ISO27000建立和运行步骤
ISO27000建立和运行步骤
1、 制定信息安全方针;
2、 明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来明确界限;
3、 实施适宜的风险评估,识别资产所受到的威胁、薄弱环节和对组织的影响,并明确风险程度;
4、 根据组织的信息安全方针和必须的保证程度来明确应实施管理的风险;
5、 从BS7799-2的第四部分“控制细则中选择适宜的控制目标和控制方式(从36个目标,127种控
制方式中选择);控制目标和控制方式的选择能够参考BS7799-1:1999《 信息安全管理体系实施细则》
标准,假如标准中没有的控制目标和控制方式,组织能够也应选择一些其它适宜的控制方式。
6、 制定可用性声明,将控制目标和控制方式的选择和选择理由文件化,并标明未选择BS7799-2 :
1999第四部分中的任何内容以及理由;
7、 有效地实施选定的控制目标和控制方式;
8、 进行内部审核和管理评审,保证体系的有效实施和持续适宜。
ISO27000认证
ISO27000认证
ISO/IEC27000(Informationsecuritymanagementsystemfundamentalsandvocabulary信息安全管理体系基础和术语),属于A类标准。ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织能够按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。
ISO27001适用范围
信息安全对每个企业和组织来讲都是必须的,因此信息安全管理体系认证具有普遍的适用性,不收地域、产业类别和公司规模限制。从目前的获得认证的企业情况来看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包行业。
ISO27001体系建设准备事宜
信息安全管理体系建设项目区划成5个大的阶段,并包含25项关键的活动,假如每项前后关联的活动都能很好地完成,最终就能建立起有效的ISMS,实现信息安全建设整体蓝图,接受ISO27001审核并获得认证更是水到渠成的事情。
1现状调研:从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。
2风险评估:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
3管理策划:根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。
4体系实施阶段:ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。
5认证审核阶段:经过一定时间运行,ISMS达到1个稳定的状态,各项文档和记录已经建立完备,此时,能够提请进行认证。
ISO27001认证好处
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证通常,标明您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据ISO27001对您的信息安全管理体系进行认证,能够带来以下几个好处:
1.引入信息安全管理体系就能够协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有1个防火墙,或找1个24小时提供信息安全服务的公司就能够达到的。它必须全面的综合管理。
2.通过进行ISO27001信息安全管理体系认证,能够增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录能够看到信息安全管理明显的利益,并为广大用户和服务提供商提供1个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
3.通过认证能保证和证明组织所有的部门对信息安全的承诺。
4.通过认证可改善全体的业绩、消除不信任感。
5.获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。
6.建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者以及他利益相关方的投资信心。
7.组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,可是若能通过认证机关的审核,获得认证,将会获得有价值的回报。企业通过认证将能够向其顾客、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使顾客及利益相关方感受到组织对信息安全的承诺。
8.通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。
山东企业ISO27001信息安全管理体系建设运行的正确方式
信息安全管理体系(ISMS)在国内经过十多年的应用逐渐走向成熟,在这个过程中,有许多组织在对其不断完善强大,也有许多组织逐渐将其边缘化。同时,那些坚持下来的组织,也有些对ISMS体系的运行逐渐流于形式,仅将其作为商业竞争的筹码。这是1个值得思考的问题,这一问题的妥善解决,将有助于真正提高组织的信息安全管理水平。
ISMS最直接相关的是ISO/IEC27000标准族,预留标准号60个,目前已有35个标准号相关标准建立发布,但由于标准转换的限制和标准的专业性,国内建立ISMS的组织通常都仅仅关注ISO/IEC27001《信息技术安全技术信息安全管理体系要求》和ISO/IEC27002《信息技术安全技术信息安全管理体系控制实践指南》。这两个标准,尤其是ISO/IEC27001仅是要求,内容简练,不易理解,从而导致组织对其理解存在偏差。本文从可能存在的偏差以及原因入手,对解决方法进行简单探讨。
偏差之一是组织对建立ISMS期望太高,以致对仓促建立的体系感到失望。ISMS对应的要求类标准ISO/IEC27001来自英标BS7799-2,是工业化国家对其信息安全最佳实践的总结和提炼,但部分组织会认为它本身就是最佳实践。事实上,标准只是要求,没有具体实现的方法,必须组织对其进行理解、建立、实施和运行,并逐步形成自己的最佳实践。因此一开始一劳永逸的高期望与实际建设和运行过程中频频出现的问题是组织对ISMS逐渐失望并产生怀疑的主要原因。
偏差之二是重实施不重设计。好的设计能够让实施变得事半功倍,且更容易实现预期的效果。但现实是,大部分组织都采用简单的设计,复杂的实施。在体系建设之初,体系的建设小组通常会在咨询方的指导下,开展体系的建设和实施。通常情况下,有咨询方指导,体系的建设和实施会更顺当,但实际上受时间或能力的限制,咨询方对体系建设方的具体情况了解不够充分,体系设计形式化,从而导致体系的建设大而全,不够深入和细致,不能贴合组织的具体情况。这样简单粗暴、不考虑实际的设计根本无法将ISMS真正融入组织原有的自成体系的管理里面,这也是组织对其失望的原因之一。
偏差之三是无法衡量ISMS对组织业务的正面支持和影响。体系的建设,必须要有管理层的支持和充足的资源保障,怎样说服管理层给予支持,必须充足的理由和证据。然而,许多组织在体系建设的情况下并未建立良好的评价机制,从而导致无法证明或展现管理体系的效果,再加上前面两个原因,更是雪上加霜,一旦管理层不再支持,管理体系有用没用都无法持续下去。
当然,ISMS无法良好运行的原因有许多种,这3个方面是相对比较普遍、关键和基础的,组织如能在这3个方面做好,则能够为建立ISMS打下了坚实的基础。
这三方面问题其实是相辅相成的,必须整体进行解决。目前,随着管理体系类标准的发展,信息安全管理体系实际上就是管理体系在信息安全领域的应用,因此我们能够先从管理体系谈起。
什么叫管理体系?简单说就是组织为了实现管理目的而建立的一系列相辅相成的管理过程,对组织的活动进行指导和控制。管理体系可大可小,可简单可复杂,1个全面的管理体系能够由多个单独的管理体系组成,其最终目的是实现组织的价值和战略目标。从这个角度来看,信息安全管理体系就是为了实现信息安全目的而建立的管理体系。随着国际标准化组织导则83的发布,对管理体系标准的基本结构提出了明确的要求,依据导则83编制的管理体系标准从章节设置和框架内容设置上都保持了高度一致,每个管理体系都是建立在同1个框架下。组织在建立管理体系的同时,也建立了1个基本的管理框架,这样一来,组织无论是建立其他管理体系还是为了实现某个管理目的建立管理规范时,都能够在这个基本管理框架下进行,因此,组织要建立ISMS应先从管理框架建起,这样能够达到事半功倍的效果。
那么,怎样建立管理框架才能避免前面提到的3个问题呢?首先,从标准结构来看,管理体系的框架分7章节进行描述,分别为:组织环境、领导力、规划、支持、运行、绩效评价和持续改进。每一章节的内容都很简单,仅仅是提出了要求,却没有要求一定要怎样做,组织必须自己理解或者聘请有能力的人员来协助完成这些管理过程的设计和实施。框架建立的质量将决定1个具体的管理体系设计实施的效果。现在,我们来了解一下管理框架的基本内容:
组织环境。组织必须建立组织环境管理的基本方法并识别组织的基本环境信息,其实所谓的组织环境也就是我们常说的组织的基本情况,例如组织业务及业务特点、来自外部的限制条件和约束、内部的限制条件和约束、相关方以及特点等,这些都会影响体系的设计效果,就像设计1个建筑要了解地质条件和人文环境一样重要。
领导力。没有管理层的支持就没有资源,因此要明确管理层的责任。管理体系要实现的组织管理目的其实就是管理层的管理目的,管理层在管理体系里面1个重要的责任就是要明确提出管理目的,也就是我们常说的明确方针,假如缺少这个环节,设计出的管理体系就不会得到管理层的支持。除此以外,为了实现管理目的,还必须管理层提供资源,分配职责和赋予权力。
规划。有了方针,自然要去实现它,管理体系的方针实现过程就是通过建立与方针保持一致的目标来实现,因此在规划阶段要建立逐级分解的目标,通常目标分为上层目标和下层目标,上层目标为下层目标提供方向,下层目标对上层目标进行支撑,分解为多少层与组织的组织架构和管理结构有直接关系,重点是要分解到能够通过活动来实现的层级。并不是每1个目标分解的层级都是一样的,必须根据具体情况来明确。在规划的环节,还应充分考虑组织的风险管理,在目标实现过程中,总是会有各种因素影响目标的实现,这些因素必须进行识别并得到有效控制。但这些因素的识别不要盲目采用那些所谓放之四海而皆准的列表,而是要结合组织自己的情况来针对性识别,也就是要充分利用识别的组织环境信息。基于上述活动,组织就能够建立起贴合实际的目标实现计划。
组织还需注意的是风险管理是动态的,随着组织环境的转变,风险也会转变,因此组织必须建立有效的风险管理过程和风险评估方法。
支持。从体系建设之初,对资源的需求就开始了,这一章正式提出了建立、运行、维护和持续改进管理体系所必须的支持,因此能够看出,标准的章节并不是按体系建设执行顺序来写的,不是要等规划完成后再考虑支持资源的提供和支持活动的建立。管理体系的支持主要从资源管理、人员能力管理、意识管理、沟通管理和文档管理等5个方面提出要求。这些方面,组织根据具体情况或者根据现有的管理情况明确管理过程即可。
运行。由于资源和能力限制,运行不一定要把规划好的活动和管理过程全部进行实施和投入运行。具体情况是,管理体系的建立和运行在不同规模的组织内必须1年到3年的时间才能够相对完善。因此建设运行计划很重要,组织必须根据组织的管理现状、资源限制情况、相关方要求的影响程度等多个方面,建立可行的建设运行计划。对于那些必须满足的要求、急需解决的问题、对组织有重大影响的风险,必须集中资源重点进行实施和运行;对于那些对业务影响比较大,必须反复论证和测试的,能够单独作为项目进行管理和实施;对于自我实现成本过高的能够通过外包的形式进行实现;对于时间要求不紧迫的方面,能够在时间表上缓一缓。1个好的建设运行计划,能够保证体系有条不紊地运行。
绩效评价。绩效评价设计的好坏,直接影响着管理体系在管理层心目中的形象。这个环节是否能够很好地进行设计和实施取决于规划环节目标对方针的支持程度和目标层级的设计是否合理,由于管理体系是否实现管理层的管理目的要看方针和目标是否得到实现。当然这只是1个方面,有了好的目标框架设计,还必须好的绩效评价方法和评估实施过程。许多组织会建立单独的绩效评价方法和过程,但实际上内部审核是非常好的绩效评价手段。所谓内部审核,就是组织对自己体系运行情况的评价活动,主要用于区别于第三方审核。组织能够任意设计内部审核的方式和频率,不必须每一年一次,更不必须由几个人员来完成整个组织的内部审核工作。组织能够为每1个影响管理目标的管理过程和管理措施,甚至是活动和岗位,设计评价指标、评价方法、评价频率并指定评价人员。将管理体系的内部审核工作分散到各个部门、各个团队,定期或不定期地由相关人员提供信息和数据,其次由专门的部门或岗位对信息和数据进行汇总分析,从而实现绩效的评价。但必须注意的是,评价方法、抽样方式和频率、绩效计算公式等方面要进行详细、科学、合理的设计才会实现预期的目的。
管理评审也是绩效评价的一种方式,这种方式比较直接,由管理层直接作出评价。当然,管理层必须内部审核的结果和体系运行的其他信息来进行综合评价。管理层的评价很重要,直接决定接下来他是否会更好地支持管理体系的运行工作。
持续改进。绩效评价是持续改进的1个重要输入,对于存在的问题和无法实现预期目标的方面都要进行改进,这一方面很容易理解,不再赘述。
ISO27001各模块认证需求理解与应用
1.A.8资产管理
组织应识别与生命周期相关的资产并将资产的重要性形成文件。信息生命周期应包含创建、处理、存储、删除和销毁。适当时,应将专有或现有的资产清单形成文件并维护。
对资产声明周期具有被认可的管理职责的个人和其他实体有资格被指定为资产拥有者。
确保及时分配资产所属关系的过程要经常被实现。资产在创立或转移到组织时应分配起所有权。资产被创建或转移到组织时,应指定拥有者。资产拥有者应对资产的整个生命周期负有适当的管理责任。
资产拥有者应:
——确保资产登记造册
——确保对资产进行了适当的分级和保护
——考虑适用的可用的访问控制策略,定义并定期评审对重要资产的访问限制和分级;
——确保资产的删除或销毁是进行了合适处置。
使用或拥有组织资产的访问权的员工和外部方用户,应知晓组织信息的信息安全要求,以及组织与信息、信息处理和资源相关的其他资产的信息安全要求。
当员工或外部方用户购买了组织的设备或使用他们自己人员设备时,应遵循该规程所有相关的信息已移交给组织,并且这些信息已从那些设备中安全地删除。
2.信息安全意识、教育和培训
信息安全意识培训方案旨在使员工,适当时,包含合同方,了解他们的信息安全责任以及免责的方法
信息安全意识方案按照组织的信息安全策略和相关规程建立,考虑组织要保护的信息以及为保护这些信息所实现的控制。意识方案包含一些仪式提升获得,像组织宣传活动、发型宣传册或制作简报等
考虑组织中的员工角色,相关时还必须考虑组织对合同方意识的期望来规划意识方案。随时间安排,最好定期安全意识方案中的活动,以便活动能够重复并覆盖新的员工和合同方。意识方案根据组织的策略和规程定期更新,并汲取信息安全事件的经验教训。
意识培训按照组织的信息安全意识培训方案的要求执行。意识培训可使用不同的交付媒介,包含课堂教学、远程学习、网络教学、自学以及他
信息安全教育和培训应覆盖通常方面:
——在整个组织范围内说明管理层对信息安全的承诺;
——熟悉并遵从适用的信息信息安全规则和义务的要求;
——对个人作为和不作为的问责制度,以及确保或保护组织的和外部方的信息的安全的通常责任;
——基本的信息安全规程和基线控制;
——可得到关于信息安全问题的更多信息和建议的联络点和资源,包含进1步的信息安全教育和培训资料。
信息安全教育和培训需定期进行。初始的教育和培训不仅适用于新员工,也适用于那些调配到对信息安全要求完全不同的新岗位或角色的员工,且应在其开展工作前进行培训。
3.人力资源任用条款及条件
员工或合同方的合同义务要反映组织的信息安全策略,并澄清和声明:
——所有访问保密信息的员工和合同方人员在给予访问信息处理设施权限以前签署保密或不泄露协议
——员工、合同方的法律责任和权利
——信息分级的责任,以及对与由员工或合同方处理的信息、信息处理设施和信息服务有关的其他资产进行管理的责任
——雇员或合同方处理来自其他公司或外部方的信息的责任
——雇员或固有方漠视组织的安全要求所要采取的措施
在任用以前,和候选人交流信息安全角色和责任相关信息
组织确保员工和合同方同意与信息安全相关的条款和条件,这些与他们对信息系统和服务相关组织资产进行访问的类型和范围相适宜。
4.移动设备策略
当使用移动设备时,应特别小心确保业务信息不被损害。移动设备策略必须考虑道在不受保护的环境下使用移动设备工作的风险。
考虑:
——移动设备的申请注册
——物理保护的要求
——软件安装的限制
——移动设备软件版本和补丁应用的要求
——连接信息服务的限制
——访问控制
——密码技术
——恶意软件防范
——远程禁止、删除或锁定
——备份
——Web服务和Web应用程序的使用
当在公共场所、会议室和其他不受保护的区域使用移动设备时必须加以小心。为避免未授权访问或泄露这些设备所存储和处理的信息,需有适当的保护措施。
需对移动设备进行物理保护,以防被偷窃,特别是遗留在汽车和其他形式的运输工具上、旅馆房间、会议中心和会议室。
对于使用移动设备的人员需安排培训,以提高他们对这种工作方式导致的附件风险的意识,必须实施控制措施。
当移动设备策略容许使用私人移动设备时,策略及相关安全措施需考虑:
——分离设备的私人使用和业务使用,包含使用软件来支持这种分离并保护的私人设备上的业务数据;
——仅在以下情况提供对业务信息的访问:用户签订最终用户协议知晓其职责;放弃业务数据的所有权;运行组织在设备被盗或丢失时、或不再授权使用该服务时远程擦除数据。
5.信息安全控制表结构
6.信息安全管理认证体系改进方面
改进的目的在于让组织策划和实施行动以达成预期结果和提高顾客满意。组织应识别和选择存在的改进机会,改进产品和服务,纠正、避免和减少非预期情况给组织带来的不利影响,改进信息安全管理提醒的绩效和有效性,以满足顾客要求并增强顾客满意。
改进方法能够有多种,例如:
——引导创新、修改和改进现有过程或实施新过程的突破性的项目
——在现有过程中开展渐进、持续的改进活动
——纠正所存在不符合的原因
——纠正措施是识别出问题原因所需的适宜方法,而持续改进则是反复采取措施来实施商定的解决措施的过程,这一过程带来正面的后果
——能够针对产品、服务,也能够针对信息安全管理体系开展改进措施。
7.体系管理评审的理解
管理评审是最高管理者根据组织的战略方向开展的活动。管理评审的目的在于评审有关信息安全管理体系绩效的信息,以便于信息安全管理体系是否:
——适宜:是否仍适合于其用途?
——充分:是否仍然足够?
——有效:是否达成期望的结果?
组织应按照策划的时机开展管理评审,并不要求一次解决所有的输入和问题,但策划应体现怎样满足ISO/IEC27001管理评审的要求。组织可将管理评审作为单独的活动来开展,也可与相关的活动一起开展。
管理评审的时机能够和其他业务活动协调安排,以增加价值、避免管理层冗余参会或重复参会。
8.体系内部审核输入
策划管理体系内部审核时可考虑的输入包含但不限于:
——过程重要性
——管理优先级
——过程绩效
——影响组织的变更
——以往审核的结果
——顾客投诉趋势
——法律法规问题
9.风险处置阶段的工作内容
风险处置阶段的工作,包含3个部分内容:
——明确风险处置的目标,识别和选用可采用的风险控制措施
——明确风险处置计划,就风险处置计划对风险的影响进行估算,明确残余风险水平,批准残余风险,或进入第二轮风险分析和风险处置计划的制定
——实施风险处置计划,对风险处置的结果进行评价,明确实质上的残余风险水平,批准残余风险,或进入下一轮的风险分析。
10.怎样确保控制下工作的人员意识满足信息安全管理体系要求
组织确保控制下工作的人员意识满足信息安全管理体系要求的方式:
——组织应确保在其控制范围内开展工作的人员知晓信息安全方针、相关的信息安全目标、对信息安全管理体系有效性的贡献以及不符合信息安全管理体系要求可能引发的后果
——在组织控制范围内工作的人员可能包含现有的员工、临时工、外部供方(如承包商和外包服务)
——在组织控制范围内开展工作的人员需证实其对于信息安全方针和相关信息安全目标以及怎样为实现这些目标做出贡献方面的知识和意识
——可通过多种形式来养成这方面的意识
11.体系信息安全目标
ISO27001认证体系信息安全目标应:
——和信息安全方针保持一致
——对完成情况进行监控并/或评审
——考虑了适用的要求并与信息安全提升顾客满意度相关
——进行适当的修订——对于影响达成目标能力的变动,组织必须考虑并采取必要行动,以确保新事宜或需求得到处理
——可考虑使用SMART原则来设立,即设立具体的、可测量的、可达到的、相关的、有时限的目标。
——设立目标时,可考虑组织目标的能力和制约、顾客反馈以以及他市场事宜
——组织应保持与信息安全目标相关的形成文件的信息
12.信息安全管理认证体系风险准则建立目标
选择1个适合于组织业务过程和活动性质与特点的风险评估工具,是组织建立信息安全管理体系的良好起点,有情况下,能够考虑多种风险评估方法组合使用,例如,在初始风险识别阶段,能够考虑采用情景分析法、检查表法等,在后续分析过程中,再考虑采用FMEA、ETA、风险矩阵法等
风险准则,即“评估风险重要程度所依据的一组条件”
风险准则的明确,还包含组织对可接受风险水平的明确和批准
有了明确的风险准则,就能够针对已识别的信息安全相关资产的脆弱性和威胁以及资产价值,进行具体的风险分析和计算,并就计算结果将风险按高低排序,从中找出高于可接受风险水平的风险,其次进入下一阶段,即风险处置阶段。
今日通过对《ISO27000认证》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。