辰东,完美世界官网

體系認證

ISO27001信息安全管理體系

信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分： BS7799-1，信息安全管理實施規(guī)則 BS7799-2，信息安全管理體系規(guī)范。第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。
簡介
標準的起源和發(fā)展
信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：
BS7799-1，信息安全管理實施規(guī)則。
BS7799-2，信息安全管理體系規(guī)范。
第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和文件化信息安全管理體系（ISMS）的要求，規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求。
起源
隨著在世界范圍內(nèi)，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點，世界范圍內(nèi)的各個機構(gòu)、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標準，國際標準化組織（ISO）也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國際標準及技術(shù)報告。目前，在信息安全管理方面，英國標準ISO27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。
ISO27001標準于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，并且適用于大、中、小組織。
1998年英國公布標準的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它可以作為一個正式認證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強調(diào)了商務(wù)涉及的信息安全及信息安全的責任。
2000年12月，BS7799-1：1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC17799：2000《信息技術(shù)-信息安全管理實施細則》。2002年9月5日，BS7799-2：2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標準，同時BS7799-2：1999被廢止。2004年9月5日，BS 7799-2：2002正式發(fā)布。
2005年，BS 7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC 27001：2005。
2005年6月，ISO/IEC 17799：2000經(jīng)過改版，形成了新的ISO/IEC 17799：2005，新版本較老版本無論是組織編排還是內(nèi)容完整性上都有了很大增強和提升。ISO/IEC 17799：2005已更新并在2007年7月1日正式發(fā)布為ISO/IEC 27002:2005，這次更新只是在標準上的號碼，內(nèi)容并沒有改變。
現(xiàn)在，ISO27000：2005標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對ISO27000：2005標準感興趣，我國的臺灣、香港也在推廣該標準。許多國家的政府機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡(luò)公司及許多跨國公司已采用了此標準對自己的信息安全進行系統(tǒng)的管理。截至2002年9月，全球共有142家各類組織通過了ISO27000：2005信息安全管理體系認證。
發(fā)展
2000年，國際標準化組織（ISO）在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標準。BS7799-2在2002年也由BSI進行了重新的修訂。ISO組織在2005年對ISO 17799再次修訂，BS7799-2也于2005年被采用為ISO27001：2005。
ISO27001認證好處
信息安全管理體系標準（ISO27001）可有效保護信息資源，保護信息化進程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標準，類似于質(zhì)量管理體系認證的ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質(zhì)量認證一般，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據(jù) ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處：
引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務(wù)的公司就可以達到的。它需要全面的綜合管理。
通過進行ISO27001信息安全管理體系認證，可以增進組織間電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個基礎(chǔ)的設(shè)備管理。同時，把組織的干擾因素降到最小，創(chuàng)造更大收益。
通過認證能保證和證明組織所有的部門對信息安全的承諾。
通過認證可改善全體的業(yè)績、消除不信任感。
獲得國際認可的機構(gòu)的認證證書，可得到國際上的承認，拓展您的業(yè)務(wù)。
建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關(guān)方的投資信心。
組織按照ISO27001標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關(guān)的審核，獲得認證，將會獲得有價值的回報。企業(yè)通過認證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾。
通過認證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性。
新版修訂
自2005年國際標準化組織(簡稱:ISO)將BS 7799轉(zhuǎn)化為ISO 27001：2005發(fā)布以來，此標準在國際上獲得了空前的認可，相當數(shù)量的組織采納并進行了信息安全管理體系的認證, 至2011年底，國際上頒發(fā)的ISO 27001認證證書總數(shù)約為15625張（其中，BSI的市場占有率達約為45.65%）。在我國，自從2008年將ISO 27001:2005轉(zhuǎn)化為國家標準GB/T 22080:2008以來，信息安全管理體系認證在國內(nèi)進一步獲得了全面推廣，至2011年底，國內(nèi)頒發(fā)認證證書數(shù)量是1107張。越來越多的行業(yè)和組織認識到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開展起來。
然而過去的幾年中，IT領(lǐng)域和通信行業(yè)發(fā)生了非常大的變革，出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合。移動互聯(lián)網(wǎng)蓬勃興起、智能手機的廣泛采用、云計算技術(shù)的風起云涌，帶來了全新的網(wǎng)絡(luò)威脅、數(shù)據(jù)泄漏和欺詐的風險。面對這樣的變化和趨勢，使得信息安全管理體系標準的更新也變得日益重要。
ISO對標準的更新，一般是以三年為一個周期,但因為ISO 27001：2005標準發(fā)布后的巨大成功，以及ICT行業(yè)的飛躍發(fā)展，使得這個標準的更新變得非常謹慎，至今已有7年。從ISO組織發(fā)布的最新信息可以看到，ISO 27001標準的更新籌備實際上已經(jīng)在2008年開始，任命了工作組（JTC 1/SC 27 WG 1）；2009年正式啟動更新。目前，處于該標準草案（Committee Draft）正在編寫委員會討論層面（30.20：2012-06-20），預(yù)計新版發(fā)布時間會在 2013-10-19，那時我們就可以一睹它的全新面貌了。
從ISO 27001標準新版更新的一些說明材料中，可以看出這次ISO 27001標準改版將會具有以下幾個特征：
采用ISO導則83ISO導則83，規(guī)范了今后ISO管理體系認證標準的基本框架；采用導則83頒布的第一個標準是今年5月發(fā)布的業(yè)務(wù)連續(xù)管理體系標準——ISO 22301：:2012。
導則83對今后的標準提出了新的框架要求，如下圖示，標注了ISO27001新版與2005版結(jié)構(gòu)的對比和差異：
明顯的改變有如下幾點：
標準第4-7章，說明管理體系的一般要求，包括：組織的情境、領(lǐng)導力、策劃和支持；標準第8章，描述ISMS實施要求，包括信息安全風險評估和處置；標準第9章，描述監(jiān)視，測量和評審活動的要求；標準第10章，描述改善活動的要求；其中，取消了預(yù)防措施。信息安全風險管理與ISO31000風險管理保持一致新版的ISO27001標準中信息安全風險管理要求與ISO31000：2009（Risk management——Principles and guidelines）保持一致，并遵從其中的定義。
在新版標準中明確了以下要求：
信息安全風險評估：組織應(yīng)確定如何確定其信息安全風險評估和處置過程的可靠性。信息安全風險處理：適用時，組織應(yīng)調(diào)整信息安全風險評估和處置過程，以及采用的方法，以改善過程的可靠性。保留附錄A控制措施與控制目標新版ISO27001依然會保留SOA和附錄A控制目標、控制措施的架構(gòu)；因此，毫無疑問，ISO27001的新版修訂一定會與ISO27002的修訂同步進行。
事實上，關(guān)于控制措施和控制目標的修訂，也是應(yīng)對新的變化的信息安全威脅和風險必須的選擇；這部分的更新，在修訂項目中，接受了大量的修改建議，爭論也相當大，目前還沒有最后的結(jié)論。
持續(xù)發(fā)展27系列支持性標準ISO 27001從誕生第一天開始就不是孤立的，為了支持信息安全管理體系標準，ISO27系列發(fā)布了一系列普遍適用和行業(yè)適用的參考標準。如下圖：
截止目前，一些支持性標準目前的狀態(tài)如下表：

標準	名稱	狀態(tài)
ISO 27000	Overview and vocabulary	DIS
ISO 27001	Requirements	CD
ISO 27002	Code of practice for information security management	WD

古希臘哲學家赫拉克利特因其作為辯證法的奠基人聞名于世，他曾經(jīng)寫道“一切皆流，無物常住”，過去幾年中，國際上幾乎所有行業(yè)和組織面臨的信息安全風險的局勢無不體現(xiàn)了赫氏的這一學說。變化和發(fā)展是永恒的，信息安全風險總是處在持續(xù)演進中，攻擊者的手段依然會層出不窮。因此信息安全管理的實踐和標準都在不斷發(fā)展，我們唯一要做的就是保持警惕，隨時準備抵御風險。
認證機構(gòu)
頒發(fā)ISO27001信息安全管理體系證書的認證機構(gòu)必需是經(jīng)過CNCA國家認證監(jiān)督委員會（認監(jiān)委）授權(quán)的認證機構(gòu)方可在國內(nèi)進行審核發(fā)證，所有通過認證且合法的證書均可在CNCA的網(wǎng)站上進行查詢。國外的認證機構(gòu)如果沒有在國內(nèi)CNCA備案，即使認證機構(gòu)得到了認可單位是UKAS或者ANAB等等的認可，也是不符合中國的法律法規(guī)的，視為違規(guī)操作，被發(fā)現(xiàn)將會被CNCA處罰并公示證書在國內(nèi)無效。經(jīng)CNCA授權(quán)的認證機構(gòu)可以在CNCA網(wǎng)站上查詢。
關(guān)于認證機構(gòu)與認可機構(gòu)
認證，認證是指由認證機構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標準的合格評定活動。認證機構(gòu)，是經(jīng)國家認證認可監(jiān)督管理委員會（CNCA）批準可以在中國境內(nèi)合法開展管理體系認證和產(chǎn)品認證的專業(yè)機構(gòu)。就是說取得此項認證資質(zhì)的企業(yè)或單位才可以進行審核活動。比如BSI，DNV，北京新世紀認證有限公司，華夏認證中心有限公司等等，他們屬于認證機構(gòu)。認證機構(gòu)是經(jīng)CNCA授權(quán)的，認可機構(gòu)管理認證機構(gòu)。
認可，是正式表明合格評定機構(gòu)具備實施特定合格評定工作能力的第三方證明。通俗地講，認可是指認可機構(gòu)按照相關(guān)國際標準或國家標準，對從事認證、檢測和檢查等活動的合格評定機構(gòu)實施評審，證實其滿足相關(guān)標準要求，進一步證明其具有從事認證、檢測和檢查等活動的技術(shù)能力和管理能力，并頒發(fā)認可證書。中國的認可機構(gòu)是CNAS，英國的認可機構(gòu)是UKAS，美國的認可機構(gòu)是ANAB。
獲得CNAS認可的認證機構(gòu)名錄如下：中國質(zhì)量認證中心，上海質(zhì)量體系審核中心，北京賽西認證有限責任公司，廣州賽寶認證中心服務(wù)有限公司，北京新世紀認證有限公司，華夏認證中心有限公司，中國信息安全認證中心，上海挪華威認證有限公司
注：一般說來，證書是由認證機構(gòu)頒發(fā)，認證機構(gòu)要得到認可機構(gòu)的授權(quán)，認可機構(gòu)要得到認監(jiān)委（CNCA）的授權(quán)，因此在中國的認證最高管理單位是CNCA。但是有些認證機構(gòu)經(jīng)CNCA備案授權(quán)，并沒有獲得CNAS的認可，這樣在國內(nèi)開展被授權(quán)的審核業(yè)務(wù)也是可以的。
國際認證
APM Group（APMG）代表英國商務(wù)部（OGC）在全球進行ISO27001 Foundation、PRINCE2、P3O-Portfolio，Program and Project Offices、 MSP、M_o_R和ITIL的資質(zhì)認證工作。業(yè)務(wù)遍布全球，分別在英國、美國、荷蘭、丹麥、澳大利亞和中國設(shè)有分公司。APMG中國是英國APMG公司在中國的全資機構(gòu)及唯一代表機構(gòu)。
主要內(nèi)容
標準的主要內(nèi)容
ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。
標準指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風險減至最小，使投資回報和業(yè)務(wù)機會最大。
內(nèi)容章節(jié)
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO 17799進行了修訂，修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用；并修改了部分控制措施措辭。修改后的標準包括11個章節(jié)：
1、安全策略。指定信息安全方針，為信息安全提供管理指引和支持，并定期評審。
2、信息安全的組織。建立信息安全管理組織體系，在內(nèi)部開展和控制信息安全的實施。
3、資產(chǎn)管理。核查所有信息資產(chǎn)，做好信息分類，確保信息資產(chǎn)受到適當程度的保護。
4、人力資源安全。確保所有員工，合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責任，義務(wù)，以減少人為差錯，盜竊，欺詐或誤用設(shè)施的風險。
5、物理和環(huán)境安全。定義安全區(qū)域，防止對辦公場所和信息的未授權(quán)訪問，破壞和干擾；保護設(shè)備的安全，防止信息資產(chǎn)的丟失，損壞或被盜，以及對企業(yè)業(yè)務(wù)的干擾；同時，還要做好一般控制，防止信息和信息處理設(shè)施的損壞和被盜。
6、通信和操作管理。制定操作規(guī)程和職責，確保信息處理設(shè)施的正確和安全操作；建立系統(tǒng)規(guī)劃和驗收準則，將系統(tǒng)失效的風險降到最低；防范惡意代碼和移動代碼，保護軟件和信息的完整性；做好信息備份和網(wǎng)絡(luò)安全管理，確保信息在網(wǎng)絡(luò)中的安全，確保其支持性基礎(chǔ)設(shè)施得到保護；建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動的中斷；防止信息和軟件在組織之間交換時丟失，修改或誤用。
7、訪問控制。制定訪問控制策略，避免信息系統(tǒng)的非授權(quán)訪問，并讓用戶了解其職責和義務(wù)，包括網(wǎng)絡(luò)訪問控制，操作系統(tǒng)訪問控制，應(yīng)用系統(tǒng)和信息訪問控制，監(jiān)視系統(tǒng)訪問和使用，定期檢測未授權(quán)的活動；當使用移動辦公和遠程控制時，也要確保信息安全。
8、系統(tǒng)采集、開發(fā)和維護。標示系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分，控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用；通過加密手段保護信息的保密性，真實性和完整性；控制對系統(tǒng)文件的訪問，確保系統(tǒng)文檔，源程序代碼的安全；嚴格控制開發(fā)和支持過程，維護應(yīng)用系統(tǒng)軟件和信息安全。
9、信息安全事故管理。報告信息安全事件和弱點，及時采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故，并確保及時修復。
10、業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動的中斷，是關(guān)鍵業(yè)務(wù)過程免受主要故障或天災(zāi)的影響，并確保及時恢復。
11、符合性。信息系統(tǒng)的設(shè)計，操作，使用過程和管理要符合法律法規(guī)的要求，符合組織安全方針和標準，還要控制系統(tǒng)審計，使信息審核過程的效力最大化，干擾最小化。
ISO27001的效益
1、通過定義、評估和控制風險，確保經(jīng)營的持續(xù)性和能力。
2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任。
3、通過遵守國際標準提高企業(yè)競爭能力，提升企業(yè)形象。
4、明確定義所有組織的內(nèi)部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失。
5、建立安全工具使用方針。
6、謹防技術(shù)訣竅的丟失。
7、在組織內(nèi)部增強安全意識。
8、可作為公共會計審計的證據(jù)。
認識ISO27001國際標準
ISO27001（BS7799/ISO17799）國際標準究竟是什么？它如何幫助一個組織更加有效地管理信息安全？BS7799/ISO27001和ISO9001之間有什么聯(lián)系？初次涉獵信息安全管理領(lǐng)域應(yīng)該掌握哪些內(nèi)容，以便組織發(fā)起信息安全管理項目？如何獲得BS7799國際標準認證？
IT治理和信息安全
近年來企業(yè)高層對內(nèi)部治理需求越來越實際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個方面，企業(yè)越來越依賴IT系統(tǒng)來處理和儲存各種信息，以保證業(yè)務(wù)正常運營，由此IT系統(tǒng)在企業(yè)治理中的作z用越來越明晰，IT治理也逐漸被大多數(shù)企業(yè)認可，成為董事會和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環(huán)節(jié)實施的前提。
與此同時，和信息安全相關(guān)的國際標準已經(jīng)出臺，成為標準IT治理框架中的一大基石。
信息安全和法律法規(guī)
業(yè)內(nèi)人士對ISO27001認證趨之若鶩，這其中有兩個關(guān)鍵性的驅(qū)動因素：一是日益嚴峻的信息安全威脅，二是不斷增長的信息保護相關(guān)法規(guī)的需求。
本質(zhì)上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構(gòu)和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。
過去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個人數(shù)據(jù)保護問題的，也有針對企業(yè)財政、運營和風險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應(yīng)當可以提供最佳實踐部署指導。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件，與此同時，針對該管理體系的認證逐漸成為各種組織（包括政府部門）的熱門需求，這份認證可以為他們帶來重要的潛在商業(yè)合同。
信息安全和技術(shù)
絕大多數(shù)人認為信息安全是一個純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計算機安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計算機安全的相關(guān)事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全專家就可以設(shè)計并執(zhí)行一個技術(shù)方案以達成用戶需求。
在組織內(nèi)部，管理層應(yīng)當負責決策，而不是IT部門。一個規(guī)范的信息安全管理體系必須明確指出，組織機構(gòu)董事會和管理層應(yīng)當負責相關(guān)信息安全管理體系的決策，同時，這個體系也應(yīng)當能夠反映這種決策，并且在運行過程中能夠提供證據(jù)證明其有效性。
所以機構(gòu)組織內(nèi)部的信息安全管理體系的建立項目不必由一個技術(shù)專家來領(lǐng)導。事實上，技術(shù)專家在很多情況下起到相反的作用，可能會阻礙項目進程。因此，這個項目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負責機構(gòu)內(nèi)部重大職能的執(zhí)行主管負責主持。
信息安全標準
1995年，英國標準協(xié)會（BSI）發(fā)布BS7799標準，即ISMS（信息安全管理體系），旨在規(guī)范、引導信息安全管理體系的發(fā)展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價值中立的管理體系。只要實施得當，BS7799標準將幫助企業(yè)檢查并確認其信息安全管理手段和實施方案的有效性。
從企業(yè)外部來看，BS7799關(guān)注信息的可用性、機密性和完整性，至今這仍然是這項標準致力達到的目標。BS7799集中關(guān)注企業(yè)組織層面上的風險規(guī)避（一定程度上主要是商業(yè)和金融風險），而不包括避免每一個潛在風險的保護措施——盡管它們至關(guān)重要。
BS7799最初僅有一份文檔，且具有明顯的實踐指南性質(zhì)。也就是說，它為組織提供信息安全指引，但沒有形成規(guī)范，不能為外部第三方審計和認證等提供依據(jù)。隨著越來越多的企業(yè)開始認識到來自信息安全的威脅波及范圍越來越廣，影響程度越來越大，并且關(guān)于數(shù)據(jù)和隱私權(quán)保護的法律法規(guī)不斷出臺，信息安全標準認證的需求開始不斷增加。
這種需求的增加最終促成了該項標準第二部分的出臺，即標準規(guī)范。實踐指南和標準規(guī)范之間的關(guān)系是這樣的：標準規(guī)范是認證方案的基礎(chǔ)，同時標準規(guī)范要求實踐者遵從實踐指南的指引。
這個實踐指南最近被修訂為ISO/IEC17799：2005，標準規(guī)范也被修訂為ISO/IEC 27001:2005，逐步得到國際認同。
許多國家也已發(fā)布了自己的相關(guān)標準，比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可，這促使了本土化標準的消退（除了基于兩個標準號碼基礎(chǔ)上的本土化標準以外）。
認證與遵從
一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息安全管理體系），因為實踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認證框架，它不具備關(guān)于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術(shù)層面來講，這就表明一個正在獨立運用ISO17799的機構(gòu)組織，完全符合實踐指南的要求，但是這并不足以讓外界認可其已經(jīng)達到認證框架所制定的認證要求。不同的是，一個正在同時運用ISO27001和ISO17799標準的機構(gòu)組織，可以建立一個完全符合認證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認同，即獲得認證。
ISO27001認證要求
ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設(shè)計的，這一標準中的編號系統(tǒng)和文件管理需求的設(shè)計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務(wù)的機構(gòu)，來提供ISO27001認證服務(wù)。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。
但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應(yīng)當從經(jīng)濟利益考慮，選擇一個合適的管理體系的認證機構(gòu)來提供認證服務(wù)。認證機構(gòu)必須得到一個國家鑒定機構(gòu)的委托授權(quán)，才能為認證組織提供認證服務(wù)，并發(fā)放認證證書。大多數(shù)國家都有自己的國家鑒定機構(gòu)（比如：英國UKAS），任何獲得該機構(gòu)授權(quán)進行ISMS認證的機構(gòu)均記錄在案。
風險評估應(yīng)對計劃
任何一個ISMS體系的建立和開發(fā)都應(yīng)當滿足組織獨特的需求。每個組織不僅都有自己獨特的業(yè)務(wù)模式、運營目標、形象特點和內(nèi)部文化，他們對待風險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構(gòu)組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構(gòu)組織對于既有風險防護的投入也參差不齊。基于以上或者其他原因，每個運行ISMS的組織，其內(nèi)部成員必須對風險評估有一個共識，這個風險評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。
ISMS項目和PDCA流程
ISMS項目很復雜，可能持續(xù)若干個月甚至若干年，涉及整個機構(gòu)組織以及從管理層到收發(fā)部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務(wù)實的角度考慮，這表明在項目計劃過程中，必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。
ISO27001標準指導一個企業(yè)如何著手開展ISMS項目，并且關(guān)注整個項目進程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當是不斷改進的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結(jié)果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結(jié)果偏差（即潛在改進的可能性），最后向管理層提出如何運行的最終報告。
ISO27001認證審核費用及周期
除了組織自身投入之外，ISO27001 認證審核費用主要體現(xiàn)在聘請第三方認證機構(gòu)及審核員方面了。在組織向認證機構(gòu)提出申請之后，認證機構(gòu)會初步了解組織現(xiàn)狀，確定審核范圍，提出審核報價。認證機構(gòu)的報價通常是根據(jù)其投入的時間和人員來確定的，決定因素包括：
1、受審核組織的員工數(shù)量；
2、納入審核范圍的信息量；
3、場所數(shù)量；
4、組織與外界的關(guān)聯(lián)；
5、組織 IT 的復雜性；
6、組織類型和業(yè)務(wù)性質(zhì)等。
除了費用問題，認證審核的周期通常也是組織比較關(guān)心的。一般來說，從組織啟動 ISMS建設(shè)項目開始，到最終通過審核，至少要有半年時間（不包括獲取證書的時間）。對于很多因為外部驅(qū)動力而決心實施 ISO27001 認證項目的組織來說，提早進行規(guī)劃是必要的。
相關(guān)文章
ISO 27001為企業(yè)云計算安全保駕護航
近幾年來，IT領(lǐng)域出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合，許多全新的技術(shù)名詞開始進入大眾視野。作為第三次IT浪潮的代表，云計算技術(shù)的風起云涌為人類生活、生產(chǎn)方式和商業(yè)模式帶來了巨大的改變。據(jù)Gartner公司最新一季度的IT支出報告稱，鑒于2011年全球公有云服務(wù)市場規(guī)模突破了910億美元，預(yù)計2012年底這一數(shù)字將增加19%，達到1090億美元。來自Gartner的云計算領(lǐng)域觀察員Ed Anderson認為，2016年全球云計算產(chǎn)業(yè)很可能增長率將超過100%，市場規(guī)模達到2070億美元。
伴隨著云計算的高速發(fā)展與普及，隨之而來的全新網(wǎng)絡(luò)威脅、數(shù)據(jù)泄漏和欺詐的風險，在全球范圍內(nèi)引發(fā)了諸多危機：2011年3月，谷歌Gmail郵箱爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件，約有15萬用戶的使用信息受到不同程度的破壞；無獨有偶，2011年4月，全球最大的網(wǎng)絡(luò)零售商亞馬遜也發(fā)生史上最嚴重的宕機事件，導致其云服務(wù)中斷持續(xù)了近四天，業(yè)務(wù)損失十分嚴重。由此可見，想要獲得真正全面的云計算服務(wù)，安全問題是重中之重。如何并有效地避免云計算所帶來的安全隱患，國際上關(guān)于“云”的組織聯(lián)盟都在積極地做出努力，在對相關(guān)技術(shù)水平提出更高要求的同時，如何更好的建立企業(yè)自身的信息安全管理標準體系也成為了行業(yè)日益關(guān)注的焦點。
作為目前國際上具有代表性的信息安全管理體系標準，ISO 27001已在世界各地的政府機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡(luò)公司及許多跨國公司得到了廣泛應(yīng)用，該標準重新定義了對信息安全管理體系(ISMS) 的要求，旨在幫助企業(yè)確保有足夠并具有針對性的安全控制選擇。通過信息安全管理體系的建立、運行和改進，可以進一步規(guī)范企業(yè)相關(guān)的信息管理工作，從而確保企業(yè)云計算服務(wù)的安全問題。
此外，開展ISO27001的培訓也是十分必要的，而且要從不同的層面開展針對性的培訓。首先，需要開展管理層的培訓，讓管理者對[7] 信息安全管理體系有一個初步的了解，讓領(lǐng)導們初步了解信息安全管理體系的理念和作用，企業(yè)高層的大力支持，才能順利進行，因為信息安全體系架構(gòu)的實施和運行，比如會跨越不同的部門，在部門與部門的協(xié)調(diào)上，就需要上層領(lǐng)導的協(xié)調(diào)了。此外，讓各部門主要信息安全專員參與標準的內(nèi)審員培訓，從而讓內(nèi)審核員認識信息安全體系應(yīng)該做哪些工作，哪些是重點工作，并且在培訓中進行討論，形成統(tǒng)一的認識。
通過實施ISO27001信息安全管理體系，將為企業(yè)帶來多方面的益處：包括證明企業(yè)內(nèi)部控制具備獨立保障，并滿足公司信息管理和業(yè)務(wù)連續(xù)性要求；獨立證明已遵守各項適用法律法規(guī)；通過滿足合同要求以提供競爭優(yōu)勢，并向客戶展示其云計算安全已受到保護；在使信息安全流程、程序和文件材料正式化的同時，能夠獨立地證明您的云服務(wù)相關(guān)風險已得到妥善識別、評估和管理；證明高級管理層對其信息安全的承諾；定期的評估流程有助于不斷監(jiān)控企業(yè)的績效并最終得到改善。
2013新版變化
現(xiàn)版的信息安全管理系統(tǒng)ISO27001：2005標準已經(jīng)使用了8年，日前ISO組織（國際標準化組織）終于將新版ISO27001：2013DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見，預(yù)計在今年6-7月會發(fā)布DIS最終版。目前ISO組織公布的正式版本的頒布時間為2013年10月19日，在新版公布后的18至24個月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標準。
安言咨詢技術(shù)總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：一、管理體系更容易整合；二、融入企業(yè)面臨的新挑戰(zhàn)；三、更多指引延伸參考。說明如下：
（1）易整合：以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與高級支持等管理制度面要求不同。在新版當中采取Annex SL做結(jié)構(gòu)性要求，讓不同管理系統(tǒng)易于接軌、整合。Annex SL的高級結(jié)構(gòu)是ISO組織未來所有管理制度制定時的重要依據(jù)，目前已經(jīng)有ISO 22301（前BS25999營運持續(xù)管理系統(tǒng)）和這次的ISO27001新版都已采此結(jié)構(gòu)進行調(diào)整。預(yù)計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調(diào)整。
（2）新要求：ISO 27001:2005原本有11個領(lǐng)域（domain）、133項控制措施，新版DIS目前調(diào)整為14個領(lǐng)域（A.5-A.18）、113個控制措施（未來仍可能有改動）。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標級別提升，組成新領(lǐng)域，如加密與供應(yīng)鏈管理因其重要性而被獨立出來成為新領(lǐng)域；或是將原有領(lǐng)域分拆，如將通訊與作業(yè)管理分開成兩個獨立的領(lǐng)域，以反映目前信息安全的發(fā)展趨勢。而控制措施的減少則是通過合并重復的項目來進行，像變更管理在不同的領(lǐng)域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應(yīng)鏈的委外管理、以及系統(tǒng)開發(fā)項目管理的信息安全要求等。
（3）更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的面以及風險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務(wù)、數(shù)字鑒識、供應(yīng)鏈管理（4本）、軟件開發(fā)測試等，主管機關(guān)可參考這些指引做升級的要求。
對于目前正在準備ISO 27001的企業(yè)，建議無須等待新版，按照原訂進度先取得27001：2005驗證，在緩沖期結(jié)束前轉(zhuǎn)到新版即可，新版會向下兼容接軌。
IS027001認證將來的發(fā)展和變化。
按照BSI的規(guī)劃（包括ISO的考慮），未來兩年里，以ISO/IEC 27001為核心的信息安全管理標準將逐漸發(fā)展成為一套完整的標準族，具體包括：
ISO/IEC27000，基礎(chǔ)和術(shù)語。
ISO]IEC27001，信息安全管理體系要求，已于2005年10月15日正式發(fā)布（ISO/IEC27001：2005）。
ISO/IEC27002，信息安全管理體系最佳實踐，將會在2007年4月直接由ISO/IEC
17799：2005（已于2005年6月15日正式發(fā)行）轉(zhuǎn)換而來。
ISO/IEC27003，ISMS實施指南，正在開發(fā)。
ISO/IEC27004，信息安全管理度帚和改進，正在開發(fā)。
ISO/IEC27005，信息安全風險管理指南，以2005年底剛剛推出的BS7799-3（基于ISO/IEC 13335-2）為藍本；
這些標準或指南，互相支持和參照，共同為組織實施信息安全最佳實踐和建立信息安全管理體系而發(fā)揮作用。

上一篇：OHSAS18000職業(yè)健康安全管理體系

下一篇：ISO/TS16949汽車行業(yè)管理體系

相關(guān)文章

網(wǎng)站首頁

公司簡介

新聞動態(tài)

培訓課程

體系認證

產(chǎn)品認證

經(jīng)典案例

認證證書

ISO27001信息安全管理體系