因为要和许多中国/国际企业合作,我们需要一套更加完备的信息安全认证。所以这两个礼拜搞ISO27001搞的很心烦,于是写写27001的概念,顺便聊聊认证体系。
关于ISO27001:
ISO27001认证,由英国标准协会(BSI)于1995年2月提出,中文全称《信息安全管理实施细则》(BS7799-1:1995)。它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。1998,提出了第二个部分,中文全称《信息安全管理体系规范》,它规定了信息安全管理体系的要求和对信息安全控制的要求。2005年被ISO国际标准化组织采纳,形成了ISO/IEC 27001:2005。完整的ISO27001包括了11个方面、39个控制目标和133项控制措施。是一个不折不扣让一个互联网人晕到吐血的管理制度。主要11个方向包括:
- 安全方针
- 信息安全组织
- 资产管理
- 人力资源安全
- 物理和环境安全
- 通信和操作管理
- 访问控制
- 信息系统获取、开发和维护
- 信息安全事故管理
- 业务连续性管理
- 符合性
通过对整个ISO27001这11个方面的落地,实现一个ISMS(信息安全管理系统)。这里特别说明,这个系统不是互联网概念上的系统,指的是一个体系化的东西,包括了上面所属管理、行政、人事、信息技术等各个方面。详细的就不在这里说了,实在是好多。目前这个工作已经在做了,这里给大家看一下我们的列表,这里面大概60%是技术团队要做的。
ISO27001与HIPAA
之前有不少人问HIPAA的事情,现在估计也会有不少人问ISO27991和HIPAA的区别。所以这里简单说明一下。从概念上说,ISO是一个标准,可以由相关评级机构进行评级,办法符合标准的认证证书。这个证书可以用来和企业进行合作,以表明我司在信息安全方面的准备和能力是充分的。而HIPAA是一个法案(也可以说是一个法律),就是每个医疗相关企业遵守是必须的,不遵守如果被举报就要吃官司。哦,对了,这里还要特别说明,ISO和医疗无关,HIPAA是专门为医疗信息保护准备。所以ISO主要讲的是信息保护这个系统工程要做哪些和怎么做;而HIPAA虽然原则上提供了一些强制性的标准和工作方法,但是其核心内容更加强掉哪些信息是禁止泄露的。
所以说,本次公司的ISO27001认证,我们也是请了相关具有评估资质的公司来进行评审。
ISO27001我们所做的和下一步需要做的事情
下一步主要要做的事情就是完善文档和制度了。这里我想特别说明,之所以我会很重视这件事情,不是为了完善文档和制度,反而是从一个专业技术的角度,想想怎么从里面尽可能找些方法,避免繁琐的文档和制度。在我心里,过于完善的制度和方法,对研发和快速迭代,快速试错本事是有害的。所以,尽最大程度的减少ISO27001对互联网团队的伤害,是我最近想研究的一个话题。有了结果的话,可以再写一篇博文了,呵呵。看一下一片标准的ISO27001文档的样子,像下面这种文档理论上是每次都要写的。做过企业软件的人,应该知道。
总之,ISO27001确实是一个挺麻烦的东西。但是,从企业合作的角度,又不得不去做,并且也可以成为公司系统安全方面比较好的一个PR背书,从这一点上看,质量体系的工作比HIPAA的工作实际上在中国更有公信力。所以吧,对于我来讲对于这东西属于虽然很反感,不屑,但是又知道很有用,不得不去做的东西。希望看到文章的技术兄弟,也是对此表示一种尊敬吧。我自己承认,了解还是有必要的,只是要做多少,大家根据实际情况做到心中有数就好。