一、什么是ISO27000?新的国际标准是双重的,既可以是ISO/IEC 27001:2005,又可以是 BS 7799-2:2005。这种情况会持续一段时间(预期2年左右),这就意味着BS 7799-2:2005认证和ISO/IEC 27001:2005认证没有什么不同。 然而,目前所有通过现行的BS 7799-2:2002认证的组织必须考虑2005版本的变化,及时更新他们信息安全管理体系。通过BS 7799-2:2002认证的组织会逐步转换到ISO/IEC 27001认证。转换期限多久现在还不得而知,要等待国际认可论坛(IAF),或国家认可机构(如UKAS)发表正式声明来公布。 实际上,在以后的监督审核中,会把这些不同点考虑在内;如果合适的话,建议客户取得ISO/IEC 27001:2005标准的认证。如果在转换期内客户不及时转换到新标准,一直停留在旧标准,审核员可以把与ISO的不一致作为“注释/观察项”记录在案。一旦转换期结束,观察项就上升为不符合项,证书的注册就存在了风险。 二、ISO27001信息安全管理体系证书 三、凯新的优势 我司专业从事ISO27001信息安全管理体系认证工作有12年认证经验,沉淀了一批专业技能优秀且经验丰富的专家及服务团队; 我司以低于同行20%的价格,让利于客户,深得客户好评与信赖; 切实为客户着急,最快7个工作日拿证,最大限度降低您的时间成本。四、ISO27001信息安全管理体系认证流程1 现场诊断; 2 确定信息安全管理体系的方针、目标; 3 明确信息安全管理体系的范围,根据...
“信息”作为一种重要的商业资产,其所拥有的价值对于一个组织而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个组织或机构可持续发展。 企业面临的问题组织对于信息系统依赖性不断增长,以及在信息系统上运作业务的风险,使得信息安全越来越得到重视。然而事实上,目前组织所面对的信息安全状况愈加复杂。病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生。从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等,安全问题出现的途径也是千奇百怪。每一项新技术,每一类新产品的推广伴随着新的问题。组织在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。正因为如此,信息安全管理体系标准(ISO/IEC27000)的出现成为历史必要,该标准经过十多年的发展,已经形成了一个完整规范的体系。对组织而言,建立信息安全管理体系,是一个非常系统的过程,从资产评估、风险分析、引入控制到后期的改进,呈现出一个非常逻辑的架构。调查显示,企业高管普遍面对的问题是:“我们很清楚的知道内部的安全风险问题,可是我们不知道怎么去识别并规避风险。”信息安全管理体系的建立和健全,目的就是降低信息风险对经营带来的危害,并将其投资和商业利益最大化。 信息安全管理体系标准2005年改版后的ISO/IEC 27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性可见,信息安全不仅仅是个技术问题,而是管理、章程、制度和技术手段以及各种...
第一阶段:现状调研从日常运维、管理机制、系统配置等方面对贵公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括:(1)项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。(2)前期培训:信息安全管理基础,风险评估方法。(3)现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。(4)业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。第二阶段:风险评估对贵公司信息资产进行资产价值、威胁因素、脆弱性分析,从而评估贵公司信息安全风险,选择适当的措施、方法实现管理风险的目的。(1)资产识别:识别贵公司的各种信息资产。(2)风险评估:重要资产、威胁、弱点、风险识别与评估。 第三阶段:管理策划根据贵公司对信息安全风险的策略,制定相应信息安全整体规划、管理规划、技术规划等,形成完整的信息安全管理系统。(1)文件编写:编写ISMS各级管理文件,进行Review及修订,管理层讨论确认。(2)发布实施:ISMS实施计划,体系文件发布,控制措施实施。(3)中期培训:全员安全意识培训,ISMS实施推广培训,必要的考核。第四阶段:体系实施ISMS建立起来(体系文件正式发布实施)之后,要通过一定时间的试运行来检验其有效性和稳定性。(1)认证申请:与认证机构切磋商,准备材料申请认证,制定认证计划,预审核。(2)后期培训:审核员等角色的专业技能培训。(3)内部审核:审核计划,Checklist,内部审核,不符合项整改(4)管理评审:信息安全管理委员会组织ISMS整体评审,纠正预防。第五阶段:认证审核经过一定时间运行,ISMS达到一个稳定的状态,各项文档和记录已经建立完备,此时,可以提请进行认证。(1)认证准备:准备送审文件,安排部署审核事项。(2)协助认证:内部审核小组陪同协助,应对审核问题。2、保证产品质量,提...
信息安全管理体系文件编制完成以后,组织应按照文件的控制要求进行审核与批准,并发布实施,至此,信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期,在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期,组织应加强运作力度,通过实施其手册、程序和各种作业指导性文件等一系列体系文件,充分发挥体系本身的各项功能,及时发现体系策划本身存在的问题,找出问题根源,采取纠正措施,纠正各种不符合,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。 有针对性地宣贯信息安全管理体系文件体系文件的培训工作是体系运行的首要任务,培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革,是为了向国际先进的信息安全管理标准接轨,要适应这种变革和新管理体系的运行,就必须认真学习、贯彻信息安全管理体系文件。 实践是检验真理的唯一标准体系文件通过试运行必然会出现一些问题,全体员工应将实践中出现的问题和改进意见如实反馈给有关部门,以便采取纠正措施。 将体系试运行中暴露出的问题,如体系设计不周、项目不全等进行协调、改进信息安全管理体系的运行涉及组织体系范围的各个部门,在运行过程中,各项活动往往不可避免的发生偏离标准的现象,因此,组织应按照严密、协调、高效、精简、统一的原则,建立信息反馈与信息安全协调机制对异常信息反馈和处理,对出现的问题加以改进,并保证体系的持续正常运行。 加强有关体系运行信息的管理,不仅是信息安全管理体系试运行本身的需要,也是保证试运行成功的关键所有与信息安全管理体系活动有关的人员都应按体系文件要求,做好信息安全的信息收集、分析、传递、反馈、处理和归档...
1、信息安全管理体系策划和准备 策划和准备阶段主要是做好建立信息安全管理体系的各种前期工作。内容包括教育培训、拟定计划、安全管理发展情况调研,以及相关资源的配置与管理。 2、确定信息安全管理体系适用的范围 信息安全管理体系的范围就是需要重点进行管理的安全领域。组织需要根据自己的实际情况,可以在整个组织范围内、也可以在个别重要部门或领域内实施。 在本阶段的工作,应将组织划分成不同的信息安全控制领域,这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时,应重点考虑组织的 适用环境、适用人员、现有信息系统、现有信息资产及它们之间相互关系等。 3、现状调查与风险评估 依据有关信息安全技术与管理标准,对信息系统及由其生成、处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价,以及评估信息资产面临的威胁以及导致安全事件发生的可能性,并结合安全事件所涉及的信息资产价值来判断安全事件一旦发生对组织造成的影响。 4、建立信息安全管理框架 建立信息安全管理体系要规划和建立一个合理的信息安全管理框架,要从整体和全局的视角,从信息系统的所有层面进行整体安全建设,从信息系统本身出 发,根据业务性质、组织特征、信息资产状况和技术条件,建立信息资产清单,进行风险分析、需求分析和选择安全控制,准备适用性声明等步骤,从而建立安全体 系并提出安全解决方案 。 5、信息安全管理文件体系编写 建立并保持一个文件化的信息安全管理体系是ISO/IEC27001:2005标准的总体要求,编写信息安全管理体系文件是建立信息安全管理体系的 基础工作,也是一个组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可少的依据。在信息安全管理体系建立的文件中应该包含有:安全方针文 档、适用范围文档...
公司在推行ISO27001信息安全管理体系时,常常会碰到以下问题: 1、公司已经投入了资金,购买了产品,在公内部推行了防病毒软件,但是越做越没有安全感,安全问题依然存在。 2、已经制定了本部门的安全规定,但是公司内部没有方向性规定,我们在部门也不好强行推行。 3、公司的安全规定太空泛,太多,没有参考的原则,没有明确的目标,员工日常行为无法落实。 4、部分员工接触到公司的核心机密很多,但是不了解公司在这方面的具体要求,不知道该怎么做。 5、员工安全培训少,只有特点的职位有培训,员工没有普遍的信息安全意识,安全技能严重不足。 6、大部分员工没有接触过ISO27001信息安全管理体系,对信息资产不甚了解,不知道何为信息资产。 7、公司曾经要求部分信息分级,虽然分为绝密、保密、公司内部公开、公司外部公开,但标准不够统一,致使分出来的级别不统一。 8、公司纸面合同、标书、研发文档、重大项目评审资料没有正式的保密标准。 公司系统人员没有授权、审批流程 9、新员工需签订保密协议,公司有职位和角色的定义,有违反规定处理。总的来说,公司的安全制度不够完善,没有可以细化到可执行的文件,没有处理流程,只根据突发事件处理。 职务说明书没有明确岗位的安全职责,岗位的安全级别简单与行政级别挂钩,不利于员工自觉遵守。 从以上问题我们可以看出,制定出完善的安全策略是做好ISO27001信息安全管理体系的关键,而安全策略就是领导一个组织如何安全运作的管理条例,它是对企业安全目标、理念、规范和责任的高度概括。安全策略应该随着时间持续改善,并且独立于特定的技术,同时运用正式的规章制度保证既定策略的执行。所以,一个好的安全策略至少包括以下几点: 信息安全的明确定义; 安全策略明确实现的目标; 明确信息安全所包含的各个方面的一般性和特殊性责任; 详细的安全策略应包括合法性需求、安全培...
1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 3.履行信息安全管理责任 证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。 4.增强员工的意识、责任感和相关技能 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 5.保持业务持续发展和竞争优势 全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。 6.实现风险管理 有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
iso27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的iso27001信息安全管理体系框架,并在正常的业务开展过程中具体实施构架的iso27001信息安全管理体系。同时在信息安全管理体系的基础上,建立各种与信息安全管理框架相一致的相关文档、文件,并 对其进行严格的管理。对在具体实施iso28001信息安全管理体系过程中出现的各种信息安全事件和安全状况进行严格的记录,并建立严格的反馈流程和制度。(1)信息安全策略 组织应制定信息安全策略(Information Security Policy)以对组织的信息安全提供管理方向与支持。组织不仅要有一个总体的安全策略,而且,在总体策略的框架内,根据风险评估的结果,制定更加具体的 安全方针,明确规定具体的控制规则,如“清理桌面和清楚屏幕策略”、“访问控制策略”等。(2)范围 组织要根据组织的特性、地理位置、资产和技术对信息安全管理体系范围(scope)进行界定。组织信息安全管理体系范围包括以下项目:需保护的信息系统、资产、技术。实物场所(地理位置、部门)。(3)风险评估 组织需要选择一个适合其安全要求的风险评估和管理方案,然后进行合乎规范的评估,识别目前面临的风险及风险等级;风险评估的对象是组织的信息资产,评估考虑 的因素包括资产所受的威胁、薄弱点及威胁发生后对组织的影响。无论采用何种风险评估工具方法,其最终评估结果应是一致的。(4)风险管理 组织应根据信息安全策略和所要求的安全程度,识别所要管理的风险内容。控制风险包括识别所需的安全...
为什么我们要接受ISO27001认证?我们都知道,万事没有绝对,100%的安全是不现实也不可行的,对组织来说,符合ISO27001标准并且获得相应证书,其本身并不能证明组织达到了绝对的安全,没有所谓绝对的安全存在。 但无论怎么说,作为一个全球公认的最权威的信息安全管理标准,ISO27001能给组织带来的将是由里到外全面的价值提升ISO27001认证价值?针对性获益点简单说明法律法规遵守适用法律证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。 从某方面来看,ISO27001标准是对适用法律法规的补充和说明,因为ISO27001标准本身的制订,是参照了业界最通行的实践措施的,而这些实践措施,在很多国家相关的信息保护法规中都有体现(例如美国的SOX法案、HIPAA、个人隐私法、计算机安全法、GLBA、政府信息安全修正法案等);另一方面,很多国家所推行的相关的行业指导性文件及要求,很大程度上是参照ISO27001而设定的。 因此,通过ISO27001认证,可以使组织更有效地履行国家法律和行业规范的要求。 一、提高合作伙伴的信任度 外部期望提升信任度,加强信心,当合作伙伴、股东和客户看到组织为保护信息而付出的努力时,其对组织的信心肯定可以得到一定程度的加强。 二、提高竞争优势 从另一个方面来看,证书的获得,有助于确定组织在同行业内的竞争优势,提升其市场地位。事实上,现在很多国际性的投标项目已经开始要求ISO270...
一、风险评估前准备 1、行政部牵头成立风险评估小组,小组成员至少应该包含:信息安全管理体系负责部门的成员、信息安全重要责任部门的成员。 2、风险评估小组制定信息安全风险评估计划,下发各部门内审员。 3、必要时应对各部门内审员进行风险评估相关知识和表格填写的培训。 二、信息资产的识别 资产范围包括: 1)数据文档资产:客户和公司数据,各种介质的信息文件包括纸质文件。 2)软件资产:应用软件、系统软件、开发工具和适用程序。 3)硬件资产:计算机设备、通讯设备、可移动介质和其他设备。 4)服务:培训服务、租赁服务、公用设施(能源、电力)。 5)人员:人员的资格、技能和经验。 6)无形资产:组织的声誉、商标、形象。 三、识别威胁可以利用的脆弱性 这一步是评估容易被攻击者(或威胁源)攻破(或破坏)的薄弱点,包括基础设施中的弱点、控制中的弱点、员工意识上的弱点、系统中的弱点和设计上的弱点等。包括针对资产所关联的物理环境、组织、人员、管理、硬件、软件、程序、代码、通信设备等多种可能被威胁源所利用并可能导致危害的,由资产自身特性导致的弱点。系统脆弱性往往需要与对应的威胁相结合时才会对系统的安全造成危害。 一个没有对应威胁的脆弱性一般不会造成实在的风险,可以不采取相应的防护措施,但是有必要密切监视这种潜在的风险。注意,脆弱性不仅是由于最初购置或制造时的原因产生的,资产的应用方法、目的的不同、防护措施的不足都可能造成脆弱性。 四、评估威胁发生的可能性 容易度描述的是威胁利用脆弱性而可能发生的容易程度。这里所说的发生容易度与具体的信息系统没有关系。当与控制措施结合之后才形成影响的发生可能性。 五、识别与分析控目前控制手段的有效性...
本文将从方法论的视角对ISO27001审核应关注的内容进行探讨。一、ISO27001标准简介 该标准分为三个部分,分别为引言、正文和附录。 引言介绍了建立信息安全管理体系(简称ISMS)的意义和原则;描述了体系建设过程中使用的过程方法和PDCA模型}说明了ISMS与其他管理体系的兼容性。 正文的前三章介绍了标准的基本情况和涉及的术语和定义,从第四章开始,正式提出了ISMS的要求。标准也指出:“组织声称符合本标准时,对于第4章、第5章、第6章、第7章和第8章的要求不能删减。” 标准有3个附录,其中附录A是规范性附录,根据标准要求,依据附录A的控制目标和控制措施的选择和实施是标准正文的一部分。 ISO27001的审核依据主要集中在标准的第4到第8章和附录A。二、ISMS审核内容 标准的正文采用了PDCA模型,并将该模型应用于ISMS的所《认证技术》9011·05有过程中。 ISMS的提出是源于最佳实践,在附录A中给出的39个控制目标和133条控制措施,涉及信息安全的11个方面。得到了世界上绝大多数国家的认同。控制措施的选择和实施是ISMS建设很重要的一部分。标准利用PDCA模型,通过风险管理等方法将附录A中的133条控制措施串联起来,形成一个有机的整体。 在实际审核过程中,通常会采用系统的方式对组织建立的ISMS进行审查,不同的审核人员采用的审核方法都可能存在着一定差别,在这里仅介绍一下“方法论”的审核方式。三、“方法论”审核的方式 ...