管理体系是组织用来保证其完成任务,事件目标的过程集的框架。在ISO9000:2000中,将其定义为建立方针和目标并实现这些目标的体系。
注:一个组织的管理体系可包括若干个不同的管理体系,如质量管理体系、财务管理体系或环境管理体系。
一个典型的管理体系框架如下图所示:
图1-1
目前存在很多的管理体系,例如质量管理体、系环境管理体系、职业健康管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的管理体系,其他管理体系或多或少都借鉴了质量管理体系的经验。
管理体系形成的完整的产业链,如图11所示.
信息安全管理体系正如其名称所表述的含义,就是关于信息安全的管理体系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解,它强调的是基于业务风险方法来组织信息安全活动,其本身只是整个管理体系的一部分。这就要求我们站在全局的观点看待信息安全问题。
图123123
1.1.ISO/IEC27000标准族
1.1.1.ISO/IEC27001发展历程
BS7799最初是由英国贸工部(DTI)立项的,是业界、政府和商业机构共同倡导的,旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的BSI—DISCCommitteeBDD/2是由来自贸易和工业部门的众多代表共同组成的,其成员在各自的领域都具有足够的影响力,包括金融业的英国保险协会、渣打会计协会、汇丰银行等,通信行业有大英电讯公司,还有像壳牌、联合利华、毕马威(KPMG)等这样的跨国机构。
1995年,BS7799—1:1995《信息安全管理实施细则》首次出版(其前身是1993年发布的PD0005),它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。
1998年,BS7799—2:1998《信息安全管理体系规范》公布,这是对BS7799—1的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。至此,BS7799标准初步成型。
1999年4月,BS7799的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。
由于BS7799日益得到国际认同,使用的国家也越来越多,2000年12月,国际标准化组织ISO/IECJTC1/SC27工作组认可BS7799—1:1999,正式将其转化为国际标准,即所颁布的ISO/IEC17799:2000《信息技术——信息安全管理实施细则》。作为一个全球通用的标准,ISO/IEC17799并不局限于IT,也不依赖于专门的技术,它是由长期积累的一些最佳实践构成的,是市场驱动的结果。
2002年,BSI对BS7799:2—1999进行了重新修订,正式引入PDCA过程模型,以此作为建立、实施、持续改进信息安全管理体系的依据,同时,新版本的调整更显示了与ISO9001:2000、ISO14001:1996等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性,体现了管理体系融合的趋势。2004年9月5日,BS7799—2:2002正式发布,随即提交ISO并迈入“快速通道”。
2013年9月,ISO/IEC27001:2005经过改版,形成了新的ISO/IEC27001:2013,新版本从原先8个章节扩展到10个章节,重建了ISO标准PDCA章节架构,并将旧版11个控制域扩展到14个,使结构更合理,表现更清晰。
作为认证标准,ISO27000系列中最关键的还是ISO27001,所以,人们更习惯以ISO27001来直接代表此系列信息安全管理标准。