決方案，增強(qiáng)了組織主動(dòng)管理其信息安全的能力，降低組織信息所面臨的風(fēng)險(xiǎn)。結(jié)語(yǔ)建立信息安全管理體系并獲得認(rèn)證，能提高組織自身的安全管理水平，將組織的安全風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，減少因安全事件帶來(lái)的破壞和損失。更重要的，是可以保證組織業(yè)務(wù)的持續(xù)性。另一方面，合作在如今的商業(yè)社會(huì)是非常普遍。如果組織能向客戶(hù)及利益相關(guān)方展示對(duì)信息安全的承諾，不但能增強(qiáng)合作伙伴、投資方的信心，也可以向政府及行業(yè)主管部門(mén)證明對(duì)相關(guān)法律法規(guī)的符合，并能得到國(guó)際上的認(rèn)可。

信息安全管理及相關(guān)標(biāo)準(zhǔn)簡(jiǎn)介一、社會(huì)發(fā)展對(duì)信息資源的依賴(lài)程度人類(lèi)正進(jìn)入信息化社會(huì)，社會(huì)發(fā)展對(duì)信息資源的依賴(lài)程度越來(lái)越大，從人們?nèi)粘Ｉ睢⒔M織運(yùn)作到國(guó)家管理，信息資源都是不可或缺的重要資源，沒(méi)有各種信息的支持，現(xiàn)代社會(huì)將不能生存和發(fā)展。在信息社會(huì)中，一方面信息已成為人類(lèi)重要資產(chǎn)，在政治、經(jīng)濟(jì)、軍事、教育、科技、生活等方面發(fā)揮著重要作用，另一方面計(jì)算機(jī)技術(shù)的迅猛發(fā)展而帶來(lái)的信息安全問(wèn)題正變得日益突出。由于信息具有易傳播、易擴(kuò)散、易毀損的特點(diǎn)，信息資產(chǎn)的比傳統(tǒng)的實(shí)物資產(chǎn)更加脆弱，更容易受到損害，使組織在業(yè)務(wù)運(yùn)作過(guò)程中面臨大量的風(fēng)險(xiǎn)。其風(fēng)險(xiǎn)主要來(lái)源于組織管理、信息系統(tǒng)、信息基礎(chǔ)設(shè)施等方面的固有薄弱環(huán)節(jié)，以及大量存在于組織內(nèi)、外的各種威脅,因此對(duì)信息系統(tǒng)需要加以嚴(yán)格管理和妥善保護(hù)。信息可以理解為消息、情報(bào)、數(shù)據(jù)或知識(shí)，它可以以多種形式存在，可以是組織中信息設(shè)施中存儲(chǔ)與處理的數(shù)據(jù)、程序，可以是打印出來(lái)的或?qū)懗鰜?lái)的論文、電子郵件、設(shè)計(jì)圖紙、業(yè)務(wù)方案，也可以顯示在膠片上或表達(dá)在會(huì)話(huà)中消息。所有的組織都有他們各自處理信息的形式，例如，銀行、保險(xiǎn)和信用卡公司都需要處理消費(fèi)者信息，衛(wèi)生保健部門(mén)需要管理病人信息，政府管理部門(mén)存儲(chǔ)機(jī)密的和分類(lèi)信息。無(wú)論組織對(duì)這些信息采用什么樣的共享、處理和存儲(chǔ)方式，都需要對(duì)敏感信息加以安全、妥善的保護(hù)，不僅要保證信息處理和傳輸過(guò)程是可靠的、有效的，而且要求重要的敏感信息是機(jī)密的、完整的和真實(shí)的。為達(dá)到這樣的目標(biāo)，組織必須采取一系列適當(dāng)?shù)男畔踩刂拼胧┎趴梢允剐畔⒈苊庖幌盗型{，保障業(yè)務(wù)的連續(xù)性，最大限度地減少業(yè)務(wù)的損失，最大限度地獲取投資回報(bào)。在ISO27002中，對(duì)信息的定義更確切、具體：“信息是一種資產(chǎn)，像其他重要的業(yè)務(wù)資產(chǎn)一樣，對(duì)組織具有價(jià)值，因此需要妥善保護(hù)”。通過(guò)風(fēng)險(xiǎn)評(píng)估與控制，不但能確保企業(yè)持續(xù)營(yíng)運(yùn)，還能減少企業(yè)在面對(duì)類(lèi)似‘911事件’之時(shí)出現(xiàn)的危機(jī)。二、信息安全的內(nèi)容網(wǎng)絡(luò)技術(shù)的發(fā)展加速了信息的傳輸和處理,縮短了人們之間的時(shí)空距離,方便了交流；同時(shí)對(duì)信息安全提出了新的挑戰(zhàn)。據(jù)統(tǒng)計(jì)，全球平均20秒就發(fā)生一次計(jì)算機(jī)病毒入侵；互聯(lián)網(wǎng)上的防火墻大約25%被攻破;竊取商業(yè)信息的事件平均以每月260%的速度增加；約70%的網(wǎng)絡(luò)主管報(bào)告了因機(jī)密信息泄露而受損失。國(guó)與國(guó)之間的信息戰(zhàn)問(wèn)題更是關(guān)系到國(guó)家的根本安全問(wèn)題。信息安全已擴(kuò)展到了信息的可靠性、可用性、可控性、完整性及不可抵賴(lài)性等更新、更深層次的領(lǐng)域。這些領(lǐng)域內(nèi)的相關(guān)技術(shù)和理論都是信息安全所要研究的領(lǐng)域。國(guó)際標(biāo)準(zhǔn)化組織(ISO)定義信息安全是“在技術(shù)上和管理上為數(shù)據(jù)處理系統(tǒng)建立的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露”。信息安全一般包括實(shí)體安全、運(yùn)行安全、信息安全和管理安全四個(gè)方面的內(nèi)容。實(shí)體安全是指保護(hù)計(jì)算機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)施以及其他通訊與存儲(chǔ)介質(zhì)免遭地震、水災(zāi)、火災(zāi)、有害氣體和其它環(huán)境事故（如電磁污染等）破壞的措施、過(guò)程。運(yùn)行安全是指為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施（如風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急措施）來(lái)保護(hù)信息處理過(guò)程的安全。信息安全是指防止信息資源的非授權(quán)泄露、更改、破壞，或使信息被非法系統(tǒng)辨識(shí)、控制和否認(rèn)。即確保信息的完整性、機(jī)密性、可用性和可控性。管理安全是指通過(guò)信息安全相關(guān)的法律法令和規(guī)章制度以及安全管理手段，確保系統(tǒng)安全生存和運(yùn)營(yíng)。美國(guó)國(guó)家電信與信息系統(tǒng)安全委員會(huì)（NTISSC）主席、美國(guó)C3I負(fù)責(zé)人、前國(guó)防部副部長(zhǎng)LathamDC認(rèn)為，信息安全（INFOSEC）應(yīng)包括以下六個(gè)方面：通信安全（COMSEC）計(jì)算機(jī)安全（COMPUSEC）符合瞬時(shí)電磁脈沖輻射標(biāo)準(zhǔn)（TEMPEST）傳輸安全（TRANSEC）物理安全（PhysicalSecurity）人員安全（PersonnelSecurity）綜上所述，信息安全的主要內(nèi)容包括：機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實(shí)性（Authenticity）和有效性（Utility）。在BS7799中信息安全主要指信息的機(jī)密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持。即指通過(guò)采用計(jì)算機(jī)軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來(lái)保護(hù)信息在其生命周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲(chǔ)的各個(gè)環(huán)節(jié)中，信息的機(jī)密性、完整性和可用性不被破壞。機(jī)密性是指確保只有那些被授予特定權(quán)限的人才能夠訪問(wèn)到信息。信息的機(jī)密性依據(jù)信息被允許訪問(wèn)對(duì)象的多少而不同，所有人員都可以訪問(wèn)的信息為公開(kāi)信息，需要限制訪問(wèn)的信息為敏感信息或秘密信息，根據(jù)信息的重要程度和保密要求將信息分為不同密級(jí)。例如，軍隊(duì)內(nèi)部文件一般分為秘密、機(jī)密和絕密三個(gè)等級(jí)，已授權(quán)用戶(hù)根據(jù)所授予的操作權(quán)限可以對(duì)保密信息進(jìn)行操作。有的用戶(hù)只可以讀取信息，有的用戶(hù)既可以進(jìn)行讀操作有可以進(jìn)行寫(xiě)操作。信息的完整性是指要保證信息和處理方法的正確性和完整性。信息完整性一方面是指在使用、傳輸、存儲(chǔ)信息的過(guò)程中不發(fā)生篡改信息、丟失信息、錯(cuò)誤信息等現(xiàn)象；另一方面是指信息處理的方法的正確性，執(zhí)行不正當(dāng)?shù)牟僮鳎锌赡茉斐芍匾募膩G失，甚至整個(gè)系統(tǒng)的癱瘓。信息的可用性是指確保那些已被授權(quán)的用戶(hù)在他們需要的時(shí)候，確實(shí)可以訪問(wèn)得到所需要信息。即信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如，通信線(xiàn)路中斷故障、網(wǎng)絡(luò)的擁堵會(huì)造成信息在一段時(shí)間內(nèi)不可用，影響正常的業(yè)務(wù)運(yùn)營(yíng)，這是信息可用性的破壞。提供信息的系統(tǒng)必須能適當(dāng)?shù)爻惺芄舨⒃谑r(shí)恢復(fù)。另外還要保證信息的真實(shí)性和不可否認(rèn)性,即組織之間或組織與合作伙伴間的商業(yè)交易和信息交換是可信賴(lài)的。三、信息技術(shù)安全標(biāo)準(zhǔn)的制定情況1、國(guó)內(nèi)信息技術(shù)安全標(biāo)準(zhǔn)的制定工作國(guó)內(nèi)信息技術(shù)安全標(biāo)準(zhǔn)的制定工作是從80年代中期開(kāi)始的。一方面是定信息技術(shù)設(shè)備和設(shè)施的安全標(biāo)準(zhǔn)，1985年發(fā)布了第一個(gè)標(biāo)準(zhǔn)GB4943；另一方面是制定信息安全技術(shù)標(biāo)準(zhǔn)，于1994年月發(fā)布了第一批標(biāo)準(zhǔn)。至1997年底，已制定、報(bào)批和發(fā)布了有關(guān)信息技術(shù)安全的國(guó)家標(biāo)準(zhǔn)13個(gè)和國(guó)家軍用標(biāo)準(zhǔn)6個(gè)。現(xiàn)正在制定中的國(guó)家標(biāo)準(zhǔn)14個(gè)。1.1信息技術(shù)安全標(biāo)準(zhǔn)化的展望信息安全關(guān)系到國(guó)家的安全、社會(huì)的安定、經(jīng)濟(jì)的發(fā)展，信息技術(shù)安全標(biāo)準(zhǔn)是信息安全規(guī)范化和法制化的基礎(chǔ)，是實(shí)現(xiàn)技術(shù)安全和安全管理的重要手段。信息技術(shù)安全標(biāo)準(zhǔn)化必須統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)籌規(guī)劃、各方參與、分工合作進(jìn)行，保證其順利和協(xié)調(diào)發(fā)展。為此，國(guó)家有關(guān)部門(mén)組織各方面專(zhuān)家參加的標(biāo)準(zhǔn)化技術(shù)委員會(huì)正在開(kāi)展以下工作：1.2加強(qiáng)信息安全標(biāo)準(zhǔn)化的研究信息技術(shù)的安全技術(shù)是比較新的和復(fù)雜的技術(shù)，也是在近年來(lái)才得到較快的發(fā)展，特別是它的標(biāo)準(zhǔn)化更是如此。為了全面認(rèn)識(shí)和了解信息技術(shù)的安全標(biāo)準(zhǔn)，需要對(duì)國(guó)內(nèi)外信息技術(shù)標(biāo)準(zhǔn)化的情況和發(fā)展趨勢(shì)進(jìn)行深入的研究。特別是慶將信息技術(shù)安全標(biāo)準(zhǔn)體和紗作為重點(diǎn)課題進(jìn)行綜合研究，并建立我國(guó)的信息技術(shù)安全標(biāo)準(zhǔn)體系，以便能夠有目的、有組織、有計(jì)劃地分期分批進(jìn)行標(biāo)準(zhǔn)制定工作。這樣才能避免標(biāo)準(zhǔn)項(xiàng)目重復(fù)和混亂，避免標(biāo)準(zhǔn)之間不協(xié)調(diào)，也可避免資金人才和時(shí)間的浪費(fèi)。國(guó)際上有很多制定信息安全標(biāo)準(zhǔn)的組織，他們工作各有特點(diǎn)，制定標(biāo)準(zhǔn)的層次不同，也有部分工作重迭，我國(guó)對(duì)此也應(yīng)進(jìn)行深入具體的分析研究。例如：IS0/IECJTCI/SC27的重點(diǎn)是制定通用的信息技術(shù)安全標(biāo)準(zhǔn)；而ISO/TC68則是針對(duì)銀行系統(tǒng)制定行業(yè)具體應(yīng)用的信息安全標(biāo)準(zhǔn)；ECMA還制定信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)。1.3加快信息技術(shù)安全標(biāo)準(zhǔn)的制定國(guó)際互聯(lián)網(wǎng)的開(kāi)通，對(duì)信息安全標(biāo)準(zhǔn)的需求更加迫切，標(biāo)準(zhǔn)的數(shù)量也日益增加，因此應(yīng)加快信息技術(shù)標(biāo)準(zhǔn)的制定工作。國(guó)際上ISO的信息技術(shù)安全標(biāo)準(zhǔn)，包括已正式發(fā)布、正在制定的標(biāo)準(zhǔn)項(xiàng)目已有近70項(xiàng)，國(guó)際互聯(lián)網(wǎng)的RFC文中有100多項(xiàng)涉及信息安全，都是比較實(shí)用的。2、國(guó)外信息技術(shù)安全標(biāo)準(zhǔn)化的情況國(guó)外早在70年代中期就開(kāi)始了信息技術(shù)安全標(biāo)準(zhǔn)化工作，現(xiàn)將國(guó)際標(biāo)準(zhǔn)化組織、歐洲計(jì)算機(jī)廠商協(xié)會(huì)和美國(guó)開(kāi)展信息技術(shù)標(biāo)準(zhǔn)化的情況簡(jiǎn)要介紹如下。2.1國(guó)際標(biāo)準(zhǔn)化組織的信息技術(shù)安全標(biāo)準(zhǔn)化2.1.1ISO/IECJTC1/SC27信息技術(shù)安全隨著跨國(guó)計(jì)算機(jī)網(wǎng)絡(luò)的開(kāi)發(fā)和不同計(jì)算機(jī)系統(tǒng)之間互連的要求，數(shù)據(jù)加密標(biāo)準(zhǔn)化工作也開(kāi)始走向國(guó)際。英國(guó)于1979年向ISO/TC97提出開(kāi)展數(shù)據(jù)加密技術(shù)標(biāo)準(zhǔn)化的建議，ISO/TC97采納了建議，并于1980年組建直屬工作組。后來(lái)，TC97認(rèn)為，數(shù)據(jù)加密技術(shù)專(zhuān)業(yè)性很強(qiáng)，需幅個(gè)分技術(shù)委員會(huì)來(lái)專(zhuān)門(mén)開(kāi)展這方面的標(biāo)準(zhǔn)化工作，于是，1984年1月在聯(lián)邦德國(guó)波恩正式成立分技術(shù)委員會(huì)SC20。我國(guó)也派人出席了這次會(huì)議，并成為該分委員會(huì)的P成員。從此，數(shù)據(jù)加密技術(shù)標(biāo)準(zhǔn)化工作在ISO/TC97內(nèi)正式蓬勃展開(kāi)。1984年SC20成立后，就把在直屬工作組期間已開(kāi)始的密碼算法的國(guó)際標(biāo)準(zhǔn)化工作接過(guò)來(lái)，并作為第一優(yōu)先制定的標(biāo)準(zhǔn)。該算法其實(shí)就是美國(guó)的DES，SC27稱(chēng)其為DEA-1，而且還指定由法國(guó)起草DEA-2報(bào)告，實(shí)際上是公苴算法RSA。1985年1月第二次分技委員會(huì)上同意推進(jìn)到DIS，但隨后的一年里發(fā)生了很大變化。先是1985年夏天發(fā)布的美國(guó)總統(tǒng)令宣布政府將不再支持DES，并由國(guó)家安全局NSA設(shè)計(jì)新的算法標(biāo)準(zhǔn)，算法細(xì)節(jié)不予公開(kāi)。這就引起大家對(duì)DES安全強(qiáng)度的懷疑。有的成員國(guó)原本就一直反對(duì)密碼算法的國(guó)際標(biāo)準(zhǔn)化，認(rèn)為一個(gè)國(guó)家采用什么樣的密碼算法是十分敏感的問(wèn)題，別人無(wú)權(quán)干涉。1986年第三次年會(huì)分歧很大，但多數(shù)仍贊成推進(jìn)到國(guó)際標(biāo)準(zhǔn)，并交TC97處理。同年5月，TC97年會(huì)形成決議，密碼算法的國(guó)際標(biāo)準(zhǔn)化工作已不屬技術(shù)性問(wèn)題，而是政治性問(wèn)題。同年10月，ISO中央理事會(huì)決定撤消該項(xiàng)目，并且將密碼算法的標(biāo)準(zhǔn)化工作從SC20的工作范圍內(nèi)以消，還明確寫(xiě)出不再研究密碼算法的標(biāo)準(zhǔn)化。SC20的標(biāo)準(zhǔn)項(xiàng)目中包含OSI環(huán)境下使用加密技術(shù)的互操作要求，它與SC6和SC21的工作范圍有重復(fù)。1986年5月，TC97要求三個(gè)分委員會(huì)主席開(kāi)會(huì)協(xié)調(diào)，向技術(shù)委員會(huì)報(bào)告協(xié)調(diào)結(jié)果，再由技術(shù)委員會(huì)決定采以措施。至1989年6月正式?jīng)Q定撤消原來(lái)的SC20，組建新的SC27。在SC20存在的五年期間完成了兩個(gè)正式標(biāo)準(zhǔn)：ISO8372和ISO9160。1990年4月瑞典斯德哥爾摩托車(chē)年會(huì)上正式成立SC27，其名稱(chēng)為：信息技術(shù)-安全技術(shù)，并對(duì)其工作范圍作了明晰表述，即信息技術(shù)安全的一般方法和技術(shù)的標(biāo)準(zhǔn)化，包括：確定信息技術(shù)系統(tǒng)安全的一般要求（含要求方法）；開(kāi)發(fā)安全技術(shù)和機(jī)制（含注冊(cè)程序和安全組成部分的關(guān)系）；開(kāi)發(fā)安全指南（如解釋性文件，風(fēng)險(xiǎn)分析）；開(kāi)發(fā)管理支撐性文件和標(biāo)準(zhǔn)（如術(shù)語(yǔ)和安全評(píng)價(jià)準(zhǔn)則）。1997年國(guó)際標(biāo)準(zhǔn)化組織的信息技術(shù)標(biāo)準(zhǔn)化的技術(shù)領(lǐng)域又作了合并和重大調(diào)整，但信息技術(shù)安全檢分委會(huì)仍然保留，并作為ISO/IECJTC1安全問(wèn)題的主導(dǎo)組織。運(yùn)行模式是既作為了個(gè)技術(shù)領(lǐng)域的分委員運(yùn)行，還要履行特殊職能。它負(fù)責(zé)信息的通信安全的通用框架、方法、技術(shù)和機(jī)制的標(biāo)準(zhǔn)化，信息技術(shù)安全的標(biāo)準(zhǔn)化工作將會(huì)更加集中統(tǒng)一和加強(qiáng)。該分委會(huì)負(fù)責(zé)制定標(biāo)準(zhǔn)的項(xiàng)目約為40項(xiàng)。2.1.2ISO/TC68銀行和有關(guān)的金融服務(wù)在國(guó)際標(biāo)準(zhǔn)化組織內(nèi)，ISO/IDCJTC1/SC27負(fù)責(zé)通用信息技術(shù)安全標(biāo)準(zhǔn)的制定，ISO/TC68負(fù)責(zé)爭(zhēng)行業(yè)務(wù)應(yīng)用范圍內(nèi)有關(guān)信息安全標(biāo)準(zhǔn)的制定。一個(gè)是制定通用基礎(chǔ)標(biāo)準(zhǔn)，一個(gè)是制定行業(yè)應(yīng)用標(biāo)準(zhǔn)，兩者在組織上和標(biāo)準(zhǔn)之間都有著密切的聯(lián)系。他們都是在80年代中期開(kāi)始制定標(biāo)準(zhǔn)的，ISO/TC68負(fù)責(zé)制定標(biāo)準(zhǔn)的項(xiàng)目約有30項(xiàng)。2.1.3國(guó)際標(biāo)準(zhǔn)化組織的信息安全管理標(biāo)準(zhǔn)化信息安全管理標(biāo)準(zhǔn)化是國(guó)際標(biāo)準(zhǔn)化組織近幾年開(kāi)展的一項(xiàng)重要工作，雖然起步較晚發(fā)展卻非常迅速。在歐洲、日本、美國(guó)等發(fā)達(dá)國(guó)家得到迅猛發(fā)展。信息安全管理標(biāo)準(zhǔn)已經(jīng)成為繼質(zhì)量管理標(biāo)準(zhǔn)、環(huán)境管理標(biāo)準(zhǔn)等之后發(fā)展起來(lái)的一個(gè)新興的管理標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)體系在國(guó)際標(biāo)準(zhǔn)化組織內(nèi)已構(gòu)成一組系列標(biāo)準(zhǔn)，即：ISO/IEC27000族標(biāo)準(zhǔn)。目前，主要標(biāo)準(zhǔn)有6個(gè)：ISO/IEC27000:2008《信息技術(shù)安全技術(shù)信息安全管理體系--概況與術(shù)語(yǔ)》ISO/IEC27001:2005《信息技術(shù)安全技術(shù)信息安全管理體系要求》ISO/IEC27002:2005《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》ISO/IEC27003:200X《信息技術(shù)安全技術(shù)信息安全管理體系實(shí)施指南》ISO/IEC27004:200X《信息技術(shù)安全技術(shù)信息安全管理--測(cè)量》ISO/IEC27005:2008《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》ISO/IEC27006:2007《信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》ISO/IEC27007:2007《信息技術(shù)安全技術(shù)信息安全管理體系審核員指南》ISO/IEC27001標(biāo)準(zhǔn)是組織進(jìn)行信息安全管理體系認(rèn)證的依據(jù)，相當(dāng)于質(zhì)量管理體系中的ISO9001標(biāo)準(zhǔn)。ISO/IEC27006:2007標(biāo)準(zhǔn)是認(rèn)證機(jī)構(gòu)獲取認(rèn)證認(rèn)可的依據(jù)。ISO/IEC27002標(biāo)準(zhǔn)為組織建立信息安全管理體系提供了39個(gè)控制目標(biāo)和133個(gè)控制措施。其他幾個(gè)標(biāo)準(zhǔn)提供了信息安全管理體系建立、實(shí)施的參考指南。2.2歐洲計(jì)算機(jī)廠商協(xié)會(huì)（ECMA）標(biāo)準(zhǔn)ECMA人歐洲計(jì)算機(jī)廠商中吸收會(huì)員，經(jīng)常向ISO提交標(biāo)準(zhǔn)提案。ECMA內(nèi)的一個(gè)組（TC32/TG9）已定義了開(kāi)放系統(tǒng)應(yīng)用層安全結(jié)構(gòu)。它的TC12負(fù)責(zé)信息技術(shù)設(shè)備的安全標(biāo)準(zhǔn)。它們的工作都假定終端用戶(hù)控制著通過(guò)應(yīng)用服務(wù)元素（ASE）進(jìn)行通信的實(shí)體。ASE是利用基本服務(wù)在恰當(dāng)?shù)攸c(diǎn)提供OSI環(huán)境能力的應(yīng)用實(shí)體的一部分，如文件服務(wù)器和打印重繞器。這個(gè)小組涉及這些實(shí)體之間的安全通信尤其在分布式環(huán)境下的安全通信。它們所開(kāi)發(fā)的結(jié)構(gòu)把這些通信分成稱(chēng)為“設(shè)施”的單元，每個(gè)單元都在提供總體安全中扮演一定的角度，這些設(shè)施組合起來(lái)就形成了安全系統(tǒng)，這在方式上類(lèi)似于ISO工作中所指的模型。2.3美國(guó)信息技術(shù)安全標(biāo)準(zhǔn)化情況2.3.1美國(guó)國(guó)家標(biāo)準(zhǔn)（ANSI）美國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)于80年代初開(kāi)始數(shù)據(jù)加密標(biāo)準(zhǔn)化工作，只制定了三個(gè)通用的國(guó)家標(biāo)準(zhǔn)。金融界是實(shí)行安全最自覺(jué)的早大商業(yè)實(shí)體，它直接涉及貨幣和證券的安全電子匯兌。因此，不得不把大量資源投入信息安全。雖然銀行和公司的商貿(mào)人員屬金融界最有形的部分，但也不乏它物。很多大公司已開(kāi)始采用電子方式訂購(gòu)產(chǎn)品或支付業(yè)務(wù)費(fèi)用。隨著越來(lái)越多地采用電子方式傳送貨幣或資產(chǎn)，計(jì)算機(jī)犯罪可能性大增，安全方法變行十分重要。為了解決安全問(wèn)題，金融界正積極制定各種標(biāo)準(zhǔn)。美國(guó)國(guó)家標(biāo)準(zhǔn)化協(xié)會(huì)（ANSI）負(fù)責(zé)金融安全的小組是ASCX9和X12。ASCX9制定金融業(yè)務(wù)標(biāo)準(zhǔn)，ASCX12制定商業(yè)交易標(biāo)準(zhǔn)。已與美國(guó)標(biāo)準(zhǔn)委員會(huì)（ASC）召開(kāi)聯(lián)席會(huì)，共同制定了匯兌的安全標(biāo)準(zhǔn)9個(gè)。與此同時(shí)，金融領(lǐng)域也在進(jìn)行金融交易卡、密碼服務(wù)消息，以及實(shí)現(xiàn)商業(yè)交易安全等方面的工作。2.3.2美國(guó)聯(lián)邦信息處理安全標(biāo)準(zhǔn)（FIPS）美國(guó)聯(lián)邦政府非常重視自動(dòng)信息處理的安全，早在70年代初就開(kāi)始了信息技術(shù)安全標(biāo)準(zhǔn)化工作，1974年就已發(fā)布標(biāo)準(zhǔn)。1987年的“計(jì)算機(jī)安全法案”明確規(guī)定了政府的機(jī)密數(shù)據(jù)、發(fā)展經(jīng)濟(jì)有效的安全保密標(biāo)準(zhǔn)和指南。聯(lián)邦信息處理標(biāo)準(zhǔn)由國(guó)家標(biāo)準(zhǔn)局（NBS）頒發(fā)。FIPS由NBS在廣泛搜集政府各部門(mén)及私人部門(mén)的意見(jiàn)的基礎(chǔ)上寫(xiě)成。正式發(fā)布之前，將FIPS分送給每個(gè)政府機(jī)構(gòu)，并在“聯(lián)邦注冊(cè)”上刊印出版。經(jīng)再次征求意見(jiàn)之后，NSB局長(zhǎng)把標(biāo)準(zhǔn)連同NBS的建議一起呈送美國(guó)商業(yè)部和工，由商業(yè)部長(zhǎng)簽字劃押同意或反對(duì)這個(gè)標(biāo)準(zhǔn)。FIPS安全標(biāo)準(zhǔn)的一個(gè)著名實(shí)例就是數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。至今，它已發(fā)布了信息技術(shù)安全標(biāo)準(zhǔn)和指南約20個(gè)。2.3.3美國(guó)國(guó)防部的信息安全指令和標(biāo)準(zhǔn)（DOD）美國(guó)國(guó)防部十分重視信息的安全問(wèn)題，美國(guó)國(guó)防部發(fā)布了一些有關(guān)信息安全和自動(dòng)信息系統(tǒng)安全的指令、指示和標(biāo)準(zhǔn)，并且加強(qiáng)信息安全的管理，特別是DOD5200.28-STD《國(guó)防可信和計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則》，受到各方面廣泛的關(guān)注。華夏認(rèn)證中心ISMS認(rèn)證優(yōu)勢(shì)2005年成為英國(guó)皇家認(rèn)可委員會(huì)（UKAS）在中國(guó)認(rèn)可的第一家認(rèn)證機(jī)構(gòu)；華夏認(rèn)證中心ISMS認(rèn)證優(yōu)勢(shì)2005年成為英國(guó)皇家認(rèn)可委員會(huì)（UKAS）在中國(guó)認(rèn)可的第一家認(rèn)證機(jī)構(gòu)；2006年成為國(guó)家信息安全管理體系四家試點(diǎn)認(rèn)證機(jī)構(gòu)之一，2009年正式通過(guò)國(guó)家認(rèn)可委CNAS的認(rèn)可；2005年以來(lái)，華夏認(rèn)證中心積極開(kāi)發(fā)和探索在信息安全管理體系認(rèn)證方面的技術(shù)和知識(shí)，投入專(zhuān)門(mén)管理和技術(shù)人員潛心研究，取得了初步成果，截至目前成為國(guó)內(nèi)唯一同時(shí)具有UKAS和CNAS雙認(rèn)可的國(guó)內(nèi)認(rèn)證機(jī)構(gòu)；華夏認(rèn)證中心在計(jì)算機(jī)領(lǐng)域、金融業(yè)、制造業(yè)、電力行業(yè)和政府信息中心等機(jī)構(gòu)成功實(shí)施了信息安全管理體系認(rèn)證，積