iso27001信息安全管理體系認證 ISO27001信息安全管理體系認證介紹

1. ISO27001總覽

ISO27001描述了如何建立，維護和持續改進ISMS。 ISO27001是最流行和最常用的信息安全標準之一，許多組織已針對它進行認證，目的是向客戶，業務合作伙伴和監管機構展示足夠的安全性。 ISO27001標準的最新版本于2013年發布（ISO/IEC 27001:2013）。

符合ISO27001要求的組織可以在成功完成針對標準的審核后，由經過ISO27001認證的認證機構進行ISO27001認證。 根據ISO的數據，2016年，全球有33,000多個組織持有ISO27001認證。

ISMS是組織用于管理和保護信息的機密性，完整性和可用性（'CIA'）的系統方法。 更具體地說，ISMS包括為實現該目標而采用的政策，程序，準則，資源，活動和控制。

例如，如果隱私團隊的目標是實施“設計中的隱私”（將隱私主動嵌入到信息技術，網絡基礎結構和業務實踐的設計規范中）iso9001體系認證機構，那么ISMS團隊的目標將是實現相同目標事物，但是具有安全性，即實施“設計安全性”。

那么，有效的ISMS自然就需要熟練的決策，成文的政策和程序，意識培訓，明確的職責和資產所有權，風險評估和風險處理計劃，事件響應，供應商管理，內部審核等。

2. 安全與預防

ISO27001信息安全管理體系提供了一個路線圖，用于構建全面的ISMS并僅基于風險評估實施對組織有意義的那些安全控制。 該路線圖包括確定可能影響安全性的內部和外部問題（包括考慮第三方利益）以確定范圍和上下文，然后創建匹配的策略和過程。

具體而言，ISO27001信息安全管理體系的第4條要求您記錄影響ISMS的內部和外部因素，以及與ISMS相關的任何相關方的需求和期望（包括要求），并考慮到這些因素確定ISMS的范圍（即界限和適用性）時。 最后，第4章要求將ISMS正式記錄下來并進行持續改進。

ISO27001信息安全管理體系的第5條涉及領導力和責任-確保組織范圍內對信息安全的承諾，在整個組織中傳達文件化的信息安全政策，并在信息安全方面具有明確的角色和職責。

ISO27001信息安全管理體系的條款6是關于計劃的，包括創建用于識別，評估和處理信息安全風險和改進機會的文檔化程序，以及識別信息安全目標并制定有關實現這些目標的詳細計劃的過程。 風險處理計劃和ISMS目標應為“ SMART”-特定，可衡量，可實現，相關和有時間限制。

ISO27001信息安全管理體系的第7章是關于對ISMS的支持。 它要求您分配實現目標并確保ISMS持續改進的必要資源，并確保范圍內的人員具有必要水平的信息安全教育，培訓和經驗。 它還要求您確保組織范圍內對信息安全策略和過程的意識，以及個人在安全方面的角色和責任（例如，信息安全是所有人員的責任）。 最后，第7條要求提供文件化的政策和程序，以處理有關ISMS的內部和外部通信，以及文件化的政策和程序，以確保對新的或更新的ISMS文件進行適當的審查和批準，并進行適當的控制和管理。文件處理。

ISO27001信息安全管理體系的第8條主要涉及第6條中規定的計劃的實施。它要求您按計劃的時間間隔或計劃或進行重大更改時進行風險評估，并記錄結果。 隨后，它要求您在風險評估之后創建并執行風險處理計劃，并記錄處理結果。 最后，第8條要求您創建一個“適用性聲明”，以記錄被認為適用于ISMS的ISO/IEC 27001:2013 Annex A附錄。

ISO27001信息安全管理體系的第9條要求您根據ISO/IEC 27001:2013標準（包括第4-10條和適用的附件A附錄）對ISMS進行內部審核，并按計劃的時間間隔對ISMS進行管理評審。

最后，第10條要求制定成文的糾正措施程序，以解決ISO/IEC 27001:2013標準中的“不符合項”。 通常在審核過程中發現不符合項。 在外部認證或監督審核過程中發現的不合格項通常伴隨有完成糾正措施的期限，在某些情況下，如果無法糾正不合格項，則可能導致認證丟失。

3. 問責制和記錄保存

ISO27001第8條規定的目標是為組織資產制定和維護適當的保障措施。 具體而言，第8.1條要求組織識別并清楚標記重要數據資產。 此清單協議包括對所有權的明確定義和數據可接受用途的要求。 條款8.2繼續要求基于這些敏感度級別的數據敏感度分類，標簽和訪問控制。 第9條還包含有關創建和維護訪問控制策略的相關指南。

4. 供應商管理

ISO27001將供應商的監督和控制作為適當的數據安全協議的關鍵組成部分。 第8條要求組織確定外包了哪些處理操作，并確保這些過程是安全程序的受控部分。

ISO27001信息安全管理體系的第9條是第8條的基礎，要求組織審查，記錄和維護對安全計劃的監督，其中可能包括計劃的風險評估和審核，以確認客戶數據是安全的。

ISO27001信息安全管理體系的在控制“供應商關系”的控制A.15和控制遵守合同要求的A.18.1中可以找到其他更具體的指導。 附錄A.15解決了組織容易受到供應商（“供應商”）對個人數據的訪問的安全問題。 它要求通過限制數據訪問和通過訂立協議來施加安全責任和分配責任來減輕風險。

5. 事件和違規

ISO27001要求機制既可以快速識別安全事件，又可以通過必要的既定渠道進行報告。 此附錄（A.16）旨在確保采用一致有效的方法來管理信息安全事件，包括有關安全事件和弱點的通信。

符合ISO27001的響應計劃的基本要素是清晰的命令鏈，確定的標識和報告程序以及員工和承包商對任何異?；顒踊蚴录膱蟾?。 與所有ISO27001要求一樣，文檔和持續更新是關鍵。