ISO27001 信息安全管理體系認證可有效保護信息資源,保護信息化進程健康�����、有序�、可持續(xù)發(fā)展。
信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準,該標(biāo)準由英國標(biāo)準協(xié)會(BSI)于1995年2月提出�����,并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準���。BS7799分為兩個部分:
BS7799-1��,信息安全管理實施規(guī)則
BS7799-2�,信息安全管理體系規(guī)范
第一部分對信息安全管理給出建議,供負責(zé)在其組織啟動���、實施或維護安全的人員使用�����。
第二部分說明了建立�����、實施和文件化信息安全管理體系(ISMS)的要求���,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求���。
適用于
信息安全對每個企業(yè)或組織來說都是需要的��,所以信息安全管理體系認證具有普遍的適用性����,不受地域��、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認證的企業(yè)情況看�����,較多的是涉及電信��、保險�����、銀行��、數(shù)據(jù)處理中心���、IC制造和軟件外包等行業(yè)���。
證書內(nèi)容
認證機構(gòu)名稱、申請認證單位名稱及產(chǎn)品審核通過的相關(guān)標(biāo)準���、證書的有效期限����、證書編號����、認證機構(gòu)公章����、認證機構(gòu)負責(zé)人親筆簽字等����。
定義
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責(zé)在其組織啟動���、實施或維護安全的人員使用��。該標(biāo)準為開發(fā)組織的安全標(biāo)準和有效的安全管理做法提供公共基礎(chǔ)���,并為組織之間的交往提供信任。
標(biāo)準指出“象其他重要業(yè)務(wù)資產(chǎn)一樣�,信息也是一種資產(chǎn)”。它對一個組織具有價值�����,因此需要加以合適地保護�����。信息安全防止信息受到的各種威脅���,以確保業(yè)務(wù)連續(xù)性�,使業(yè)務(wù)受到損害的風(fēng)險減至最小����,使投資回報和業(yè)務(wù)機會最大。
信息安全是通過實現(xiàn)一組合適控制獲得的��?���?刂瓶梢允遣呗浴T例�����、規(guī)程�、組織結(jié)構(gòu)和軟件功能。需要建立這些控制����,以確保滿足該組織的特定安全目標(biāo)。
內(nèi)容
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素���,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用���,或者增加其他附加控制���。國際標(biāo)準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂后的標(biāo)準作為ISO 27000標(biāo)準族的第一部分——ISO/IEC 27001��,新標(biāo)準去掉9點控制措施����,新增17點控制措施,并重組部分控制措施而新增一章��,重組部分控制措施���,關(guān)聯(lián)性邏輯性更好����,更適合應(yīng)用�;并修改了部分控制措施措辭。修改后的標(biāo)準包括11個章節(jié):
1)安全策略��。指定信息安全方針�����,為信息安全提供管理指引和支持����,并定期評審。
2)信息安全的組織�。建立信息安全管理組織體系,在內(nèi)部開展和控制信息安全的實施�����。
3)資產(chǎn)管理����。核查所有信息資產(chǎn),做好信息分類���,確保信息資產(chǎn)受到適當(dāng)程度的保護��。
4)人力資源安全�。確保所有員工�����,合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任,義務(wù)�����,以減少人為差錯�,盜竊,欺詐或誤用設(shè)施的風(fēng)險����。
5)物理和環(huán)境安全。定義安全區(qū)域�,防止對辦公場所和信息的未授權(quán)訪問,破壞和干擾�����;保護設(shè)備的安全�����,防止信息資產(chǎn)的丟失���,損壞或被盜�,以及對企業(yè)業(yè)務(wù)的干擾;同時����,還要做好一般控制�,防止信息和信息處理設(shè)施的損壞和被盜。
6)通信和操作管理����。制定操作規(guī)程和職責(zé),確保信息處理設(shè)施的正確和安全操作��;建立系統(tǒng)規(guī)劃和驗收準則��,將系統(tǒng)失效的風(fēng)險降到最低�����;防范惡意代碼和移動代碼����,保護軟件和信息的完整性;做好信息備份和網(wǎng)絡(luò)安全管理��,確保信息在網(wǎng)絡(luò)中的安全�,確保其支持性基礎(chǔ)設(shè)施得到保護;建立媒體處置和安全的規(guī)程,防止資產(chǎn)損壞和業(yè)務(wù)活動的中斷�����;防止信息和軟件在組織之間交換時丟失�,修改或誤用。
7)訪問控制�����。制定訪問控制策略�,避免信息系統(tǒng)的非授權(quán)訪問,并讓用戶了解其職責(zé)和義務(wù)���,包括網(wǎng)絡(luò)訪問控制�����,操作系統(tǒng)訪問控制�,應(yīng)用系統(tǒng)和信息訪問控制�����,監(jiān)視系統(tǒng)訪問和使用����,定期檢測未授權(quán)的活動�����;當(dāng)使用移動辦公和遠程控制時���,也要確保信息安全�����。
8)系統(tǒng)采集���、開發(fā)和維護�。標(biāo)示系統(tǒng)的安全要求��,確保安全成為信息系統(tǒng)的內(nèi)置部分�,控制應(yīng)用系統(tǒng)的安全,防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失�����,被修改或誤用����;通過加密手段保護信息的保密性�����,真實性和完整性��;控制對系統(tǒng)文件的訪問���,確保系統(tǒng)文檔,源程序代碼的安全����;嚴格控制開發(fā)和支持過程,維護應(yīng)用系統(tǒng)軟件和信息安全��。
9)信息安全事故管理���。報告信息安全事件和弱點�����,及時采取糾正措施��,確保使用持續(xù)有效的方法管理信息安全事故���,并確保及時修復(fù)��。
10)業(yè)務(wù)連續(xù)性管理�。目的是為減少業(yè)務(wù)活動的中斷�����,是關(guān)鍵業(yè)務(wù)過程免收主要故障或天災(zāi)的影響��,并確保及時恢復(fù)�。
11)符合性���。信息系統(tǒng)的設(shè)計�,操作����,使用過程和管理要符合法律法規(guī)的要求,符合組織安全方針和標(biāo)準��,還要控制系統(tǒng)審計����,使信息審核過程的效力最大化����,干擾最小化�����。
效益
ISO27001的效益
1���、通過定義����、評估和控制風(fēng)險�,確保經(jīng)營的持續(xù)性和能力
2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3����、通過遵守國際標(biāo)準提高企業(yè)競爭能力,提升企業(yè)形象
4�����、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹防數(shù)據(jù)的誤用和丟失
5�����、建立安全工具使用方針
6、謹防技術(shù)訣竅的丟失
7����、在組織內(nèi)部增強安全意識
8、可作為公共會計審計的證據(jù)
ISO27001認證好處
當(dāng)您的組織通過了ISO27001的認證,就相當(dāng)于通過ISO9000的質(zhì)量認證一般����,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù) ISO27001 對您的信息安全管理體系進行認證��,可以帶來以下幾個好處:
引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理�,從而使管理更為有效。保證信息安全不是僅有一個防火墻�����,或找一個24小時提供信息安全服務(wù)的公司就可以達到的���。它需要全面的綜合管理。
通過進行ISO27001信息安全管理體系認證�,可以增進組織間電子電子商務(wù)往來的信用度,能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任�����,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益,并為廣大用戶和服務(wù)提供商提供一個基礎(chǔ)的設(shè)備管理����。同時,把組織的干擾因素降到最小����,創(chuàng)造更大收益。
通過認證能保證和證明組織所有的部門對信息安全的承諾���。
通過認證可改善全體的業(yè)績�、消除不信任感�����。
獲得國際認可的機構(gòu)的認證證書����,可得到國際上的承認,拓展您的業(yè)務(wù)���。
建立信息安全管理體系能降低這種風(fēng)險���,通過第三方的認證能增強投資者及其他利益相關(guān)方的投資信心�。
組織按照ISO27001標(biāo)準建立信息安全管理體系�����,會有一定的投入��,但是若能通過認證機關(guān)的審核����,獲得認證,將會獲得有價值的回報���。企業(yè)通過認證將可以向其客戶�、競爭對手�����、供應(yīng)商����、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善�,并以此作為增強信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾��。
通過認證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性。
申請條件
申請iso27001認證的基本條件:?
????1�����、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》����、《生產(chǎn)許可證》或等效文件;外國企業(yè)持有關(guān)機構(gòu)的登記注冊證明�。?
????2、申請方的信息安全管理體系已按ISO/IEC?27001:2005標(biāo)準的要求建立����,并實施運行3個月以上。?
????3�����、至少完成一次內(nèi)部審核�����,并進行了管理評審�。?
????4、信息安全管理體系運行期間及建立體系前的一年內(nèi)未受到主管部門行政處罰。?
認證與遵從
一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS(信息安全管理體系)�����,因為實踐指南中的內(nèi)容是普遍適用的����。然而,由于ISO17799并非基于認證框架�,它不具備關(guān)于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求���。在技術(shù)層面來講����,這就表明一個正在獨立運用ISO17799的機構(gòu)組織��,完全符合實踐指南的要求�,但是這并不足以讓外界認可其已經(jīng)達到認證框架所制定的認證要求。不同的是�,一個正在同時運用ISO27001和ISO17799標(biāo)準的機構(gòu)組織,可以建立一個完全符合認證具體要求的ISMS��,同時這個ISMS體系也符合實踐指南的要求��,于是����,這一組織就可以獲得外界的認同,即獲得認證����。
ISO27001認證要求
ISO27001標(biāo)準是為了與其他管理標(biāo)準,比如ISO9000和ISO14001等相互兼容而設(shè)計的���,這一標(biāo)準中的編號系統(tǒng)和文件管理需求的設(shè)計初衷��,就是為了提供良好的兼容性�����,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個組織正在使用的其他任何管理體系��。一般來說����,組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務(wù)的機構(gòu)���,來提供ISO27001認證服務(wù)�����。正是因為這個緣故����,在ISMS體系建立的過程中,質(zhì)量管理的經(jīng)驗舉足輕重���。
但是有一點需要注意���,一個組織如果沒有事先擁有并使用任何形式的管理體系,并不意味著該組織不能進行ISO27001認證���。這種情況下����,該組織就應(yīng)當(dāng)從經(jīng)濟利益考慮���,選擇一個合適的管理體系的認證機構(gòu)來提供認證服務(wù)����。認證機構(gòu)必須得到一個國家鑒定機構(gòu)的委托授權(quán)���,才能為認證組織提供認證服務(wù)���,并發(fā)放認證證書��。大多數(shù)國家都有自己的國家鑒定機構(gòu)(比如:英國UKAS),任何獲得該機構(gòu)授權(quán)進行ISMS認證的機構(gòu)均記錄在案�����。
風(fēng)險評估應(yīng)對計劃
任何一個ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨特的需求��。每個組織不僅都有自己獨特的業(yè)務(wù)模式�、運營目標(biāo)、形象特點和內(nèi)部文化��,他們對待風(fēng)險的態(tài)度傾向也大相徑庭����。換句話說,同一個東西�,一個機構(gòu)組織認為是必須提防的威脅,在另一個組織看來可能是一個必須抓住的機遇��。同樣地���,各個機構(gòu)組織對于既有風(fēng)險防護的投入也參差不齊���?;谝陨匣蛘咂渌?�,每個運行ISMS的組織���,其內(nèi)部成員必須對風(fēng)險評估有一個共識��,這個風(fēng)險評估的方法論����、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯���。
ISMS項目和PDCA流程
ISMS項目很復(fù)雜���,可能持續(xù)若干個月甚至若干年,涉及整個機構(gòu)組織以及從管理層到收發(fā)部門的每個成員�����。ISO27001認證誕生時間短����,成功的案例比較少���。從務(wù)實的角度考慮,這表明在項目計劃過程中��,必須盡早對這些僅有的指導(dǎo)性的書籍和案例進行分析和研究�。
ISO27001標(biāo)準指導(dǎo)一個企業(yè)如何著手開展ISMS項目���,并且關(guān)注整個項目進程中的若干重要元素�����。
1950年W. Edwards Deming提出PDCA流程���,即計劃(Plan)-執(zhí)行(Do)-檢查(Check)-提升(Act)過程,意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進的���,該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正���。這個流程以及流程的改進,都必須遵循這樣一個過程:先計劃��,再執(zhí)行,而后對其運行結(jié)果進行評估��,緊接著按照計劃的具體要求對該評估進行復(fù)查���,而后尋找到任何與計劃不符的結(jié)果偏差(即潛在改進的可能性)����,最后向管理層提出如何運行的最終報告����。
ISO27001認證審核費用及周期
除了組織自身投入之外,ISO27001 認證審核費用主要體現(xiàn)在聘請第三方認證機構(gòu)及審核員方面了����。在組織向認證機構(gòu)提出申請之后,認證機構(gòu)會初步了解組織現(xiàn)狀���,確定審核范圍��,提出審核報價����。認證機構(gòu)的報價通常是根據(jù)其投入的時間和人員來確定的��,決定因素包括:
1、受審核組織的員工數(shù)量;
2、納入審核范圍的信息量�����;
3、場所數(shù)量����;
4、組織與外界的關(guān)聯(lián)�����;
5��、組織 IT 的復(fù)雜性���;
6、組織類型和業(yè)務(wù)性質(zhì)等���。
除了費用問題�����,認證審核的周期通常也是組織比較關(guān)心的�����。一般來說�����,從組織啟動 ISMS建設(shè)項目開始����,到最終通過審核,至少要有半年時間(不包括獲取證書的時間)��。對于很多因為外部驅(qū)動力而決心實施 ISO27001 認證項目的組織來說�����,提早進行規(guī)劃是必要的�。
認證材料
1、組織法律證明文件����,如營業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章)
2、組織機構(gòu)代碼證書復(fù)印件、稅務(wù)登記證復(fù)印件(蓋公章)?
3����、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發(fā)布控制表,有時間標(biāo)記的記錄等復(fù)印件)????
4�����、申請組織的簡介
5�����、申請組織的體系文件?
6�、申請組織體系文件與GB/T22080-2008/ISO/IEC?27001:2005要求的文件對照說明;?
7��、申請組織內(nèi)部審核和管理評審的證明資料??
8�����、申請組織記錄保密性或敏感性聲明??
9��、認證機構(gòu)要求申請組織提交的其他補充資料
新版變化
現(xiàn)版的信息安全管理系統(tǒng)ISO 27001:2005標(biāo)準已經(jīng)使用了8年�����,日前ISO組織(國際標(biāo)準化組織)終于將新版ISO 27001:2013 DIS版(國際標(biāo)準草案Draft International Standard)草稿向公眾開放并征求意見��,預(yù)計在今年6-7月會發(fā)布DIS最終版�����。目前ISO組織公布的正式版本的頒布時間為2013年10月19日����,在新版公布后的18至24個月內(nèi)是轉(zhuǎn)換緩沖期,即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準��。
安言咨詢技術(shù)總監(jiān)張威表示��,此次改版與舊版相比主要有三大差異:一���、管理體系更容易整合���;二、融入企業(yè)面臨的新挑戰(zhàn)�;三、更多指引延伸參考���。說明如下:
?����。?) 易整合:以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式�����,且章節(jié)不一��。例如管理制度的PDCA(Plan�����,Do��,Check�����,Act)��、政策與高級支持等管理制度面要求不同�。在新版當(dāng)中采取Annex SL做結(jié)構(gòu)性要求,讓不同管理系統(tǒng)易于接軌�、整合��。Annex SL的高級結(jié)構(gòu)是ISO組織未來所有管理制度制定時的重要依據(jù),目前已經(jīng)有ISO 22301(前BS 25999營運持續(xù)管理系統(tǒng))和這次的ISO 27001新版都已采此結(jié)構(gòu)進行調(diào)整���。預(yù)計已頒布的標(biāo)準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調(diào)整�。
(2) 新要求:ISO 27001:2005原本有11個領(lǐng)域(domain)��、133項控制措施�����,新版DIS目前調(diào)整為14個領(lǐng)域(A.5-A.18)�����、113個控制措施(未來仍可能有改動)�。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標(biāo)級別提升,組成新領(lǐng)域���,如加密與供應(yīng)鏈管理因其重要性而被獨立出來成為新領(lǐng)域����;或是將原有領(lǐng)域分拆��,如將通訊與作業(yè)管理分開成兩個獨立的領(lǐng)域����,以反映目前信息安全的發(fā)展趨勢�。而控制措施的減少則是通過合并重復(fù)的項目來進行��,像變更管理在不同的領(lǐng)域中有重復(fù)就予以合并��。也有新增的控制項目比如對智能型裝置的管理����、強化ICT供應(yīng)鏈的委外管理、以及系統(tǒng)開發(fā)項目管理的信息安全要求等���。
?�。?) 更多參考:此次ISO也新增許多指引供企業(yè)參考�����,組織可以通過不同的面以及風(fēng)險進行深度的強化�����,通過ISO 27001驗證只是基本要求����。目前ISO 27000系列指引編號已超過44號(001-044)�,例如金融服務(wù)、數(shù)字鑒識����、供應(yīng)鏈管理(4本)、軟件開發(fā)測試等����,主管機關(guān)可參考這些指引做升級的要求。
對于正在準備ISO 27001的企業(yè)�,建議無須等待新版,按照原訂進度先取得27001:2005驗證���,在緩沖期結(jié)束前轉(zhuǎn)到新版即可�,新版會向下兼容接軌����。
