ISO27001认证标准
ISO27001认证标准
ISO27001认证标准:
世界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002,经修订后,于2005年10月15日作为国际标准ISO/IEC27001:2005发布。
本文旨在向组织指出标准的转变及在实际应用中的意义,协助组织做好向新标准过渡的准备。
新标准的正式标题是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这代表着它不仅仅是IT标准,标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现,但总体上标准执行的重点仍应放在业务信息的风险上。
标准的主要改变在于它现在是国际公认的,这代表着除了英国标准的国际认可,组织能够构建1个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息,如财政信息,知识产权,职员资料等等,或是顾客或第三方与组织间沟通的信息,标准都是适用的。实际上,它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。
新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的组织而言,新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。(详见ISO/IEC 27001:2005的4.2.2 d)
下面是该标准重大改变的解释概要。附录A是1个显示BS 7799-2:2002和 ISO/IEC 27001:2005之间的转变的表格。《ISO/IEC 27001:2005》。
范围和界线
在执行信息安全管理体系的情况下,组织所要做的第一件事就是定义ISMS的范围。现在国际标准要求组织定义ISMS的范围和界线[4.2.1 a],包含被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会找寻这些东西,可是现在把这个要求加到标准中了,假如组织打算超越根据2002版标准取得的认证而达到新标准的要求,就必须把这个要求考虑在内。
评估风险
该国际标准的基础是:信息的保护是基于业务信息的风险,该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下,因此太多的安全措施可能使公司支出过多的成本。
标准的1个重大改变是组织现在必须详细说明(并文件化)风险评估的步骤[4.2.1 c],这也代表着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过BS 7799-2:2002认证的组织不会把这点看成1个比较大的转变,由于在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。
风险评估按照计划的时间间隔[4.2.3 d]进行复查,对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1],至少1年完成一次。
在对BS 7799-2:2002版标准进行审核的过程中,审核员应该根据ISMS的方针和目标[4.3.1],找寻所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点,但现在已经在国际标准中阐明了。想获得BS 7799-2:2002认证的组织能够把它看作国际标准的新要求。
合同责任
除了法律法规的要求,该国际标准还特别强调在所有ISMS所有过程中的合同责任,包含风险评估、风险处理、控制选择、记录控制、资源、ISMS的监视和复查、以及文件要求。
通过BS 7799-2认证的组织现在必须做什么?
必须特别注意的是:新的国际标准是双重的,既能够是ISO/IEC 27001:2005,又能够是 BS 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就代表着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的转变,及时更新他们信息安全管理体系。
通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。实际上,在以后的监督审核中,会把这些不同点考虑在内;假如合适的话,建议顾客取得ISO/IEC 27001:2005标准的认证。
假如在转换期内顾客不及时转换到新标准,一直停留在旧标准,审核员能够把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的申请注册就存在了风险。
新标准发布后,就能够依据ISO/IEC 27001:2005进行认证了。
ISO27001认证标准管理职责是什么
1、ISO27001标准“5.1 管理承诺理解要点
建立、实施、保持和持续改进ISO27001信息安全管理体系,应是组织出于业务运营的必须作出的一项战略决策,因此建立、实施、保持和持续改进信息安全管理体系首先必须管理者作出承诺。标准本条款提出了管理者应承诺的职责。
此条文中的“管理者,指在明确的ISO27001信息安全管理体系范围内的信息安全事项具有决策权的执行最高管理者。根据组织的具体管理模式不同,该“管理者能够是1个人,也能够是一组人。
管理者履行其承诺的方式,主要在于指派和批准信息安全的相关角色以及职责和权限,为相应信息安全管理活动的展开提供资源支持。同时,管理者应承担制定ISMS方针和实施管理评审的具体职责。
为确保有关信息安全的管理决策的合理性,管理者应建立适宜的机制,确保其决策过程能够获得全面、完整、真实的信息输入,特别是在决定接受风险的准则和批准可接受风险时。
2、ISO27001标准“5.2 资源管理理解
(1)“5.2.1 资源提供理解要点标准本条款提出了明确和提供资源的意图和方向。组织应合理判断资源需求并针对组织信息安全风险的影响,采取措施提供所需的资源。
(2)“5.2.2 培训、意识和能力理解要点人力资源管理的核心宗旨是使所有承担影响信息安全职责的人员能够胜任其工作,包含直接影响和间接影响的人员,例如负责信息系统运维和审计的人员、负责含有信息的介质备份的人员、负责信息安全管理体系审核的人员等。
使人员具备相应的能力,无论采取哪一种措施,组织应有1个有效的机制来评价所采取措施的有效性,即采取的措施是否已达到预期的目的。
组织应保持相关人员的教育、培训、技能、经历和资格的记录,记录中的信息应足以说明人员能力是否能够满足相应岗位的信息安全要求。
另一方面,让相关人员具体了解组织有关信息安全违规的纪律和处罚制度也是必要的。