ISO/IEC 27001簡介
•2002 年,BSI 對BS7799:2-1999 進行了重新修訂,正式引入PDCA 過程模型,2004 年9 月5 日,BS7799-2:2002 正式發布。
•2005年,BS7799-2:2002 終于被ISO 組織所采納,于同年10 月推出了ISO/IEC 27001:2005。
•2013年, ISO/IEC 27001:2013發布。
•2022年 , ISO/IEC 27002:202發布。
ISMS(信息安全管理體系)
l本標準用于為建立、實施、運行、監視、評審、保持和改進信息安全管理體系(InformationSecurity Management System,簡稱ISMS)提供模型。采用ISMS應當是一個組織的一項戰略性決策。一個組織的ISMS的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規模和結構的影響,上述因素及其支持系統會不斷發生變化。按照組織的需要實施ISMS,是本標準所期望的,例如,簡單的情況可采用簡單的ISMS解決方案。
本標準可被內部和外部相關方用于一致性評估。

建設ISMS
第一步工作是建設ISMS系統,這部分工作可以由組織或者公司自己進行,前提是該組織擁有專業的人才。大部分的公司不具備這樣的能力,這就需要一些專業的咨詢公司或者安全公司等有27001專業實施經驗的公司協助進行。
建設ISMS的工作不是一個純粹的IT建設,而是建立一個循序漸進的體系,需要公司的全員配合,特別是公司領導層重視,需要成立專門的團隊來負責這項工作。
文件化很重要,針對標準4.3的內容,各個層次的文件和記錄都需要編寫完備,這些工作也可以由第三方來協助進行。
風險評估,培訓等工作的進行也需要在咨詢公司的協助下進行。
ISMS初步建立之后,需要運行一段時間,針對出現的問題進行修正。
提出申請
待ISMS穩定運行一段時間之后,可以考慮提出審核申請。
可以進行27001審核的機構國外的有BSI(英國標準化協會)和DNV(挪威船級社);國內有中國信息安全認證中心、華夏認證中心有限公司、中國電子技術標準化研究所和上海質量體系審核中心。
認證審核-預審
預審核(Pre-assessment Audit)也稱預審,是在第一階段審核之前執行的一種非強制性要求的非正式審核。從本質上看,預審是正式審核的預演或排練。許多組織都沒有采用預審核。
預審是審核員通過使用“差距分析”方法,分析和檢查組織的ISMS與ISO/IEC 27001:2005要求的差距,包括(但不僅限于):
p 分析ISMS方針與程序,組織當前的業務保護情況;
p 檢查ISMS是否與其實際業務融合一起;
p 檢查ISMS是否符合正式審核的基本條件;
p 檢查組織還有哪些未能按照標準要求進行運行的領域,包括員工的安全意識和員工是否知道ISMS 等;
p 檢查ISMS運行的時間長度。
注:預審也是要收費的!
認證審核-桌面審核
強制性ISMS文件 |
說明 |
(1) ISMS方針文件,包括ISMS的范圍 |
根據ISO/IEC 27001:2005標準“4.3.1”a)和b)的要求。 |
(2) 風險評估程序 |
根據ISO/IEC 27001:2005標準“4.3.1”d)和e)的要求, 要有形成文件的“風險評估方法的描述”和“風險評估報告”。為了減少文件量,可創建一個《風險評估程序》。該程序文件應包括“風險評估方法的描述”,而其運行的結果應產生《風險評估報告》。 |
(3) 風險處理程序 |
根據ISO/IEC 27001:2005標準“4.3.1”f)的要求, 要有形成文件的“風險處理計劃”。因此,可創建一個《風險處理程序》。該程序文件運行的結果應產生《風險處理計劃》。 |
(4) 文件控制程序 |
根據ISO/IEC 27001:2005標準的“4.3.2文件控制”的要求,要有形成文件的“文件控制程序”。 |
(5) 記錄控制程序 |
根據ISO/IEC 27001:2005標準的“4.3.3記錄控制”的要求,要有形成文件的“記錄控制程序”。 |
(6) 內部審核程序 |
根據ISO/IEC 27001:2005標準的“6內部ISMS審核”的要求,要有形成文件的“內部審核程序”。 |
(7) 糾正措施與預防措施程序 |
根據ISO/IEC 27001:2005標準的“8.2糾正措施”的要求,要有形成文件的“糾正措施程序”。根據 “8.3預防措施”的要求,要有形成文件的“預防措施程序”。“糾正措施程序”和“預防措施程序”通常可以合并成一個文件。 |
(8) 控制措施有效性的測量程序 |
根據ISO/IEC 27001:2005標準的“4.3.1 g)”的要求,要有形成文件的“控制措施有效性的測量程序”。 |
(9) 管理評審程序 |
“管理評審”過程不一定要形成文件,但最好形成“管理評審程序”文件,以方便實際工作。 |
(9) 適用性聲明 |
根據ISO/IEC 27001:2005標準的“4.3.1 i)” 的要求, 要有形成文件的適用性聲明。 |
認證審核-現場審核
桌面審核(文件審核)的結果作為現場審核輸入。
現場審核的內容包括會議、現場調查、形成審核發現、舉行末次會議和報告審核結果等。
審核內容
驗證第一階段的審核發現是否獲得糾正。
證實受審核組織是否按照其方針、目標和程序,執行工作。
證實受審核組織的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求
認證審核-獲得證書
所有審核工作結束并達到要求后,用戶會得到證書。
每一年,用戶需要進行復審
三年時,證書期滿,需要重新審核。
咨詢認證服務過程
第一階段 現狀調研
從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研,通過培訓使組織相關人員全面了解信息安全管理的基本知識。包括:
項目啟動:前期溝通,實施計劃,項目小組,資源支持,啟動會議。
前期培訓:信息安全管理基礎,風險評估方法。
現狀評估:初步了解信息安全現狀,分析與ISO27001標準要求的差距。
業務分析:訪談調查,核心與支持業務,業務對資源的需求,業務影響分析
第二階段 風險評估
對組織信息資產進行資產價值、威脅因素、脆弱性分析,從而評估組織信息安全風險,選擇適當的措施、方法實現管理風險的目的。包括:
資產識別:識別組織的各種信息資產。
風險評估:重要資產、威脅、弱點、風險識別與評估。
第三階段 管理策劃
根據組織對信息安全風險的策略,制定相應的信息安全整體規劃、管理規劃、技術規劃等,形成完整的信息安全管理系統。包括:
文件編寫:編寫ISMS各級管理文件,進行Review及修訂,管理層討論確認。
中期培訓:全員安全意識培訓,ISMS實施推廣培訓,必要的考核。
第四階段體系實施
ISMS建立起來(體系文件正式發布實施)之后,要通過一定時間的試運行來檢驗其有效性和穩定性。包括:
后期培訓:審核員等角色的專業技能培訓。
內部審核:審核計劃,Checklist,內部審核,不符合項整改。前期培訓:信息安全管理基礎,風險評估方法。
管理評審:信息安全管理委員會組織ISMS整體評審,糾正預防。現狀評估:初步了解信息安全現狀,分析與ISO27001標準要求的差距。
第五階段認證審核
經過一定時間運行,ISMS達到一個穩定的狀態,各項文檔和記錄已經建立完備,此時,可以提請進行認證。包括:
認證申請:與認證機構磋商,準備材料申請認證,制定認證計劃,預審核。
第一階段審核:主要進行方針,范圍和采用程序的審核,查看風險評估的結果、處理方法和適用性聲明,檢查體系中遺漏和繁瑣需要修改的地方。
第二階段審核:主要進行實施審核,查看程序規定的執行情況。審核員將現場審核并給出建議。
證書獲得:不符合項整改,認證機構評審合格后發放證書。證書有效期三年