一、ISO27001起源和發(fā)展
信息安全管理實(shí)用規(guī)則ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)���,該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出����,并于1995年5月修訂而成的�。1999年BSI重新修改了該標(biāo)準(zhǔn)�。BS7799分為兩個(gè)部分:
BS7799-1,信息安全管理實(shí)施規(guī)則
BS7799-2���,信息安全管理體系規(guī)范�。
第一部分對(duì)信息安全管理給出建議���,供負(fù)責(zé)在其組織啟動(dòng)���、實(shí)施或維護(hù)安全的人員使用����;第二部分說(shuō)明了建立�、實(shí)施和文件化信息安全管理體系(ISMS)的要求,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求�。2000年,國(guó)際標(biāo)準(zhǔn)化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過(guò)了ISO 17799標(biāo)準(zhǔn)�。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對(duì)ISO 17799再次修訂�,BS7799-2也于2005年被采用為ISO27001:2005。目前最新版的信息安全管理體系標(biāo)準(zhǔn)為:GB/T 22080-2016/ISO/IEC 27001:2013
二����、ISO27001新版修訂
自2005年國(guó)際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱:ISO)將BS 7799轉(zhuǎn)化為ISO 27001:2005發(fā)布以來(lái),此標(biāo)準(zhǔn)在國(guó)際上獲得了空前的認(rèn)可�,相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證, 至2011年底,國(guó)際上頒發(fā)的ISO 27001認(rèn)證證書總數(shù)約為15625張(其中�,BSI的市場(chǎng)占有率達(dá)約為45.65%)。
在我國(guó)����,自從2008年將ISO 27001:2005轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T 22080:2008以來(lái)�,信息安全管理體系認(rèn)證在國(guó)內(nèi)進(jìn)一步獲得了全面推廣����,至2011年底,國(guó)內(nèi)頒發(fā)認(rèn)證證書數(shù)量是1107張����。越來(lái)越多的行業(yè)和組織認(rèn)識(shí)到信息安全的重要性,并把它作為基礎(chǔ)管理工作之一開展起來(lái)����。
三�、ISO27001認(rèn)證的意義
信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序����、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)���,類似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)����。當(dāng)您的組織通過(guò)了ISO27001的認(rèn)證,就相當(dāng)于通過(guò)ISO9000的質(zhì)量認(rèn)證一般���,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障����。根據(jù) ISO27001 對(duì)您的信息安全管理體系進(jìn)行認(rèn)證,可以帶來(lái)以下幾個(gè)好處:
1���、引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理����,從而使管理更為有效�。保證信息安全不是僅有一個(gè)防火墻,或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的�。它需要全面的綜合管理。
2����、通過(guò)進(jìn)行ISO27001信息安全管理體系認(rèn)證,可以增進(jìn)組織間電子電子商務(wù)往來(lái)的信用度���,能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任����,隨著組織間的電子交流的增加通過(guò)信息安全管理的記錄可以看到信息安全管理明顯的利益�,并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理���。同時(shí),把組織的干擾因素降到最小���,創(chuàng)造更大收益���。
3、通過(guò)認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾�。
4、通過(guò)認(rèn)證可改善全體的業(yè)績(jī)�、消除不信任感。
5����、獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書�,可得到國(guó)際上的承認(rèn),拓展您的業(yè)務(wù)����。
6、建立信息安全管理體系能降低這種風(fēng)險(xiǎn)�,通過(guò)第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。
7���、組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系����,會(huì)有一定的投入,但是若能通過(guò)認(rèn)證機(jī)關(guān)的審核�,獲得認(rèn)證,將會(huì)獲得有價(jià)值的回報(bào)����。企業(yè)通過(guò)認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手�、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善����,并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾����。
8、通過(guò)認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性����。
四、ISO27001帶來(lái)的收益
1�、通過(guò)定義����、評(píng)估和控制風(fēng)險(xiǎn)���,確保經(jīng)營(yíng)的持續(xù)性和能力
2����、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3����、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力,提升企業(yè)形象
4����、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5、建立安全工具使用方針
6���、謹(jǐn)防技術(shù)訣竅的丟失
7、在組織內(nèi)部增強(qiáng)安全意識(shí)
8�、可作為公共會(huì)計(jì)審計(jì)的證據(jù)
五、申請(qǐng)ISO27001認(rèn)證所需材料
1����、組織法律證明文件�,如營(yíng)業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章)�;
2、組織機(jī)構(gòu)代碼證書復(fù)印件���、稅務(wù)登記證復(fù)印件(蓋公章)�;
3�、申請(qǐng)認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件(如體系文件發(fā)布控制表,有時(shí)間標(biāo)記的記錄等復(fù)印件)����;
4、申請(qǐng)組織的簡(jiǎn)介:
(1)組織簡(jiǎn)介(1000字左右)����;
(2)申請(qǐng)組織的主要業(yè)務(wù)流程;
(3)組織機(jī)構(gòu)圖或職能表述文件���;
5����、申請(qǐng)組織的體系文件�,需包含但不僅限于(可以合并):
5.1、信息安全管理體系ISMS方針文件;
5.2���、風(fēng)險(xiǎn)評(píng)估程序���;
5.3、適用性聲明����;
5.4、風(fēng)險(xiǎn)處理程序����;
5.5、文件控制程序�;
5.6、記錄控制程序����;
5.7、內(nèi)部審核程序���;
5.8、管理評(píng)審程序�;
5.9、糾正措施與預(yù)防措施程序���;
5.10���、控制措施有效性的測(cè)量程序�;
5.11�、職能角色分配表;
5.12����、整個(gè)體系文件結(jié)構(gòu)與清單。
6���、申請(qǐng)組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對(duì)照說(shuō)明����;
7���、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料���;
8、申請(qǐng)組織記錄保密性或敏感性聲明���;
9���、認(rèn)證機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料���。
六、ISO27001認(rèn)證流程
第一階段:現(xiàn)狀調(diào)研
從日常運(yùn)維����、管理機(jī)制、系統(tǒng)配置等方面對(duì)貴公司信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研����,通過(guò)培訓(xùn)使貴公司相關(guān)人員全面了解信息安全管理的基本知識(shí)。
第二階段:風(fēng)險(xiǎn)評(píng)估
對(duì)貴公司信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值����、威脅因素、脆弱性分析���,從而評(píng)估貴公司信息安全風(fēng)險(xiǎn)�,選擇適當(dāng)?shù)拇胧���、方法?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的����。
第三階段:管理策劃
根據(jù)貴公司對(duì)信息安全風(fēng)險(xiǎn)的策略����,制定相應(yīng)信息安全整體規(guī)劃、管理規(guī)劃���、技術(shù)規(guī)劃等���,形成完整的信息安全管理系統(tǒng)。
第四階段:體系實(shí)施
ISMS建立起來(lái)(體系文件正式發(fā)布實(shí)施)之后�,要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。
第五階段:認(rèn)證審核
經(jīng)過(guò)一定時(shí)間運(yùn)行�,ISMS達(dá)到一個(gè)穩(wěn)定的狀態(tài),各項(xiàng)文檔和記錄已經(jīng)建立完備���,此時(shí)����,可以提請(qǐng)進(jìn)行認(rèn)證����。 |
