企航顧問ISO/IEC27001信息安全管理體系服務(wù)

2022/04/04

信息作為一種寶貴的資產(chǎn)，可以為您的企業(yè)帶來成功，也可能帶來毀滅。當管理得當時，信息可讓您充滿信心地投入工作。信息安全管理讓您確信所有的保密信息都可保證安全，從而讓您自由地發(fā)展、創(chuàng)新和擴大您的客戶群。

題頭.png

一、ISO/IEC 27001概述

為確保運營流暢和數(shù)據(jù)安全，組織必須持續(xù)地對重要信息系統(tǒng)及重要業(yè)務(wù)信息進行管理。ISO/IEC 27001信息安全管理體系助您憑借強大的信息安全手段從競爭中脫穎而出。

ISO/IEC27001標準基于CIA三大原則——保密性（Confidentiality）、完整性（Integrity）和實用性（Availability），內(nèi)容覆蓋以下方面：

【圖1】信息安全CIA.png

1. 信息安全方針；
2. 信息安全組織；
3. 人力資源安全；
4. 資產(chǎn)管理；
5. 訪問控制；

6. 加密；
7. 物理和環(huán)境安全；
8. 操作安全；
9. 通信安全；
10. 系統(tǒng)的獲取、開發(fā)和維護；

11. 供應(yīng)關(guān)系；
12. 信息安全事件管理；
13. 信息安全方面的業(yè)務(wù)持續(xù)管理；
14. 符合性。

ISO/IEC 27001是一部針對信息技術(shù)、安全技術(shù)、信息安全管理體系（ISMS）的國際標準，該標準可用于組織的信息安全管理體系的建設(shè)和實施，提供了從規(guī)劃（P）、實施（D）、檢查（C）、改進（A）的信息安全管理持續(xù)改進過程方法。

【圖2】ISO27001的14個控制域.png

企航顧問作為專業(yè)的信息安全管理咨詢機構(gòu)，以風(fēng)險管理為驅(qū)動、以預(yù)防為核心，幫助客戶規(guī)劃、建設(shè)信息安全管理體系，從ISO/IEC 27001標準的14個信息安全管理域入手，將114個信息安全控制措施與客戶管理流程有機結(jié)合，實現(xiàn)以預(yù)防為主的信息安全管理機制，全面系統(tǒng)地持續(xù)提高客戶的信息安全管理水平，達到最大程度的降低信息安全管理風(fēng)險和損失的目的。

二、ISO/IEC 27001的起源及發(fā)展

【圖5】ISO27001的歷史及發(fā)展.png

a）、1993年由英國貿(mào)易工業(yè)部立項；
b）、1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，并且適用于大、中、小組織；
c）、1998年英國公布標準的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它可以作為一個正式認證方案的根據(jù)；
d）、BS 7799-1與BS 7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任；
e）、2000年12月，BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC 17799:2000《信息技術(shù)-信息安全管理實施細則》；
f）、2002年9月5日，BS 7799-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標準，同時BS 7799-2:1999被廢止；
g）、2004年9月5日，BS 7799-2:2002正式發(fā)布；
h）、2005年6月，ISO/IEC 17799:2000經(jīng)過改版，形成了新的ISO/IEC 17799:2005；
i）、在2007年7月1日正式發(fā)布為ISO/IEC 27001:2005 ，于同年10月推出ISO/IEC 27001:2005；
j）、2013年，繼ISO/IEC 27001:2005版發(fā)布之后，歷經(jīng)漫長的8年，終于迎來ISO/IEC 27001第二版，并于同年10月19日正式發(fā)布。

三、ISO/IEC 27001信息安全管理體系建設(shè)意義及目標

信息安全管理體系標準（ISO/IEC 27001）可有效保護信息資源,保護信息化進程健康、有序、可持續(xù)發(fā)展, ISO/IEC 27001是信息安全領(lǐng)域的管理體系標準，當您的組織通過了ISO/IEC 27001的認證，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障，同時，把組織的安全風(fēng)險因素降到最小，創(chuàng)造更大收益。具體體現(xiàn)在以下幾方面：

　　【圖4】ISO27001建設(shè)意義及目的.png

四、ISO/IEC 27001信息安全管理體系建設(shè)思路

構(gòu)建信息安全管理體系（ISMS）不是一蹴而就的，也不是每個企業(yè)都使用一個統(tǒng)一的模板，不同的組織在建立與完善信息安全管理體系時，可根據(jù)組織信息安全管理現(xiàn)狀和具體的業(yè)務(wù)開展特點，采取不同的步驟和方法。但總體來說，建立信息安全管理體系一般要經(jīng)過以下幾個主要步驟：　

【圖3】ISO27001的建設(shè)思路.png

第一階段：項目啟動和差距分析

從日常運維、管理機制、系統(tǒng)配置等方面對企業(yè)信息安全管理安全現(xiàn)狀進行調(diào)研，通過培訓(xùn)使企業(yè)相關(guān)人員全面了解信息安全管理的基本知識。

第二階段：風(fēng)險評估

對企業(yè)信息資產(chǎn)進行資產(chǎn)價值、威脅因素、脆弱性分析，從而評估信息安全風(fēng)險，選擇適當?shù)拇胧⒎椒▽崿F(xiàn)管理風(fēng)險的目的。

第三階段：體系策劃與發(fā)布

根據(jù)企業(yè)對信息安全風(fēng)險的策略，制定相應(yīng)信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

第四階段：體系運行與監(jiān)控

ISMS建立起來（體系文件正式發(fā)布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。

第五階段：認證及持續(xù)改進

經(jīng)過一定時間運行，ISMS達到一個穩(wěn)定狀態(tài)，文檔和記錄已經(jīng)建立完備，此時可以提請進行認證。

五、ISO/IEC 27001認證所需材料

1、組織法律證明文件，如營業(yè)執(zhí)照；

2、其他與申請認證的業(yè)務(wù)相關(guān)的必要許可資質(zhì)；

3、申請認證組織的信息安全管理體系有效運行的證明文件；

4、申請組織的簡介：

（1）組織簡介；

（2）申請組織的主要業(yè)務(wù)流程；

（3）組織機構(gòu)圖或職能表述文件；

5、申請組織的體系文件：

（1）信息安全管理體系ISMS方針文件；

（2）風(fēng)險評估程序；

（3）適用性聲明；

（4）風(fēng)險處理程序；

（5）文件控制程序；

（6）記錄控制程序；

（7）內(nèi)部審核程序；

（8）管理評審程序；

（9）糾正措施與預(yù)防措施程序；

（10）控制措施有效性的測量程序；

（11）職能角色分配表；

（12）整個體系文件結(jié)構(gòu)與清單等。

6、申請組織內(nèi)部審核和管理評審的證明資料；

7、申請組織記錄保密性或敏感性聲明；

8、認證機構(gòu)要求申請組織提交的其他補充資料。

六、ISO/IEC 27000標準族的構(gòu)成

ISO/IEC 27000標準族是ISO專門為信息安全管理體系（ISMS）預(yù)留下來的系列相關(guān)國際標準的總稱。ISMS系列標準由已經(jīng)發(fā)布或正在開發(fā)的相關(guān)標準組成，并且包含許多重要的結(jié)構(gòu)組件。這些組件主要集中在以下五個部分：

1、描述概述和術(shù)語的標準：

1、ISO/IEC 27000《信息技術(shù) 安全技術(shù) 信息安全管理體系概述和術(shù)語》

2、規(guī)范要求的標準：

1、ISO/IEC 27001《信息技術(shù) 安全技術(shù)信息安全管理體系要求》

2、ISO/IEC 27006《信息技術(shù)安全技術(shù)信息安全管理體系審核認證機構(gòu)的要求》

3、ISO/IEC 27009《信息技術(shù)安全技術(shù)ISO/IEC 27001在具體行業(yè)應(yīng)用的要求》

3、給出一般指南的標準：

1、ISO/IEC 27002《信息技術(shù)安全技術(shù)信息安全控制實踐指南》

2、ISO/IEC 27003《信息技術(shù)安全技術(shù)信息安全管理指南》

3、ISO/IEC 27004《信息技術(shù)安全技術(shù)信息安全管理監(jiān)測、測量、分析和評價》

4、ISO/IEC 27005《信息技術(shù)安全技術(shù)信息安全風(fēng)險管理》

5、ISO/IEC 27007《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》

6、ISO/IEC TR 27008《信息技術(shù)安全技術(shù)信息安全控制審核指南》

7、ISO/IEC 27013《信息技術(shù)安全技術(shù) ISO/IEC 27001 和 ISO/IEC 20000-1 整合實施指南》

8、ISO/IEC 27014《信息技術(shù)安全技術(shù)信息安全治理》

9、ISO/IEC TR 27016《信息技術(shù)安全技術(shù)信息安全管理組織經(jīng)濟學(xué)》

10、ISO/IEC 27021《信息技術(shù)安全技術(shù)信息安全管理信息安全管理體系專業(yè)人員的能力要求》

4、給出行業(yè)特定指南的標準：

1、ISO/IEC 27010《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》

2、ISO/IEC 27011《信息技術(shù)安全技術(shù)電信組織基于ISO/IEC 27002的信息安全控制實踐規(guī)范》

3、ISO/IEC 27017《信息技術(shù)安全技術(shù)基于ISO/IEC 27002的云服務(wù)信息安全控制措施實踐指南》

4、ISO/IEC 27018《信息技術(shù)安全技術(shù)可識別個人信息(PII)處理者在公有云中保護刊的實踐指南》

5、ISO/IEC 27019《信息技術(shù)安全技術(shù)能源公用事業(yè)的信息安全控制》

6、ISO 27799《健康信息學(xué)使用ISO/IEC 27002的健康信息安全管理》

5、給出控制特定指南的標準：（僅列出標準編號及名稱以為示例）

1、ISO/IEC 2703x系列標準：

a）、ISO/IEC 27031: 2011《信息技術(shù) 安全技術(shù)用于業(yè)務(wù)連續(xù)性的信息和通信技術(shù)準備指南》
b）、ISO/IEC 27032： 2012《信息技術(shù) 安全技術(shù)網(wǎng)絡(luò)安全指南》
c）、ISO/IEC 27033《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全》
d）、ISO/IEC 27034《信息技術(shù)安全技術(shù)應(yīng)用安全》
e）、ISO/IEC 27035《信息技術(shù)安全技術(shù)信息安全事件管理》
f）、ISO/IEC 27036《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系的信息安全》
g）、ISO/IEC 27037： 2012《信息技術(shù) 安全技術(shù) 數(shù)字證據(jù)的識別、收集、獲取和保存指南》
h）、ISO/IEC 27038： 2014《信息技術(shù) 安全技術(shù)數(shù)字編輯規(guī)旳
i）、ISO/IEC 27039： 2015《信息技術(shù) 安全技術(shù) 入侵檢測和防御系統(tǒng)（IDP）的選擇、部署和操作》

2、ISO/IEC 2704x系列標準：
a）、ISO/IEC 27040:2015《信息技術(shù) 安全技術(shù)存儲安全》
b）、ISO/IEC 27041:2015《信息技術(shù) 安全技術(shù)確保事故調(diào)查方法的適用性和充分性的指南》
c）、ISO/IEC 27042:2015《信息技術(shù) 安全技術(shù)數(shù)字證據(jù)分析和解釋指南》
d）、ISO/IEC 27043:2015《信息技術(shù) 安全技術(shù)事故調(diào)查原則與程序》

ISO/IEC 27000標準族的構(gòu)成隨著各個標準的發(fā)布、修訂、廢止而不斷變化。