ISO27001信息安全管理標準

1、1. 起源和發(fā)展2. 認證的好處3. ISMS項目和PDCA流程介紹 標準的起源和發(fā)展標準的起源和發(fā)展-背景在世界范圍內(nèi)，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點；世界范圍內(nèi)的各個機構(gòu)、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標準，國際標準化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國際標準及技術(shù)報告。在信息安全管理方面，英國標準ISO27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制

2、定完成。標準的起源和發(fā)展信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。2000年12月，BS 7799-1：1999信息安全管理實施細則通過了國際標準化組織ISO的認可，正式成為國際標準-ISO/IEC17799：2000信息技術(shù)-信息安全管理實施細則。2002年9月5日，BS 7799-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標準，同時BS 7799-2:1999被廢止。2004年9月5日，BS 7799-2:2002正式發(fā)布。2005年，

3、BS 7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC 27001:2005.標準的起源和發(fā)展2013年，ISO 27001:2005標準已經(jīng)使用了8年，ISO組織（國際標準化組織）將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見。ISO組織在2013年10月19日頒布正式版本，在新版公布后的18至24個月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標準。標準的起源和發(fā)展現(xiàn)在，ISO27000:2005標準已得到了很多國家的認可，是國際上

4、具有代表性的信息安全管理體系標準。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對ISO27000:2005標準感興趣，我國的臺灣、香港也在推廣該標準。許多國家的政府機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡(luò)公司及許多跨國公司已采用了此標準對自己的信息安全進行系統(tǒng)的管理。截至2002年9月，全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。ISO27001認證好處ISO27001認證好處信息安全管理體系標準（ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續(xù)發(fā)展。當(dāng)您的組織通過了ISO27001

5、的認證，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù) ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處:協(xié)調(diào)各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，需要全面的綜合管理。可以增進組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，改善全體的業(yè)績、消除不信任感。同時，把組織的干擾因素降到最小，創(chuàng)造更大收益。企業(yè)通過認證將可以向其客戶、競爭對手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位；定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據(jù)，信任、信用及信心，使客戶及利益

6、相關(guān)方感受到組織對信息安全的承諾。向政府及行業(yè)主管部門證明組織對相關(guān)法律法規(guī)的符合性ISMS項目和PDCA流程介紹信息安全管理體系（ISMS）信息安全管理體系（Information Security Management System，簡稱ISMS）起源于英國標準協(xié)會(British Standards Institution, BSI) 1990年代制定的英國國家標準BS7799，是系統(tǒng)化管理思想在信息安全領(lǐng)域的應(yīng)用。ISMS信息安全管理體系是組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。ISO/IEC 27001從組織的整體業(yè)務(wù)風(fēng)險的角度，為建立、實施、運

7、行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。組織應(yīng)在其整體業(yè)務(wù)活動中且在所面臨風(fēng)險的環(huán)境下建立、實施、運行、監(jiān)視、評審ISMS，形成文件，并保持和改進其有效性文檔化的ISMS。在本標準中，所使用的過程基于圖1所示的PDCA模型。ISMS項目和PDCA流程ISMS項目很復(fù)雜，可能持續(xù)若干個月甚至若干年，涉及整個機構(gòu)組織以及從管理層到收發(fā)部門的每個成員。ISO27001標準指導(dǎo)一個企業(yè)如何著手開展ISMS項目，并且關(guān)注整個項目進程中的若干重要元素。1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）執(zhí)行（Do）檢查（Check）提升（Act）過程，意在說明業(yè)務(wù)

8、流程應(yīng)當(dāng)是不斷改進的，該方法使得職能部門經(jīng)理/項目經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正。流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結(jié)果進行評估，緊接著按照計劃的具體要求對該評估進行復(fù)查，而后尋找到任何與計劃不符的結(jié)果偏差（即潛在改進的可能性），最后向管理層提出如何運行的最終報告。ISMS項目和PDCA流程不同的組織在建立與完善信息安全管理體系時，可根據(jù)自己的特點和具體情況，采取不同的步驟和方法。總體上，建立信息安全管理體系一般要經(jīng)過下列PDCA四個基本階段：Plan 信息安全管理體系的策劃與準備；Do 信息安全管理體系文件的編制；Check 信息安全管理體系

9、運行；Action 信息安全管理體系審核、評審和持續(xù)改進。建立和管理ISMS根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS的范圍和邊界，包括對范圍任 何刪減的詳細說明和正當(dāng)性理由根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性，確定ISMS方針確定組織的風(fēng)險評估方法：識別風(fēng)險分析和評價風(fēng)險 識別和評價風(fēng)險處理的可選措施為處理風(fēng)險選擇控制目標和控制措施獲得管理者對建議的殘余風(fēng)險的批準獲得管理者對實施和運行ISMS的授權(quán)實施和運行ISMS為管理信息安全風(fēng)險識別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序，1.制定風(fēng)險處理計劃2.實施風(fēng)險處理計劃以達到已識別的控制目標，包括資金安排、角色和職責(zé)的分配

10、； 3.選擇的控制措施，以滿足控制目標； 4.確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測量措施來評估控制措施的有效性，以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果 5.實施培訓(xùn)和意識教育計劃6.管理ISMS的運行7.管理ISMS的資源 8.實施能夠迅速檢測安全事態(tài)和響應(yīng)安全事件的規(guī)程和其他控制措施監(jiān)視和評審ISMS執(zhí)行監(jiān)視與評審規(guī)程和其他控制措施在考慮安全審核結(jié)果、事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進行ISMS 有效性的定期評審（包括滿足ISMS方針和目標，以及安全控制措施的評審）。測量控制措施的有效性以驗證安全要求是否被滿足。按照計劃的時間間隔進行風(fēng)險評估的評審，以及對殘余風(fēng)險和已確定的可接受的風(fēng)險級別進行評審按計劃的時間間隔，實施ISMS內(nèi)部審核定期進行ISMS管理評審，以確保ISMS范圍保持充分，ISMS過程的改進得到