ISO27001信息安全风险极其庞杂而又非常普遍,每种信息安全风险都是不同的。信息安全风险可能是一个单一的风险,也可能是多种风险的组合;它可能是一般性的,也可能是特殊的;可能是人为有意的,也可能是无意的;可能在一个环节出现,也可能在多个不同的层面、不同的时间出现。
如果能系统地考虑所有信息安全风险,通过对不同层面、不同来源、不同阶段的风险实施分门别类的管理,用一个系统的、稳定的、具备一致性的方法应对风险,就能把信息安全风险降到最低。
目前国际上对信息安全风险进行分类管理的权威标准有:
①ISO/IEC17799:2005 ——《信息技术-安全技术-信息安全管理实施细则》(Informati-on technology Security technology Code of practice for Information SecurityManagement);
②NISTSP800-26——USA国家标准技术局NIST(NationalInstitute of Standards and Technology )2001年12月发布的信息技术系统风险安全自评估指南;
③NISTSP800-53——USA信息系统最低安全控制准则。
1)ISO/IEC 17799《信息安全风险管理细则》为大多数工商业组织提供了一个通用的信息安全风险管理参考标准,已被世界上许多国家所采用。ISO/IEC17799 主要是侧重于组织安全风险和业务风险管理方面,是一个系统化、程序化和文档化的信息安全风险管理体系。它涉及十一个安全风险的管理方面,36个控制目标,134项安全控制。这十一个安全风险管理方面是:
①安全策略;
②机构安全;
③资产管理 ;
④人力资源安全;
⑤物理和环境安全 ;
⑥通信和操作管理;
⑦访问控制;
⑧信息系统获取、开发 ;
⑨信息安全事件管理;
⑩业务连续性管理;
⑾符合性。
2)NISTSP800-26 《信息技术风险安全自评估指南》,是为信息系统管理人员进行组织内部风险评估、开发风险转移计划和进行安全决策提供一个参考的文档,是组织对自身信息系统 开展风险管理的一个好的选择。评估指南是以调查问卷形式,采用层次结构设计,调查范围涉及主要信息系统、通用信息系统、支撑系统和内部互联系统。调查问题分为管理控制、操作控制和技术控制三个主要方面,每个方面有一系列子项,共17项:
①风险管理;
②安全控制回顾 ;
③生命周期;
④资格认证、鉴别;
⑤安全计划;
⑥人员安全;
⑦物理安全;
⑧输入输出控制;
⑨连续性计划;
⑩硬件和系统软件维护;
⑾信息完整性;
⑿文档;
⒀意识、培训和教育;
⒁事件反应能力 ;
⒂身份认证;
⒃访问控制;
⒄审计和审核。
3)NISTSP800-53《信息系统最低安全控制准则》,根据IT系统对机密性、完整性和可用性的低、中、高关注度,为其建立一组标准的最低安全控制。它分为管理控制、操作控制和技术控制三个种类,每一类都覆盖了安全问题的不同方面,共十六个方面,包括:
⑴风险管理;
⑵系统开发和采集;
⑶配置管理;
⑷系统交互;
⑸人员安全;
⑹安全意识提升、教育培训;
⑺物理以及环境保护;
⑻媒介保护;
⑼应急计划;
⑽硬件与系统软件维护;
⑾系统和数据的完整性;
⑿文档记录;
⒀事故响应能力;
⒁识别和认证;
⒂存取控制;
⒃审计和通讯。
确定了信息系统管理、技术和操作控制的底线。