ISO27001信息安全管理体系简述
ISO27001信息安全管理体系简述
一、标准的起源和发展
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:
BS7799-1,信息安全管理实施规则
BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的必须应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
二、标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。它对1个组织具有价值,因此必须加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。控制能够是策略、惯例、规程、组织结构和软件功能。必须建立这些控制,以确保满足该组织的特定安全目标。
ISO/IEC17799-2000包含了127个安全控制措施来协助组织识别在运做过程中对信息安全有影响的元素,组织能够根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO17799进行了修订,修订后的标准作为ISO27000标准族的第一部分——ISO/IEC27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包含11个章节:
1)安全策略
2)信息安全的组织
3)资产管理
4)人力资源安全
5)物理和环境安全
6)通信和操作管理
7)访问控制
8)系统系统采集、开发和维护
9)信息安全事故管理
10)业务连续性管理
11)符合性
三、ISO27001的效益
1、通过定义、评估和控制风险,确保经营的持续性和能力
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3、通过遵守国际标准提高新技术企业业竞争能力,提升企业形象
4、明明确义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
5、建立安全工具使用方针
6、谨防技术诀窍的丢失
7、在组织内部增强安全意识
8、可作为公共会计审计的证据
四、认证与遵从
1个组织能够仅遵从ISO17799来建立和发展ISMS(信息安全管理体系),由于实践指南中的内容是普遍适用的。然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。而ISO/EC27001则包含这些具体详尽的管理体系认证要求。在技术层面来讲,这就表明1个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,可是这并不足以让外界认可其已经达到认证框架所制定的认证要求。不同的是,1个正在同时运用ISO27001和ISO17799标准的机构组织,能够建立1个完全符合认证具体要求的ISMS,同时这个ISMS体系也符合实践指南的要求,于是,这一组织就能够获得外界的认同,即获得认证。
五、ISO27001认证要求与其他管理标准
ISO27001标准是为了与其他管理标准,例如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织能够建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。通常而言,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是由于这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
可是有一点必须注意,1个组织假如没有事先拥有并使用任何形式的管理体系,并不代表着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择1个合适的管理体系的认证公司来提供认证服务。认证公司必须得到1个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(例如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
六、风险评估和风险应对计划
任何1个ISMS体系的建立和开发都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化,他们对待风险的态度偏向也大相径庭。换句话说,同1个东西,1个机构组织认为是必须提防的威胁,在另1个组织看来可能是1个必须抓住的机遇。同样地,各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其他原因,每个运行ISMS的组织,其内部成员必须对风险评估有1个共识,这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。
七、着手准备ISMS项目和PDCA流程
ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短,成功的案例比较少。从务实的角度考虑,这表明在项目计划过程中,必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。
ISO27001标准指导1个企业怎样着手开展ISMS项目,并且关注整个项目进程中的若干重要元素。
1950年W.EdwaRDSDeming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理能够识别出那些必须修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样1个过程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后找寻到任何与计划不符的结果偏差(即潜在改进的可能性),最后向管理层提出怎样运行的最终报告。
今日通过对《ISO27001信息安全管理体系简述》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
ISO27001信息安全管理体系建立和运行步骤是什么
信息安全管理体系建立和运行步骤
ISO27001标准要求组织建立并保持1个文件化的信息安全管理体系,其中应阐述必须保护的资产、组织风险管理的渠道、控制目标及控制方式和必须的保证程度。
不同的组织在建立与完善信息安全管理体系时,可根据自己的特点和具体情况,采取不同的步骤和方法。但总体而言,建立信息安全管理体系通常要经过下列4个基本步骤:信息安全管理体系的策划与准备;信息安全管理体系文件的编制;信息安全管理体系运行;信息安全管理体系审核与评审。
假如考虑认证过程其详细的步骤如下:
1、现场诊断;
2、明确信息安全管理体系的方针、目标;
3、明确信息安全管理体系的范围,根据组织的特性、地理位置、资产和技术来明确界限;
4、对管理层进行信息安全管理体系基本知识培训;
5、信息安全体系内部审核员培训;
6、建立信息安全管理组织机构;
7、实施信息资产评估和分类,识别资产所受到的威胁、薄弱环节和对组织的影响,并明确风险程度;
8、根据组织的信息安全方针和必须的保证程度通过风险评估来明确应实施管理的风险,明确风险控制手段;
9、制定信息安全管理手册和各类必要的控制程序 ;
10、制定适用性声明;
11、制定商业可持续性发展计划;
12、审核文件、发布实施;
13、体系运行,有效的实施选定的控制目标和控制方式;
14、内部审核;
15、外部第一阶段认证审核;
16、外部第二阶段认证审核;
17、颁发证书;
18、体系持续运行/年度监督审核;
19、复评审核(证书3年有效)。