2.7 ISO 27000系列安全标准
2.7.1 ISO 27000系列
ISO 27000系列标准又被称为“信息安全管理系统标准族”,是由国际标准化组织(International Organization for Standardization,ISO)及国际电工委员会(International Electro-technical Commission,IEC)共同制定的标准系列。该标准系列通过总结过去的最佳实践,提出对信息安全管理的指导和建议,同时也包含隐私、保密、法律、组织管理等诸多方面,以适应不同类型组织的要求。
ISO 27001全称是ISO/IEC 27001,是ISO/IEC 27000系列标准的一部分,第一个版本由ISO组织在2005年发布,2013年更新了版本,并在2017年进行了细微的调整。它旨在提供一套综合的信息安全管理体系与安全控制实施要求与规则。作为企业信息安全管理评估的基础和参考基准,它已经成为世界通用的信息安全管理标准,在许多国家的政府、金融、电信等重要行业中被广泛应用。为了更清晰地了解27000系列,这里介绍几个和云计算保护相关的标准、规范和指南。
1) ISO 27001 提供了用于开发信息安全管理系统(Information Security Management System,ISMS)的策略、过程和控制框架,包括执行风险评估、设定目标和实施控制措施。需要注意的是ISO 27001是管理标准,不是安全标准,它采用基于风险评估的方法,确定组织的安全要求,然后将风险置于组织可接受范围内所需的安全控制中进行管理。一旦确定了安全控制措施,ISO 27001就会定义流程,以确保这些控制措施得到有效实施,同时控制措施要继续满足组织的安全需求。这里的关键点是企业决定所需的安全级别。因为ISO 27001没有定义要使用的风险评估方法,因此企业应根据风险评估和组织可接受的风险水平(风险偏好)来选择所需的安全控制措施。
2)ISO 27002提供了与ISO27001共同实施的数百种控制和安全机制,这些控制包括安全策略、资产管理、访问控制、加密和操作安全性等。ISO 27002旨在作为在基于ISO 27001信息安全管理系统实施过程中选择安全控制的参考,需要注意的是,企业可以获得 ISO 27001的认证,但不能获得ISO 27002的认证。
3)ISO 27017提供了有关实施云计算安全标准的指南,以及基于云的特定信息安全控制对ISO 27001进行了补充。ISO 27017本质上是基于云服务的ISO 27002的信息安全控制操作规范,是建立在ISO 27002现有安全控制之上的指南。
4)ISO 27018是一个适用于公有云个人身份信息控制的规范和其他相关指南,以解决其他ISO 27000标准未解决的公有云中PII(个人可识别信息)保护的问题,重点是保护云中个人数据的安全。
信息的安全管理标准规则是通过实施一组适当的控制措施实现的,包括政策、技术、流程等。在实践中,企业需要建立、实施、监控、改善这些控制措施,并在统一的框架下构建一套全面的安全管理与控制体系。
2.7.2 ISO 27001体系框架
ISO 27001将安全体系建设分为14个控制项,认证机构在合规性检查时会对每个控制项进行审计。这些控制项包含策略、组织、架构、安全管理、事件响应、业务连续性管理、合规等。企业的安全管理体系需要将这些控制项融入企业流程中,并构建完整的信息安全管理体系文件,如下对ISO 27001的控制项和要求进行了总结。
1)信息安全策略:涵盖了应如何在信息安全管理体系中编写策略并对其进行合规性审查,企业的定期记录将会被审查。
2)信息安全组织:包括组织内的任务和责任分工,企业对其应该有清晰的组织结构来展示。
3)人力资源安全:包括企业在员工上任、离职或换岗期间告知员工信息安全职责的流程。
4)资产管理:数据资产管理和安全保护流程,包括软硬件和数据库等资产如何被管理,以保障它们的保密性和完整性。
5)访问控制:包括访问的授权原则、管理方法,以及员工的访问授权指南和流程。
6)加密:包括加密流程、加密方法和加密的最佳实践。
7)物理与环境安全:包括物理机房、数据中心的安防流程等。
8)运营安全:在欧洲的一般数据保护法出台后,企业采集和存储敏感数据的流程对企业管理建设至关重要。
9)通信安全:企业内所有的通信流程,包括邮件、视频电话等是如何被使用的,以及产生和传输的数据是如何被保证安全性的。
10)系统采购、开发和维护:在新设备购置后,企业需要按照一致的安全策略进行管理,并保证它们的高安全性。
11)供应商关系:所有企业与外部供应商的合同、合作方式和外部供应商访问企业数据的安全流程都需要明确和被管理。
12)安全事件管理:包括安全事件响应的最佳实践及企业如何发现和处置的流程。
13)企业涉及安全的连续性管理:指企业如何从业务中断或重大更改中恢复的流程。
14)合规:企业如何遵从所在地政府和行业的安全规范的流程和证据。
具体的安全管理体系将取决于企业组织和业务类型,只有将业务相关的流程落实到位,企业才有可能达到标准要求。
2.7.3 ISO 27001对云安全的作用
ISO 27001可以帮助企业建立一套规范的安全管理体系,可以更全面地对信息安全进行高效地综合管理。具体体现在以下方面:
1)实施ISO 27001可以改进风险管理和信息安全性,使企业的内部信息安全管理标准化,形成基于风险管理的框架。
2)ISO 27001提供了一套标准的信息安全策略,这些策略能阐明组织实施管控的方法,确保企业良好的信息安全保护规范和流程,如强大的访问管理策略要求企业必须详细说明组织如何实施访问管理策略,该策略必须提供给所有员工,并且必须包含在其所提供的所有培训中。
3)ISO 27001要求企业必须保留访问数据的个人信息列表,并且必须有理由作为支撑,为了确保遵循此过程,还必须对企业进行监视和审核,并及时处理违规行为。
4)企业通过ISO 27001信息安全管理体系认证后需要定期接收监督审核,这可以对其商业客户或合作伙伴展示很强的安全能力,而作为云平台也可以降低云客户在云环境下产生的安全疑虑。
5)企业实施此标准还可以提升不同部门对信息安全的意识并有利于加强协作。
6)ISO 27001的国际通用性可以帮助企业更好地完成其所在地区或行业的合规要求。
在公有云环境中,获得ISO 27001等合规性认证是一个基本要求,这可以更好地证明平台各个层面对信息安全的承诺,并能与行业领先的最佳实践始终保持一致。
2.7.4 企业如何在上云中合理使用标准
把标准要求融入企业的安全管理流程中是一项长期的工作,而实际的过程又由企业的业务决定。企业并不需要全面而深入地对要求中的所有项进行细化,只需把控制措施中与企业密切相关的内容进行细化即可,兼顾覆盖其他的控制要求,并且通过不断地优化来持续改善。
首先,在风险评估和资产管理阶段,企业应该做好资产的识别,即全面、准确地了解企业资产及风险,这是一项系统性的工程,必须依赖多部门的协同共同完成。因此,在公司内这需要获得高层的许可,以便开展信息安全组织支撑体系建设的工作。需要注意的是,在不同阶段资产具有的价值和风险可能有所不同,故判断和分类尤为重要。同时,在资产确认后还需要对资产进行分级分类,并归纳找出资产之间的关系,这一步需要做好,否则后续一切体系建设都无从谈起。
其次,在企业有了资产清单后,就可以开始后续的安全政策和体系设计的工作。在这部分工作中,部门人员的角色与权限、数据的分类分级规划、安全政策的设计是核心。这里的安全政策是指针对不同身份的访问权限设计、不同重要性的数据管理方式,以及事件管理、业务连续性管理和合规性管理等。
再次,在差距分析阶段,企业需要根据标准中的14个控制项、35个控制目标和114个控制点对比自身的安全措施和状态,通过风险评估对可能的威胁、影响进行识别和分析,找到企业的风险点,消除潜在隐患。同时,企业也需要发现弱点,除了系统、应用等技术上的弱点,还包括业务流程、管理机制上的管理类问题。另外,在人力资源安全、物理和环境安全、通信安全、资产管理、访问控制、信息系统运维等不同层面上要进行弱点分析和排障,对已有的安全措施进行有效验证。在风险判定阶段,准确量化风险等级除了要考虑风险的程度、影响和可能性,还要结合企业的安全策略、风险偏好、资源投入等条件信息进行综合考虑。
最后,在响应管理和处置阶段,企业除了要考虑消除风险,还要考虑转移和规避风险,以更经济的手段进行整改。由于信息不断存在新的威胁,因此并没有完美的信息安全管理体系,而如何利用有限的资源针对性地设计安全体系是每个企业的安全管理人员面临的最大挑战。在实施ISO 27001标准时,一定要结合场景,从实际出发,真正发挥安全管理体系的最大价值,切忌刻板对应。
2.7.5 云服务商如何合规
不同的云服务商基本都在实施自己设计的安全模型,虽然它们完全可以依赖自己的内部策略和组织去应对威胁,但还是应该根据ISO 27001的标准调整自己的策略和流程。在具体实践中,建议企业采用基于风险的方法进行控制,通过识别信息安全风险并选择适当的控制措施来应对,同时需要关注以下几个方面。
1)数据的保护与隐私:企业需要具备通过安全策略来管理用户角色、职责、流程,以及个人可识别敏感数据和系统访问的能力。
2)服务的可用性和连续性:提供云服务的可用性、备份和灾备恢复的策略,以确保服务始终可以被访问。
3)合规性:有相关的管理流程来确保持续监控对标准的遵从性,以消除违规风险。
4)持续安全监控:确保云资源配置的安全性和一致性,并可以告警违规漏洞。
5)身份管理和访问控制:系统访问控制仅放行授权用户、角色和应用程序,资源应该受到约束,始终禁止未经授权的访问。
6)数据完整性:云服务具备适当的安全性,即保护措施可以保证信息的保密性、完整性和可用性,包括但不限于网络、加密和备份等。
2.7.6 ISO 27000的安全隐私保护
随着隐私保护成为安全保护的必然要求,云平台除了要满足ISO 27001信息保护的要求,还要满足ISO 27017/27018的要求。ISO 27017提供了云环境下的安全保护指南,而ISO 27018是一个保护云中个人数据安全的标准,主要价值在于能帮助云平台建立自己的云上规范,保证云中的个人隐私数据等不被泄露和非法利用,从而让客户更放心地在云上开展商业活动。
虽然云服务优势诸多,但企业对云服务的安全性仍有顾虑。与ISO 27001配合使用的ISO 27017阐明了云服务商和云客户在安全保障中的角色和所应承担的责任,弥补了ISO 27002中缺少云环境安全保障的措施。通过ISO 27017的认证可以有效地保护数据,降低数据泄露的风险,以及违反法律法规带来的风险和产生的负面影响,增加了客户对企业的信任。在进行ISO 27017认证之前,企业必须先经过基本的ISO 27001认证。
ISO 27018也建立了对个人信息数据的目标和准则,作为根据公共云计算环境ISO 29100中的隐私原则实施保护个人身份信息的措施。值得注意的是,ISO 27018也是基于ISO 27002形成的准则,作为云环境中对个人信息保护的法规要求,因此当任何云服务商在云中处理客户的个人信息时,都应该遵从ISO 27018的准则,这样其无论是作为数据控制者还是作为数据处理者都可以提供给客户信任感。
如果云平台通过了ISO 27017和ISO 27018的认证标准,则表示向公众证明它们拥有一套专门处理云上安全和隐私保护问题的完整的云平台管理制度,这也是云平台对云安全和隐私内容的重要承诺。
随着ISO 27001的普及,它已经不再是企业差异化的竞争优势,而越来越成为一个赢得客户信任的最低要求。在对待ISO 27000时,企业要根据自己的实际情况来定制规范的安全管理系统,根据自己的服务模式、风险偏好、资源投入、适用范围等来判断如何进行体系认证。企业需要确定适合的方法并实施风险评估,选择安全控制并确保这些控制足以满足组织的安全需求,这也要求企业必须具备一定的风险管理与安全的专业知识,因为ISO 27001仅仅提供了执行操作的框架,而没有提供一个合规清单。
客户也需要准确地了解服务商通过了哪些认证及认证使用的范围,避免因为市场宣传而造成误读。企业不应该把通过认证作为一种营销手段,而客户也不应该完全依赖经过认证的企业解决所有的安全问题。
企业只有充分了解信息的价值并加以保护,才能有效地实施信息安全,这需要管理层的长期承诺,以及组织各个层面持续地实施有效的安全教育。