ISO27001认证一般需要注意哪些问题,ISO27001认证以风险为中心的信息安全风险的构成要素

ISO27001认证一般需要注意哪些问题

一、ISO27001认证须提交的资料清单：

（1）法律地位证明文件（如企业法人工商营业执照、事业单位法人代码证书、社团法人登记证等），组织机构代码证书；

（2）有效的资质证明、产品生产许可证资质强制性产品认证证书等（必须时）

（3） 组织简介（产品及与产品/服务有关的技术标准、强制性标准、使用设备、人员情况等）

（4）申请认证产品的生产、加工或服务工艺流程图；

（5）临时场所、多场所需提供清单；

（6） 近1年内国家、行业等监督抽查情况（如发生）；

（7）管理手册、程序文件及组织机构图；

（8） 服务器数量以及终端数量；

（9） 适用性声明；

（10）信息安全敏感区域的声明；

（11）支持ISMS的规程和控制措施、风险评估方法的描述、风险评估报告、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述怎样测量控制措施的有效性所需的形成文件的规程。

二、ISO27001认证流程：

1、ISO27001信息安全管理体系现状调查，调查组织信息安全管理现状，从组织、人员、安全技术、管理措施几个方面对企业进行评估，找出与IS027001标准的差距、发掘组织的信息安全需求，并共同明确IS027001实施的目标、范围和重点。

2、ISO27001信息安全管理体系培训导入，开展多层次的IS027001标准及相关培训和研讨，导入IS027001的管理思想、增强组织信息安全意识。

3、体系定义，以IS027001标准 为框架，结合组织自身的信息安全管理实践，形成符合组织安全需求的信息安全管理体系。

4、推广实施，部署IS027001体系定义的信息安全技术措施和管理措施，并持续管理信息安全风险，同时持续改进IS027001体系。

5、ISO27001信息安全管理体系内部审核，开展内部审核和管理评审，检查体系的有效性、适宜性和充分性，持续改进IS027001信息安全管理体系。

6、审核获证，由审核员进行IS027001认证审核，并颁发IS027001认证证书。

三、ISO27001认证审核前常见问题：

1审核前

1.1常见问题

找个1个评审机构交钱（相信机构大家能找到），签合同，签合同的情况下必须注意几点：

体系类型、覆盖范围、人数

体系类型这个问题不大，基本都不会错；覆盖范围是必须慎重的，由于最后的证书上面会写清楚公司所通过认真的范围，假如不包含自己的业务那认证就白做了，当时写错了还要改合同，后面搞的很麻烦，希望大家不要重现我的坑；人数要写真实的，人数会关系到最后这个认证的费用，人数越多费用越贵。

附1个ITSMS的能够受理的范围：

1.2 填写申请书《管理体系认证申请书》

公司名字和地址要真实，包含所有的分公司，其中有临时办公场所也必须写，分公司多的话检查的情况下是必须抽查到不同的分公司审核的（说是抽查其实甲方能够指定）。假如只是1个地址认证就写对应的地址就好。

ISO27001认证以风险为中心的信息安全风险的构成要素

ISO27001认证以风险为中心的信息安全风险的构成要素

ISO/IEC13335 是国际标准组织发布的《IT信息安全管理指南》，是1个信息安全管理方面的指导性标准。其中ISO/IEC13335-1：2002《信息安全管理和计划的概念和模型》，以风险为中心，明确了资产、威胁、脆弱性、影响、风险、防护措施、剩余风险为信息安全风险的要素，并描述了要素的相互关系。

（1）风险要素

① 资产

资产是组织成功的关键信息或资源，是信息安全保护的主要对象。它包含物理硬件、软件、产品生产和服务能力、人员和其它无形资产。

② 威胁

威 胁是潜在的能导致信息安全风险事件并对组织以及资产造成损害的活动。它能够通过IT系统或者服务，直接或间接地作用于信息系统，并导致非授权破坏、泄露、 修改、损坏、不可用的损失。威胁必须利用资产固有的脆弱性才能完成对资产的损害，它可能来自人为的或非人为的、可能是故意或无意的、可能是来自环境的威 胁。

③ 脆弱性

脆弱性是资产在与其相关的物理环境、组织、策略、人员、管理、监控、硬件、软件和信息方面所固有的弱点。脆弱性是最有可能被威胁利用并造成对组织信息系统和业务目标的损害。

④ 影响

影响是风险事件发生，对资产造成的后果，使一定资产或信息系统的机密性、完整性、可用性、不可否认、可审计性、真实性和可靠性遭到破坏。

包含直接和非直接的影响，例如：金融损失、市场份额损失或形象损失。

⑤ 风险

风险是一定威胁利用资产脆弱性造成组织损失或破坏的潜在程度。它是由风险事件发生的可能性和它的影响来决定。任何资产、威胁、脆弱性和安全防护措施的转变都能对风险产生重要的影响。及时检测或明确信息系统以及环境的转变，采取适当的措施，能够降低风险。

⑥ 安全防护措施

安全防护措施是抵抗威胁、减少脆弱性、限制风险事件影响、检测风险事件和恢复的安全实践、策略和机制。有效的安全是在资产的多个层面提供安全防护措施，来预防、阻止、检测、限制、纠正、恢复、监视安全事件。

在物理环境、技术环境、人员和管理实施安全防护，是保证信息安全的基本要求。

⑦ 残余风险

风险不可能完全消除，有些风险由于安全成本问题，在满足组织安全需求的前提下，成为残余的风险。

⑧ 其它要素

（2）风险要素关系

风险要素之间存在着多种关系，ISO/IEC13335-1，以风险为中心，清晰标明了资产面临的安全风险与其它风险因素之间的关系，如下图。

ISO/IEC 13335 风险要素关系

① 支撑组织业务运行的关键资产，假如对资产的依赖程度越大，在攻击者利用脆弱性发动威胁时，面临着非授权暴露、修改、否认信息、信息服务不可用或损坏的风险也越大，对组织资产和业务造成负面影响，因此引出安全保护需求；

② 威胁利用脆弱性作用于关键资产，共同引发风险，威胁越多风险越大，风险的存在导出安全保护需求；

③ 脆弱性可能暴露资产价值，资产具有的弱点越多，风险越大，风险的存在导出未被满足的安全保护需求；

④ 安全保护需求可通过安全防护措施得以满足。

⑤ 安全防护措施的实施，能够抵御威胁，减少脆弱性，降低风险。