一 企業(yè)為什么要做ISO27001認(rèn)證
二��、 為什么需要信息安全�?
在人類邁入信息息時(shí)代的今天,組織在分享著現(xiàn)代科技帶來(lái)便利的同時(shí)�,也面臨著信息安全的威脅。如何既能享用現(xiàn)代信息系統(tǒng)的快捷方便���,又能充分防范信息的損壞和泄露���,已成為當(dāng)前企業(yè)迫切需要解決的問(wèn)題。專家研究表明�,信息安全在于保證信息的保密性、完整性���、可用性三種屬性不被破壞��。信息安全可使信息避免一系列威脅���,保障業(yè)務(wù)的連續(xù)性,最大限度地減少業(yè)務(wù)的損失�����,獲取相關(guān)方的信任���,以最大限度地獲得投資和業(yè)務(wù)的回報(bào)�。
“七分管理����,三分技術(shù)”的信息安全原則表明,解決信息安全問(wèn)題不應(yīng)僅從技術(shù)方著手�����,同時(shí)更應(yīng)加強(qiáng)信息安全的管理工作���,通過(guò)建立正規(guī)的信息安全管理體系以達(dá)到系統(tǒng)�、全面地解決信息安全問(wèn)題。ISO/IEC 27001標(biāo)準(zhǔn)目前是國(guó)際上公認(rèn)的實(shí)現(xiàn)信息安全管理的最佳標(biāo)準(zhǔn)�����。該標(biāo)準(zhǔn)強(qiáng)調(diào)以風(fēng)險(xiǎn)管理為基礎(chǔ)的���、全面的安全管理�,目前該方法在世界范圍內(nèi)得到了廣泛的認(rèn)可�。
三、 ISO27001:2005主要內(nèi)容
ISO 27001:2005是建立信息安全管理體系(ISMS)的一套需求規(guī)范(Information Security. Security techniques. Information security management systems. Requirements)�,其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理體系的要求���,指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)�,當(dāng)然����,如果要得到最終的認(rèn)證(對(duì)依據(jù)ISO 27001:2005建立的ISMS進(jìn)行認(rèn)證),還有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程��。作為一套管理標(biāo)準(zhǔn)��,ISO 27001:2005指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO27002:2005����,其最終目的��,還在于建立適合組織需要的信息安全管理體系(ISMS)��。
下表以標(biāo)準(zhǔn)原文目錄格式�,列舉說(shuō)明了ISO 27001:2005的主要內(nèi)容�。
一級(jí)目錄 | 二級(jí)目錄 | 內(nèi)容簡(jiǎn)介 |
前言 | 發(fā)布者,目的����,內(nèi)容概要�����,其他說(shuō)明���。 |
0. 簡(jiǎn)介 | 0.1 概要 | 本標(biāo)準(zhǔn)對(duì)組織的價(jià)值所在�����。 |
0.2 過(guò)程方法 | 對(duì)過(guò)程方法進(jìn)行解釋�,引入PDCA模型���。 |
0.3 與其他管理體系的兼容 | 強(qiáng)調(diào)與ISO9001和ISO14001的一致性���。 |
1. 范圍 | 1.1 概要 | 本標(biāo)準(zhǔn)規(guī)定了ISMS建設(shè)的要求及根據(jù)需要實(shí)施安全控制的要求���。 |
1.2 應(yīng)用 | 本標(biāo)準(zhǔn)適用于所有的組織?����?刂七x擇與否應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估和適用法規(guī)需求����。 |
2. 標(biāo)準(zhǔn)引用 | 引用ISO9001、ISO17799和ISO Guide 73:2002 |
3. 術(shù)語(yǔ)和定義 | 資產(chǎn)�,CIA,信息安全���,信息安全事件���,ISMS,風(fēng)險(xiǎn)評(píng)估與管理���,SOA等�����。 |
4. 信息安全管理體系 | 4.1 一般要求 | 在組織全面的業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)環(huán)境中���,應(yīng)該開(kāi)發(fā)�、實(shí)施��、維護(hù)并持續(xù)改進(jìn)一個(gè)文檔化的ISMS����。 |
4.2 建立并管理ISMS | 4.2.1 建立ISMS(Plan) ? 定義ISMS的范圍 ? 定義ISMS方針 ? 定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑 ? 識(shí)別風(fēng)險(xiǎn) ? 評(píng)估風(fēng)險(xiǎn) ? 識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施 ? 選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制 ? 準(zhǔn)備適用性聲明(SoA) ? 取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn),并授權(quán)實(shí)施和操作ISMS 4.2.2 實(shí)施和操作ISMS(Do) ? 制定風(fēng)險(xiǎn)處理計(jì)劃 ? 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 ? 實(shí)施所選的控制措施以滿足控制目標(biāo) |
? 管理操作 ? 管理資源(參見(jiàn)5.2) ? 實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制 4.2.3 監(jiān)視和復(fù)查ISMS(Check) ? 執(zhí)行監(jiān)視程序和控制 ? 對(duì)ISMS的效力進(jìn)行定期復(fù)審 ? 復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平 ? 按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS審計(jì) ? 定期對(duì)ISMS進(jìn)行管理復(fù)審 ? 記錄活動(dòng)和事件可能對(duì)ISMS的效力或執(zhí)行力度造成影響 4.2.4 維護(hù)并改進(jìn)ISMS(Act) ? 對(duì)ISMS實(shí)施可識(shí)別的改進(jìn) ? 采取恰當(dāng)?shù)募m正和預(yù)防措施 ? 與所有利益伙伴溝通 ? 確保改進(jìn)成果滿足其預(yù)期目標(biāo) |
4.3 文件要求 | 4.3.1 概要-說(shuō)明ISMS應(yīng)該包含的文件����。 4.3.2 對(duì)文件的控制- ISMS所要求的文件應(yīng)該妥善保護(hù)和控制��。 |
4.3.3 對(duì)記錄的控制-應(yīng)該建立并維護(hù)記錄���。 |
5. 管理層責(zé)任 | 5.1 管理層責(zé)任 | 說(shuō)明管理層在ISMS建設(shè)過(guò)程中應(yīng)該承擔(dān)的責(zé)任���。 |
5.2 對(duì)資源的管理 | 5.2.1 資源提供-組織應(yīng)該確定并提供ISMS相關(guān)所有活動(dòng)必要的資源 5.2.2 培訓(xùn)、意識(shí)和能力-通過(guò)培訓(xùn)����,組織應(yīng)該確保所有在ISMS中承擔(dān)責(zé)任的人能夠勝任其職 |
6. ISMS內(nèi)部審計(jì) | 組織應(yīng)該通過(guò)定期的內(nèi)部審計(jì)來(lái)確定ISMS的控制目標(biāo)���、控制、過(guò)程和程序滿足相關(guān)要求。 |
7. ISMS管理評(píng)審 | 7.1 概要 | 管理層應(yīng)該對(duì)組織的ISMS定期進(jìn)行評(píng)審�����,確保其持續(xù)適宜����、充分和有效���。 |
7.2 評(píng)審輸入 | 評(píng)審時(shí)需要的輸入資料���,包括內(nèi)審結(jié)果。 |
7.3 評(píng)審輸出 | 評(píng)審成果�,應(yīng)該包含任何決策及相關(guān)行動(dòng)。 |
8. ISMS改進(jìn) | 8.1 持續(xù)改進(jìn) | 組織應(yīng)該借助信息安全策略����、安全目標(biāo)、審計(jì)結(jié)果、受監(jiān)視的事件分析�、糾正性和預(yù)防性措施、管理復(fù)審來(lái)持續(xù)改進(jìn)ISMS的效力��。 |
8.2 糾正措施 | 組織應(yīng)該采取措施����,消除并實(shí)施和操作ISMS相關(guān)的不一致因素,避免其再次出現(xiàn)���。 |
8.3 預(yù)防措施 | 為了防止將來(lái)出現(xiàn)不一致�,應(yīng)該確定防護(hù)措施���。所采取的預(yù)防措施應(yīng)與潛在問(wèn)題的影響相適宜����。 |
附錄A 控制目標(biāo)和控制 | A.5 安全策略 A.6 組織信息安全 A.7 資產(chǎn)管理 A.8 人力資源管理 A.9 物理和環(huán)境安全 | 以列表(表A.1)方式展示:A.5到A.15所列的控制目標(biāo)和控制���,是直接從ISO/IEC 17799:2005正文5到15那里引用過(guò)來(lái)的。此處列舉的控制目標(biāo)和控制��,應(yīng)該被4.2.1規(guī)定的ISMS過(guò)程所選擇����。 |
A.10 通信和操作管理 A.11 訪問(wèn)控制 A.12 信息系統(tǒng)獲取��、開(kāi)發(fā)和維護(hù) A.13 信息安全事件管理 A.14 業(yè)務(wù)連續(xù)性管理
延伸閱讀
?
|
