ISO27001认证体系信息安全要求来源,ISO27001认证体系业务连续性怎样审核

ISO27001认证体系信息安全要求来源

ISO27001认证体系信息安全要求来源

1.在了解ISO27001认证体系信息安全要求来源前，先要了解企业所面临的信息安全背景和环境，以便更好理解和实施ISO27001认证体系。

所有类型和规模的组织（包含公共和私营部门、商业和非盈利组织）都要采用不同方式（包含电子方式、物理方式、会谈和陈述等口头方式）收集、处理、存储和传输信息。信息的价值超越了文字、数字和图像：无形的信息可能包含知识、概念、观念和品牌等。在互联的世界里，信息和相关过程、系统、网络以及操作、处理和保护的过程中所涉及的人员都是资产，与其它重要的业务资产一样，对组织的业务至关重要，因此必须防护各种危害。因相关过程、系统、网络和人员具有固有的脆弱性，资产易受到故意或意外的威胁。对业务过程和系统的变更或其他外部变更（例如新的法律和规章）可能产生新的信息安全风险。因此，考虑到威胁利用脆弱性损害组织会有大量方式，信息安全风险是一直存在的。有效的信息安全能够通过保护组织免受威胁和脆弱性，从而减少这些风险，进1步降低对组织资产的影响。信息安全是通过实施一组合适的控制措施而达到的，包含策略、过程、规程、组织结构以及软件和硬件功能。在必要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。为在1个一致的管理体系总体框架下实施一套全面的信息安全控制措施，信息安全管理体系（例如ISO/IEC 27001所指定的）从整体、协调的角度看待组织的信息安全风险。从ISO/IEC 27001和本标准的意义上说，许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的，宜通过适当的管理和规程给予支持。明确什么控制措施宜实施到位必须仔细规划并注意细节。成功的信息安全管理体系必须组织所有员工的参与，还要求利益相关者、供应商或其他外部方的参与。外部方的专家建议也是必须的。就通常意义而言，有效的信息安全还能够向管理者和其他利益相关者保证，组织的资产是适当安全的，并能防范损害。因此，信息安全可承担业务使能者的角色。

2.ISO27001认证体系信息安全要求

组织识别出其安全要求是非常重要的，安全要求有3个主要来源：

a) 对组织的风险进行评估，考虑组织的整体业务策略与目标。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响；

b) 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境；

c) 组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。

实施控制措施所用资源必须根据缺乏这些控制措施时由安全问题导致的业务损害加以平衡。风险评估的结果将协助指导和明确适当的管理措施、管理信息安全风险以及实现所选择的用以防范这些风险的控制措施的优先级。ISO/IEC 27005提供了信息安全风险管理的指南，包含风险评估、风险处置、风险接受、风险沟通、风险监视和风险评审的建议。

3.选择控制措施以实施ISO27001认证体系

控制措施能够从本标准或其他控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求。控制措施的选择依赖于组织基于风险接受准则、风险处置选项以及所应用的通用风险管理方法做出的决策，同时还宜遵守所有相关的国家和国际法律法规。控制措施的选择还依赖于控制措施为提供深度防御而相互作用的方式。本标准中的某些控制措施可被当作信息安全管理的指导原则，并且可用于大多数组织。在下面的实施指南中，将更详细的解释这些控制措施。更多的关于选择控制措施和其他风险处置选项的信息见ISO/IEC 27005。

ISO27001认证体系业务连续性怎样审核

ISO27001认证体系业务连续性怎样审核

了解ISO27001认证公司怎样审核ISO27001认证体系业务连续性，能够协助企业实施及内审ISO27001认证体系业务连续性，本篇摘要介绍ISO27001认证体系信息安全业务连续性审核示便供参考。

ISO27001认证体系业务连续性审核目的

1）组织是否进行了关键业务分析;

2）组织是否分析了关键业务对信息资产的依赖程度;

3）组织是否建立了业务连续性框架;

4）组织明确的业务连续性信息安全管理方面的管理流程是否完整;

5）组织是否针对关键业务分别制定了业务连续性计划;

6）组织是否针对与关键业务密切相关的高风险信息资产制定了完整的信息安全业务连续性计划;

7）组织是否针对业务连续性计划制定了演练计划;

8）组织是否针对信息安全业务连续性计划制定了演练计划;

9）组织是否组织了业务连续性演练;

10）组织是否组织了信息安全业务连续性演练;

11）组织进行的信息安全业务连续性演练是否满足3年全覆盖要求;

12）组织是否进行了业务连续性演练分析;

13）组织是否进行了信息安全业务连续性分析;

14）组织是否依据信息安全业务连续性分析结果，对信息安全业务连续性演练计划、信息安全业务连续性计划、业务连续性信息安全管理方面的管理流程进行适当的调整;

15）组织是杏出现过引起关键业务中断的信息安全事件;如出现，是否依据信息、安全业务连续性计划实现了关键业务的恢复目标，特别是有没有关联信息资产影响恢复目标实现

上述内容既是ISO27001认证公司审核的目的，也应是企业实施ISO27001认证体系及内审参考。以下审核步骤

1.ISO27001认证体系业务连续性程序检查

a) 业务连续性管理程序完整性;

b) 关键业务分析报告、业务连续性计划、业务连续性演练计划等的发布与控制

2.ISO27001认证体系业务连续性报告检查

a) 关键业务进行了分析;

b) 关键业务对信息与信息系统的依赖程度分析;

c) 信息安全对关键业务的连续性影响因素分析;

d) 对所有影响因素制定了可操作的具体业务连续性保证计划;

c)各种演练记录完整性;

f) 各种演练分析报告完整性合理抽样审

3.ISO27001认证体系业务连续性演练检查

a) 演练计划;

b) 演练方式;

c) 演练内容;

d) 演练记录;

e) 演练分析

4.ISO27001认证体系业务连续性事件检查

a) 事件记录；

b) 事件处理方式;

c)事件影响分析:

d) 业务连续性恢复记录

ISO27001认证公司对ISO27001认证体系业务连续性审核步骤及内容大致按以上实施。