ISO27001 信息安全管理體系認證可有效保護信息資源,保護信息化進程健康��、有序��、可持續(xù)發(fā)展����。
信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標準����,該標準由英國標準協(xié)會(BSI)于1995年2月提出�,并于1995年5月修訂而成的��。1999年BSI重新修改了該標準�。BS7799分為兩個部分:
BS7799-1,信息安全管理實施規(guī)則
BS7799-2����,信息安全管理體系規(guī)范
第一部分對信息安全管理給出建議,供負責在其組織啟動���、實施或維護安全的人員使用���。
第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求����,規(guī)定了根據獨立組織的需要應實施安全控制的要求。
適用于
信息安全對每個企業(yè)或組織來說都是需要的�,所以信息安全管理體系認證具有普遍的適用性,不受地域�����、產業(yè)類別和公司規(guī)模限制���。從目前的獲得認證的企業(yè)情況看�,較多的是涉及電信�、保險、銀行����、數據處理中心、IC制造和軟件外包等行業(yè)�����。
證書內容
認證機構名稱�、申請認證單位名稱及產品審核通過的相關標準、證書的有效期限����、證書編號、認證機構公章����、認證機構負責人親筆簽字等。
定義
ISO/IEC17799-2000(BS7799-1)對信息安全管理給出建議��,供負責在其組織啟動��、實施或維護安全的人員使用。該標準為開發(fā)組織的安全標準和有效的安全管理做法提供公共基礎����,并為組織之間的交往提供信任。
標準指出“象其他重要業(yè)務資產一樣����,信息也是一種資產”。它對一個組織具有價值���,因此需要加以合適地保護��。信息安全防止信息受到的各種威脅�,以確保業(yè)務連續(xù)性�����,使業(yè)務受到損害的風險減至最小��,使投資回報和業(yè)務機會最大�。
信息安全是通過實現一組合適控制獲得的?��?刂瓶梢允遣呗?、慣例���、規(guī)程���、組織結構和軟件功能。需要建立這些控制�,以確保滿足該組織的特定安全目標。
內容
ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素���,組織可以根據適用的法律法規(guī)和章程加以選擇和使用�����,或者增加其他附加控制���。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001�����,新標準去掉9點控制措施�,新增17點控制措施,并重組部分控制措施而新增一章��,重組部分控制措施,關聯性邏輯性更好��,更適合應用����;并修改了部分控制措施措辭。修改后的標準包括11個章節(jié):
1)安全策略���。指定信息安全方針��,為信息安全提供管理指引和支持���,并定期評審。
2)信息安全的組織�����。建立信息安全管理組織體系��,在內部開展和控制信息安全的實施��。
3)資產管理���。核查所有信息資產�����,做好信息分類�����,確保信息資產受到適當程度的保護�。
4)人力資源安全���。確保所有員工����,合同方和第三方了解信息安全威脅和相關事宜以及各自的責任����,義務,以減少人為差錯�����,盜竊�,欺詐或誤用設施的風險。
5)物理和環(huán)境安全����。定義安全區(qū)域����,防止對辦公場所和信息的未授權訪問���,破壞和干擾�;保護設備的安全�,防止信息資產的丟失,損壞或被盜�����,以及對企業(yè)業(yè)務的干擾�;同時,還要做好一般控制�,防止信息和信息處理設施的損壞和被盜。
6)通信和操作管理����。制定操作規(guī)程和職責,確保信息處理設施的正確和安全操作����;建立系統(tǒng)規(guī)劃和驗收準則�,將系統(tǒng)失效的風險降到最低����;防范惡意代碼和移動代碼,保護軟件和信息的完整性�;做好信息備份和網絡安全管理,確保信息在網絡中的安全��,確保其支持性基礎設施得到保護���;建立媒體處置和安全的規(guī)程,防止資產損壞和業(yè)務活動的中斷����;防止信息和軟件在組織之間交換時丟失,修改或誤用�。
7)訪問控制。制定訪問控制策略�����,避免信息系統(tǒng)的非授權訪問���,并讓用戶了解其職責和義務���,包括網絡訪問控制���,操作系統(tǒng)訪問控制,應用系統(tǒng)和信息訪問控制����,監(jiān)視系統(tǒng)訪問和使用,定期檢測未授權的活動���;當使用移動辦公和遠程控制時�,也要確保信息安全�����。
8)系統(tǒng)采集�、開發(fā)和維護。標示系統(tǒng)的安全要求��,確保安全成為信息系統(tǒng)的內置部分���,控制應用系統(tǒng)的安全��,防止應用系統(tǒng)中用戶數據的丟失�����,被修改或誤用��;通過加密手段保護信息的保密性����,真實性和完整性;控制對系統(tǒng)文件的訪問����,確保系統(tǒng)文檔�,源程序代碼的安全;嚴格控制開發(fā)和支持過程�����,維護應用系統(tǒng)軟件和信息安全��。
9)信息安全事故管理�����。報告信息安全事件和弱點,及時采取糾正措施�,確保使用持續(xù)有效的方法管理信息安全事故,并確保及時修復�����。
10)業(yè)務連續(xù)性管理��。目的是為減少業(yè)務活動的中斷����,是關鍵業(yè)務過程免收主要故障或天災的影響,并確保及時恢復��。
11)符合性����。信息系統(tǒng)的設計,操作����,使用過程和管理要符合法律法規(guī)的要求,符合組織安全方針和標準���,還要控制系統(tǒng)審計�����,使信息審核過程的效力最大化��,干擾最小化��。
效益
ISO27001的效益
1�、通過定義、評估和控制風險�,確保經營的持續(xù)性和能力
2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任
3��、通過遵守國際標準提高企業(yè)競爭能力����,提升企業(yè)形象
4、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失
5��、建立安全工具使用方針
6�����、謹防技術訣竅的丟失
7���、在組織內部增強安全意識
8�����、可作為公共會計審計的證據
ISO27001認證好處
當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一般���,表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證����,可以帶來以下幾個好處:
引入信息安全管理體系就可以協(xié)調各個方面信息管理,從而使管理更為有效���。保證信息安全不是僅有一個防火墻��,或找一個24小時提供信息安全服務的公司就可以達到的��。它需要全面的綜合管理���。
通過進行ISO27001信息安全管理體系認證,可以增進組織間電子電子商務往來的信用度����,能夠建立起網站和貿易伙伴之間的互相信任,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益��,并為廣大用戶和服務提供商提供一個基礎的設備管理。同時�����,把組織的干擾因素降到最小���,創(chuàng)造更大收益�����。
通過認證能保證和證明組織所有的部門對信息安全的承諾�����。
通過認證可改善全體的業(yè)績�、消除不信任感�����。
獲得國際認可的機構的認證證書�,可得到國際上的承認,拓展您的業(yè)務��。
建立信息安全管理體系能降低這種風險����,通過第三方的認證能增強投資者及其他利益相關方的投資信心。
組織按照ISO27001標準建立信息安全管理體系��,會有一定的投入�����,但是若能通過認證機關的審核�����,獲得認證����,將會獲得有價值的回報。企業(yè)通過認證將可以向其客戶��、競爭對手�、供應商、員工和投資方展示其在同行內的領導地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善���,并以此作為增強信息安全性的依據,信任���、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾��。
通過認證能夠向政府及行業(yè)主管部門證明組織對相關法律法規(guī)的符合性��。
申請條件
申請iso27001認證的基本條件:?
????1�、中國企業(yè)持有工商行政管理部門頒發(fā)的《企業(yè)法人營業(yè)執(zhí)照》���、《生產許可證》或等效文件�;外國企業(yè)持有關機構的登記注冊證明�。?
????2、申請方的信息安全管理體系已按ISO/IEC?27001:2005標準的要求建立�,并實施運行3個月以上。?
????3��、至少完成一次內部審核��,并進行了管理評審���。?
????4�、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰����。?
認證與遵從
一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS(信息安全管理體系),因為實踐指南中的內容是普遍適用的。然而����,由于ISO17799并非基于認證框架�����,它不具備關于通過認證所必需的信息安全管理體系的要求���。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求�����。在技術層面來講����,這就表明一個正在獨立運用ISO17799的機構組織�����,完全符合實踐指南的要求���,但是這并不足以讓外界認可其已經達到認證框架所制定的認證要求�����。不同的是���,一個正在同時運用ISO27001和ISO17799標準的機構組織����,可以建立一個完全符合認證具體要求的ISMS��,同時這個ISMS體系也符合實踐指南的要求��,于是�����,這一組織就可以獲得外界的認同���,即獲得認證����。
ISO27001認證要求
ISO27001標準是為了與其他管理標準����,比如ISO9000和ISO14001等相互兼容而設計的����,這一標準中的編號系統(tǒng)和文件管理需求的設計初衷����,就是為了提供良好的兼容性,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個組織正在使用的其他任何管理體系����。一般來說����,組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構,來提供ISO27001認證服務�����。正是因為這個緣故����,在ISMS體系建立的過程中,質量管理的經驗舉足輕重��。
但是有一點需要注意���,一個組織如果沒有事先擁有并使用任何形式的管理體系����,并不意味著該組織不能進行ISO27001認證。這種情況下����,該組織就應當從經濟利益考慮,選擇一個合適的管理體系的認證機構來提供認證服務����。認證機構必須得到一個國家鑒定機構的委托授權,才能為認證組織提供認證服務����,并發(fā)放認證證書。大多數國家都有自己的國家鑒定機構(比如:英國UKAS)�����,任何獲得該機構授權進行ISMS認證的機構均記錄在案��。
風險評估應對計劃
任何一個ISMS體系的建立和開發(fā)都應當滿足組織獨特的需求�。每個組織不僅都有自己獨特的業(yè)務模式、運營目標���、形象特點和內部文化��,他們對待風險的態(tài)度傾向也大相徑庭����。換句話說,同一個東西����,一個機構組織認為是必須提防的威脅,在另一個組織看來可能是一個必須抓住的機遇�����。同樣地�,各個機構組織對于既有風險防護的投入也參差不齊��?��;谝陨匣蛘咂渌?�,每個運行ISMS的組織�,其內部成員必須對風險評估有一個共識��,這個風險評估的方法論、結果發(fā)現和推薦解決方式都必須得到董事會的首肯����。
ISMS項目和PDCA流程
ISMS項目很復雜,可能持續(xù)若干個月甚至若干年��,涉及整個機構組織以及從管理層到收發(fā)部門的每個成員��。ISO27001認證誕生時間短����,成功的案例比較少。從務實的角度考慮���,這表明在項目計劃過程中���,必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。
ISO27001標準指導一個企業(yè)如何著手開展ISMS項目���,并且關注整個項目進程中的若干重要元素����。
1950年W. Edwards Deming提出PDCA流程����,即計劃(Plan)-執(zhí)行(Do)-檢查(Check)-提升(Act)過程��,意在說明業(yè)務流程應當是不斷改進的���,該方法使得職能部門經理可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進����,都必須遵循這樣一個過程:先計劃,再執(zhí)行���,而后對其運行結果進行評估����,緊接著按照計劃的具體要求對該評估進行復查�,而后尋找到任何與計劃不符的結果偏差(即潛在改進的可能性)�����,最后向管理層提出如何運行的最終報告��。
ISO27001認證審核費用及周期
除了組織自身投入之外�����,ISO27001 認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之后����,認證機構會初步了解組織現狀,確定審核范圍�,提出審核報價。認證機構的報價通常是根據其投入的時間和人員來確定的���,決定因素包括:
1��、受審核組織的員工數量��;
2��、納入審核范圍的信息量�;
3���、場所數量�����;
4�����、組織與外界的關聯�����;
5����、組織 IT 的復雜性;
6��、組織類型和業(yè)務性質等�。
除了費用問題,認證審核的周期通常也是組織比較關心的����。一般來說,從組織啟動 ISMS建設項目開始��,到最終通過審核��,至少要有半年時間(不包括獲取證書的時間)��。對于很多因為外部驅動力而決心實施 ISO27001 認證項目的組織來說���,提早進行規(guī)劃是必要的�����。
認證材料
1�、組織法律證明文件��,如營業(yè)執(zhí)照及年檢證明復印件(蓋公章)
2���、組織機構代碼證書復印件�、稅務登記證復印件(蓋公章)?
3���、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發(fā)布控制表����,有時間標記的記錄等復印件)????
4����、申請組織的簡介
5、申請組織的體系文件?
6�、申請組織體系文件與GB/T22080-2008/ISO/IEC?27001:2005要求的文件對照說明;?
7、申請組織內部審核和管理評審的證明資料??
8�、申請組織記錄保密性或敏感性聲明??
9、認證機構要求申請組織提交的其他補充資料
新版變化
現版的信息安全管理系統(tǒng)ISO 27001:2005標準已經使用了8年�,日前ISO組織(國際標準化組織)終于將新版ISO 27001:2013 DIS版(國際標準草案Draft International Standard)草稿向公眾開放并征求意見,預計在今年6-7月會發(fā)布DIS最終版����。目前ISO組織公布的正式版本的頒布時間為2013年10月19日,在新版公布后的18至24個月內是轉換緩沖期���,即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉換到新版標準���。
安言咨詢技術總監(jiān)張威表示,此次改版與舊版相比主要有三大差異:一��、管理體系更容易整合����;二、融入企業(yè)面臨的新挑戰(zhàn)����;三、更多指引延伸參考����。說明如下:
(1) 易整合:以前各管理系統(tǒng)對管理制度面的要求有不太一致的描述方式�����,且章節(jié)不一�����。例如管理制度的PDCA(Plan����,Do,Check����,Act)、政策與高級支持等管理制度面要求不同���。在新版當中采取Annex SL做結構性要求�����,讓不同管理系統(tǒng)易于接軌��、整合��。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據���,目前已經有ISO 22301(前BS 25999營運持續(xù)管理系統(tǒng))和這次的ISO 27001新版都已采此結構進行調整�。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整���。
(2) 新要求:ISO 27001:2005原本有11個領域(domain)��、133項控制措施����,新版DIS目前調整為14個領域(A.5-A.18)�、113個控制措施(未來仍可能有改動)。新增的領域是將原分散在各領域中的部分控制目標級別提升����,組成新領域,如加密與供應鏈管理因其重要性而被獨立出來成為新領域����;或是將原有領域分拆,如將通訊與作業(yè)管理分開成兩個獨立的領域���,以反映目前信息安全的發(fā)展趨勢��。而控制措施的減少則是通過合并重復的項目來進行���,像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理�����、強化ICT供應鏈的委外管理�����、以及系統(tǒng)開發(fā)項目管理的信息安全要求等�����。
?����。?) 更多參考:此次ISO也新增許多指引供企業(yè)參考����,組織可以通過不同的面以及風險進行深度的強化�����,通過ISO 27001驗證只是基本要求����。目前ISO 27000系列指引編號已超過44號(001-044)���,例如金融服務�����、數字鑒識���、供應鏈管理(4本)、軟件開發(fā)測試等��,主管機關可參考這些指引做升級的要求����。
對于正在準備ISO 27001的企業(yè),建議無須等待新版����,按照原訂進度先取得27001:2005驗證����,在緩沖期結束前轉到新版即可���,新版會向下兼容接軌�����。
