ISO 27000 信息安全管理体系概述
越来越多的信息安全问题成为威胁组织生存和发展的重要的安全隐患。基于国际标准ISO/IEC27001:2005的信息安全管理体系(Information Security Management System, ISMS)是目前国际上先进的信息安全解决方案,正在被越来越多的组织所采用。它运用PDCA过程方法和133项信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标。ISMS认证是一个组织证明其信息安全水平和能力符合国际标准要求的有效手段,它将帮助组织节约信息安全成本,增强客户、合作伙伴等相关方的信心和信任,提高组织的公众形象和竞争力。
ISO/IEC27000系列编号,是信息安全管理体系标准规划的,ISO27000系列包含下列标准
ISO/IEC 27000 原理与术语
ISO/IEC 27001 信息安全管理体系—要求
ISO/IEC 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)
ISO/IEC 27003 信息安全管理体系—实施指南
ISO/IEC 27004 信息安全管理体系—指标与测量
ISO/IEC 27005 信息安全管理体系—风险管理
ISO/IEC 27006 信息技术 安全技术 信息安全管理体系审核认证机构要求
ISO/IEC 27007 信息技术--安全技术--信息安全管理体系审核指南
ISO/IEC 27008 控制审核员指南
ISO/IEC 27010 行业间交流的信息安全指南
ISO/IEC 27011远程通信组织信息安全管理指南
ISO/IEC 27013 27001和20000-1一体化实施指南
ISO/IEC 27014 信息安全治理指南
ISO/IEC 27015 金融及保险行业信息安全指南
ISO/IEC 27031 业务连续性的ICT(信息和通信技术)准备能力指南
ISO/IEC 27033 IT网络安全指南 (基于ISO/IEC18208:2006)
ISO/IEC 27033-1 网络安全指南
ISO/IEC 27034 应用安全综述和概念、组织规范框架、应用程序安全、应用安全验证及特定应用的安全指南
ISO/IEC 27035 安全事件管理指南
ISO/IEC 27036 外包安全指南
ISO/IEC 27037 识别、收集、获取和保存数字证据指南
ISO/IEC 27799 医疗机构信息安全管理指南
二、适用范围ISO/IEC 27001标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。ISO/IEC 27001从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
三、ISO/IEC27001:2005 标准的架构ISO27001共分成11个主题,39个控制目标,133个控制措施。
11 个主题包括:
1) Security Policy(安全政策)
2) Organization of information security(组织信息安全)
3) Asset management(资产管理)
4) Human resources security(人力资源安全)
5) Physical and environmental security(实体与环境安全)
6) Communications and operations management(通信和操作管理)
7) Access control(访问控制)
8) Information systems acquisition,development and maintenance(信息系统获取、开发与维护)
9) Information security incident management(信息安全事故管理)
10) Business continuity management(业务持续性管理)
11) Compliance(符合性)
四、信息安全管理体系建置方案ISO27001所规范的『计划-执行-检查-行动』(PDCA,Plan-Do-Check-Act)发展模式及流程来建置信息安全管理体系(ISMS),本公司将遵循此精神将咨询顾问分成四大阶段:
1) 项目启动
1 现况了解
2 进行差异性分析
3 提供ISMS推动相关计划
4 ISMS 第一阶段培训
2) 风险评估与管理
1 资产清点
2 风险评估与报告产出
3 风险处理与管理审查
3) ISMS文件修订与实施
1 四级文件制定及实施
2 ISMS第二阶段培训
3 营运持续演练
4 内部审核与管理审查
4) 预评与认证
1 ISMS预评及协助不符合项改善
2 ISMS正式认证(分为第一阶段文审及第二阶段现场审核)
3 协助认证各阶段不符事项进行改善
4 取得建议发证报告及ISO27001证书
5 协助拟定ISMS 维运计划
五、实施ISO27001效益1) ISO27001 证书的获得,可以客户表明,组织/企业遵循了所有适用的法律法规。从而保护企业和相关方的信息交换、知识产权、商业秘密等增加市场的竞争优势。
2) 信息安全管理体系的建立可以和外部团体如合作伙伴及客户与内部团体如股东说明组织/企业为保护信息所做的努力,使其对组织/企业的信心加强,并有助于在同行业中的竞争优势,提升客户满意度及形象。
3) 提升员工信息安全积极态度,规范信息安全制度,降低人为所造成的信息安全事故机率。
4) 提升公司运营目标及达到业务永续经营要求目标。
5) 满足组织/企业对信息安全的要求及期望。