讲师风采

ISO27001信息安全治理体系




ISO27001信息安全治理体系
  信息安全治理要求ISO/IEC27001的前身为国际尊龙 开户的BS7799标准,该标准由国际尊龙 开户标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全治理实施规则 BS7799-2,信息安全治理体系规范。 第一部分对信息安全治理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了树立、实施和文件化信息安全治理体系(ISMS)的要求,规定了依据独立组织的需要应实施安全操纵的要求。
简介
标准的起源和开展 
信息安全治理有用规则ISO/IEC27001的前身为国际尊龙 开户的BS7799标准,该标准由国际尊龙 开户标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:
BS7799-1,信息安全治理实施规则
BS7799-2,信息安全治理体系规范。
第一部分对信息安全治理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了树立、实施和文件化信息安全治理体系(ISMS)的要求,规定了依据独立组织的需要应实施安全操纵的要求。
起源 
随着在世界范围内,信息化水平的不断开展,信息安全逐渐成为人们关切的焦点,世界范围内的各个机构、组织、个人都在探寻如何保证信息安全的问题。国际尊龙 开户、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也公布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。当前,在信息安全治理方面,国际尊龙 开户标准ISO27000:2005已经成为世界上应用最广泛与典范的信息安全治理标准,它是在BSI/DISC的BDD/2信息安全治理委员会指导下制定完成。
ISO27001标准于1993年由国际尊龙 开户贸易工业部立项,于1995年国际尊龙 开户首次出版BS 7799-1:1995《信息安全治理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需操纵范围的唯一参考基准,并且适用于大、中、小组织。
1998年国际尊龙 开户颁布标准的第二部分《信息安全治理体系规范》,它规定信息安全治理体系要求与信息安全操纵要求,它是一个组织的全面或部分信息安全治理体系评估的基础,它能够作为一个正式认证方案的依据。BS 7799-1与BS 7799-2通过修订于1999年重新予以公布,1999版考虑了信息处置技术,特别是在网络和通信领域应用的近期开展,同时还非常强调了商务涉及的信息安全及信息安全的责任。
2000年12月,BS 7799-1:1999《信息安全治理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799:2000《信息技术-信息安全治理实施细则》。2002年9月5日,BS 7799-2:2002草案通过广泛的讨论之后,终于公布成为正式标准,同时BS 7799-2:1999被废止。2004年9月5日,BS 7799-2:2002正式公布。
2005年,BS 7799-2:2002终于被ISO组织所采纳,于同年10月推出ISO/IEC 27001:2005.
2005年6月,ISO/IEC 17799:2000通过改版,形成了新的ISO/IEC 17799:2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC 17799:2005已更新并在2007年7月1日正式公布为ISO/IEC 27002:2005,这次更新只是在标准上的号码,内容并没有改变。
现在,ISO27000:2005标准已得到了很多国家的认可,是国际上具有代替性的信息安全治理体系标准。当前除国际尊龙 开户之外,还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准;爱拼网爱拼娱乐城、瑞士、卢森堡等国也表示对ISO27000:2005标准感兴趣,我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采纳了此标准对自己的信息安全进行系统的治理。截至2002年9月,全球共有142家各类组织通过了ISO27000:2005信息安全治理体系认证。
开展 
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 17799标准。BS7799-2在2002年也由BSI进行了重新的修订。ISO组织在2005年对ISO 17799再次修订,BS7799-2也于2005年被采纳为ISO27001:2005。
ISO27001认证好处
信息安全治理体系标准(ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可继续开展。ISO27001是信息安全领域的治理体系标准,类似于质量治理体系认证的 ISO9000标准。当您的组织通过了ISO27001的认证,就相当于通过ISO9000的质量认证一般,表示您的组织信息安全治理已树立了一套科学有效的治理体系作为保证。依据 ISO27001 对您的信息安全治理体系进行认证,能够带来以下几个好处:
引入信息安全治理体系就能够协调各个方面信息治理,从而使治理更为有效。保证信息安全不是仅有一个防火墙,或找一个24小时提供信息安全服务的公司就能够到达的。它需要全面的综合治理。
通过进行ISO27001信息安全治理体系认证,能够增进组织间电子电子商务往来的信用度,能够树立起网站和贸易伙伴之间的相互相信,随着组织间的电子交流的增加通过信息安全治理的记载能够看到信息安全治理显著的利益,并为广大用户和服务提供商提供一个基础的设施治理。同时,把组织的干扰因素降到最小,发明更大收益。
通过认证能保证和证明组织一切的部门对信息安全的承诺。
通过认证可改善全体的业绩、消除不相信感。
获得国际认可的机构的认证证书,可得到国际上的承认,拓展您的业务。
树立信息安全治理体系能降低这种风险,通过第三方的认证能增强投资者及其余利益相关方的投资信心。
组织按照ISO27001标准树立信息安全治理体系,会有肯定的投入,但是若能通过认证机关的审核,获得认证,将会获得有价值的回报。企业通过认证将能够向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领袖地位;定期的监督审核将确保组织的信息系统不断地被监督和改善,并以此作为增强信息安全性的依据,相信、信用及信心,使客户及利益相关方感受到组织对信息安全的承诺。
通过认证能够向政府及行业主管部门证明组织对相关法律法规的符合性。
新版修订
自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001:2005公布以来,此标准在国际上获得了空前的认可,相当数量的组织采纳并进行了信息安全治理体系的认证, 至2011年底,国际上颁发的ISO 27001认证证书总数约为15625张(其中,BSI的市场占有率达约为45.65%)。在我国,自从2008年将ISO 27001:2005转化为国家标准GB/T 22080:2008以来,[3]  信息安全治理体系认证在国内进一步获得了全面推广,至2011年底,国内颁发认证证书数量是1107张。越来越多的行业和组织认识到信息安全的重要性,并把它作为基础治理工作之一开展起来。
然而过去的几年中,IT领域和通信行业发生了非常大的变革,出现了全面的业务和技术的融合。移动互联网蓬勃兴起、智能宝马娱乐开户的广泛采纳、云计算技术的风起云涌,带来了全新的网络威胁、数据泄漏和欺诈的风险。面对这样的变化和趋势,使得信息安全治理体系标准的更新也变得日益重要。
ISO对标准的更新,一般是以三年为一个周期,但因为ISO 27001::2005标准公布后的巨大胜利,以及ICT行业的飞跃开展,使得这个标准的更新变得非常小心,至今已有7年。从ISO组织公布的最新信息能够看到,ISO 27001标准的更新筹备实际上已经在2008年开头,任命了工作组(JTC 1/SC 27 WG 1);2009年正式启动更新。当前,处于该标准草案(Committee Draft)正在编写委员会讨论层面(30.20:2012-06-20),估计新版公布时间会在 2013-10-19,那时我们就能够一睹它的全新面貌了。
从ISO 27001标准新版更新的一些说明原料中,能够看出这次ISO 27001标准改版将会具有以下几个特征:
采纳ISO导则83ISO导则83,规范了今后ISO治理体系认证标准的基本框架;采纳导则83颁布的第一个标准是今年5月公布的业务陆续治理体系标准——ISO 22301:2012。
导则83对今后的标准提出了新的框架要求,如下图示,标注了ISO27001新版与2005版结构的对角和差异:
    显著的改变有如下几点:
标准第4-7章,说明治理体系的一般要求,包括: 组织的情境、领袖力、策划和撑腰;标准第8章,描述ISMS实施要求,包括信息安全风险评估和处置;标准第9章,描述监视,测量和评审运动的要求;标准第10章,描述改善运动的要求;其中,取消了预防措施。信息安全风险治理与ISO 31000风险治理坚持一致新版的ISO 27001标准中信息安全风险治理要求与ISO 31000:2009 (Risk management——Principles and guidelines) 坚持一致,并遵从其中的定义。
在新版标准中明确了以下要求:
信息安全风险评估:组织应确定如何确定其信息安全风险评估和处置进程的可靠性。 信息安全风险处置:适用时,组织应调整信息安全风险评估和处置进程,以及采纳的方法,以改善进程的可靠性。保留附录A操纵措施与操纵目的新版ISO 27001依旧会保留SOA和附录A操纵目的、操纵措施的架构;因此,毫无疑问,ISO 27001的新版修订肯定会与ISO 27002的修订同步进行。
事实上,关于操纵措施和操纵目的的修订,也是应对新的变化的信息安全威胁和风险必须的选择;这部分的更新,在修订项目中,接收了大批的修改建议,争论也相当大,当前还没有最后的结论。
继续开展27系列撑腰性标准ISO 27001从诞生第一天开头就不是孤立的,为了撑腰信息安全治理体系标准,ISO27系列公布了一系列普遍适用和行业适用的参考标准。如下图:
截止当前,一些撑腰性标准当前的状态如下表:

标准
名称
状态
ISO 27000
Overview and vocabulary
DIS
ISO 27001
Requirements
CD
ISO 27002
Code of practice for information security management
WD

古希腊哲学家赫拉克利特因其作为辩证法的奠基人驰名于世,他已经写道“一切皆流,无物常住”,过去几年中,国际上几乎一切行业和组织面对的信息安全风险的局势无不体现了赫氏的这一学说。变化和开展是永恒的,信息安全风险总是处在继续演进中,攻击者的手段依旧会层出不穷。因此信息安全治理的实践和标准都在不断开展,我们唯一要做的就是坚持警惕,随时准备抵御风险。
认证机构 
颁发ISO27001信息安全治理体系证书的认证机构必需是通过CNCA国家认证监督委员会(认监委)授权的认证机构方可在国内进行审核发证,一切通过认证且合法的证书均可在CNCA的网站上进行查询。国外的认证机构如果没有在国内CNCA备案,即使认证机构得到了认可单位是UKAS或者ANAB等等的认可,也是不符合千亿国际娱乐qy966的法律法规的,视为违规操作,被发现将会被CNCA处分并公示证书在国内无效。经CNCA授权的认证机构能够在CNCA网站上查询[5]  。
关于认证机构与认可机构
认证,认证是指由认证机构证明产品、服务、治理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定运动。认证机构,是经国家认证认可监督治理委员会(CNCA)批准能够在千亿国际娱乐qy966境内合法开展治理体系认证和产品认证的专业机构。就是说取得此项认证资质的企业或单位才能够进行审核运动。比如BSI,DNV,北京新世纪认证有限公司,华夏认证中心有限公司等等,他们属于认证机构。认证机构是经CNCA授权的,认可机构治理认证机构。
认可,是正式表明合格评定机构具备实施特定合格评定工作能力的第三方证明。通俗地讲,认可是指认可机构按照相关国际标准或国家标准,对从事认证、检测和检讨等运动的合格评定机构实施评审,证实其满足相关标准要求,进一步证明其具有从事认证、检测和检讨等运动的技术能力和治理能力,并颁发认可证书。千亿国际娱乐qy966的认可机构是CNAS,国际尊龙 开户的认可机构是UKAS,美国的认可机构是ANAB。
获得CNAS认可的认证机构名录如下:千亿国际娱乐qy966质量认证中心,上海质量体系审核中心,北京赛西认证有限责任公司,广州赛宝认证中心服务有限公司 ,北京新世纪认证有限公司,华夏认证中心有限公司,千亿国际娱乐qy966信息安全认证中心,上海挪华威认证有限公司
注:一般说来,证书是由认证机构颁发,认证机构要得到认可机构的授权,认可机构要得到认监委(CNCA)的授权,因此在千亿国际娱乐qy966的认证最高治理单位是CNCA。但是有些认证机构经CNCA备案授权,并没有获得CNAS的认可,这样在国内开展被授权的审核业务也是能够的。
国际认证 
APM Group(APMG) 代替国际尊龙 开户商务部(OGC)在全球进行ISO 27001 Foundation、PRINCE2、P3O-Portfolio, Program and Project Offices、 MSP、M_o_R和ITIL的资质认证工作。业务遍布全球,分别在国际尊龙 开户、美国、荷兰、丹麦、澳大利亚和千亿国际娱乐qy966设有分公司。APMG千亿国际娱乐qy966是国际尊龙 开户APMG公司在千亿国际娱乐qy966的全资机构及唯一代替机构。
主要内容
标准的主要内容
ISO/IEC17799-2000(BS7799-1)对信息安全治理给出建议,供负责在其组织启动、实施或维护安全的人员使用。该标准为开拓组织的安全标准和有效的安全治理做法提供公共基础,并为组织之间的交往提供相信。
标准指出“象其余重要业务资产一样,信息也是一种资产”。它对一个组织具有价值,因此需要加以适合地保护。信息安全防止信息受到的各种威胁,以确保业务陆续性,使业务受到损害的风险减至最小,使投资回报和业务时机最大。
内容章节
ISO/IEC17799-2000包含了127个安全操纵措施来帮助组织识别在运做进程中对信息安全有影响的元素,组织能够依据适用的法律法规和章程加以选择和使用,或者增加其余附加操纵。国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点操纵措施,新增17点操纵措施,并重组部分操纵措施而新增一章,重组部分操纵措施,关联性逻辑性更好,更适合应用;并修改了部分操纵措施措辞。修改后的标准包括11个章节:
1)安全策略。指定信息安全方针,为信息安全提供治理指引和撑腰,并定期评审。
2)信息安全的组织。树立信息安全治理组织体系,在内部开展和操纵信息安全的实施。
3)资产治理。核查一切信息资产,做好信息分类,确保信息资产受到适当程度的保护。
4)人力资源安全。确保一切员工,合同方和第三方了解信息安全威胁和相关事宜以及各自的责任,义务,以减少人为差错,盗窃,欺诈或误用设施的风险。
5)物理和环境安全。定义安全区域,防止对办公场所和信息的未授权访问,破坏和干扰;保护设施的安全,防止信息资产的遗失,损坏或被盗,以及对企业业务的干扰;同时,还要做好一般操纵,防止信息和信息处置设施的损坏和被盗。
6)通信和操作治理。制定操作规程和职责,确保信息处置设施的正确和安全操作;树立系统规划和验收准则,将系统失效的风险降到最低;防范恶意代码和移动代码,保护软件和信息的完整性;做好信息备份和网络安全治理,确保信息在网络中的安全,确保其撑腰性基础设施得到保护;树立千亿国际娱乐手机版 在线处置和安全的规程,防止资产损坏和业务运动的中断;防止信息和软件在组织之间交换时遗失,修改或误用。
7)访问操纵。制定访问操纵策略,幸免信息系统的非授权访问,并让用户了解其职责和义务,包括网络访问操纵,操作系统访问操纵,应用系统和信息访问操纵,监视系统访问和使用,定期检测未授权的运动;当使用移动办公和远程操纵时,也要确保信息安全。
8)系统采集、开拓和维护。标示系统的安全要求,确保安全成为信息系统的内置部分,操纵应用系统的安全,防止应用系统中用户数据的遗失,被修改或误用;通过加密手段保护信息的保密性,真实性和完整性;操纵对系统文件的访问,确保系统文档,源程序代码的安全;严厉操纵开拓和撑腰进程,维护应用系统软件和信息安全。
9)信息安全事故治理。报告信息安全事情和弱点,及时采纳纠正措施,确保使用继续有效的方法治理信息安全事故,并确保及时修复。
10)业务陆续性治理。目的是为减少业务运动的中断,是关键业务进程免受主要故障或天灾的影响,并确保及时回复。
11)符合性。信息系统的设计,操作,使用进程和治理要符合法律法规的要求,符合组织安全方针和标准,还要操纵系统审计,使信息审核进程的效力最大化,干扰最小化。
ISO27001的效益 
1、通过定义、评估和操纵风险,确保经营的继续性和能力
2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任
3、通过遵守国际标准提高企业竞争能力,提升企业形象
4、明确定义一切组织的内部和外部的信息接口目的:防备数据的误用和遗失
5、树立安全工具使用方针
6、防备技术诀窍的遗失
7、在组织内部增强安全意识
8、可作为公共会计审计的证据
认识ISO27001国际标准 
ISO27001(BS7799/ISO17799)国际标准究竟是什么?它如何帮助一个组织更加有效地治理信息安全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全治理领域应该掌握哪些内容,以便组织发起信息安全治理项目?如何获得BS7799国际标准认证?
IT治理和信息安全 
近年来企业高层对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处置和储存各种信息,以保证业务正常运营,由此IT系统在企业治理中的作z用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事会和企业内部相同关切的领域。IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其余IT治理环节实施的前提。
与此同时,和信息安全相关的国际标准已经出台,成为标准IT治理框架中的一大基石。
信息安全和法律法规 
业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。
本质上说,信息安全威胁是全球化的。一般来说,它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。这种威胁在因特网的环境中主动生成并释放。更严峻的问题是,其余各种形式的危险也在整日威胁数据安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕信息和数据安全问题树立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人数据保护问题的,也有针对企业财政、运营和风险治理体系树立的法规保证问题的。一套正式规范的信息安全治理体系应当能够提供最佳实践部署指导。当前,树立这样的治理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该治理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证能够为他们带来重要的潜在商业合同。
信息安全和技术 
绝大多数人认为信息安全是一个纯粹的有关技术的话题,只有那些技术人员,特别是计算机安全技术人员,才能够处置任何保证数据和计算机安全的相关事宜。这当然有肯定道理。不过,实际上,恰恰是计算机用户本身需要考虑这样的问题:幸免哪些威胁?在信息安全和信息通畅中如何平均取舍?的确如此,一旦用户给出答案,计算机安全专家就能够设计并执行一个技术方案以达成用户需求。
在组织内部,治理层应当负责决策,而不是IT部门。一个规范的信息安全治理体系必须明确指出,组织机构董事会和治理层应当负责相关信息安全治理体系的决策,同时,这个体系也应当能够反映这种决策,并且在运行进程中能够提供证据证明其有效性。
所以机构组织内部的信息安全治理体系的树立项目不必由一个技术专家来领袖。事实上,技术专家在很多情况下起到相反的作用,可能会阻碍项目进程。因此,这个项目应该由质量治理经理、总经理或者其余负责机构内部重大职能的执行主管负责主持。
信息安全标准 
1995年,国际尊龙 开户标准协会(BSI)公布BS7799标准,即ISMS(信息安全治理体系),旨在规范、引导信息安全治理体系的开展进程和实施情况。BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的治理体系。只要实施得当,BS7799标准将帮助企业检讨并确认其信息安全治理手段和实施方案的有效性。
从企业外部来看,BS7799关切信息的可用性、机密性和完整性,至今这依旧是这项标准致力到达的目的。BS7799集中关切企业组织层面上的风险规避(肯定程度上主要是商业和金融风险),而不包括幸免每一个潜在风险的保护措施——尽管它们至关重要。
BS7799最初仅有一份文档,且具有显著的实践指南性质。也就是说,它为组织提供信息安全指引,但没有形成规范,不能为外部第三方审计和认证等提供依据。随着越来越多的企业开头认识到来自信息安全的威胁波及范围越来越广,影响程度越来越大,并且关于数据和隐私权保护的法律法规不断出台,信息安全标准认证的需求开头不断增加。
这种需求的增加最终促成了该项标准第二部分的出台,即标准规范。实践指南和标准规范之间的联系是这样的:标准规范是认证方案的基础,同时标准规范要求实践者遵从实践指南的指引。
这个实践指南最近被修订为ISO/IEC 17799:2005,标准规范也被修订为ISO/IEC 27001:2005,逐步得到国际认同。
许多国家也已公布了自己的相关标准,比如AS/NZS7799。这些标准的国际化版本能够在世界任何国家得到认可,这促使了本土化标准的消退(除了基于两个标准号码基础上的本土化标准以外)。
认证与遵从 
一个组织能够仅遵从ISO17799来树立和开展ISMS(信息安全治理体系),因为实践指南中的内容是普遍适用的。然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全治理体系的要求。而ISO/EC27001则包含这些具体详尽的治理体系认证要求。在技术层面来讲,这就表明一个正在独立运用ISO17799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经到达认证框架所制定的认证要求。不同的是,一个正在同时运用ISO27001和ISO17799标准的机构组织,能够树立一个完全符合认证具体要求的ISMS,同时这个ISMS体系也符合实践指南的要求,于是,这一组织就能够获得外界的认同,即获得认证。
ISO27001认证要求 
ISO27001标准是为了与其余治理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件治理需求的设计初衷,就是为了提供良好的兼容性,使得组织能够树立起这样一套治理体系:能够在最大程度上融入这个组织正在使用的其余任何治理体系。一般来说,组织通常会使用为其ISO9000认证或者其余治理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系树立的进程中,质量治理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的治理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个适合的治理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的托付授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:国际尊龙 开户UKAS),任何获得该机构授权进行ISMS认证的机构均记载在案。
风险评估应对计划 
任何一个ISMS体系的树立和开拓都应当满足组织独特的需求。每个组织不仅都有自己独特的业务模式、运营目的、形象特性和内部文化,他们看待风险的态度倾向也大相径庭。换句话说,同一个东西,一个机构组织认为是必须提防的威胁,在另一个组织看来可能是一个必须抓住的机遇。同样地,各个机构组织对于既有风险防护的投入也参差不齐。基于以上或者其余原因,每个运行ISMS的组织,其内部成员必须对风险评估有一个共识,这个风险评估的方法论、结果发现和推举解决方式都必须得到董事会的首肯。
ISMS项目和PDCA流程 
ISMS项目很复杂,可能继续若干个月甚至若干年,涉及整个机构组织以及从治理层到收发部门的每个成员。ISO27001认证诞生时间短,胜利的案例比较少。从务实的角度考虑,这表明在项目计划进程中,必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。
ISO27001标准指导一个企业如何着手开展ISMS项目,并且关切整个项目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检讨(Check)-提升(Act)进程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理能够识别出那些需要修正的环节并进行修正。这个流程以及流程的改进,都必须遵循这样一个进程:先计划,再执行,而后对其运行结果进行评估,紧接着按照计划的具体要求对该评估进行复查,而后寻找到任何与计划不符的结果偏差(即潜在改进的可能性),最后向治理层提出如何运行的最终报告。
ISO27001认证审核费用及周期 
除了组织自身投入之外,ISO27001 认证审核费用主要体现在聘请第三方认证机构及审核员方面了。在组织向认证机构提出申请之后,认证机构会初步了解组织现状,确定审核范围,提出审核报价。认证机构的报价通常是依据其投入的时间和人员来确定的,决议因素包括:
1、受审核组织的员工数量;
2、纳入审核范围的信息量;
3、场所数量;
4、组织与外界的关联;
5、组织 IT 的复杂性;
6、组织类型和业务性质等。
除了费用问题,认证审核的周期通常也是组织比较关怀的。一般来说,从组织启动 ISMS建设项目开头,到最终通过审核,至少要有半年时间(不包括猎取证书的时间)。对于很多因为外部驱动力而决心实施 ISO27001 认证项目的组织来说,提早进行规划是必要的。
相关文章
ISO 27001为企业云计算安全保驾护航 
近几年来,IT领域出现了全面的业务和技术的融合,许多全新的技术名词开头进入大众视野。作为第三次IT浪潮的代替,云计算技术的风起云涌为人类生活、生产方式和商业模式带来了巨大的改变。据Gartner公司最新一季度的IT支出报告称,鉴于2011年全球公有云服务市场规模突破了910亿美元,估计2012年底这一数字将增加19%,到达1090亿美元。来自Gartner的云计算领域观察员Ed Anderson认为,2016年全球云计算产业很可能增长率将超越100%,市场规模到达2070亿美元。
伴随着云计算的高速开展与普及,随之而来的全新网络威胁、数据泄漏和欺诈的风险,在全球范围内引发了诸多危机:2011年3月,谷歌Gmail邮箱爆发大规模的用户数据泄漏事情,约有15万用户的使用信息受到不同程度的破坏;无独有偶,2011年4月,全球最大的网络零售商亚马逊也发生史上最严峻的宕机事情,导致其云服务中断继续了近四天,业务损失十分严峻。由此可见,想要获得真正全面的云计算服务,安全问题是重中之重。如何并有效地幸免云计算所带来的安全隐患,国际上关于“云”的组织联盟都在积极地做出努力,在对相关技术水平提出更高要求的同时,如何更好的树立企业自身的信息安全治理标准体系也成为了行业日益关切的焦点。
作为当前国际上具有代替性的信息安全治理体系标准,ISO 27001已在世界各地的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司得到了广泛应用,该标准重新定义了对信息安全治理体系(ISMS) 的要求,旨在帮助企业确保有足够并具有针对性的安全操纵选择。通过信息安全治理体系的树立、运行和改进,能够进一步规范企业相关的信息治理工作,从而确保企业云计算服务的安全问题。
此外,开展ISO 27001的培训也是十分必要的,而且要从不同的层面开展针对性的培训。首先,需要开展治理层的培训,让治理者对[7]  信息安全治理体系有一个初步的了解,让领袖们初步了解信息安全治理体系的理念和作用 ,企业高层的全力撑腰,才能顺利进行,因为信息安全体系架构的实施和运行,比如会跨越不同的部门,在部门与部门的协调上,就需要上层领袖的协调了。此外,让各部门主要信息安全专员参与标准的内审员培训,从而让内审核员认识信息安全体系应该做哪些工作,哪些是重点工作,并且在培训中进行讨论,形成统一的认识。
通过实施ISO27001信息安全治理体系,将为企业带来多方面的益处:包括证明企业内部操纵具备独立保证,并满足公司信息治理和业务陆续性要求;独立证明已遵守各项适用法律法规;通过满足合同要求以提供竞争优势,并向客户展示其云计算安全已受到保护;在使信息安全流程、程序和文件原料正式化的同时,能够独立地证明您的云服务相关风险已得到妥善识别、评估和治理;证明高级治理层对其信息安全的承诺;定期的评估流程有助于不断监控企业的绩效并最终得到改善。
2013新版变化
现版的信息安全治理系统ISO 27001:2005标准已经使用了8年,日前ISO组织(国际标准化组织)终于将新版ISO 27001:2013 DIS版(国际标准草案Draft International Standard)草稿向公众开放并征求意见,估计在今年6-7月会公布DIS最终版。当前ISO组织颁布的正式版本的颁布时间为2013年10月19日,在新版颁布后的18至24个月内是转换缓冲期,即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标准。
安言咨询技术总监张威表示,此次改版与旧版相比主要有三大差异:一、治理体系更容易整合;二、融入企业面对的新挑战;三、国际尊龙 开户指引延伸参考。说明如下:
  (1) 易整合:以前各治理系统对治理制度面的要求有不太一致的描述方式,且章节不一。例如治理制度的PDCA(Plan,Do,Check,Act)、政策与高级撑腰等治理制度面要求不同。在新版当中采纳Annex SL做结构性要求,让不同治理系统易于接轨、整合。Annex SL的高级结构是ISO组织未来一切治理制度制定时的重要依据,当前已经有ISO 22301(前BS 25999营运继续治理系统)和这次的ISO 27001新版都已采此结构进行调整。估计已颁布的标准如ISO9000/ ISO20000未来的改版也将以相同的思路进行调整。
(2) 新要求:ISO 27001:2005原本有11个领域(domain)、133项操纵措施,新版DIS当前调整为14个领域(A.5-A.18)、113个操纵措施(未来仍可能有改动)。新增的领域是将原分散在各领域中的部分操纵目的级别提升,组成新领域,如加密与供应链治理因其重要性而被独立出来成为新领域;或是将原有领域分拆,如将通讯与作业治理分开成两个独立的领域,以反映当前信息安全的开展趋势。而操纵措施的减少则是通过合并反复的项目来进行,像变更治理在不同的领域中有反复就予以合并。也有新增的操纵项目比如对智能型装置的治理、强化ICT供应链的委外治理、以及系统开拓项目治理的信息安全要求等。
  (3) 国际尊龙 开户参考:此次ISO也新增许多指引供企业参考,组织能够通过不同的面以及风险进行深度的强化,通过ISO 27001验证只是基本要求。当前ISO 27000系列指引编号已超越44号(001-044),例如金融服务、数字鉴识、供应链治理(4本)、软件开拓测验等,主管机关可参考这些指引做升级的要求。
  对于当前正在准备ISO 27001的企业,建议无须等候新版,按照原订进度先取得27001:2005验证,在缓冲期结束前转到新版即可,新版会向下兼容接轨。
IS027001认证未来的开展和变化 
按照BSI的规划(包括ISO的考虑),未来两年里,以ISO/IEC 27001为核心的信息安全治理标准将逐渐开展成为一套完整的标准族,具体包括:
ISO/IEC 27000,基础和术语。
ISO]IEC 27001,信息安全治理体系要求,已于2005年10月15日正式公布(ISO/IEC27001:2005)。
ISO/IEC 27002,信息安全治理体系最佳实践,将会在2007年4月直接由ISO/IEC
17799:2005(已于2005年6月15日正式发行)转换而来。
ISO/IEC 27003,ISMS实施指南,正在开拓。
ISO/IEC 27004,信息安全治理度帚和改进,正在开拓。
ISO/IEC 27005,信息安全风险治理指南,以2005年底刚刚推出的BS7799-3(基于ISO/IEC 13335-2)为蓝本;
这些标准或指南,相互撑腰和参照,相同为组织实施信息安全最佳实践和树立信息安全治理体系而发挥作用。

 

  • QQ咨询

  • 企业QQ
  • 电话咨询

  • 第一娱乐6
条评论
Sitemap