一、ISO27001起源和發(fā)展
信息安全管理實用規(guī)則ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(BSI)于1995年2月提出�����,并于1995年5月修訂而成的�����。1999年BSI重新修改了該標(biāo)準(zhǔn)�。BS7799分為兩個部分:
BS7799-1��,信息安全管理實施規(guī)則
BS7799-2���,信息安全管理體系規(guī)范����。
第一部分對信息安全管理給出建議,供負責(zé)在其組織啟動���、實施或維護安全的人員使用;第二部分說明了建立����、實施和文件化信息安全管理體系(ISMS)的要求,規(guī)定了根據(jù)獨立組織的需要應(yīng)實施安全控制的要求��。
2000年�����,國際標(biāo)準(zhǔn)化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過了ISO 17799標(biāo)準(zhǔn)��。BS7799-2在2002年也由BSI進行了重新的修訂�。ISO組織在2005年對ISO 17799再次修訂,BS7799-2也于2005年被采用為ISO27001:2005���。
目前最新版的信息安全管理體系標(biāo)準(zhǔn)為:GB/T 22080-2016/ISO/IEC 27001:2013
二�、ISO27001新版修訂
自2005年國際標(biāo)準(zhǔn)化組織(簡稱:ISO)將BS 7799轉(zhuǎn)化為ISO 27001:2005發(fā)布以來�����,此標(biāo)準(zhǔn)在國際上獲得了空前的認可,相當(dāng)數(shù)量的組織采納并進行了信息安全管理體系的認證, 至2011年底�����,國際上頒發(fā)的ISO 27001認證證書總數(shù)約為15625張(其中��,BSI的市場占有率達約為45.65%)�����。
在我國��,自從2008年將ISO 27001:2005轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T 22080:2008以來����,信息安全管理體系認證在國內(nèi)進一步獲得了全面推廣,至2011年底����,國內(nèi)頒發(fā)認證證書數(shù)量是1107張。越來越多的行業(yè)和組織認識到信息安全的重要性�����,并把它作為基礎(chǔ)管理工作之一開展起來。
三����、ISO27001認證的意義
信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保護信息資源,保護信息化進程健康、有序���、可持續(xù)發(fā)展�����。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn),類似于質(zhì)量管理體系認證的 ISO9000標(biāo)準(zhǔn)��。當(dāng)您的組織通過了ISO27001的認證,就相當(dāng)于通過ISO9000的質(zhì)量認證一般��,表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障��。根據(jù) ISO27001 對您的信息安全管理體系進行認證�,可以帶來以下幾個好處:
1、引入信息安全管理體系就可以協(xié)調(diào)各個方面信息管理�,從而使管理更為有效。保證信息安全不是僅有一個防火墻����,或找一個24小時提供信息安全服務(wù)的公司就可以達到的�。它需要全面的綜合管理����。
2、通過進行ISO27001信息安全管理體系認證����,可以增進組織間電子電子商務(wù)往來的信用度,能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任�����,隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益�,并為廣大用戶和服務(wù)提供商提供一個基礎(chǔ)的設(shè)備管理。同時�,把組織的干擾因素降到最小,創(chuàng)造更大收益�����。
3��、通過認證能保證和證明組織所有的部門對信息安全的承諾����。
4����、通過認證可改善全體的業(yè)績�、消除不信任感。
5���、獲得國際認可的機構(gòu)的認證證書�,可得到國際上的承認�����,拓展您的業(yè)務(wù)�。
6���、建立信息安全管理體系能降低這種風(fēng)險����,通過第三方的認證能增強投資者及其他利益相關(guān)方的投資信心����。
7、組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系,會有一定的投入�����,但是若能通過認證機關(guān)的審核��,獲得認證��,將會獲得有價值的回報����。企業(yè)通過認證將可以向其客戶、競爭對手�、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善����,并以此作為增強信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對信息安全的承諾����。
8、通過認證能夠向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性���。
四���、ISO27001帶來的收益
1��、通過定義�����、評估和控制風(fēng)險�,確保經(jīng)營的持續(xù)性和能力
2����、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3�、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力,提升企業(yè)形象
4���、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5���、建立安全工具使用方針
6�、謹(jǐn)防技術(shù)訣竅的丟失
7���、在組織內(nèi)部增強安全意識
8、可作為公共會計審計的證據(jù)
五��、申請ISO27001認證所需材料
1、組織法律證明文件�����,如營業(yè)執(zhí)照及年檢證明復(fù)印件(蓋公章)���;
2�����、組織機構(gòu)代碼證書復(fù)印件����、稅務(wù)登記證復(fù)印件(蓋公章)�����;
3����、申請認證組織的信息安全管理體系有效運行的證明文件(如體系文件發(fā)布控制表,有時間標(biāo)記的記錄等復(fù)印件)��;
4�、申請組織的簡介:
(1)組織簡介(1000字左右)����;
(2)申請組織的主要業(yè)務(wù)流程���;
(3)組織機構(gòu)圖或職能表述文件����;
5����、申請組織的體系文件,需包含但不僅限于(可以合并):
5.1���、信息安全管理體系ISMS方針文件�;
5.2�、風(fēng)險評估程序;
5.3���、適用性聲明����;
5.4�����、風(fēng)險處理程序��;
5.5����、文件控制程序;
5.6����、記錄控制程序;
5.7�����、內(nèi)部審核程序����;
5.8、管理評審程序�;
5.9、糾正措施與預(yù)防措施程序��;
5.10�����、控制措施有效性的測量程序;
5.11�、職能角色分配表;
5.12���、整個體系文件結(jié)構(gòu)與清單���。
6、申請組織體系文件與GB/T22080-2008/ISO/IEC 27001:2005要求的文件對照說明�����;
7����、申請組織內(nèi)部審核和管理評審的證明資料;
8�����、申請組織記錄保密性或敏感性聲明��;
9、認證機構(gòu)要求申請組織提交的其他補充資料���。
六、ISO27001認證流程
第一階段:現(xiàn)狀調(diào)研
從日常運維�����、管理機制��、系統(tǒng)配置等方面對貴公司信息安全管理安全現(xiàn)狀進行調(diào)研����,通過培訓(xùn)使貴公司相關(guān)人員全面了解信息安全管理的基本知識。
第二階段:風(fēng)險評估
對貴公司信息資產(chǎn)進行資產(chǎn)價值����、威脅因素、脆弱性分析��,從而評估貴公司信息安全風(fēng)險�����,選擇適當(dāng)?shù)拇胧�、方法實現(xiàn)管理風(fēng)險的目的。
第三階段:管理策劃
根據(jù)貴公司對信息安全風(fēng)險的策略���,制定相應(yīng)信息安全整體規(guī)劃����、管理規(guī)劃、技術(shù)規(guī)劃等��,形成完整的信息安全管理系統(tǒng)�����。
第四階段:體系實施
ISMS建立起來(體系文件正式發(fā)布實施)之后�,要通過一定時間的試運行來檢驗其有效性和穩(wěn)定性。
第五階段:認證審核
經(jīng)過一定時間運行���,ISMS達到一個穩(wěn)定的狀態(tài)�,各項文檔和記錄已經(jīng)建立完備�����,此時�����,可以提請進行認證。
好文要分享:
