ISO27000体系是众所周知的信息安全国际标准,用户可以依据ISO27000体系中的各项条款组织建设自身的信息安全管理体系(ISMS, information security management system),ISO27000体系中的ISO27001做为该体系的第一款标准发布于2005年,故全称为ISO27001:2005,其最初制定的目的是为了给网络的信息安全体系设立建设规范。如今整个的ISO27000体系已经发展到了第7个年头,而其家族也发展到了第35位成员。
与ISO27000体系前几篇从宏观角度给出整体化安全体系建设规范不同的是,27035标准更侧重于对安全事件的处理和响应办法,依据商业标准组织的建议,各种机构如果能够采纳ISE/IEC27035:2011中对于安全事件进行管理的方法和规范,那么它将帮助用户减少IT类安全威胁所带来的各种影响。ISO声称,安全漏洞会使得企业的运营体系受损,会中断机构的业务运行,另外,ISO还强调,在采用适时的、有效的方式进行准备和响应的情况下,一次灾难性的事故也能够被转换成一个较小的事件,从而减少损失。
这些正是信息安全事件管理系统所涵盖的内容,其使得各机构能够适时地对事件进行控制和流程化的处理,从而对广泛的各种安全事件和漏洞进行有效管理。ISO/IEC 27035:2011沿袭了之前的条款,给出了指导管理者对信息安全事件及漏洞进行检测、上报和评估的各种方法。
ISO/IEC 27035:安全事件处置的衡量标准
ISO注意到,这个标准将帮助企业迅速对信息安全事件进行响应,如对入侵事件立即进行适当的控制,并减少损失及迅速进行系统恢复,通过这些处理流程,管理者能够熟悉并增强他们的总体安全方案。
Edward Humphreys带领的团队负责了ISO/IEC TR 18044:2004标准的原始版本制定,他也表示,对重大安全事件是否能进行有效和迅速的处理将导致两种截然不同的结局,要么成功地从灾难中恢复,要么陷入系统瘫痪的泥沼。
“新的ISO/IEC 27035标准提供了经过实践与测试验证的有关流程与方法的建议,管理者可以部署到自身网络中以确保对信息安全事件进行有效的管理”,Edward Humphreys解释说。“小事件一般只影响单个的业务系统,与此不同的是,重大事件往往会导致全部业务瘫痪”,“部分安全事件会导致机构及业务资源的使用中断24~72小时,甚至更长时间;部分安全事件会造成数据泄露或损坏,还有一部分甚至会使机构面临牢狱之灾。ISO/IEC 27035:2011为这些都提供了全面的解决方案。” Edward Humphreys最后说道。
我们注意到,在替换了老的ISO/IEC TR 18044:2004技术报告标准后,新颁布的ISO/IEC 27035:2011标准支持在ISO/IEC 27001:2005中所规定的常规概念,保持了继承性。新标准适用于任何机构,任何规模的用户。它覆盖了一系列的信息安全事件,适用于或蓄意,或偶然,或技术性,或物理上的各种攻击。
新颁布的ISO27035:2011标准在国内得到广泛应用还需要一定的时间,但依据标准所透露出来的基本处理方式对广大的管理者是一个很好的借鉴。其首要的思想就是对信息安全事件进行分层次处理,因为所有的入侵、攻击、泄露事故均发起于某一点,而最终影响到整个网络层面,或造成整体管理制度上的极坏影响。
对于信息安全的管理者而言,在没有形成应对安全事件的标准规范之前,学会如何将风险控制在源头是十分重要的一环,而网络风险的基本源头就在接入的边界。传统意义的边界指的是外网,也就是防火墙通常放置的位置之外,而如今网络边界的定义则得到了极大的拓展,因为内网的边界往往比外网边界更为宽泛,各类设备,包括PCs(windows、linux、solaris,etc)、laptops、PDA、 smartphone(iPhone/iPad, Blackberry, Android, Windows Mobile and Nokia Symbian)、IP-enabled facilities(such as vending machines, laundry machines, IP surveillance cameras, and others)都会通过各种方式从内网边界进入管理者的辖区。因此,控制好纷繁的内网接入源将是形成规范化管理的第一步也是最重要的一步。在这一方面,NAC(网络接入控制)为我们做出了很好的榜样,坐落在天堂杭州的准入控制行业领导者盈高科技在2011年底提出了基于其准入产品ASM的一体化安全事件防范体系,这也将对接入边界的控制提高到了整体网络解决方案的高度。