ISO27001咨詢認證剖析

ISO27001信息安全治理體系

詢問效勞及認證明施名目一、ISO27001標(biāo)準(zhǔn)簡介二、ISO27001信息安全工程實施流程三、ISO27001認證的價值一、

ISO27000系列標(biāo)準(zhǔn)簡介ISO27000標(biāo)準(zhǔn)族介紹27000～27009：ISMS根本標(biāo)準(zhǔn)，27010～27019：ISMS標(biāo)準(zhǔn)族的解釋性指南與文檔認證機構(gòu)認可要求

信息安全根本目標(biāo)信息安全通常強調(diào)所謂CIA三元組的目標(biāo)，即保密性、完整性和可用性。CIA概念的闡述源自信息技術(shù)安全評估標(biāo)準(zhǔn)〔InformationTechnologySecurityEvaluationCriteria，ITSEC〕，它也是信息安全的根本要素和安全建設(shè)所應(yīng)遵循的根本原則。2023與2023區(qū)分：正文2023與2023區(qū)分：附錄信息安全治理詢問效勞將依據(jù)組織的不同需求為其量身定做適合自己的信息安全治理體系，幫助企業(yè)更好的加強自身信息安全治理水平，降低企業(yè)業(yè)務(wù)運作過程中的風(fēng)險。并承受可信任的把握措施，供給行業(yè)解決方案，滿足客戶的不同需求。依據(jù)ISO27001，信息安全治理體系包括：14個把握域35個把握目標(biāo)114個把握措施業(yè)務(wù)連續(xù)性管理訪問控制系統(tǒng)獲取開發(fā)維護管理通信安全人力資源安全合規(guī)性資產(chǎn)管理信息安全組織物理環(huán)境安全信息安全事件管理信息客戶記錄個人記錄法律記錄安全策略策略程序、流程工作指導(dǎo)書、操作說明、模板、檢查表等文檔、記錄密碼學(xué)操作安全供給商關(guān)系安全治理ISO27001信息安全治理體系計劃（PLAN）實施(DO)檢查(CHECK)改進（Act）業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識別威脅脆弱性當(dāng)前控制措施風(fēng)險評價風(fēng)險處置制定風(fēng)險接受標(biāo)準(zhǔn)制定ISMS文檔架構(gòu)策略程序與流程指導(dǎo)書、模板等文檔、記錄等1級2級3級4級可能性嚴重性持續(xù)改進機制管理層評審內(nèi)部ISMS審計持續(xù)的風(fēng)險評估ISMS體系度量與監(jiān)控體系運行

符合性指標(biāo)效能指標(biāo)損失性指標(biāo)改進需求預(yù)防性措施糾正性措施風(fēng)險評估風(fēng)險處置計劃識別不合格項根源分析

記錄與追蹤識別潛在不合格項

制定預(yù)防措施

記錄與追蹤體系發(fā)布工程方法將基于貴公司的業(yè)務(wù)現(xiàn)狀、對信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體業(yè)務(wù)風(fēng)險框架內(nèi)，依據(jù)ISO27001標(biāo)準(zhǔn)，以風(fēng)險評估為根底，依據(jù)風(fēng)險處置準(zhǔn)備建立和實施信息安全治理體系〔ISMS〕以治理信息安全風(fēng)險。并通過建立相關(guān)監(jiān)控體系評估ISMS的有效性，最終將針對監(jiān)測結(jié)果對信息安全治理體系進展持續(xù)改進。ISO27001信息安全治理體系實施方法項目實施采取的程序項目可能用到的工具訪談文檔審閱調(diào)查問卷現(xiàn)場檢查系統(tǒng)檢查技術(shù)掃描信息安全風(fēng)險評估工具網(wǎng)絡(luò)脆弱性評估服務(wù)器端口掃描資產(chǎn)識別工具滲透測試信息安全控制審計序號標(biāo)準(zhǔn)名稱1ISO27001：2005信息安全管理體系要求3ISO27002-27005信息安全管理使用規(guī)則實施指南風(fēng)險評估4煙草行業(yè)信息安全等級保護規(guī)范5《信息系統(tǒng)安全等級保護基本要求》6《信息系統(tǒng)安全等級保護實施指南》7GB22080-2008-T信息技術(shù)安全技術(shù)信息安全管理體系要求8GB22081-2008-T信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則9GB50174-2008電子信息系統(tǒng)機房設(shè)計規(guī)范10GBT20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求11GBT21028-2007信息安全技術(shù)服務(wù)器安全技術(shù)要求12GBT21052-2007信息安全技術(shù)信息系統(tǒng)物理安全技術(shù)要求參考的相關(guān)標(biāo)準(zhǔn)工程實施實行的程序和可能用到的工具ISO27001信息安全治理體系實施方法〔2〕工程啟動和差異分析工程啟動會議，確定工程團隊、建立工程組治理架構(gòu)信息安全治理現(xiàn)狀的快速評估信息安全治理體系差異分析設(shè)計信息安全方針設(shè)計信息安全治理組織架構(gòu)信息安全治理培訓(xùn)階段工程總結(jié)會議工程準(zhǔn)備差異分析報告信息安全治理組織架構(gòu)信息安全方針階段主要任務(wù)主要交付品風(fēng)險評估資產(chǎn)收集及風(fēng)險評估方法與標(biāo)準(zhǔn)資產(chǎn)級別劃分標(biāo)準(zhǔn)技術(shù)弱點掃描報告資產(chǎn)清單、威逼列表、脆弱性列表、風(fēng)險列表風(fēng)險評估報告制定資產(chǎn)識別標(biāo)準(zhǔn)

〔包含保密級別劃分〕資產(chǎn)收集及風(fēng)險評估方法培訓(xùn)信息資產(chǎn)收集識別威逼、脆弱性、并安全漏洞掃描評估風(fēng)險，劃分風(fēng)險等級階段工程總結(jié)會議體系設(shè)計與公布風(fēng)險容忍標(biāo)準(zhǔn)及風(fēng)險處置準(zhǔn)備適用性聲明ISMS制度和流程ISMS體系、事故響應(yīng)培訓(xùn)信息安全體系技術(shù)落地建議書體系運行與監(jiān)控ISMS績效監(jiān)控流程信息安全推廣培訓(xùn)認證及持續(xù)改進ISMS內(nèi)審報告ISMS外審報告及改進ISMS治理評審報告工程總結(jié)報告12345確定風(fēng)險容忍度和風(fēng)險偏好確定風(fēng)險處置措施并實施整改準(zhǔn)備制度整合及信息安全治理體系文檔編寫信息安全體系技術(shù)把握及治理落地建議信息安全治理體系公布及培訓(xùn)階段工程總結(jié)會議制定信息安全治理績效監(jiān)控流程信息安全治理體系試運行體系運行監(jiān)控業(yè)務(wù)連續(xù)性治理培訓(xùn)階段工程總結(jié)會議ISMS內(nèi)審培訓(xùn)ISMS內(nèi)審ISMS外審ISMS治理評審訂正、預(yù)防措施持續(xù)改進建議工程總結(jié)會議幫助后續(xù)的內(nèi)審和臨審工程實施步驟工程啟動和差距分析確定工程范圍、建立工程組治理架構(gòu)，并完成現(xiàn)狀分析對工程范圍內(nèi)現(xiàn)有治理體系、流程，包含內(nèi)部把握制度等進展分析業(yè)務(wù)與信息治理架構(gòu)分析與設(shè)計工程范圍內(nèi)信息平臺、應(yīng)用系統(tǒng)分析工程范圍內(nèi)相關(guān)部門與重要信息資產(chǎn)的互動與權(quán)限分析信息安全治理體系與國際標(biāo)準(zhǔn)ISO27001對標(biāo)信息安全方針設(shè)計階段一主要任務(wù)現(xiàn)有制度與流程組織架構(gòu)與職責(zé)信息技術(shù)與平臺各職能部門信息安全現(xiàn)狀診斷主要范圍1.工程啟動及差距分析階段二主要任務(wù)信息安全風(fēng)險評估制定信息資產(chǎn)識別標(biāo)準(zhǔn)〔包含保密級別劃分〕資產(chǎn)識別及風(fēng)險評估方法培訓(xùn)信息資產(chǎn)收集識別關(guān)鍵信息資產(chǎn)，并評估價值評估公司層面信息安全把握措施安全漏洞掃描針對關(guān)鍵信息資產(chǎn)進展威逼、弱點及影響程度評估，計算出風(fēng)險值風(fēng)險分析風(fēng)險評估成果例如識別關(guān)鍵信息資產(chǎn)公司層面控制信息安全管理成熟度風(fēng)險評估2.風(fēng)險評估建立適合貴公司的信息安全治理體系階段三主要任務(wù)體系設(shè)計與公布確定風(fēng)險承受標(biāo)準(zhǔn)制定風(fēng)險處置準(zhǔn)備治理層匯報定制風(fēng)險處置實施整改準(zhǔn)備依據(jù)信息與業(yè)務(wù)重要性，制定各級信息安全治理制度和流程信息安全體系技術(shù)把握落地及治理落地建議依據(jù)不同對象與時機，按需制定支持上述流程的工作指導(dǎo)書信息安全治理體系公布及培訓(xùn)ISMS策略ISMS制度和流程工作指導(dǎo)書、操作手冊、模板、檢查表等表單、記錄1級2級3級4級信息安全治理體系文件第一級信息安全方針信息安全管理評審程序信息安全內(nèi)審管理程序糾正和預(yù)防措施管理程序文檔記錄管控程序有效性測量程序信息資產(chǎn)分類標(biāo)準(zhǔn)風(fēng)險評估實施指南信息保密管理辦法人員安全管理程序培訓(xùn)管理規(guī)定第三方安全管理規(guī)定機房安全管理規(guī)定辦公區(qū)域安全管理規(guī)定系統(tǒng)試運行審查規(guī)定系統(tǒng)安全管理規(guī)范網(wǎng)絡(luò)運維管理規(guī)范IT終端設(shè)備使用管理規(guī)范變更管理規(guī)定帳戶安全管理規(guī)范防病毒管理策略第二級第三級脆弱性檢查列表威脅檢查表內(nèi)部審計檢查項第四級審計報告日志檢查表文件加密指南移動辦公守則信息安全管理手冊其它表單風(fēng)險處置方法風(fēng)險處置準(zhǔn)備序號整改類型負責(zé)部門風(fēng)險描述優(yōu)先等級整改措施完成時間責(zé)任人管理是否已確定1物理安全運維部機房濕度過低，容易造成電火花以及靜電，給IDC業(yè)務(wù)帶來風(fēng)險高調(diào)整機房濕度至合適范圍，并設(shè)置遠程監(jiān)控與報警機制。2009年9月7日張三是2法律法規(guī)合規(guī)運維部單位或個人通過托管的服務(wù)器，利用IDC中心從事危害國家安全、泄露國家機密等違法犯罪活動高1.與責(zé)任單位簽訂信息安全責(zé)任保障書，明確責(zé)任與義務(wù)2.IDC建立相應(yīng)的管理、監(jiān)督和檢查機制,實現(xiàn)實時的監(jiān)控2009年10月17日張三審批中3.體系設(shè)計及公布階段四主要任務(wù)體系運行與監(jiān)控制定績效監(jiān)控流程體系運行監(jiān)控信息安全推廣培訓(xùn)信息安全宣傳內(nèi)部審計培訓(xùn)信息安全治理體系內(nèi)部審計信息安全治理體系治理評審會議訂正措施、預(yù)防措施、持續(xù)改進建議工程總結(jié)會體系運行與監(jiān)控審計報告內(nèi)部審計文件適用性按標(biāo)準(zhǔn)執(zhí)行內(nèi)審準(zhǔn)備信息安全體系改進方案實施成果審計執(zhí)行記錄信息安全治理體系信息安全管理體系內(nèi)部審計報告4.體系運行及監(jiān)控目標(biāo)推動ISMS體系在貴公司運行，并獲得審核機構(gòu)頒發(fā)的27001認證。實現(xiàn)方法ISMS體系文件編制完成后，應(yīng)依據(jù)文件的把握要求進展審核與批準(zhǔn)并公布實施，體系運行初期處于體系的磨合期，一般稱為試運行期，在此期間運行的目的是要在實踐中檢驗體系的充分性、適用性和有效性。試運行3個月后，并完成內(nèi)審和治理評審后，在收集到一些ISMS運行記錄后，可以依據(jù)貴公司需求選擇認證機構(gòu)并幫助貴公司通過認證。信息安全治理體系認證ISMS體系試運行ISMS內(nèi)審ISMS治理評審認證前培訓(xùn)外審初審支持外審終審支持5.認證及持續(xù)改進工程實施流程準(zhǔn)備形成企業(yè)信息安全等級疼惜長效機制信息安全等級疼惜標(biāo)準(zhǔn)制度〔1〕資產(chǎn)信息及安全評估批量錄入資產(chǎn)配置，自動獵取具體資產(chǎn)IT屬性，資產(chǎn)安全等級評估，資產(chǎn)關(guān)聯(lián)連接信息。確保資產(chǎn)信息及安全風(fēng)險評估高度可見〔2〕閉環(huán)把握密碼治理和訪問審計，告警和信息推送，監(jiān)視流程，KPI通告等手段確保運維安全風(fēng)險管控〔4〕保持高可用性主動預(yù)警、主動運維，過程監(jiān)視，高效協(xié)同，SLA管控等手段，大幅度提高可用性〔5〕重大事故應(yīng)急機制重大事故應(yīng)急流程，事故處置關(guān)注信息推送，監(jiān)視