ISO27001信息安全管理標(biāo)準(zhǔn)

1、1. 起源和發(fā)展2. 認(rèn)證的好處3. ISMS項(xiàng)目和PDCA流程介紹 標(biāo)準(zhǔn)的起源和發(fā)展標(biāo)準(zhǔn)的起源和發(fā)展-背景在世界范圍內(nèi)，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點(diǎn)；世界范圍內(nèi)的各個(gè)機(jī)構(gòu)、組織、個(gè)人都在探尋如何保障信息安全的問題。英國(guó)、美國(guó)、挪威、瑞典、芬蘭、澳大利亞等國(guó)均制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn)，國(guó)際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)及技術(shù)報(bào)告。在信息安全管理方面，英國(guó)標(biāo)準(zhǔn)ISO27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)，它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制

2、定完成。標(biāo)準(zhǔn)的起源和發(fā)展信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。2000年12月，BS 7799-1：1999信息安全管理實(shí)施細(xì)則通過了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)-ISO/IEC17799：2000信息技術(shù)-信息安全管理實(shí)施細(xì)則。2002年9月5日，BS 7799-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn)，同時(shí)BS 7799-2:1999被廢止。2004年9月5日，BS 7799-2:2002正式發(fā)布。2005年，

3、BS 7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC 27001:2005.標(biāo)準(zhǔn)的起源和發(fā)展2013年，ISO 27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，ISO組織（國(guó)際標(biāo)準(zhǔn)化組織）將新版ISO 27001:2013 DIS版（國(guó)際標(biāo)準(zhǔn)草案Draft International Standard）草稿向公眾開放并征求意見。ISO組織在2013年10月19日頒布正式版本，在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。標(biāo)準(zhǔn)的起源和發(fā)展現(xiàn)在，ISO27000:2005標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可，是國(guó)際上

4、具有代表性的信息安全管理體系標(biāo)準(zhǔn)。目前除英國(guó)之外，還有荷蘭、丹麥、澳大利亞、巴西等國(guó)已同意使用該標(biāo)準(zhǔn)；日本、瑞士、盧森堡等國(guó)也表示對(duì)ISO27000:2005標(biāo)準(zhǔn)感興趣，我國(guó)的臺(tái)灣、香港也在推廣該標(biāo)準(zhǔn)。許多國(guó)家的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司已采用了此標(biāo)準(zhǔn)對(duì)自己的信息安全進(jìn)行系統(tǒng)的管理。截至2002年9月，全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認(rèn)證。ISO27001認(rèn)證好處ISO27001認(rèn)證好處信息安全管理體系標(biāo)準(zhǔn)（ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。當(dāng)您的組織通過了ISO27001

5、的認(rèn)證，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù) ISO27001 對(duì)您的信息安全管理體系進(jìn)行認(rèn)證，可以帶來以下幾個(gè)好處:協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻，需要全面的綜合管理?？梢栽鲞M(jìn)組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，改善全體的業(yè)績(jī)、消除不信任感。同時(shí)，把組織的干擾因素降到最小，創(chuàng)造更大收益。企業(yè)通過認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位；定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù)，信任、信用及信心，使客戶及利益

6、相關(guān)方感受到組織對(duì)信息安全的承諾。向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性ISMS項(xiàng)目和PDCA流程介紹信息安全管理體系（ISMS）信息安全管理體系（Information Security Management System，簡(jiǎn)稱ISMS）起源于英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British Standards Institution, BSI) 1990年代制定的英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799，是系統(tǒng)化管理思想在信息安全領(lǐng)域的應(yīng)用。ISMS信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。ISO/IEC 27001從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)

7、行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。組織應(yīng)在其整體業(yè)務(wù)活動(dòng)中且在所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審ISMS，形成文件，并保持和改進(jìn)其有效性文檔化的ISMS。在本標(biāo)準(zhǔn)中，所使用的過程基于圖1所示的PDCA模型。ISMS項(xiàng)目和PDCA流程ISMS項(xiàng)目很復(fù)雜，可能持續(xù)若干個(gè)月甚至若干年，涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門的每個(gè)成員。ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開展ISMS項(xiàng)目，并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素。1950年W. Edwards Deming提出PDCA流程，即計(jì)劃（Plan）執(zhí)行（Do）檢查（Check）提升（Act）過程，意在說明業(yè)務(wù)

8、流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門經(jīng)理/項(xiàng)目經(jīng)理可以識(shí)別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。流程以及流程的改進(jìn)，都必須遵循這樣一個(gè)過程：先計(jì)劃，再執(zhí)行，而后對(duì)其運(yùn)行結(jié)果進(jìn)行評(píng)估，緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差（即潛在改進(jìn)的可能性），最后向管理層提出如何運(yùn)行的最終報(bào)告。ISMS項(xiàng)目和PDCA流程不同的組織在建立與完善信息安全管理體系時(shí)，可根據(jù)自己的特點(diǎn)和具體情況，采取不同的步驟和方法。總體上，建立信息安全管理體系一般要經(jīng)過下列PDCA四個(gè)基本階段：Plan 信息安全管理體系的策劃與準(zhǔn)備；Do 信息安全管理體系文件的編制；Check 信息安全管理體系

9、運(yùn)行；Action 信息安全管理體系審核、評(píng)審和持續(xù)改進(jìn)。建立和管理ISMS根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對(duì)范圍任 何刪減的詳細(xì)說明和正當(dāng)性理由根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS方針確定組織的風(fēng)險(xiǎn)評(píng)估方法：識(shí)別風(fēng)險(xiǎn)分析和評(píng)價(jià)風(fēng)險(xiǎn) 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)實(shí)施和運(yùn)行ISMS為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾泶胧①Y源、職責(zé)和優(yōu)先順序，1.制定風(fēng)險(xiǎn)處理計(jì)劃2.實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo)，包括資金安排、角色和職責(zé)的分配

10、； 3.選擇的控制措施，以滿足控制目標(biāo)； 4.確定如何測(cè)量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測(cè)量措施來評(píng)估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果 5.實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃6.管理ISMS的運(yùn)行7.管理ISMS的資源 8.實(shí)施能夠迅速檢測(cè)安全事態(tài)和響應(yīng)安全事件的規(guī)程和其他控制措施監(jiān)視和評(píng)審ISMS執(zhí)行監(jiān)視與評(píng)審規(guī)程和其他控制措施在考慮安全審核結(jié)果、事件、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進(jìn)行ISMS 有效性的定期評(píng)審（包括滿足ISMS方針和目標(biāo)，以及安全控制措施的評(píng)審）。測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足。按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審，以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審按計(jì)劃的時(shí)間間隔，實(shí)施ISMS內(nèi)部審核定期進(jìn)行ISMS管理評(píng)審，以確保ISMS范圍保持充分，ISMS過程的改進(jìn)得到