ISO27001是什么
信息安全管理体系(InformationSecurityManagementSystems,ISMS)是组织整体管理系统的一部分。它是基于风险评估的一系列管理活动,如信息安全的建立、实施、运行、监控、审查、维护和持续改进。它是一个组织在整体或特定范围内建立信息安全政策和目标的系统,以及实现这些目标所采用的方法。GB/T22080/ISO/IEC27001是建立和维护信息安全管理体系的标准。它要求组织采取确定信息安全管理体系范围、制定信息安全政策和策略、明确管理职责、基于风险评估选择控制目标和措施等一系列流程。它是一种动态的、系统的、系统的、预防性的组织信息安全管理方法。
信息安全管理体系认证原理和好处
国际标准化组织/IEC17799-2000包含127项安全控制措施,帮助组织识别运营期间影响信息安全的因素。组织可以根据适用的法律、法规和公司章程选择和使用它们,或者添加其他附加控制。国际标准化组织(标准化组织)于2005年修订了ISO 17799。修订后的标准是ISO27000标准系列的第一部分——国际标准化组织/IEC 27001。新标准去掉了9项控制措施,增加了17项控制措施,对部分控制措施进行了重组,增加了新的一章,更符合逻辑,更适合应用。并修改了一些控制措施措辞。修订后的标准包括11章:
(1)安全策略。指定信息安全策略,为信息安全提供管理指导和支持,并定期审查。
(2)信息安全组织。建立信息安全管理组织体系,在内部实施和控制信息安全的实施。
(3)资产管理。检查所有信息资产,对信息进行良好分类,并确保信息资产得到适当保护。
(4)人力资源保障。确保所有员工、承包商和第三方都了解信息安全威胁和相关事项以及各自的责任和义务,以减少人为错误、盗窃、欺诈或滥用设施的风险。
(5)物理和环境安全。定义安全区域,防止未经授权的访问、损坏和干扰办公空间和信息;保护设备安全,防止信息资产丢失、损坏或被盗,干扰企业业务;同时,应进行全面控制,以防止信息和信息处理设施被损坏或被盗。
(6)沟通和运营管理。制定操作规则和职责,确保信息处理设施的正确和安全运行;建立系统规划和验收标准,将系统故障风险降至最低;防范恶意代码和移动代码,保护软件和信息的完整性;做好信息备份和网络安全管理,确保网络中信息的安全及其配套基础设施的保护;建立媒体处置和安全法规,防止资产损坏和业务中断;防止信息和软件在组织间交换时丢失、修改或滥用。
(7)访问控制。制定访问控制策略,避免未经授权访问信息系统,让用户知道自己的责任和义务,包括网络访问控制、操作系统访问控制、应用系统和信息访问控制,监控系统访问和使用,定期检测未经授权的活动;在使用移动办公和远程控制时,也要保证信息安全。
(8)系统获取、开发和维护。标记系统的安全需求,确保安全成为信息系统的内置部分,控制应用系统的安全性,防止应用系统中用户数据的丢失、修改或误用;通过加密手段保护信息的机密性、真实性和完整性;控制对系统文件的访问,确保系统文档和源代码的安全;严格控制开发和支持过程,维护应用系统软件和信息的安全。
(9)信息安全事故管理。报告信息安全事件和薄弱环节,及时采取纠正措施,确保信息安全事件得到持续有效的管理,并确保及时修复。
(10)业务连续性管理。目的是减少业务活动的中断,保护关键业务流程免受重大故障或自然灾害的影响,并确保及时恢复。
(11)合规性。信息系统的设计、运行、使用过程和管理应符合法律法规、组织安全政策和标准的要求,并对系统审计进行控制,使信息审计过程的有效性最大化,干扰最小化。
有如下好处:
1.通过定义、评估和控制风险,确保运营的连续性和能力。
2.减少因违反合同和直接违反法律法规而导致的责任。
3.遵循国际标准,提高企业竞争力和形象。
4.明确定义所有组织的内部和外部信息接口目标:谨防数据误用和丢失。
5.建立安全工具的使用政策。
6.当心失去技术诀窍。
7.提高组织内部的安全意识。
8、可以作为公共会计审计的证据。
ISO27001认证流程及证书查询网址
ISO27001标准旨在与其他管理标准兼容,如ISO9000和ISO14001。本标准中编号系统和文件管理要求的初衷是提供良好的兼容性,以便组织能够建立这样一个管理系统,该系统可以最大程度地集成到组织正在使用的任何其他管理系统中。一般来说,组织通常使用为其ISO9000认证或其他管理体系认证提供认证服务的组织来提供ISO27001认证服务。正因为如此,在建立ISMS体系的过程中,质量管理的经验是非常重要的。
但是需要注意的是,如果一个组织没有提前拥有和使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。在这种情况下,组织应从经济效益的角度选择合适的管理体系认证机构提供认证服务。认证机构必须获得国家认证机构的授权,为认证机构提供认证服务并颁发认证证书。大多数国家都有自己的国家认证机构(例如,UKAS、英国),任何由该机构授权进行ISMS认证的机构都有记录。
风险评估响应计划
任何ISMS系统的建立和发展都应满足本组织的独特需求。每个组织不仅有自己独特的商业模式、运营目标、形象特征和内部文化,而且对风险的态度也各不相同。换句话说,同样的事情,一个组织认为必须防范的威胁,可能是另一个组织必须抓住的机会。同样,各组织对现有风险保护的投资也不均衡。出于上述或其他原因,运营ISMS的每个组织的内部成员必须就风险评估达成共识,并且该风险评估的方法、结果和建议的解决方案必须得到董事会的批准。
ISMS项目和PDCA过程
ISMS项目非常复杂,可能会持续几个月甚至几年,涉及整个组织以及从管理层到收发部门的每个成员。ISO27001认证诞生时间短,成功案例少。从务实的角度来看,这说明在项目策划过程中,一定要尽快分析研究这些仅有的指导性书籍和案例。
1950年,w·爱德华兹·戴明提出了PDCA过程,即计划-做-检查-行动的过程,意在表明业务流程应该不断改进。这种方法使职能部门经理能够识别那些需要修改和纠正的环节。这个过程及其改进必须遵循这样一个过程:先计划,再实施,然后评估其运行结果,然后根据计划的具体要求重新检查评估,然后找出与计划不一致的任何结果偏差(即潜在的改进可能性),最后向管理层提出如何运行的最终报告。
ISO27001认证审核费用和周期
除了机构自身的投入外,ISO27001认证审核的成本主要体现在聘请第三方认证机构和审核员。机构向认证机构提出申请后,认证机构会对机构现状有初步了解,确定审核范围,提出审核报价。认证机构的报价通常根据其投入的时间和人员来确定,决定性因素包括:
1.被审计组织的雇员人数;
2.纳入审计范围的信息量;
3.名额;
4.组织与外界的联系;
5.IT组织的复杂性;
6.组织类型和业务性质等。
除了成本,认证审核的周期通常也是组织所关心的。一般来说,从ISMS建设项目开始到最终批准,至少需要半年时间(不包括取得证书的时间)。对于许多因为外部驱动力而决心实施ISO27001认证项目的组织来说,有必要提前做好规划。
ISO27001体系认证证书查询
国家认证认可监督管理委员会:http://www.cnca.gov.cn/
