您当前的位置: 主页 > 业务范围 >
ISO27001 信息安全管理体系认证
ISO27001是什么?
  ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。
  该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
  其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》


ISO27001标准简介
世界广泛采用的关于信息安全管理体系的英国标准——BS 7799-2:2002,经修订后,于2005年10月15日作为国际标准ISO/IEC27001:2005发布。
  本文旨在向组织指出标准的变化及在实际应用中的意义,协助组织做好向新标准过渡的准备。
 
  新标准的正式标题是:《BS 7799-2:2005 (ISO/IEC 27001:2005)信息技术-安全技术-信息安全管理体系-要求》这意味着它不仅仅是IT标准,标题中的“信息技术-安全技术”表明它还是以ISO委员会(JTC1/SC27)的名义发表的。该标准的焦点还是放在贯穿组织的信息安全管理上。尽管大部分控制在实际中会在IT部门或IT组织内部实现,但总体上标准执行的重点仍应放在业务信息的风险上。
 
  标准的主要改变在于它现在是国际公认的,这意味着除了英国标准的国际认可,组织可以构建一个全球性的框架来管理他们的信息安全。不管是为了组织自身的商业信息,如财政信息,知识产权,职员资料等等,或者是客户或第三方与组织间沟通的信息,标准都是适用的。实际上,它是组织能够对他们的信息安全管理系统进行客观独立评估的唯一国际标准。
 
  新版的国际标准已经有一系列更新来阐明巩固原始英国标准——BS 7799-2:2002的要求。这些更新主要集中在以下范围:风险评估、合同责任、范围、管理决策以及所选控制措施有效性的测量等。对于采用BS7799-2:2002的组织来说,新版的国际标准并没有太大的影响。最大的影响就是要求对所选的控制措施或控制措施组合的有效性进行测量。(详见ISO/IEC 27001:2005的4.2.2 d)
 
  下面是该标准重大改变的解释概要。附录A是一个显示BS 7799-2:2002和 ISO/IEC 27001:2005之间的变化的表格。《ISO/IEC 27001:2005》。
  
  范围和界线
  
  在执行信息安全管理体系的时候,组织所要做的第一件事就是定义ISMS的范围。现在国际标准要求组织定义ISMS的范围和界线[4.2.1 a],包括被排除在范围外的详细说明及理由。尽管富有经验的BSI审核员在评估过程中也会寻找这些东西,但是现在把这个要求加到标准中了,如果组织打算超越根据2002版标准取得的认证而达到新标准的要求,就必须把这个要求考虑在内。
  
   评估风险
   
  该国际标准的基础是:信息的保护是基于业务信息的风险,该风险能促使组织运用合适的措施来保护业务的安全。很少有业务信息会暴露在多种风险之下,因此太多的安全措施可能使公司花费过多的成本。
 
  标准的一个重大改变是组织现在需要详细说明(并文件化)风险评估的步骤[4.2.1 c],这也意味着挑选并文件化风险评估方法将会使风险评估“产生可比较、可重复的结果” [4.2.1 c 和 4.3.1 d]。目前已通过BS 7799-2:2002认证的组织不会把这点看成一个比较大的变化,因为在评估过程中已经考虑过它了。打算通过BS 7799-2:2002认证的组织可能会把它看成该国际标准的新要求。
 
  风险评估按照计划的时间间隔[4.2.3 d]进行复查,对风险评估和风险处理计划[7.3 b]的更新进行复查管理已经是标准的要求。这个要求必须作为组织信息安全管理体系的管理复查的一部分[7.1],至少一年完成一次。
 
  在对BS 7799-2:2002版标准进行审核的过程中,审核员应该根据ISMS的方针和目标[4.3.1],寻找所选择的控制措施与风险评估结果和风险处理程序之间的关系。尽管BS 7799-2:2002标准提到过这点,但现在已经在国际标准中阐明了。想获得BS 7799-2:2002认证的组织可以把它看作国际标准的新要求。
  
   合同责任
   
  除了法律法规的要求,该国际标准还特别强调在所有ISMS所有过程中的合同责任,包括风险评估、风险处理、控制选择、记录控制、资源、ISMS的监视和复查、以及文件要求。
  
   通过BS 7799-2认证的组织现在需要做什么?
   
  需要特别注意的是:新的国际标准是双重的,既可以是ISO/IEC 27001:2005,又可以是 BS 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。
 
  通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC 27001:2005标准的认证。
 
  如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。
 
  新标准发布后,就可以依据ISO/IEC 27001:2005进行认证了。
  
   附录A变化摘要
BS7799部分2:2002(条款号)    ISO/IEC 27001:2005(条款号)    变化和差异的注解
1.2应用    1.2应用    确定对ISO/IEC 27001条款4-8的删减都是不可接受的,解释在何种情况下对控制进行了删减是可能的。
3术语和定义    3术语和定义    从ISO/IEC 13335-1:2004,ISO/IEC TR 18044:2004和ISO/IEC指南 73:2002中添加定义。
改变部分现有定义以配合ISO/IEC 13335-1:2004标准。重新明确定义了“风险处理”和“适用性声明”。
4.2.1 建立ISMS项目a)定义ISMS的范围    4.2.1 建立ISMS
项目a)定义ISMS的范围和界线    现在,定义了ISMS的“范围和界线”的要求。要求包括:1、说明在范围内的部分2、解释被排除在范围外的理由。
项目c)定义风险评估的系统方法     在项目c) 中的第二句“定义组织的风险评估方法”被删除后新增了一条。    新增一条对现有的要求进行阐明和补充。
同时声明风险评估方法应产生可比较、可重复的结果。
项目g)为风险处理选择控制目标及控制。    项目g)“为风险处理选择控制目标及控制”已经被延伸了。    现有的要求加上了这样的阐释:选择应该考虑到在法律、法规及合同的要求范围内接受风险的标准。
项目h)准备适用性声明。     项目j)添加了新项目j)2)“准备适用性声明”。    阐明了现有关于适用性声明的要求。
现在强调它要包括当前实施的控制目标及控制。
4.22实施和运作ISMS
 
 
     4.22实施和运作ISMS
新增项目d) 定义如何测量有效性。    这可能是实施和运作ISMS过程中最大的改变,要求定义如何测量控制及控制组合的有效性,要求详细列出测量方法使控制效果评估产生可比较、可重复的结果。
4.2.3监控和评审ISMS
项目a)执行监控程序及其它的控制。    4.2.3监控和评审ISMS
项目a) 4)添加了“执行监控程序及其它的控制以探测安全事件”。
项目c)添加了“测量控制的效力”。    阐明了有助于预防安全事故的安全事件探测。
包括使用指标。
项目c)评审剩余风险和可接受风险。    新增项目d) 5)按计划的时间间隔评审风险评估,评审剩余风险和可接受风险,评审时要考虑现行控制的有效性的变化。
新增项目g)更新安全计划    与4.2.2.d结合以监控ISMS的效力。
现有要求的阐述,帮助监测现行控制的效果。
阐述和补充了以下要求:根据监控评审活动的发现来监控评审ISMS以更新安全计划的要求。
4.31概要    4.31概要第一段    阐明:文件要包括管理决策的记录,活动要根据管理决策和方针进行,记录/结果是可重复的。
     第二段    新增一句说明所选择的控制与风险评估和风险处理过程的关系,以及与ISMS方针和目标的关系。
     新增项目d)风险评估方法的描述    风险评估方法的描述要包含在文件中。
项目e)文件化的程序    项目g)“文件化的程序”已经被更新了    阐明并补充了描述如何测量控制的有效性的要求。
4.3.2文件控制     4.3.2文件控制
新增项目f) 确保文件是可用的    阐述了确保使用者可以获得所需文件的要求,及文件的转移存储和最终处置要按照合适的等级来处理。
5.1管理承诺    5.1管理承诺
新增项目g)保证ISMS内部审核得到管理。    在管理承诺中声明确保ISMS内部审核得到管理。
条款6.1 到6.3    条款7.1 到7.3    移动的章节
条款7.1 到7.3    条款8.1 到8.3
     移动的章节
6.2评审输入
     7.2评审输入
新增项目f) 有效性测量的结果    移动的章节
新增了有效性测量的结果。
 
6.3评审输出    7.3评审输出
新增项目b)更新风险评估和风险处理计划。    移动的章节
阐明确保更新风险评估和风险处理计划。
项目c) 必要时,修改影响信息安全的程序,以响应对ISMS造成影响的内外事件。    项目c) 必要时,修改影响信息安全的程序和控制,以响应对ISMS造成影响的内外事件。包括合同责任的改变。    阐明包括合同责任的改变。
     新增项目e)改进控制有效性的测量方法。    加进了“改进控制效力的测量方法。”的声明。
6.4 ISMS内部审核    6.4ISMS内部审核    现在是第六章的唯一要求。
 
7.3预防措施    8.3预防措施
项目8.3b)“评估采取措施预防不符合发生的必要性”    移动的章节
阐明预防措施。评估采取措施预防不符合发生的必要性
附录A    附录A    根据ISO/IEC 17799:2005的修订版本更新附录A
附录B和表B1    附录B    除了说明OECD原则和本国际标准之间的关系的表格外,其他被删除。删除的部分可能被ISO/IEC作为发展成新指南的基础。
附录C    附录C    更新后的版本
附录D         从ISO/IEC 27001:2005版本中删除。





公司做ISO27001有哪些好处?
信息安全管理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 ISO27001 对您的信息安全管理体系进行认证,可以带来以下几个好处:
        引入信息安全管理体系就可以协调各个方面信息管理,从而使管理更为有效。保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。
       通过进行ISO27001信息安全管理体系认证,可以增进组织间电子电子商务往来的信用度,能够建立起网站和贸易伙伴之间的互相信任,随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益,并为广大用户和服务提供商提供一个基础的设备管理。同时,把组织的干扰因素降到最小,创造更大收益。
       通过认证能保证和证明组织所有的部门对信息安全的承诺。
       通过认证可改善全体的业绩、消除不信任感。
       获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。
       建立信息安全管理体系能降低这种风险,通过第三方的认证能增强投资者及其他利益相关方的投资信心。
       组织按照ISO27001标准建立信息安全管理体系,会有一定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,信任、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
       通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。
ISO27001适用于哪些类型的组织?


 ISO27001适用于所有类型的组织(例如,企业、政府机构、非赢利组织)。
      ISO27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。
 
      当由于组织及其业务特性,标准中的任何要求不适用时,可以考虑进行删减。
 
      如果有删减,除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力,否则不能声称符合ISO27001标准。


ISO27001有何用途?
 ISO27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。 
      ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。


ISO27001业务介绍
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
标准的主要内容
  ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
  标准指出“象其他重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以合适地保护。信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
  信息安全是通过实现一组合适控制获得的。控制可以是策略、惯例、规程、组织结构和软件功能。需要建立这些控制,以确保满足该组织的特定安全目标。
内容章节
  ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。修改后的标准包括11个章节:
  1)安全策略
  2)信息安全的组织
  3)资产管理
  4)人力资源安全
  5)物理和环境安全
  6)通信和操作管理
  7)访问控制
  8)系统系统采集、开发和维护
  9)信息安全事故管理
  10)业务连续性管理
  11)符合性
ISO27001的效益
  1、通过定义、评估和控制风险,确保经营的持续性和能力
  2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
  3、通过遵守国际标准提高企业竞争能力,提升企业形象
  4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
  5、建立安全工具使用方针
  6、谨防技术诀窍的丢失
  7、在组织内部增强安全意识
  8、可作为公共会计审计的证据
  ISO27001解决方案
  相关国际标准与法案
        作为建立信息安全管理体系(ISMS)的重要规范,BS7799标准被ISO组织采纳后,衍生为ISO 17799《信息安全管理实施细则》和ISO 27001《信息安全管理体系规范》。ISO 17799是建立并实施信息安全管理体系的指导性标准,ISO 27001是对信息安全管理体系进行审核的依据性标准。获得ISO 27001认证是企业拥有完善的信息安全管理体系的象征。

        萨班斯(SOX)法案是另一部更加具有国际性影响的规章,始创于 2002 年,由美国证券交易委员会(SEC)提交,是一部旨在消除企业财务欺诈行为和弊端的历史性法案,它要求在美国上市的所有企业必须通过该法案审核
网站主页 | 公司简介 | 企业文化 | 新闻中心 | 业务范围 | 精品课程 | 经验交流 | 招贤纳士 | 联系我们 | 在线咨询 | 公开文件 |
郑州市科翔管理咨询有限公司 地址:河南省郑州市高新区西三环路7幢 电话:13592423949   网站备案号:豫ICP备13025169号-1   微至尊 提供技术支持