ISO27001 信息安全管理體系認(rèn)證可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序�����、可持續(xù)發(fā)展�。
信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn)��,該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出�����,并于1995年5月修訂而成的����。1999年BSI重新修改了該標(biāo)準(zhǔn)�����。BS7799分為兩個(gè)部分:
BS7799-1�����,信息安全管理實(shí)施規(guī)則
BS7799-2�����,信息安全管理體系規(guī)范
第一部分對信息安全管理給出建議��,供負(fù)責(zé)在其組織啟動��、實(shí)施或維護(hù)安全的人員使用�。
第二部分說明了建立�����、實(shí)施和文件化信息安全管理體系(ISMS)的要求�����,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求�。
適用于
信息安全對每個(gè)企業(yè)或組織來說都是需要的,所以信息安全管理體系認(rèn)證具有普遍的適用性���,不受地域���、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況看�,較多的是涉及電信、保險(xiǎn)��、銀行���、數(shù)據(jù)處理中心�����、IC制造和軟件外包等行業(yè)���。
證書內(nèi)容
認(rèn)證機(jī)構(gòu)名稱、申請認(rèn)證單位名稱及產(chǎn)品審核通過的相關(guān)標(biāo)準(zhǔn)���、證書的有效期限�����、證書編號���、認(rèn)證機(jī)構(gòu)公章���、認(rèn)證機(jī)構(gòu)負(fù)責(zé)人親筆簽字等。
定義
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議����,供負(fù)責(zé)在其組織啟動、實(shí)施或維護(hù)安全的人員使用��。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)�����,并為組織之間的交往提供信任�。
標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)”��。它對一個(gè)組織具有價(jià)值���,因此需要加以合適地保護(hù)�。信息安全防止信息受到的各種威脅,以確保業(yè)務(wù)連續(xù)性����,使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小�,使投資回報(bào)和業(yè)務(wù)機(jī)會最大。
信息安全是通過實(shí)現(xiàn)一組合適控制獲得的�??刂瓶梢允遣呗浴T例����、規(guī)程、組織結(jié)構(gòu)和軟件功能�����。需要建立這些控制��,以確保滿足該組織的特定安全目標(biāo)�。
內(nèi)容
ISO/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識別在運(yùn)做過程中對信息安全有影響的元素,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用����,或者增加其他附加控制�。國際標(biāo)準(zhǔn)化組織(ISO)在2005年對ISO 17799進(jìn)行了修訂���,修訂后的標(biāo)準(zhǔn)作為ISO 27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC 27001��,新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施��,新增17點(diǎn)控制措施���,并重組部分控制措施而新增一章,重組部分控制措施����,關(guān)聯(lián)性邏輯性更好,更適合應(yīng)用���;并修改了部分控制措施措辭�。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié):
1)安全策略����。指定信息安全方針,為信息安全提供管理指引和支持�,并定期評審。
2)信息安全的組織。建立信息安全管理組織體系��,在內(nèi)部開展和控制信息安全的實(shí)施���。
3)資產(chǎn)管理�。核查所有信息資產(chǎn)�����,做好信息分類���,確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。
4)人力資源安全���。確保所有員工�����,合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任��,義務(wù)���,以減少人為差錯(cuò),盜竊,欺詐或誤用設(shè)施的風(fēng)險(xiǎn)���。
5)物理和環(huán)境安全�����。定義安全區(qū)域�,防止對辦公場所和信息的未授權(quán)訪問����,破壞和干擾;保護(hù)設(shè)備的安全��,防止信息資產(chǎn)的丟失����,損壞或被盜,以及對企業(yè)業(yè)務(wù)的干擾����;同時(shí),還要做好一般控制�,防止信息和信息處理設(shè)施的損壞和被盜。
6)通信和操作管理�����。制定操作規(guī)程和職責(zé),確保信息處理設(shè)施的正確和安全操作���;建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則����,將系統(tǒng)失效的風(fēng)險(xiǎn)降到最低�����;防范惡意代碼和移動代碼���,保護(hù)軟件和信息的完整性;做好信息備份和網(wǎng)絡(luò)安全管理�,確保信息在網(wǎng)絡(luò)中的安全,確保其支持性基礎(chǔ)設(shè)施得到保護(hù)����;建立媒體處置和安全的規(guī)程,防止資產(chǎn)損壞和業(yè)務(wù)活動的中斷��;防止信息和軟件在組織之間交換時(shí)丟失�,修改或誤用����。
7)訪問控制�����。制定訪問控制策略����,避免信息系統(tǒng)的非授權(quán)訪問,并讓用戶了解其職責(zé)和義務(wù)����,包括網(wǎng)絡(luò)訪問控制,操作系統(tǒng)訪問控制����,應(yīng)用系統(tǒng)和信息訪問控制,監(jiān)視系統(tǒng)訪問和使用����,定期檢測未授權(quán)的活動;當(dāng)使用移動辦公和遠(yuǎn)程控制時(shí)����,也要確保信息安全����。
8)系統(tǒng)采集����、開發(fā)和維護(hù)。標(biāo)示系統(tǒng)的安全要求����,確保安全成為信息系統(tǒng)的內(nèi)置部分,控制應(yīng)用系統(tǒng)的安全�����,防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失���,被修改或誤用;通過加密手段保護(hù)信息的保密性���,真實(shí)性和完整性�����;控制對系統(tǒng)文件的訪問�����,確保系統(tǒng)文檔����,源程序代碼的安全;嚴(yán)格控制開發(fā)和支持過程����,維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。
9)信息安全事故管理�。報(bào)告信息安全事件和弱點(diǎn),及時(shí)采取糾正措施���,確保使用持續(xù)有效的方法管理信息安全事故����,并確保及時(shí)修復(fù)����。
10)業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動的中斷�����,是關(guān)鍵業(yè)務(wù)過程免收主要故障或天災(zāi)的影響,并確保及時(shí)恢復(fù)����。
11)符合性。信息系統(tǒng)的設(shè)計(jì)����,操作,使用過程和管理要符合法律法規(guī)的要求���,符合組織安全方針和標(biāo)準(zhǔn)����,還要控制系統(tǒng)審計(jì)���,使信息審核過程的效力最大化�����,干擾最小化。
效益
ISO27001的效益
1���、通過定義��、評估和控制風(fēng)險(xiǎn)�,確保經(jīng)營的持續(xù)性和能力
2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3���、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力�����,提升企業(yè)形象
4��、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5����、建立安全工具使用方針
6��、謹(jǐn)防技術(shù)訣竅的丟失
7����、在組織內(nèi)部增強(qiáng)安全意識
8、可作為公共會計(jì)審計(jì)的證據(jù)
ISO27001認(rèn)證好處
當(dāng)您的組織通過了ISO27001的認(rèn)證,就相當(dāng)于通過ISO9000的質(zhì)量認(rèn)證一般���,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障��。根據(jù) ISO27001 對您的信息安全管理體系進(jìn)行認(rèn)證�����,可以帶來以下幾個(gè)好處:
引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理�,從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻�����,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的�����。它需要全面的綜合管理��。
通過進(jìn)行ISO27001信息安全管理體系認(rèn)證����,可以增進(jìn)組織間電子電子商務(wù)往來的信用度,能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任�,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理����。同時(shí)�����,把組織的干擾因素降到最小,創(chuàng)造更大收益�。
通過認(rèn)證能保證和證明組織所有的部門對信息安全的承諾。
通過認(rèn)證可改善全體的業(yè)績���、消除不信任感�。
獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書��,可得到國際上的承認(rèn),拓展您的業(yè)務(wù)��。
建立信息安全管理體系能降低這種風(fēng)險(xiǎn)��,通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心�����。
組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系���,會有一定的投入,但是若能通過認(rèn)證機(jī)關(guān)的審核�����,獲得認(rèn)證,將會獲得有價(jià)值的回報(bào)���。企業(yè)通過認(rèn)證將可以向其客戶��、競爭對手���、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善���,并以此作為增強(qiáng)信息安全性的依據(jù),信任����、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾���。
通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性�����。
申請條件
申請iso27001認(rèn)證的基本條件:?
????1����、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》、《生產(chǎn)許可證》或等效文件�����;外國企業(yè)持有關(guān)機(jī)構(gòu)的登記注冊證明���。?
????2、申請方的信息安全管理體系已按ISO/IEC?27001:2005標(biāo)準(zhǔn)的要求建立��,并實(shí)施運(yùn)行3個(gè)月以上��。?
????3��、至少完成一次內(nèi)部審核�����,并進(jìn)行了管理評審���。?
????4�����、信息安全管理體系運(yùn)行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰��。?
認(rèn)證與遵從
一個(gè)組織可以僅遵從ISO17799來建立和發(fā)展ISMS(信息安全管理體系)���,因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的�。然而�,由于ISO17799并非基于認(rèn)證框架,它不具備關(guān)于通過認(rèn)證所必需的信息安全管理體系的要求��。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求�。在技術(shù)層面來講,這就表明一個(gè)正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織��,完全符合實(shí)踐指南的要求���,但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求���。不同的是,一個(gè)正在同時(shí)運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織���,可以建立一個(gè)完全符合認(rèn)證具體要求的ISMS����,同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求��,于是,這一組織就可以獲得外界的認(rèn)同�,即獲得認(rèn)證。
ISO27001認(rèn)證要求
ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)�����,比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的���,這一標(biāo)準(zhǔn)中的編號系統(tǒng)和文件管理需求的設(shè)計(jì)初衷,就是為了提供良好的兼容性��,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系�。一般來說,組織通常會使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu)��,來提供ISO27001認(rèn)證服務(wù)�。正是因?yàn)檫@個(gè)緣故,在ISMS體系建立的過程中���,質(zhì)量管理的經(jīng)驗(yàn)舉足輕重���。
但是有一點(diǎn)需要注意,一個(gè)組織如果沒有事先擁有并使用任何形式的管理體系��,并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下�����,該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮��,選擇一個(gè)合適的管理體系的認(rèn)證機(jī)構(gòu)來提供認(rèn)證服務(wù)�����。認(rèn)證機(jī)構(gòu)必須得到一個(gè)國家鑒定機(jī)構(gòu)的委托授權(quán)��,才能為認(rèn)證組織提供認(rèn)證服務(wù)����,并發(fā)放認(rèn)證證書。大多數(shù)國家都有自己的國家鑒定機(jī)構(gòu)(比如:英國UKAS)��,任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案���。
風(fēng)險(xiǎn)評估應(yīng)對計(jì)劃
任何一個(gè)ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求����。每個(gè)組織不僅都有自己獨(dú)特的業(yè)務(wù)模式�、運(yùn)營目標(biāo)�����、形象特點(diǎn)和內(nèi)部文化���,他們對待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說��,同一個(gè)東西���,一個(gè)機(jī)構(gòu)組織認(rèn)為是必須提防的威脅����,在另一個(gè)組織看來可能是一個(gè)必須抓住的機(jī)遇�����。同樣地�����,各個(gè)機(jī)構(gòu)組織對于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊�����?����;谝陨匣蛘咂渌?���,每個(gè)運(yùn)行ISMS的組織,其內(nèi)部成員必須對風(fēng)險(xiǎn)評估有一個(gè)共識��,這個(gè)風(fēng)險(xiǎn)評估的方法論��、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯���。
ISMS項(xiàng)目和PDCA流程
ISMS項(xiàng)目很復(fù)雜���,可能持續(xù)若干個(gè)月甚至若干年,涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門的每個(gè)成員�。ISO27001認(rèn)證誕生時(shí)間短,成功的案例比較少�。從務(wù)實(shí)的角度考慮,這表明在項(xiàng)目計(jì)劃過程中����,必須盡早對這些僅有的指導(dǎo)性的書籍和案例進(jìn)行分析和研究�����。
ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開展ISMS項(xiàng)目��,并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素��。
1950年W. Edwards Deming提出PDCA流程��,即計(jì)劃(Plan)-執(zhí)行(Do)-檢查(Check)-提升(Act)過程�,意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的����,該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)����,都必須遵循這樣一個(gè)過程:先計(jì)劃��,再執(zhí)行��,而后對其運(yùn)行結(jié)果進(jìn)行評估�����,緊接著按照計(jì)劃的具體要求對該評估進(jìn)行復(fù)查,而后尋找到任何與計(jì)劃不符的結(jié)果偏差(即潛在改進(jìn)的可能性)���,最后向管理層提出如何運(yùn)行的最終報(bào)告���。
ISO27001認(rèn)證審核費(fèi)用及周期
除了組織自身投入之外,ISO27001 認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請第三方認(rèn)證機(jī)構(gòu)及審核員方面了���。在組織向認(rèn)證機(jī)構(gòu)提出申請之后����,認(rèn)證機(jī)構(gòu)會初步了解組織現(xiàn)狀�����,確定審核范圍�����,提出審核報(bào)價(jià)�����。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來確定的,決定因素包括:
1���、受審核組織的員工數(shù)量����;
2�����、納入審核范圍的信息量��;
3��、場所數(shù)量�;
4、組織與外界的關(guān)聯(lián)����;
5、組織 IT 的復(fù)雜性�����;
6��、組織類型和業(yè)務(wù)性質(zhì)等��。
除了費(fèi)用問題��,認(rèn)證審核的周期通常也是組織比較關(guān)心的�����。一般來說�����,從組織啟動 ISMS建設(shè)項(xiàng)目開始�����,到最終通過審核��,至少要有半年時(shí)間(不包括獲取證書的時(shí)間)��。對于很多因?yàn)橥獠框?qū)動力而決心實(shí)施 ISO27001 認(rèn)證項(xiàng)目的組織來說��,提早進(jìn)行規(guī)劃是必要的�����。
認(rèn)證材料
1、組織法律證明文件���,如營業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章)
2����、組織機(jī)構(gòu)代碼證書復(fù)印件�、稅務(wù)登記證復(fù)印件(蓋公章)?
3、申請認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件(如體系文件發(fā)布控制表���,有時(shí)間標(biāo)記的記錄等復(fù)印件)????
4�����、申請組織的簡介
5�、申請組織的體系文件?
6�、申請組織體系文件與GB/T22080-2008/ISO/IEC?27001:2005要求的文件對照說明;?
7���、申請組織內(nèi)部審核和管理評審的證明資料??
8��、申請組織記錄保密性或敏感性聲明??
9��、認(rèn)證機(jī)構(gòu)要求申請組織提交的其他補(bǔ)充資料
新版變化
現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年�,日前ISO組織(國際標(biāo)準(zhǔn)化組織)終于將新版ISO 27001:2013 DIS版(國際標(biāo)準(zhǔn)草案Draft International Standard)草稿向公眾開放并征求意見,預(yù)計(jì)在今年6-7月會發(fā)布DIS最終版�����。目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日���,在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期,即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)�����。
安言咨詢技術(shù)總監(jiān)張威表示�����,此次改版與舊版相比主要有三大差異:一��、管理體系更容易整合����;二、融入企業(yè)面臨的新挑戰(zhàn)��;三�、更多指引延伸參考�。說明如下:
?���。?) 易整合:以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式,且章節(jié)不一���。例如管理制度的PDCA(Plan����,Do���,Check����,Act)��、政策與高級支持等管理制度面要求不同���。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求����,讓不同管理系統(tǒng)易于接軌、整合���。Annex SL的高級結(jié)構(gòu)是ISO組織未來所有管理制度制定時(shí)的重要依據(jù)�,目前已經(jīng)有ISO 22301(前BS 25999營運(yùn)持續(xù)管理系統(tǒng))和這次的ISO 27001新版都已采此結(jié)構(gòu)進(jìn)行調(diào)整����。預(yù)計(jì)已頒布的標(biāo)準(zhǔn)如ISO9000/ ISO20000未來的改版也將以相同的思路進(jìn)行調(diào)整�����。
(2) 新要求:ISO 27001:2005原本有11個(gè)領(lǐng)域(domain)��、133項(xiàng)控制措施���,新版DIS目前調(diào)整為14個(gè)領(lǐng)域(A.5-A.18)��、113個(gè)控制措施(未來仍可能有改動)����。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標(biāo)級別提升���,組成新領(lǐng)域�����,如加密與供應(yīng)鏈管理因其重要性而被獨(dú)立出來成為新領(lǐng)域�;或是將原有領(lǐng)域分拆,如將通訊與作業(yè)管理分開成兩個(gè)獨(dú)立的領(lǐng)域����,以反映目前信息安全的發(fā)展趨勢。而控制措施的減少則是通過合并重復(fù)的項(xiàng)目來進(jìn)行��,像變更管理在不同的領(lǐng)域中有重復(fù)就予以合并��。也有新增的控制項(xiàng)目比如對智能型裝置的管理��、強(qiáng)化ICT供應(yīng)鏈的委外管理����、以及系統(tǒng)開發(fā)項(xiàng)目管理的信息安全要求等。
?�。?) 更多參考:此次ISO也新增許多指引供企業(yè)參考����,組織可以通過不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化,通過ISO 27001驗(yàn)證只是基本要求�����。目前ISO 27000系列指引編號已超過44號(001-044),例如金融服務(wù)��、數(shù)字鑒識�、供應(yīng)鏈管理(4本)、軟件開發(fā)測試等�,主管機(jī)關(guān)可參考這些指引做升級的要求。
對于正在準(zhǔn)備ISO 27001的企業(yè)��,建議無須等待新版���,按照原訂進(jìn)度先取得27001:2005驗(yàn)證,在緩沖期結(jié)束前轉(zhuǎn)到新版即可���,新版會向下兼容接軌�。
