ISO27001
ISO27001演进历程
ISO 2700X标准起源于上世纪90年代,当时跨国贸易的极具增加,各国之间的信息安全建设程度参差不齐,没有统一的度量标准,阻碍世界各国贸易合作。
在这样大的历史背景下,英国贸工(贸易和工业)部立项,由贸工部和 英国标准化协会(BSI) 组织 的相关专家共同开发制定。
随后在此基础上,BS7799分成了两个分支,一个是1995年英国首次出版的 BS7799-1:1995 信息安全管理实施细则,到2000年12月,BS7799-1:1999《信息安全管理实施细则》 通过了国际标准化组织ISO的认可,正式成为国际标准 ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》
2007年更名为ISO27002:2007,2013年10月升级为ISO27002:2013,2022年2月升级为ISO27002:2022。
另一个分支是 1998年英国公布标准的第二部分,BS 7799-2《信息安全管理体系规范》,2002年9月5日,BS7799-2:2002发布成为正式标准,2005年升级为国际标准 ISO/IEC27001:2005,2013年10月改版为ISO/IEC 27001:2013,2022年10月改版为ISO/IEC 27001:2022。
2700X系列标准因业务发展而生,也体现了安全是业务基本属性,保障着业务的发展,同时2700X 随着时间的推移,也在不断的发展和完善,基本上包括的安全建设的方方面面,而且非常的细,可以说是每位安全人员必备的指导手册,行动指南,每一条都值得深入研究和学习。
ISO2700X标准整体介绍
ISO2700X拥有多个标准,覆盖信息安全管理体系要求、信息安全控制实用规则、信息安全管理实施指南等信息安全各个方面,主要分为术语、通用要求、通用指南、特殊领域指南、特殊控制指南 5个部分。
27000 文档主要是定义信息安全管理体系中的术语,如方针,策略等
27001 信息安全管理体系要求,其中说明了建立、实施和维护信息安全管理体系的需要做的事情 27002 信息安全管理—实用规则为在组织内启动、实施、保持和改进信息安全 管理提供指南和通用的原则。该标准概述的目标提供了有关信息安全管理通常公认的目标 的通用指南。其包含的实施规则可以认为是开发组织具体指南的起点。但该实施规则中的 控制和指导并不全都是适用的,应当根据企业自身情况对控制措施进行扩充与裁减。
27003 信息安全管理体系—实施指南为建立、实施、监视、评保持和改进符合 ISO/IEC 27001 的 ISMS 提供了实施指南和进一步的信息,使用者主要为组织内负责实施 ISMS 的人员。
27004 信息安全管理测量主要为组织测量信息安全控制措施和 ISMS 过程的有 效性提供指南。 该标准将测量分为有效性测量和过程测量两个类别,列出了多种测量方法,例如调 查、问卷、观察、知识评估检查、二次执行、测试以及抽样等
27005 信息安全风险管理给出了信息安全风险管理的指南,其中描述的技术遵 循 ISO/IEC 27001 中的通用概念、模型和过程。 该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括 风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱性以及风 险评估的方法,并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同 安全问题和威胁选择控制措施的方法。
27006 信息安全管理体系认证机构的要求认可的主要内容是对从事 ISMS 认证 的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事 ISMS 认 证业务”
27007 信息安全管理体系审核指南为有认证资格的组织按照 ISO/IEC 27001 和 ISO/IEC 27002 来审核待认证的企业的 ISMS。该标准主要参考 ISO/IEC 19001:2002 质量和环 境管理体系审核指南。所有“管理体系”基本都是相通的,ISO/IEC 27007 强调了 ISMS 的 特殊之处。
国际标准与ISO2700X对应关系
我们国家信标委一直及时跟进ISO标准的变化,基本上信息安全国标等同采用国际ISO2700X系列标准,大部分经常用到的都有相应的国家标准,比如27000对应的 gb/t 29246, 27001对应的是 gb/t 22080, 27002对应的是22081,27005 对应的是 31772 等,等同采用的国家标准如右图所示 在国标号码后面会紧跟着 ISO标准号
ISO27001标准框架图
新版27001 名字变成了 信息安全、网络安全与隐私保护 信息安全管理体系要求,在原来信息安全基础上,融入了网络安全与隐私保护,范围更加大而全,涵盖了信息安全的各个方面。整体上 27001是以信息安全风险管理为基础,通过规划、设计、运行实施、绩效评价和持续改进,保障信息系统的机密性、完整性和可用性。
我们来看一下 27001整体的要求,相对来说是比较少,核心内容在附件中,也就是在27002中。其实整个改版过程也是先修订的27002,花了三年时间,在27002修订完,花了3个月就完成了27001的修订,基本上27001:2022版 内容没有大的调整。
主要包括 从第4章开始的组织环境, 一直到最后一章的改进
每章内容与老版本变化比较小。
ISO27002标准框架图
27002主要包括前言、介绍、范围、规范性引用文件、术语定义和缩略语、标准结构
从第五章开始是核心内容组织控制,人员控制、物理控制、技术控制,最后是附录A和附录B
可以说 本标准提供了一套通用信息安全控制 的参考,包括实施指南。 基于ISO/IEC27001的信息安全管理体系(ISMS); 根据国际公认的最佳做法,实施 信息安全控制; 制订适合各机构的信息安全管理指引。
ISO27002新旧版本对比
首先是文件名发生变化,原来是信息技术、安全技术 信息安全控制实用规则,现场变成了 信息安全、网络安全和隐私保护-信息安全控制,范围是更加的广。
原来是18个章节,现在调整成8个章节和2个附录。在术语、定义和缩略语术语上,在原来的基础上增加了一些,没有大的变更。
控制分类发生了比较大的改变,原来是14个安全域,现在变成了4个主题,同时控制数量也由原来的114个变成了93个,总数量是变少了。同时新增加了控制属性和控制试图,两部分内容。
整体上,由14个控制域变更为4个主体,总控制措施由114个变成了93个,从图可以看出 前四章基本是没有变化,从第五章开始调整比较大,原来是分成了 信息安全策略、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、操作安全、通信安全、系统获取、开发和维护、供应商关系、信息安全事件管理、业务连续性管理、符合性等内容,章节比较多,但其间逻辑结构确实比较混乱,没有那么清晰。而新版是进行分类,包括人员控制 主要是与人相关的,物理控制强度与物理环境有关的控制措施,比如物理机房、物理办公区及个人办公桌环境等。技术控制所有与安全技术相关的控制如身份鉴别,访问控制,应用开发等,最后如果不在上述三类中,就放到组织控制中,整体上看是相对更加容易理解,结构更加清晰。
ISO27002控制措施变化说明
人员控制主题,里面主要包括涉及到与人有关的控制措施,控制措施总数量是8个,其中没有新增的,合并了1个,更名3个, 人员控制措施主要涉及的是员工在企业工作的完整生命周期,按时间顺序划分就是入职前,任用中和离职过程,相对内容比较确定,因此基本上没有新增控制措施。
物理控制主题,主要包括涉及到物理实体的控制措施,主要是机房和办公区与物理环境有关的控制内容,总控制措施14个,新增1个,合并2个,更名是3个。
技术控制主题,主要包括控制措施涉及到具体的安全技术,如身份鉴别,访问控制,应用开发等,总控制数量是34,新增7个,合并9个,更名是3个,可见安全技术相关的控制措施还是比较多的。
组织控制主题,其实就是其他,非以上三类的所有控制措施都可以化到这个主题里面,所以控制措施数量也是最多的,有37个,新增3个,合并11个,更名15个
最终控制数量是93个,新增11个,合并23个,更名34个,这几个数字大家也不需要特别记忆,其中还是有点关系,11+23=34 ,也就是说 更名的数量=新增数量+合并数量 之和
可见,27002的新版本,整体的调整还是比较大的,但如果我们长期跟踪2700X系列标准,是可以理解为什么27002变化这么多,27002的很多控制要求是来自于其他2700X标准,比如风险评估内容大部分来自 27005,个人隐私相关的来自27701 ,而近些年随着安全行业的发展,其他标准都在变化,进而促使,27002更版之时,变化略显多了。
ISO27002 新增11条安全措施
5.7 威胁情报
应收集和分析与信息安全威胁有关的信息,以制作威胁情报。
提供对可能影响组织的威胁环境的认识,以便组织能够采取妥善的减 缓威胁的行动。
可以说 2015年左右gaterner 提出威胁情报后,这个安全新词就火的一塌糊涂,成为了整个安全建设中重要组成部分,及时发现外部的攻击、最新安全事件、最新漏洞等信息非常有助于组织提前布防,修复相关的问题,是真正御敌于外的解决方案。
5.23 使用云服务的信息安全
根据组织的信息安全要求,建立云服务的获取、使用、管 理和退出流程。指定和管理使用云服务的信息安全。
近十年,云计算因其便利性,在我国得到了快速发展,但上云除了面临传统安全风险外,还会面临新的 如安全职责不清晰,数据所有权问题,对云服务商过度依赖、云上数据残留等问题, 因此27002将云的信息安全单独做为一个控制措施,也是非常可以理解的。 如果您是信息安全从业人员,对云安全还不了解,思度也提醒您,今早进入这个领域,进行学习。不要逆势而行 。
5.30 业务连续性的ICT准备 应根据业务连续性目标和通信技术连续性要求来规划、实 施、维护和测试通信技术的准备情况。
确保组织的信息和其他相关资产在发生中断时的可用性。
业务连续性,直接影响信息安全的可用性属性,是非常重要的,是业务发展的基础,今年来也是有很多相关案例,最新的腾讯机房故障 导致微信等业务使用受到影响,以及唯品会业务故障,损失1亿元,相关负责人被处罚或免职。
7.4 物理安全监控 应持续监测物理场所,以防止未经授权的物理访问。 检测和阻止未经授权的物理访问。
物理安全是整个安全体系的基础,没有物理安全,其他的安全防御措施就是空中楼阁,可以说毫无意义,这里重点强调的是物理安全监控相关措施,也属于威慑 或事后调查取证一类措施。
8.9 配置管理 应该确立、记录、实施、监控和审查配置,包括硬件、软 件、服务和网络的安全配置。 确保硬件、软件、服务和网络在必要的安全设置下正确运行,并且配 置不会因未经授权或不正确的变更而被改变。
说到配置管理最容易想到的就是安全基线,所有的软件、硬件、这些基础设施,在使用之前都应该进行基本的安全配置,进行功能裁剪和安全加固,确保有基础的安全防御能力。同时线上应用系统一定要实现代码与配置分离,防止出现,代码泄露包括核心密钥等信息,这样的安全事故,可以说是举不胜举。 上海某局 10亿条用户信息泄露,就是源于此。
8.10 信息删除 在不再需要时应删除存储在信息系统和设备中的信息。 为了防止敏感信息不必要的暴露,并遵守法律、法规、监管和合同对 数据删除的要求。
近年很多安全事件因设备过期、备份数据无人管理导致信息泄露,而我国的 35273 个人信息安全规范,也是要求服务提供方,应提供用户注销的功能,用户有删除个人信息的权利,因此增加了信息删除也是符合法律法规要求,及现实安全防御的要求。
8.11 数据屏蔽 数据屏蔽的使用应符合组织的特定主题访问控制策略和业务要求,并考虑到法律要求。 限制敏感数据的暴露,包括个人身份信息,并遵守法律、法规、监管和合同要求。
屏蔽是直译的,其实翻译成数据脱敏更合适,说到数据脱敏大家应该都不陌生,比如数据在导入测试环境或大数据环境要进行脱敏,日志提供给第三方要静态脱敏,数据返给给用户展示必要时要进行动态脱敏等。
8.12 数据防泄露 数据泄漏预防措施应用于处理、存储或传输敏感信息的系 统、网络和终端设备。 检测并防止个人或系统未经授权的披露和信息提取。
数据安全里面最核心的内容,大家应该都可以理解。
8.16 监控活动 应监测网络、系统和应用的异常行为,并采取适当的行动 来评估潜在的信息安全事件。 检测异常行为和潜在的信息安全事件。
这个就是态势感知功能,是等保里面的安全中心,是对整个网络安全状态总体把控。非常的重要。
8.23 网站过滤 应管理对外部网站的访问,以减少对恶意内容的接触。 保护系统免受恶意软件的危害,并防止访问未经授权的网络资源。
这个是基础功能,现在的waf,ips等安全防御措施都可以满足。
8.28 安全编码 安全编码原则应用于软件开发。 确保软件的编写是安全的,从而减少软件中潜在的信息安全漏洞的数 量。
应用系统安全漏洞,仍然是安全事件产生的根本原因,因此安全编码提到新的高度也是可以理解的。
ISO27002控制措施全景图
共包括组织控制、人员控制、物理控制、技术控制 4个控制主题,其中组织控制共计是37个控制措施, 信息安全策略 信息安全角色和职责 职责分类 管理层责任 与职能机构的联系 与特定相关方的联系 威胁情报 项目管理中的信息安全 信息和其他相关资产的清单 信息和其他相关资产的可接受的使用 资产返还 信息分类 信息标签 信息传递 访问控制 身份管理 鉴别信息 访问权限 供应商关系中的信息安全 解决供应商协议中的信息安全问题 管理ICT供应链中的信息安全 供应商服务的监控 审查和变更管理 使用云服务的信息安全 规划和准备管理信息安全事故 信息安全事件的评估和决策 应对信息安全事故 从信息安全事故中吸取教训 收集证据 中断期间的信息安全 ICT为业务连续性做好准备 法律 法规 监管和合同要求 知识产权 记录保护 PII隐私和保护 信息安全独立审查 信息安全策略、规则和标准的遵从性 文件化的操作程序
人员控制共计8个控制措施, 筛选 雇佣条款和条件 信息安全意识 教育和培训 纪律程序 雇佣关系终止或变更后的责任 保密或不披露协议 远程工作 报告信息安全事件
物理控制共计14个控制措施,
物理安全边界 物理入口 保护办公室 房间和设施 物理安全监控 抵御物理和环境威胁 在安全区域工作 桌面清理和屏幕青莲 设备安置和保护 场外资产的安全 存储介质 支持性设施 布线安全 设备维护 设备的安全作废或再利用
技术控制共计34个控制措施
用户终端设备 特殊访问权 信息访问约束 获取源代码 安全身份认证 容量管理 防范恶意软件 技术漏洞的管理 配置管理 信息删除 数据遮盖 防止数据泄露 信息备份 信息处理设备的冗余 日志 活动监测 时钟同步 特权实用程序的使用 在操作系统上安装软件 网络安全 网络服务的安全性 网络隔离 Web过滤 密码学的使用 安全开发生命周期 应用程序安全要求 安全系统架构和工程原理 安全编码 开发和验收中的安全性测试 外包开发 开发 测试和生产环境的分离 变更管理 测试信息 审计测试期间信息系统的保护
每个控制措施的属性
这小节 思度安全 主要给大家介绍一下 27002:2022 每个控制措施新增的控制属性
27002每个控制措施新增的控制属性包括控制类型、信息安全属性、网络安全属性、运行能力和安全域
a)控制类型 控制类型是从控制何时和如何改变信息安全事件发生风险的视角来看控制的一种属性。属性值包含预防(旨在防止信息安全事件发生的控制)、检测(作用于信息安全事件发生时的控制)和纠正(作用于信息安全事件发生后的控制)。
b) 信息安全属性 信息安全属性是从控制有助于保护哪些信息特征的视角来看控制的一种属性。属性值包含保密性、完整性和可用性。
c) 网络空间安全概念 网络空间安全概念是从控制与网络空间安全概念关联的视角来看控制的一种属性,ISO/IEC TS 27110描述的网络空间安全框架定义了网络空间安全概念。属性值包含识别、防护、发现、响应和恢复。
d) 运行能力 运行能力是从从业者信息安全能力的视角来看控制的一种属性。属性值包含治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和脆弱性管理、连续性、供应商关系安全、合规性、信息安全事件管理和信息安全保障。
e) 安全领域 安全领域是从四个信息安全领域的视角来看控制的一种属性。四个信息安全领域为:“治理和生态体系”,包括“信息系统安全治理和风险管理”和“生态系统网络空间安全管理”(包括内外部相关方); “保护”,包括“IT安全架构”、“IT安全管理”、“身份和访问管理”、“IT安全维护”及“物理和环境安全”;“防御”,包括“检测”和“计算机安全事件管理”;“弹性”,包括“运行的连续性”和“危机管理”。属性值包含治理和生态体系、防护、防御和弹性。
ISO27002 与IPDRR 映射关系
网络空间安全 主要指 IPDRR,识别、保护、检测、响应和恢复
这样视图将 27002的93个控制措施与ipdrr的映射,比如第一类是识别控制措施,像 信息安全策略,信息安全角色和职责等
信息安全治理
方针: 由其最高管理层 正式 表达的组织的 意图和方向 文件。
特定主题策略:适当层级管理者正式提出的对某一特定主题的意图和指导,或者方法。
人力资源安全
入职
信息安全角色和责任
能力:学历、工作经历、笔试、面试、考评
基础:背景调查、违法犯罪记录、政治审查 、体检报告、财务信息
签约:劳动合同、保密协议,竞业协议,条款有效期(在离职后沿用一段时间)
过度: 实习、转正、最小授权/按需授权
长期观察跟踪候选人,最终才能挖到人
任用中
培训红线<-> 考核
培训时间点: 入职初期-意识培训,任职中 技能培训/专题培训/案例刨析,(存在感)日常海报/屏保/会议室安全提示/日常安全报警邮件/内外部安全事件通报/国家法律法规的通报
培训内容:
培训效果: 考核
培训形式: 线上/线下,自学/授课
培训对象: 分层(不同的层级需要的培训是不同的)
培训激励: 定期的安全评选, 优秀的案例或解决方案
39204 7.4 关基运维人员 每年培训 不少于 30 个学时
违规处罚过程: 恶意/意外(误操作)
信息保护
资产管理
身份和访问控制
安全配置
物理安全
威胁与脆弱性管理
应用安全
系统和网络安全
供应商关系安全
信息安全事态管理
业务连续性
信息安全保障
法律和合规性
信息安全管理制度全景图
