ISO27001信息安全管理體系認證
隨著信息技術的高速發展,各類組織對IT 系統的依賴也日益加重,信息技術幾乎滲透到了世界各地和社會生活的方方面面。因此,對信息加以保護,防范信息的損壞和泄露,已成為當前組織迫切需要解決的問題。
為此,ISO27001認證應運而生,它就是信息安全管理體系認證,能有效保證企業在信息安全領域的可靠性,降低企業泄密風險,更好的保存核心數據。
ISO 27001信息安全管理體系是目前國際通用的信息安全整體解決方案。作為國際上具有代表性的信息安全管理體系標準,被全球廣泛接受和認可,成為世界各國、各種類型、各種規模的組織解決信息安全問題的一個有效方法。
該標準以組織風險評估為基石,運用PDCA過程方法和SOA中的信息安全控制措施來幫助組織解決信息安全問題,實現信息安全目標,是組織達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。
Part.01
什么是ISO27001
ISO27001是信息安全管理體系認證,是由國際標準化組織(ISO)采納英國標準協會BS7799-2標準后實施的管理體系,它涵蓋了信息安全管理的各個方面,包括政策制定、組織結構、風險管理、培訓與溝通等。
ISO27001是有關信息安全管理的國際標準。最初源于英國標準 BS7799.經過十年的不斷改版,終于在 2005 年被國際標準化組織(ISO)轉化為正式的國際標準,于 2005 年10月15 日發布為 ISO/IEC 27001:2005.
ISO/IEC 27001標準涉及了最廣泛意義上的信息安全,為組織實施、維護和管理信息安全提供了最好的商業操作指南和原則,并可以用作第三方認證的依據。
2013年10月19日ISO/IEC 27001:2013版標準頒布實施。
2016年8月29日,國標版GB/T22080-2016/ISO/IEC27001:2013頒布實施。
2022年10月25日,信息安全管理體系認證標準ISO/IEC 27001由ISO/IEC 27001:2013正式升級換版為ISO/IEC 27001:2022.
Part.02
ISO27001的起源和發展
?
前世今生,發展歷程(30年):
1993年
BS7799由英國貿易工業部立項;
1995年
英國首次出版BS7799-1:1995《信息安全管理實施細則》;
2000年12月
BS7799-1:1999《信息安全管理實施細則》通過ISO認可,成為第一個國際標準,即ISO/IEC17799:2000《信息技術-信息安全管理實施細則》;
2005年10月
ISO/IEC27001:2005《信息技術-安全技術-信息安全管理體系-要求》,被劃到了TC27委員會,從此有了自己的組織和命名規范,成為了標準族的象征,這個時候被大家所共同認知!
2013年9月
ISO/IEC27001:2013《信息技術-安全技術-信息安全管理體系-要求》,此標準的結構已是ISO 高階結構,這使其與ISO9001和ISO14001等其它管理體系的要求更加契合;
2022年10月
ISO/IEC27001:2022 《信息安全 網絡安全 隱私保護信息安全管理體系要求》,增加了網絡安全和隱私保護方面的要求。
目前最新版為ISO27001:2022.其管理過程如下:
Part.03
ISO27001認證申請條件
1、中國企業持有工商行政管理部門頒發的《企業法人營業執照》、《生產許可證》等符合要求的相關文件;外國企業持有關機構的登記注冊證明。
2、申請方的信息安全管理體系已按ISO/IEC 27001:2022標準的要求建立,并實施運行至少3個月以上。
3、至少完成一次內部審核,并進行了管理評審。
4、信息安全管理體系運行期間及建立體系前的一年內未受到主管部門行政處罰。
信息安全對每個企業或組織來說都是需要的,所以信息安全管理體系認證具有普遍的適用性,不受地域、產業類別和公司規模限制。從目前的獲得認證的企業情況看,較多的是:
1、以信息為主生命線的行業
金融行業:銀行、保險、證券、基金、期貨等
通信行業:電信、網通、移動、聯通等
服務公司:外貿、進出口、HR、獵頭、會計事務所等
2、對信息技術依賴度較高的行業
鋼鐵、半導體、物流、電力、能源
外包(ITO或BPO):IT、軟件、電信IDC、呼叫中心、數據錄入、數據處理加工等
3、工藝技術要求高的行業
醫藥、精細化工
研究機構
Part.04
ISO 27001申請所需資料
在進行信息安全管理體系審核之前,需要準備和提交完備的體系材料如下:
1、組織法律證明文件,如營業執照及年檢證明復印件
2、申請認證體系有效運行的證明文件(如體系文件發布控制表,有時間標記的記錄等)
3、企業簡介、主要業務流程;組織機構圖和部門職責
4、申請組織的體系文件
5、申請組織體系文件與標準要求的文件對照說明
6、申請組織內部審核和管理評審的證明資料
7、申請組織記錄保密性或敏感性聲明
8、標準要求的其他文件管理體系文件通常分為管理手冊、程序文件、作業文件、運行記錄四級文件
各級文件對應的材料包括但不限于如下材料:
Part.05
ISO27001
體系建設文檔編制說明
從ISO27001信息安全管理體系的整體控制域而言,信息安全管理主要分為三部分:第一部分為安全管理基礎架構的搭建,包括安全規則(框架)、組織(管理者)、資產(保護對象)等,分別對應的是控制域A5安全方針、A6信息安全組織以及A8資產管理;第二部分為事前管理,主要涵蓋了預防性的管理措施與要求,包括了A9~A15以及A7人力資源安全幾大控制域;最后一部分為事后管理,主要是在安全事件發生后的處理措施與計劃,以及法律法規符合性層面的要求,對應的控制域為A16信息安全事件管理、A17信息安全業務連續性管理以及A18符合性。
體系建設階段的文檔編制始終是圍繞著ISO27001的指導思想來編纂的,并將各個控制域的要求與核心內容融入到組織既有的流程當中,形成完整的信息安全管理體系文件。這里需要注意的是,安全管理要求是不能夠脫離組織業務流程而單獨存在的,這也是組織信息安全管理體系落地的一大關鍵。
嚴格意義上來說,體系文件通常可分為四級文件:
一級文件涵蓋組織ISMS總體方針、目標、組織結構以及政策適用聲明等內容,是指導性文件;
二級文件體現的是ISO27001標準各控制域的管理策略,是從要求層面考慮的;
三級文件是安全控制措施與組織業務流程相結合的管理程序,一定程度上可以看作是執行層面上的業務流程安全控制措施指導書或業務安全操作流程手冊;
四級文件是一些管理程序對應存在的工具模板、記錄、表單等。當然,組織的ISMS文件形式上并非一定要拘泥于上述劃分,但應確保滿足標準的各項要求。
體系文件建設的難點在于安全控制項(要求)與組織既有業務流程的契合度是否足夠高,許多組織存在將標準中控制要求“填鴨式”地“組裝”到現有流程當中而不考慮業務的兼容性,這樣的制度文檔通常看似“漂亮”,但事實上在業務執行過程當中會產生諸多不合理的要求與步驟,幾乎不具有實踐意義。
程序文件編纂過程中的一個關鍵點在于梳理角色職責的映射關系(RACI)。在ISMS的建設過程中,由于在不同業務環節中增加了部分安全控制措施,或多或少地會延長相關業務流程,而若這些新增的安全控制措施責任人(包括實施者)不明確,則勢必會造成業務混亂、角色/部門間的矛盾甚至是安全控制措施的真空。所以在每份程序文件中,角色與職責的對應矩陣都應被清晰的展示,這也是程序文件具有可操作性的必要前提。
再者,程序文件中業務流程安全控制的可檢查性同樣是信息安全管理體系落地的關鍵。不同安全控制措施的有效性需要通過對應的檢查流程進行驗證,必要時可附加四級文件描述相關的檢查標準(定期、定量、定點等)。由于檢查工作也是需要對應到相關責任人(包括實施者),可操作性同樣必不可少(RACI中體現)。
Part.06
ISO27001
新版標準主要變化
最新版標準ISO/IEC 27001:2022 標準的行文結構依然按照高階結構(HLS)展開,整體結構(一級目錄)沒有變化,從而體系方法保持不變,附錄A跟隨ISO/IEC 27002:2022版的內容進行了同步更新。
標準正文結構進行了小調整(二、三級目錄),有增加、拓展和順序調整,以同步近年來HLS的變化,對條款文字描述進行部分改動,但它們只是澄清和適當的展開,并沒有增加或減少要求。
ISO/IEC 27002:2022的變化中,控制的改變最為徹底,不但控制數量和內容發生了巨大變更,原有的14個控制域和35個控制目標也隨之消失,取而代之的是四大控制類別。并且標題改為 “信息安全控制措施參考”,進一步明確了附錄A的定位是一個“可供參考的”信息安全控制集合。
信息安全控制
在《ISO/IEC 27002:2022 信息安全控制》中,控制被定義為改變或保持風險的措施。ISO/IEC 27002標準文件中的一些控制措施是改變風險的控制措施,而其他控制措施則保持風險。例如,信息安全策略只能保持風險,而遵守信息安全策略可以改變風險。此外,一些控制表現為在不同的風險語境下相同的通用措施。
ISO/IEC 27002標準文件提供了從國際公認的最佳實踐中總結出來的組織、人員、物理和技術信息安全控制的通用組合。
在ISO/IEC 27002:2022中控制措施新增控制屬性每個控制措施都與5個屬性相關聯。
根據不同屬性,可以更加方便的搭建和使用不同安全框架,如網絡安全概念框架(IPDRR)或安全運營能力框架。
1、標題由《信息技術-安全技術-信息安全管理體系-要求》變為《信息安全-網絡安全和隱私保護-信息安全管理體系-要求》;
2、新增運營能力域和控制主題
ISO/IEC 27002:2022標準中,列出了93個控制項,這些控制項涵蓋了4個主題和15個安全運營能力域。這些改動使得新版標準更具有針對性和實用性,更能滿足現代信息安全管理的需求。
(1)15個安全運營能力域
運營能力是從組織的信息安全能力角度來看待控制的一個屬性。包括治理、資產管理、信息保護、人力資源安全、物理安全、系統和網絡安全、應用安全、安全配置、身份和訪問管理、威脅和漏洞管理、連續性、供應商關系安全、法律和合規性、信息安全事件管理和信息安全保障。
與舊版本的14個控制域相比,新標準的15個運營能力域有幾個明顯的變化,如新增了“信息保護”“安全配置”“威脅和漏洞管理”領域;部分領域的名稱也有了變化,如“信息系統獲取、開發和維護”改為“應用安全”、“通信安全”改為“系統和網絡安全”等。
新標準的15個運營能力域與舊標準的14個控制域之間的對應關系如下表:
(2)4個控制主題和93個控制項
附錄A引用了ISO/IEC 27002:2022中描述的信息安全控制,新增11項,更新58項,合并24項,主要涉及組織、人員、物理和技術四個方面。
修訂后的2022版將93項控制措施分配到組織、人員、物理、技術四大主題,這樣方便了組織對安全控制點進行選擇歸類,通過歸類的特定主題策略支持信息安全策略,以加強信息安全控制的實施。
2022版本相對于2013增加了11個安全控制項,包括:威脅情報、使用云服務的信息安全、業務連續性的ICT準備、物理安全監控、配置管理、信息刪除、數據屏蔽、數據防泄露、監控活動、網站過濾和安全編碼。
增加的控制項主要集中在組織和技術這兩大主題,組織控制主題中增加了云、威脅情報,以及業務連續性的控制點,而技術控制主題主要是增加了關于配置管理、數據安全等控制點。新版中增加的11個控制項說明如下表:
1、修改了條款中的措辭,以消除存在的潛在歧義,例如使用“外部提供的過程、產品和服務”以取代原標準第8.1條款中的“外包過程”;
2、新增子條款(ISO/IEC 27001:2022)
3、對第10條款-改進的兩個子條款交換順序;
4、參考書目中列出的相關文件進行版本更新,例如ISO/IEC 27002:2022和ISO 31000:2018均引用了最新版;
5、對原標準ISO/IEC 27001:2013中的高層結構、核心文本、通用術語和核心定義進行了更精準的描述。
Part.07
ISO 27001標準體系
落地的難點及解決方式
ISO27001標準體系落地的難點在哪里?根本上講,需要找到業務與安全的平衡點,任何安全控制措施的實施都會給降低業務運行效率,不論是增加安全設備,還是流程。安全的目標是為了保障業務的正常穩定運行,而不是阻礙業務的發展,因此,解決好業務和安全的平衡是ISO 27001標準體系落地的根本難點。
ISO 27001標準體系
落地的難點有哪些?
資產不清晰
資產是ISMS保護的對象,資產的不清晰將導致安全策略的無效、冗余、甚至缺失。在小型組織中,資產數量和類型往往較少,但是在大型組織中,資產數量和類型紛繁復雜,如何將資產梳理清楚已經成為普遍認識的難題,資產梳理的結果往往僅停留在一張表,無法為ISMS的建設提供實質性的基礎支撐。
資產權屬不清晰,資產的所有者、管理者、使用者模糊不清,導致資產有人用,無人管;
資產價值不清晰,資產價值被過高或過低的評價,造成保護過當或不足;
資產位置不清晰,資產可能在多個地點存在副本,如數據的流動往往會造成其在多處存在副本,資產位置不清晰,將導致部分資產處于0防護狀態;
資產訪問需求不清晰,誰需要使用,怎么使用,始終處于動態變化過程中。
資產是動態的,資產的權屬、價值、位置、訪問需求等均處在動態變化的過程中,若做不到資產的持續動態監控,那么安全管理策略在制定出來的那一刻,就已經部分失效了。大型組織要注重采用有效技術手段提高資產持續動態監控的能力,做到資產的時時清晰。
風險不清晰
風險是ISMS建設的主線,目標是保證保護對象面臨的風險始終在組織的可接受范圍內,風險的不清晰將導致風險應對措施失效,既造成了資源的浪費,又無法降低真正的風險。
在現階段,如何做到風險的持續有效監控,是組織面臨的一大挑戰,主要原因包括:
風險評估人才門檻高
過度依賴技術手段
需要對組織面臨的風險情況進行監控,不斷調整更新ISMS,以適應風險環境的變化。
ISO 27001標準體系
落地難點的解決方式
了解企業內部對信息安全的各項要求及當前存在的問題。根據診斷數據進行風險分析和評估,根據風險水平制定風險應對方式。
方式一:資產識別
組織信息資產識別與收集的工作是在信息安全體系建設初期階段進行的,對于后續風險評估與體系文件設計編纂具有很好的參考價值,有效的資產識別對于組織資產安全乃至于整體的信息安全來說都是不可或缺的,但這往往也是組織最容易輕視甚至忽視的要點。
許多人會不假思索的認為資產識別就是把現有的六大類信息資產做個匯總形成清單,然后給出各資產的C(保密性)、I(完整性)、A(可用性)評分,符合ISO27001的A8資產管理控制域(以及A15供應商關系控制域的部分內容)的各項控制點即可,但這不過是紙上談兵,想要做到全面、準確且有效的信息資產識別這并非易事。
即便是對于專門配備有資產管理部門的組織來說,也往往因為無法兼顧安全屬性而導致識別過程中出現漏洞與缺陷,無法做到盡善盡美。即便是由安全部門進行信息資產識別的工作,也會因為各部門間的配合、對資產安全的理解與認識、時間等因素導致無法順利開展。(上圖為非人員,下圖為人員)
信息資產與其他物理形式的財務資產不同點在于:信息資產不是一成不變的,它是一種攜帶動態屬性的資產,存在于所承載的信息全生命周期當中的一個階段或多個階段,不同的信息資產具有其獨特資產價值,而通常來說,同一種信息資產在信息生命周期中的不同階段會產生不同的資產價值,正是這種動態屬性賦予了資產識別更深刻的意義。
信息資產的分類方式通常是根據組織的業務類型特點所決定的,但總體上不會有太大的偏差。根據ISO27005:2008中資產識別章節的描述,分為基本資產和所有類型的支持性資產(資本資產所依賴的范圍)。
基本資產又分為業務過程或活動以及信息兩大類,而支持性資產包括了如硬件、軟件、網絡、人員、場所、組織架構等。在這樣的資產框架下,不同組織按照各自的業務重點進行有針對性的分類。如下圖是一種常見分類方式(其中數據資產較為特殊,放到本章節最后談):
資產大類確定后,可以對每類資產進行
二級分類、三級分類等拆分細化。
而對于相同類別、相同位置、相同所有者和管理者、脆弱性和面對威脅類似的信息資產,在識別過程中可歸納為一個資產,同樣的若是從信息系統為出發點進行資產識別時,某個信息系統所屬的應用程序、服務器操作系統、數據庫、中間件等,也可以再次歸納識別為一個“資產組”。
因為像這樣對有邏輯關聯性的資產進行合并歸納,大大減少了工作量的同時,還能更清晰的理解組織資產間的關系紐帶,可以為后續風險評估工作中的落地提供更有價值的參考。
劃入后續風險評估范圍和邊界的每項資產都應該被識別和評價,資產識別的不準確,可能會造成后續風險評估的對象模糊、體系文件范圍不清晰、甚至是各角色崗位的管理(針對資產)出現真空等一系列問題,影響的是整個信息安全體系建設的過程。
當然,也不要因此產生排斥、恐懼,信息資產識別的對象并不是組織所有的資產,識別的是與信息和信息處理設施有關的資產,這與資產盤點還是有本質區別的,所以只要有計劃、有條理、有層次、模塊化的將信息資產識別的工作推進下去,并做好知識傳遞與宣導,才能打好ISO27001標準貫徹的地基。
需要明確理解的一點是,資產識別的工作不是組織的信息安全部或資產管理部等某一個部門的責任,而是需要全公司所有部門的共同配合與參與。事實上ISO27001標準體系就是面向全公司層級的全方位安全建設。
所以作為體系建設的牽頭者(通常為組織的信息安全部),第一要務應該是
通過培訓宣貫等方式,向各部門傳達體系建設的重要性。
除此之外,信息資產識別作為體系建設的基礎,
讓各部門清晰地了解到信息資產的屬性、分類及相關定義,清楚識別每項資產的所有者(owner)、管理者和使用者。
以免為后續的風險處置階段造成不必要的爭端與麻煩,阻礙體系落地的進程。
其次,統一資產清單模板、委任各部門資產識別負責人的工作同樣必不可少。
資產清單模板的統一是為了便于后續所有部門資產信息回收后的匯總。鑒于個別部門業務與資產的特殊性,模板的設計就需要考慮更周全,如資產的分類是否涵蓋全面、各類資產的屬性描述是否準確等。而篩選出各部門最適合資產識別的負責人,則可以大大提高資產識別的效率及準確性。
通常部門會有專門負責內部資產管理的人員,而熟悉部門內部業務的員工也是合適的人選。當然需要指出的是,真正確定具體資產的人并不一定是該負責人,更多的是承擔著協調者的角色,找到各類資產對應的所有者或管理者并下發給他們識別才是負責人的主要工作。
方式二:差距分析
根據木桶原理,一只木桶能裝多少水取決于它最短的那塊木板,同樣組織的安全性達到什么樣的高度取決于安全性最弱的一環,也是黑客或惡意攻擊者的關注點,一旦被攻破,可能會導致整個組織安全的崩壞。差距分析與風險評估的目的就是尋找組織這一塊或多塊“短板”,或是即將成為“短板”的地方。
差距分析的核心是嚴格將ISO27001:2013
的14個控制域、35個控制目標、114個控制點
與組織的實際運行現狀進行差異比對,宏觀的
了解組織當前安全狀態
是組織與標準差異的直觀體現,同時也對后續風險評估的完整性提供很好的參考。
PDCA模型可應用于整個ISMS體系
建立的全過程
風險評估階段同樣是如此,從風險評估方法論的建立、風險評估計劃的制定、風險評估的執行、風險點確認到風險分析與處置,最后達成風險評估工作常態化持續運行的目的——識別ISMS范圍內的信息資產喪失保密性、完整性和可用性的相關風險。
其中包括了威脅識別、現有控制識別、脆弱性識別以及影響識別,而信息安全風險的定義是“人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響”,風險識別的目的終歸是為了保護組織信息資產。
方式三:風險評估
風險評估前期以ISO 27005以及行業最佳實踐為參考基礎建立通用威脅庫時,收集所有作用于信息資產的包括信息系統、人員活動、物理環境以及自然災難等威脅來源。
尋找信息系統、系統安全程序、內部控制或實施中可能被威脅利用的弱點,脆弱點是資產、載體或內部業務流程自身所攜帶的負面基因,從橫向的種類來看通常分為技術類脆弱性和管理類脆弱性,從縱向的ISO27001安全域層級來看通常分為應用層脆弱性、操作系統層脆弱性、終端硬件脆弱性、通信和組網級脆弱性、安全機制脆弱性以及開發生命周期與運維管理脆弱性等。
以上述的威脅庫與脆弱性列舉為輸入,結合組織本身所在行業的特殊性以及現有的包括威脅性、預防性、檢測性與糾正性控制的識別,建立有針對性的威脅與脆弱性矩陣列表,執行風險評估工作。需要注意的是,
風險評估落地的一個關鍵操作在于對已采取的安全措施的有效性進行確認
即現有控制是否真正地降低了資產的脆弱性,抵御了威脅,現有控制是否準確識別。
建立有針對性的威脅與脆弱性矩陣列表,目的是為了識別出相應的威脅源、威脅事件與相關脆弱性的關聯關系,評估如果該脆弱性被該威脅源利用,會對所評估對象的機密性,完整性和可用性產生多大的風險
而該風險的大小判斷可通過設計相關計算公式得出,量化評估關系如下:
資產價值可通過資產識別階段的對信息資產的打分獲取,嚴重程度、發生頻率以及成熟度的評分可參考如下判斷依據:(此處需要注意的是成熟度一項,成熟度越高,對應的成熟度風險值越小,成反比)
風險識別與評估中應首先明確風險偏好,
風險偏好是組織對風險的可接受程度,
可能來源于多個客觀事實與主觀思維
如組織所在行業的獨特性、政策、甚至是管理層的個人偏好(如歷史經驗、激進或保守思維等),在某些特定的情況下,合適且具有前瞻性的風險偏好會大大提高風險處置的效率與準確性,一定程度上能夠優化處置優先級的順序,甚至可以獲得超出預期的安全收益。
而風險可接受水平更像是一塊“平衡板”。理論上來說,風險當然是越小越好,但現實中降低風險(包括降低風險發生的可能性與采取措施減少風險損失)意味著資金、人力資源、技術資源的投入。而風險可接受水平的確定可以很好的平衡風險與利益,根據風險的影響要素、強度、范圍等,計算出風險可接受的損失空間,為風險處置提供最佳的參考建議。
最后,根據風險評價的結果制定所有風險的
處置策略。
處置策略通常分為接受風險、消減風險、轉移風險與規避風險四大類。
Part.08
ISO27001信息安全管理體系
標準解讀
國際標準化組織(ISO/IEC)頒布了多個管理體系標準,這些體系包括信息安全、環境、質量、職業健康安全等多個領域。為了解決這些管理體系的成文結構混亂不一的情況,ISO/IEC就提出和規定了相通的核心正文,核心定義的通用術語和相同的章節順序,即“高階結構”(HLS)。
高階結構是指十個章節:(1)范圍;(2)規范性引用文件;(3)術語和定義;(4)組織環境;(5)領導;(6)規劃;(7)支持;(8)運行;(9)績效評價;(10)改進。 可以理解為以PDCA為框架的過程方法結構。
有個比較大的變化就是使用導則83編寫,規范了今后ISO管理體系認證標準的基礎框架。
導則 83 是對編寫國際標準的要求,基于 P(plan 策劃 - 確定范圍 & 風險評估)D(實施 - 設計 & 實施)C(檢查 - 監控 & 評審)A(改進 - 改進ISMS) 框架的目錄章節,所以基于導則83編寫的標準目錄和章節都是一樣的,方便整合。
ISO/IEC27001:2022標準同樣采用該高階結構。標準主要框架如下:
標準定位:
ISO/IEC 27001標準提供建立、實現、維護和持續改進信息安全管理體系的要求。采用信息安全管理體系是組織的一項戰略性決策。組織信息安全管理體系的建立和實現受組織的需要和目標、安全要求、組織所采用的過程、規模和結構的影響。所有這些影響因素可能隨時間發生變化。
信息安全管理體系通過應用風險管理過程來保持信息的保密性、完整性和可用性,并為相關方樹立風險得到充分管理的信心。
重要的是,信息安全管理體系是組織的過程和整體管理結構的一部分分并集成在其中,并且在過程、信息系統和控制的設計中要考慮到信息安全。期望的是,信息安全管理體系的實現程度要與組織的需要相符合。
ISO/IEC 27001標準可被內部和外部各方用于評估組織的能力是否滿足自身的信息息安全要求。
ISO/IEC 27001本標準中所表述要求的順序不反映各要求的重要性或者這些要求要予實現的順序。條款編號僅為方便引用ISO/IEC/IEC 27000描述了信息安全管理體系的概要和詞匯,引用了信息安全管理體系的標準族(包括ISO/IEC27003、ISO/IEC 27004、ISO/IEC 27005),以及相關術語和定義。
各章節主要內容如下:
范圍(Scope):這一章節描述了標準的應用范圍,即建立、實施、維護和持續改進信息安全管理體系(ISMS)。重點是確保標準適用于所有類型和規模的組織。
規范引用(Normative References):提供了實施ISO/IEC 27001所需的參考文檔。重點是確保組織有正確的參考資料來實施和維護ISMS,包括其他相關的ISO標準和指南。
術語和定義(Terms and Definitions):定義ISO/IEC 27001中使用的特定術語。重點是確保所有使用者對標準中的術語有統一的理解。
組織環境(Context of the Organization):要求組織確定外部和內部問題,理解利益相關者的需求和期望,以及定義ISMS的范圍。重點是確保ISMS與組織的業務目標和環境相適應,包括法律、技術和市場環境。
領導(Leadership):強調了管理層對于建立、實施和維護ISMS的責任。重點是確保管理層的承諾和領導,以支持ISMS的成功實施。這包括建立信息安全政策,確保資源的分配,以及建立角色和責任。
規劃(Planning):要求組織進行風險評估和風險處理,以及建立信息安全目標。重點是確保組織有明確的計劃來管理信息安全風險,包括識別資產、威脅和漏洞,評估風險的可能性和影響,以及選擇適當的控制。
支持(Support):涉及到實施ISMS所需的資源、能力和意識,以及文檔化信息。重點是確保組織有足夠的資源和能力來實施和維護ISMS,包括人員、技術和財務資源,以及員工的培訓和意識提高。
運行(Operation):要求組織執行風險評估和風險處理計劃,以及管理變更。重點是確保ISMS的日常運行符合計劃,包括實施選定的控制,管理ISMS的變更,以及應對信息安全事件。
績效評價(Performance evaluation):涉及到監控、測量、分析和評估ISMS的效果,以及內部審計和管理評審。重點是確保ISMS的效果和有效性得到定期評估和審查,以檢查其是否符合組織的信息安全政策和目標,以及法律和合同要求。
改進(Improvement):要求組織根據ISMS的績效評估結果進行持續改進。重點是確保組織有機制來識別和實施ISMS的改進,包括修正不符合項,以及改進ISMS的績效和效果。
附錄A(Annex A):這一部分提供了一系列建議的控制,組織可以根據自己的風險評估結果選擇適當的控制。重點是提供一個全面的控制列表,以幫助組織管理信息安全風險。
正文解析
ISO/IEC27001的正文分為8章,分別為:
①范圍;
②規范性引用文件;
③術語和定義;
④信息安全管理體系;
⑤管理職責;
⑥內部信息安全管理體系審核;
⑦信息安全管理體系的管理評審;
⑧信息安全管理體系的改進:
標準的開始就說明了下面的原則:
本出版物不聲稱包括一個合同所有必要的規定。用戶負責對其進行正確的應用。符合標準本身并不獲得法律義務的豁免。
對管理流程的認證和對產品的認證是兩種不同的概念,后者注重結果,前者注重過程。理論上講,按照本標準的要求部署信息安全管理體系后,會防止信息安全事件的發生,但是不能百分之百的保證,更不能理解為符合標準就獲得法律義務的豁兔。管理流程是諸多經驗的總結,而且在實踐中證明也是有效的。
對于結果的證明是很難實現的,但是對于規范的流程是可以向客戶證明的。
信息安全管理體系正是提供了這樣一個完整的管理流程, 我們無法保證這種方法是正確的或者是唯-的,但是至少在實踐中試行之有效的。
范圍解析
ISO/IEC27001不專門針對某個行業,而是適用所有類型組織,對于具體行業中的應用,在ISO/IEC27000族標準中的其他標準中討論。標準的主要內容有兩個部分:
(1)從組織的整體業務風險的角度,為建立、實施、監視、評審、保持和改進文件化的信息安全管理體系規定了詳細的要求。
(2)為適應不同組織或其部門的需要而制定的安全控制措施的實施要求。
規范性引用文件解析
ISO/IEC27001明確了ISO/IEC27002為其應用標準。
ISO/IEC27002: 2005 《信息安全管理實用規則》作為-一個通用的信息安全控制措施集,是目前發布的兩個信息安全管理體系標準之- -,這些控制措施涵蓋了信息安全的各個方面,為信息安全管理體系的建設提供了控制措施的選擇依據。
該標準把控制措施分為11個安全領域,分別是:
(1)安全方針
(2)信息安全組織
(3)資產管理
(4)人力資源安全
(5)物理和環境安全
(6)通信和操作管理
(7)訪問控制
(8)信息系統獲取開發和維護
(9)信息安全事故管理
(10)業務連續性管理
(11)符合性這11個方面進一步分為39個安全類型和133條控制措施, 條控制措施的描述則包括了較為詳細的實施方法,因此該標準可以作為信息安全管理體系的實施指南。
安全方針解析
安全方針,是組織總體方針文件的一部分,其作用是業務要求和相關法律法規提供管理指導并支持信息全。
信息安全方針是通過文件的方式進行體現。信息安全方針文件組織信息管理者確定的信息安全方針文件化,應該包括下面內容:
①信息安全的定義以及信息安全在信息共享機制下安全的重要性。
②信息安全的整體目標以及管理者的意圖。
③信息安全的范圍。
④信息安全目標和原則。
⑤控制目標和控制的框架,包括風險評估和風險管理的結構。
⑥對于組織特別重要的安全方針策略、原則、標準和符合性要求的簡要說明。
⑦信息安全管理的一般和特定職責的定義。
⑧對于支持方針的文件的引用。
信息安全方針文件應該由管理者批準、發布并傳達給所有員工和外部相關方。在編寫信息安全方針文件時,必須注意到其預期讀者比較廣泛,因此必須以適合的、可訪問的和可理解的形式進行表達。
信息安全組織解析
組織分為內部組織和外部組織兩個大部分。在組織內部應該通過組織結構和組織活動來支持信息安全,首先應建立管理框架,啟動和控制組織范圍內的信息安全的實施,管理者應批準信息安全方針、指派安全角色以及協調和評審整個組織安全的實施。
若需要在組織內建立專家信息安全建議庫,并發展與外部安全專家或者組織的聯系,以便跟上行業的趨勢、跟蹤標準和評估方法,并且處理信息安全事件時,提供合適的聯絡點。
組織的外部的安全問題也必須加以考慮,組織的信息處理設施和信息資產的安全不應該由于外部的產品或者服務而降低,任何外部對這種信息處理設施的訪問,對信息資7的處理和通信都應該給以控制。對于外部各方的信息安全控制,以防止外部方隊組織信息處理設施進行訪問,對信息資產進行處理以及通信過程中的安全事件的發生。
資產管理解析
資產是組織內部所有有用的東西,因此,資產的概念是寬泛的。對于大部分組織來說,傳統資產的管理是完善的,但是對于信息本身來說卻沒有很好的管理。本標準在引言中就已經指出:信息是一種資產,像其他業務資產一樣,對組織具有價值。
要想把資產管理好,首先要識別所有的資產并形成完善的清單,而且要把資產重要性形成文件,這樣在實際的管理中就做到了心中有數。資產清單可以幫助組織從災難中恢復所需要的信息,包含的項目有資產的類型、格式、位置、備份信息許可證信息業務價值等。這些項目不-定要在 一個相同的清單中,它們可以分散到很多清單中去,但是必須保證這些清單是相關聯的。
資產清單中包括了另一個重要的欄目、即資產的負責人。與信息處理設施有關的所有信息和資產應該由指定的部門或者人員承擔責任。
資產負債人應負責:
a)確保與信息處理設施相關的信息和資產進行了適當的分類;
b)確定并周期性評審訪問限制和分類, 要考慮到可應用的訪問控制策略。
對于普通的用戶而言,關心的是資產能提供合格的服務。那么,任何引導他們正確地使用資產,所有雇員承包方人員和第三方人員應該遵循信息處理設施相關信息與資產的可接受的使用規則。這其中包括很多方面,對所有的資產都應該有具體的使用規則和指南。在很多情況下,這些規則或指南,可能不是獨立的, 可能被劃歸到對信息系統的合格使用問題上。
人力資源安全解析
所有的管理活動都不能離開“人” 這個主體的參與,實上,一個組織重要的、有價值的信息相當-部分存在員工的大腦中,許多信息安全事件是由人而起的。"人” 在信息安全活動中是最復雜、最難控制的保護對象。
信息安全意識的好壞直接影響信息安全管理體系效果。組織的所有雇員,適當時,包括承包方和第三方人員,應該受到與其工作職能相關的適當的意識培訓和組織方針策略程序的定期更新培訓。在所有的雇員、各方人員和第三方人員在終止任用、合同或者協議時,應歸還他們使用的所有組織資產。這些資產“主要包括:
a)軟件.公司文件和設備;
b)其他組織資產,例如移動計算設備、信用卡、訪問卡、軟件、手冊;
c)存儲于電子介質中的信息。
歸還資產和撤銷訪問權應是在終止或變化時必須執行的步驟。很多信息安全事故都是由于人員任用終止,而服務權沒有相應終止,由心懷怨恨的雇員引起的。
物理和環境安全解析
物理和環境的安全控制不僅是信息安全的需要,也是傳統安全的要求。-個組織無論是否考慮信息安全問面,都有物理和環境安全做好。
設備的環境安全部分涉及:安全邊界的定義,入口的控制,辦公室、房間和設施一 直到外部環境威脅的安全保護,還包括工作的安全區域和公共訪問和交接區。
設備安全部分從設備購置后的安置和保護,到支持性設施的保護,再到電纜投入運行,一直到最后的處置和再利用。之間包括了設備的正確維護、移動,以及場所外如何保證安全的問題。
通信和操作管理解析
這里的“通信”是廣義的通信的概念,主要是指信息是交換、溝通和交流等活動。操作是指對信息處理設備和設施、信息系統、軟件等的操作。
為了保證對所有的有需求的用戶可用,與信息處理和通信設施相關的系統活動要具備形成文件的程序,例如計算機啟動和關機程序、備份、設備維護、介質處理、計算機機房、郵件處置管理和物理安全等。要將操作程序和系統活動的文件化程序看做正式的文件,其變更由管理者授權。
操作程序文件和信息系統的變更-定要保持- 致。 而信息系統的各種操作可能比較繁雜,技術上可行時,信息系統應該使用相同的程序、工具和實用程序進行-致的管理。
對于信息處理設施、操作系統和應用軟件等變更應該由嚴格的控制。只有規范了變更程序,才能保證操作程序文件和實際操作的一致性,更重要的是這些變更可能會引入新的風險,必須有批準、記錄、 備份等才能保證變更的安全性。
在分配職責時,應該盡量讓權限最小化,以盡量降低未授權或無意識的修改或者不當使用組織資產的機會。
訪問控制
訪問控制的目標是隊長對信息的訪問,目前已經發展成為保護信息安全的最 重要的手段之-。對信息信息處理設施和業務過程的訪問應在業務和安全要求的基礎上予以控制。因此,訪問控制策略必須基于業務和訪問的安全要求,訪問控制規范要考慮到信息傳播授權的策略。在訪問策略中應該清晰地敘述每個用戶或者-組用戶訪問控制規則和權力。訪問控制既是邏輯的也是物理的,應該引起考慮。
訪問控制策略要以用戶的訪問管理為基礎,首先應有正式的用戶注冊和注銷程序。未授權或者撤銷所有信息系統及服務的訪問。用戶注冊是用戶管理生命周期的開始,注冊必須使用唯一的ID與用戶行為聯系起來。
口令的分配和控制必須有正式的管理控制過程。口令的使用也必須培養良好的用戶習慣。 管理者必須對用戶的訪問進行定期審查,某些用戶可能從一個部門掉到另一個部門,這時候必須重新分配用戶的訪問權。
信息系統獲取開發和維護解析
本章主要對信息系統購置、開發建設以及系統運行維護過程中的信息安全有關方面提出了詳細的控制目標和控制措施。
安全應該貫穿信息系統的生命周期,從需求階段必須對安全提出要求。組織的大部分信息系統可能都是買的,那么購買產品之后就進行常規的測試和需求處理。與供貨商簽的合同上應該確切地標明安全需要。
應用中的正確處理的目的是防止應用系統中的信息的錯誤.遺失、 未授權的修改以及誤用。其中三個方面的內容:輸入與輸出數據的驗證和內部處理的控制,與規范的程序編碼要求是完全一致的。
信息安全事件管理解析
無論采取什么樣的控制措施,都不可能達到百分之百的安全,總有可能發生信息安全事件,因此亡羊補牢式的信息安全事件便成了整個管理體系中的重要的一環。
信息安全事件猶如信息安全管理體系中的不合格品,必須采取措施加以預防。這就要求雇員、承包方和第三方人員都有盡可能快的按照正式的事件報告和上報程序,將信息安全事態和弱點報告給指定的聯系點,以便盡早采取措施,降低信息安全事件發生的可能性。
信息安全事件的檢測事件管理的開始,應該建立正常的信息安全事件報告.事故應答和分類機制,在接到信息安全事件報告后著手采取措施。應建立管理職責和程序,以確保能對信息安全事故作出快速、有效和有序的響應。應建立-套機制來量化、 監視和評審信息安全事故,積累事故的歷史數據,可以有效的估算發生的頻率和發生后的損失,而且可以有效的采取措施防止事故的再次發生。
業務連續性管理解析
對企業來說,業務連續性管理是一項重要的、 綜合的管理,涉及企業的諸多方面,是信息安全活動中很重要的一個方面。
防止業務活動中斷,保護關鍵業務過程免受信息系統重大失誤或災難的影響,并確保他們的及時恢復。為通過和恢復控制的組合,將對機構的影響減少到最低水平,并能從信息資產的損失中恢復到可以接受的程度,實現業務連續性管理過程。
符合性解析
滿足我國當前的法律法規中關于信息安全方面的要求是任何組織必須要做到的,其次是滿足合同要求。組織制定的規章制度和技術要求等。
對于法律法規方面的要求,應從組織的法律顧問或者合格的法律從業人員處獲得特定的法律要求建議。法律要求因國家而異,而且對于在一一個國家產生的信息發送到另一個國家的法律要求也不同。法律方面的要求也包括知識產權、記錄保持、數據以及密碼控制等方面。
對于組織自身安全策略和標準以及技術符合性,則應定期評審信息系統的安全,這種評審應按照適當的安全策略進行。審核技術平臺信息系統,看其是否符合適用的安全實施標準和文件化的安全控制措施。
企業獲得ISO/IEC 27001認證的益處
1、預防信息安全事故,保證組織業務的連續性,使組織的重要信息資產受到與其價值相符的保護,包括防范:
* 重要的商業秘密信息的泄漏、丟失、篡改和不可用;
* 重要業務所依賴的信息系統因故障、遭受病毒或攻擊而中斷;
2、節省費用。一個好的ISMS不僅可通過避免安全事故而使組織節省費用,而且也能幫助組織合理籌劃信息安全費用支出,包括:
* 依據信息資產的風險級別,安排安全控制措施的投資優先級;
* 對于可接受的信息資產的風險,不投資或減少投資;
3、保持組織良好的競爭力和成功運作的狀態,提高在公眾中的形象和聲譽,最大限度的增加投資回報和商業機會;
4、 增強客戶、合作伙伴等相關方的信任和信心。
5、 降低法律風險;
6、 強化員工的信息安全意識、規范組織的信息安全行為。
企業如何建立
ISO/IEC 27001信息安全管理體系?
ISO/IEC 27001信息安全管理體系,采用PDCA循環模型,分為四個階段:安全風險評估、規劃體系建設方案(Plan),建立并實施信息安全管理體系(Do),體系運行績效考核(Check),持續改進(Action)。
我們重點說說企業在應對ISO/IEC 27001認證時應該怎么建設符合標準要求的信息安全管理系統,重點從五個方面來進行:
1. 確立管理系統使用的范圍
◇ 必須覆蓋到公司的每一個職能部門,或者覆蓋公司信息系統相連的外部機構,例如合作伙伴、供應商等。同時從系統層次考慮覆蓋網絡系統、服務器平臺系統、數據、安全管理、應用系統以及支撐信息系統的場所和所處的周邊環境以及場所內,確保計算機系統正常運營的設施設備等。
2. 安全風險評估
◇ 安全風險評估,主要包括企業安全管理類的評估和企業安全技術類的評估。
安全管理評估的內容包括與ISO/IEC 27001信息安全管理體系相關的11個方面,包括信息安全政策、安全組織、資產分類與控制、人員安全、物理與環境安全、通信與運行管理、訪問控制等,系統開發和維護、安全事件管理、業務連續性管理和合規性。
安全技術評估是基于資產安全等級的分類。通過對信息設備的安全掃描和安全設備的配置,對現有網絡設備、服務器系統、終端和網絡安全架構的安全狀況和薄弱環節進行檢查和分析,為安全加固提供依據。
3. 規劃系統建設方案
◇ 規劃系統建設方案在風險評估的基礎上,針對企業存在的安全風險提出安全建議,提高系統的安全性和抗攻擊能力。
4. 信息安全體系建設與運行
◇ 系統建設以信息安全模式和企業信息化為基礎,兼顧內外部安全功能。
規劃信息安全技術可以從安全基礎設施、網絡、系統和應用四個方面進行規劃。
5. 改進
◇ ISO/IEC 27001認證標準的信息安全管理體系文件編制完成以后,按照文件控制的要求進行審核批準,向各部門發放先行有效的體系文件,保留體系運行過程中的記錄,并定期進行內審和管理評審,對不符合或潛在不符合項進行糾正和預防措施,不斷改進信息安全管理體系。
ISO/IEC 27001新版問答集錦
Q
信息安全策略集要如何更新呢?
A
ISO/IEC 27001 FDIS 2022中新增加了11個控制項,針對這個11個控制項,企業可考慮是否需要增加新的策略,如需增加,在現有策略集中加入新的策略,如不需增加,保持現有的策略集即可。
Q
新版審查風險評價和處置計劃方法上有變化,那資產識別和風險評價方法會有變化嗎?
A
新版風險評估和風險處置的方法沒有變化,只是在進行信息安全風險處置時可選的控制措施有變化,所以企業現在使用的信息安全風險評估方法基本不受影響。
Q
如果我們要到 2025 年 10 月才完成轉版,為什么現在要采取行動
A
這些變更反映了我們的工作方式和相關威脅的演變,而且它們使實施更加輕松和靈活,因此應該盡快開始轉版旅程,以便:
確保您的信息安全態勢反映當前的數字業務狀況和相關風險。
充分利用更靈活的控制結構,該結構現在很容易與全球網絡安全框架保持一致。
使您的管理體系與最新的管理體系協調結構保持一致,以便提高效率。
Q
ISO 27001已發布新版本,同時擁有ISO 27001+ISO 27701認證應如何處理?舊版ISO 27001要轉版,但ISO 27701還是針對舊版,這個在文檔方面應如何處理?
A
建議ISO 27701同步更新,其中涉及ISO 27001的條款有新舊對照的,涉及附錄A的部分,可按照ISO 27002:2022新版的條款對應。
結 語
ISO27001信息安全管理體系標準要求我們把公司的各項工作體系化運作,保護重要信息資產不受到各種威脅而導致企業機密信息泄漏并被人利用,或者是受到環境及人為的破壞而不能繼續使用,保持業務的持續運營是公司的目標。
通過實施ISO27001.按照PDCA模型建立信息安全管理自我約束機制,有助于企業識別信息安全風險并加改進規避,減少可能存在的安全隱患,降低潛在安全事件發生給企業帶來的損失,規范企業各個部門各個崗位的職責,提升員工信息安全意識,不斷改善,有效預防,最終實現組織的良性發展。
ISO27001監控機制有哪些
ISO27001監控機制
ISO27001監控機制是確保信息安全管理體系(ISMS)有效運行的重要部分。它涉及到定期的內部審查、外部審核以及風險監控等方面。通過這些監控機制,組織可以及時發現潛在的問題和風險,并采取相應的糾正措施,以持續改進ISMS,確保其始終符合最新需求和最佳實踐。
內部審核
內部審核是組織自我評估的過程,旨在檢查ISMS是否按照ISO27001標準的要求進行實施和維護。內部審核員通常是由組織內部的人員擔任,他們會對信息安全管理的各個方面進行審查,包括政策和程序的遵守情況、安全控制的實施情況以及風險管理的效率等。內部審核的結果應形成文檔,并根據發現的問題提出改進措施。
外部審核
外部審核,也稱為認證審核,是由獨立的第三方機構進行的審核。這種審核旨在驗證組織是否符合ISO27001標準的要求,并且是否有效地實施了ISMS。外部審核通常包括對組織的文檔審查、現場考察和對員工進行訪談等環節。如果審核結果滿足ISO27001的標準,組織將獲得認證證書,證明其信息安全管理符合國際標準。
風險監控
風險監控是ISMS中的一個關鍵過程,它涉及到定期評估和監控組織的信息資產和資源的潛在風險。這包括監視內外部環境的變化,以及新技術、威脅和漏洞的出現。通過風險監控,組織可以及時調整其安全策略和控制措施,以應對新的威脅和挑戰。此外,風險監控還應包括對已識別風險的處理情況進行跟蹤,以確保風險得到了有效的管理。
持續改進
持續改進是ISO27001管理體系的核心原則之一。它要求組織不僅要建立ISMS,還要不斷地對其進行審查和優化,以提高信息安全水平。持續改進可以通過內部反饋、外部反饋以及采納新的最佳實踐和技術來實現。組織應設立明確的改進目標,并制定相應的行動計劃,以確保ISMS能夠適應不斷變化的信息安全環境。
綜上所述,ISO27001監控機制包括內部審核、外部審核、風險監控和持續改進等方面。這些機制共同確保了ISMS的有效性和持續性,從而保護組織的敏感信息和數據免受未經授權的訪問、泄露或破壞。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
