ISO/IEC 27001简介
?2002 年,BSI 对BS7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,2004 年9 月5 日,BS7799-2:2002 正式发布。?2005年,BS7799-2:2002 终于被ISO 组织所采纳,于同年10 月推出了ISO/IEC 27001:2005。?2013年, ISO/IEC 27001:2013发布。?2022年 , ISO/IEC 27002:202发布。
ISMS(信息安全管理体系)
l本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurity Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。
建设ISMS
第一步工作是建设ISMS系统,这部分工作可以由组织或者公司自己进行,前提是该组织拥有专业的人才。大部分的公司不具备这样的能力,这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。建设ISMS的工作不是一个纯粹的IT建设,而是建立一个循序渐进的体系,需要公司的全员配合,特别是公司领导层重视,需要成立专门的团队来负责这项工作。认证审核-获得证书
文件化很重要,针对标准4.3的内容,各个层次的文件和记录都需要编写完备,这些工作也可以由第三方来协助进行。风险评估,培训等工作的进行也需要在咨询公司的协助下进行。ISMS初步建立之后,需要运行一段时间,针对出现的问题进行修正。认证审核-现场审核
提出申请
待ISMS稳定运行一段时间之后,可以考虑提出审核申请。可以进行27001审核的机构国外的有BSI(英国标准化协会)和DNV(挪威船级社);国内有中国信息安全认证中心、华夏认证中心有限公司、中国电子技术标准化研究所和上海质量体系审核中心。
认证审核-预审
预审核(Pre-assessment Audit)也称预审,是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看,预审是正式审核的预演或排练。许多组织都没有采用预审核。预审是审核员通过使用“差距分析”方法,分析和检查组织的ISMS与ISO/IEC 27001:2005要求的差距,包括(但不仅限于):p 分析ISMS方针与程序,组织当前的业务保护情况;p 检查ISMS是否与其实际业务融合一起;p 检查ISMS是否符合正式审核的基本条件;p 检查组织还有哪些未能按照标准要求进行运行的领域,包括员工的安全意识和员工是否知道ISMS 等;p 检查ISMS运行的时间长度。注:预审也是要收费的!
认证审核-桌面审核
强制性ISMS文件 说明 (1) ISMS方针文件,包括ISMS的范围 根据ISO/IEC 27001:2005标准“4.3.1”a)和b)的要求。 (2) 风险评估程序 根据ISO/IEC 27001:2005标准“4.3.1”d)和e)的要求, 要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量,可创建一个《风险评估程序》。该程序文件应包括“风险评估方法的描述”,而其运行的结果应产生《风险评估报告》。 (3) 风险处理程序 根据ISO/IEC 27001:2005标准“4.3.1”f)的要求, 要有形成文件的“风险处理计划”。因此,可创建一个《风险处理程序》。该程序文件运行的结果应产生《风险处理计划》。 (4) 文件控制程序 根据ISO/IEC 27001:2005标准的“4.3.2文件控制”的要求,要有形成文件的“文件控制程序”。 (5) 记录控制程序 根据ISO/IEC 27001:2005标准的“4.3.3记录控制”的要求,要有形成文件的“记录控制程序”。 (6) 内部审核程序 根据ISO/IEC 27001:2005标准的“6内部ISMS审核”的要求,要有形成文件的“内部审核程序”。 (7) 纠正措施与预防措施程序 根据ISO/IEC 27001:2005标准的“8.2纠正措施”的要求,要有形成文件的“纠正措施程序”。根据 “8.3预防措施”的要求,要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。 (8) 控制措施有效性的测量程序 根据ISO/IEC 27001:2005标准的“4.3.1 g)”的要求,要有形成文件的“控制措施有效性的测量程序”。 (9) 管理评审程序 “管理评审”过程不一定要形成文件,但最好形成“管理评审程序”文件,以方便实际工作。 (9) 适用性声明 根据ISO/IEC 27001:2005标准的“4.3.1 i)” 的要求, 要有形成文件的适用性声明。
桌面审核(文件审核)的结果作为现场审核输入。现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。审核内容验证第一阶段的审核发现是否获得纠正。证实受审核组织是否按照其方针、目标和程序,执行工作。证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求
所有审核工作结束并达到要求后,用户会得到证书。每一年,用户需要进行复审三年时,证书期满,需要重新审核。
咨询认证服务过程
第一阶段 现状调研
从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研,通过培训使组织相关人员全面了解信息安全管理的基本知识。包括:
项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。前期培训:信息安全管理基础,风险评估方法。现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析
第二阶段 风险评估
对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。包括:
资产识别:识别组织的各种信息资产。风险评估:重要资产、威胁、弱点、风险识别与评估。
第三阶段 管理策划
根据组织对信息安全风险的策略,制定相应的信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。包括:
文件编写:编写ISMS各级管理文件,进行Review及修订,管理层讨论确认。中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。第五阶段认证审核
第四阶段体系实施
ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。包括:
后期培训:审核员等角色的专业技能培训。内部审核:审核计划,Checklist,内部审核,不符合项整改。前期培训:信息安全管理基础,风险评估方法。管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。
经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。包括:
认证申请:与认证机构磋商,准备材料申请认证,制定认证计划,预审核。第一阶段审核:主要进行方针,范围和采用程序的审核,查看风险评估的结果、处理方法和适用性声明,检查体系中遗漏和繁琐需要修改的地方。第二阶段审核:主要进行实施审核,查看程序规定的执行情况。审核员将现场审核并给出建议。证书获得:不符合项整改,认证机构评审合格后发放证书。证书有效期三年
