ISO27001信息安全管理体系认证
随着信息技术的高速发展,各类组织对IT 系统的依赖也日益加重,信息技术几乎渗透到了世界各地和社会生活的方方面面。因此,对信息加以保护,防范信息的损坏和泄露,已成为当前组织迫切需要解决的问题。
为此,ISO27001认证应运而生,它就是信息安全管理体系认证,能有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保存核心数据。
ISO 27001信息安全管理体系是目前国际通用的信息安全整体解决方案。作为国际上具有代表性的信息安全管理体系标准,被全球广泛接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。
该标准以组织风险评估为基石,运用PDCA过程方法和SOA中的信息安全控制措施来帮助组织解决信息安全问题,实现信息安全目标,是组织达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全管理方式。
Part.01
什么是ISO27001
ISO27001是信息安全管理体系认证,是由国际标准化组织(ISO)采纳英国标准协会BS7799-2标准后实施的管理体系,它涵盖了信息安全管理的各个方面,包括政策制定、组织结构、风险管理、培训与沟通等。
ISO27001是有关信息安全管理的国际标准。最初源于英国标准 BS7799.经过十年的不断改版,终于在 2005 年被国际标准化组织(ISO)转化为正式的国际标准,于 2005 年10月15 日发布为 ISO/IEC 27001:2005.
ISO/IEC 27001标准涉及了最广泛意义上的信息安全,为组织实施、维护和管理信息安全提供了最好的商业操作指南和原则,并可以用作第三方认证的依据。
2013年10月19日ISO/IEC 27001:2013版标准颁布实施。
2016年8月29日,国标版GB/T22080-2016/ISO/IEC27001:2013颁布实施。
2022年10月25日,信息安全管理体系认证标准ISO/IEC 27001由ISO/IEC 27001:2013正式升级换版为ISO/IEC 27001:2022.
Part.02
ISO27001的起源和发展
✦
前世今生,发展历程(30年):
1993年
BS7799由英国贸易工业部立项;
1995年
英国首次出版BS7799-1:1995《信息安全管理实施细则》;
2000年12月
BS7799-1:1999《信息安全管理实施细则》通过ISO认可,成为第一个国际标准,即ISO/IEC17799:2000《信息技术-信息安全管理实施细则》;
2005年10月
ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》,被划到了TC27委员会,从此有了自己的组织和命名规范,成为了标准族的象征,这个时候被大家所共同认知!
2013年9月
ISO/IEC27001:2013《信息技术-安全技术-信息安全管理体系-要求》,此标准的结构已是ISO 高阶结构,这使其与ISO9001和ISO14001等其它管理体系的要求更加契合;
2022年10月
ISO/IEC27001:2022 《信息安全 网络安全 隐私保护信息安全管理体系要求》,增加了网络安全和隐私保护方面的要求。
目前最新版为ISO27001:2022.其管理过程如下:
Part.03
ISO27001认证申请条件
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》等符合要求的相关文件;外国企业持有关机构的登记注册证明。
2、申请方的信息安全管理体系已按ISO/IEC 27001:2022标准的要求建立,并实施运行至少3个月以上。
3、至少完成一次内部审核,并进行了管理评审。
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是:
1、以信息为主生命线的行业
金融行业:银行、保险、证券、基金、期货等
通信行业:电信、网通、移动、联通等
服务公司:外贸、进出口、HR、猎头、会计事务所等
2、对信息技术依赖度较高的行业
钢铁、半导体、物流、电力、能源
外包(ITO或BPO):IT、软件、电信IDC、呼叫中心、数据录入、数据处理加工等
3、工艺技术要求高的行业
医药、精细化工
研究机构
Part.04
ISO 27001申请所需资料
在进行信息安全管理体系审核之前,需要准备和提交完备的体系材料如下:
1、组织法律证明文件,如营业执照及年检证明复印件
2、申请认证体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等)
3、企业简介、主要业务流程;组织机构图和部门职责
4、申请组织的体系文件
5、申请组织体系文件与标准要求的文件对照说明
6、申请组织内部审核和管理评审的证明资料
7、申请组织记录保密性或敏感性声明
8、标准要求的其他文件管理体系文件通常分为管理手册、程序文件、作业文件、运行记录四级文件
各级文件对应的材料包括但不限于如下材料:
Part.05
ISO27001
体系建设文档编制说明
从ISO27001信息安全管理体系的整体控制域而言,信息安全管理主要分为三部分:第一部分为安全管理基础架构的搭建,包括安全规则(框架)、组织(管理者)、资产(保护对象)等,分别对应的是控制域A5安全方针、A6信息安全组织以及A8资产管理;第二部分为事前管理,主要涵盖了预防性的管理措施与要求,包括了A9~A15以及A7人力资源安全几大控制域;最后一部分为事后管理,主要是在安全事件发生后的处理措施与计划,以及法律法规符合性层面的要求,对应的控制域为A16信息安全事件管理、A17信息安全业务连续性管理以及A18符合性。
体系建设阶段的文档编制始终是围绕着ISO27001的指导思想来编纂的,并将各个控制域的要求与核心内容融入到组织既有的流程当中,形成完整的信息安全管理体系文件。这里需要注意的是,安全管理要求是不能够脱离组织业务流程而单独存在的,这也是组织信息安全管理体系落地的一大关键。
严格意义上来说,体系文件通常可分为四级文件:
一级文件涵盖组织ISMS总体方针、目标、组织结构以及政策适用声明等内容,是指导性文件;
二级文件体现的是ISO27001标准各控制域的管理策略,是从要求层面考虑的;
三级文件是安全控制措施与组织业务流程相结合的管理程序,一定程度上可以看作是执行层面上的业务流程安全控制措施指导书或业务安全操作流程手册;
四级文件是一些管理程序对应存在的工具模板、记录、表单等。当然,组织的ISMS文件形式上并非一定要拘泥于上述划分,但应确保满足标准的各项要求。
体系文件建设的难点在于安全控制项(要求)与组织既有业务流程的契合度是否足够高,许多组织存在将标准中控制要求“填鸭式”地“组装”到现有流程当中而不考虑业务的兼容性,这样的制度文档通常看似“漂亮”,但事实上在业务执行过程当中会产生诸多不合理的要求与步骤,几乎不具有实践意义。
程序文件编纂过程中的一个关键点在于梳理角色职责的映射关系(RACI)。在ISMS的建设过程中,由于在不同业务环节中增加了部分安全控制措施,或多或少地会延长相关业务流程,而若这些新增的安全控制措施责任人(包括实施者)不明确,则势必会造成业务混乱、角色/部门间的矛盾甚至是安全控制措施的真空。所以在每份程序文件中,角色与职责的对应矩阵都应被清晰的展示,这也是程序文件具有可操作性的必要前提。
再者,程序文件中业务流程安全控制的可检查性同样是信息安全管理体系落地的关键。不同安全控制措施的有效性需要通过对应的检查流程进行验证,必要时可附加四级文件描述相关的检查标准(定期、定量、定点等)。由于检查工作也是需要对应到相关责任人(包括实施者),可操作性同样必不可少(RACI中体现)。
Part.06
ISO27001
新版标准主要变化
最新版标准ISO/IEC 27001:2022 标准的行文结构依然按照高阶结构(HLS)展开,整体结构(一级目录)没有变化,从而体系方法保持不变,附录A跟随ISO/IEC 27002:2022版的内容进行了同步更新。
标准正文结构进行了小调整(二、三级目录),有增加、拓展和顺序调整,以同步近年来HLS的变化,对条款文字描述进行部分改动,但它们只是澄清和适当的展开,并没有增加或减少要求。
ISO/IEC 27002:2022的变化中,控制的改变最为彻底,不但控制数量和内容发生了巨大变更,原有的14个控制域和35个控制目标也随之消失,取而代之的是四大控制类别。并且标题改为 “信息安全控制措施参考”,进一步明确了附录A的定位是一个“可供参考的”信息安全控制集合。
信息安全控制
在《ISO/IEC 27002:2022 信息安全控制》中,控制被定义为改变或保持风险的措施。ISO/IEC 27002标准文件中的一些控制措施是改变风险的控制措施,而其他控制措施则保持风险。例如,信息安全策略只能保持风险,而遵守信息安全策略可以改变风险。此外,一些控制表现为在不同的风险语境下相同的通用措施。
ISO/IEC 27002标准文件提供了从国际公认的最佳实践中总结出来的组织、人员、物理和技术信息安全控制的通用组合。
在ISO/IEC 27002:2022中控制措施新增控制属性每个控制措施都与5个属性相关联。
根据不同属性,可以更加方便的搭建和使用不同安全框架,如网络安全概念框架(IPDRR)或安全运营能力框架。
1、标题由《信息技术-安全技术-信息安全管理体系-要求》变为《信息安全-网络安全和隐私保护-信息安全管理体系-要求》;
2、新增运营能力域和控制主题
ISO/IEC 27002:2022标准中,列出了93个控制项,这些控制项涵盖了4个主题和15个安全运营能力域。这些改动使得新版标准更具有针对性和实用性,更能满足现代信息安全管理的需求。
(1)15个安全运营能力域
运营能力是从组织的信息安全能力角度来看待控制的一个属性。包括治理、资产管理、信息保护、人力资源安全、物理安全、系统和网络安全、应用安全、安全配置、身份和访问管理、威胁和漏洞管理、连续性、供应商关系安全、法律和合规性、信息安全事件管理和信息安全保障。
与旧版本的14个控制域相比,新标准的15个运营能力域有几个明显的变化,如新增了“信息保护”“安全配置”“威胁和漏洞管理”领域;部分领域的名称也有了变化,如“信息系统获取、开发和维护”改为“应用安全”、“通信安全”改为“系统和网络安全”等。
新标准的15个运营能力域与旧标准的14个控制域之间的对应关系如下表:
(2)4个控制主题和93个控制项
附录A引用了ISO/IEC 27002:2022中描述的信息安全控制,新增11项,更新58项,合并24项,主要涉及组织、人员、物理和技术四个方面。
修订后的2022版将93项控制措施分配到组织、人员、物理、技术四大主题,这样方便了组织对安全控制点进行选择归类,通过归类的特定主题策略支持信息安全策略,以加强信息安全控制的实施。
2022版本相对于2013增加了11个安全控制项,包括:威胁情报、使用云服务的信息安全、业务连续性的ICT准备、物理安全监控、配置管理、信息删除、数据屏蔽、数据防泄露、监控活动、网站过滤和安全编码。
增加的控制项主要集中在组织和技术这两大主题,组织控制主题中增加了云、威胁情报,以及业务连续性的控制点,而技术控制主题主要是增加了关于配置管理、数据安全等控制点。新版中增加的11个控制项说明如下表:
1、修改了条款中的措辞,以消除存在的潜在歧义,例如使用“外部提供的过程、产品和服务”以取代原标准第8.1条款中的“外包过程”;
2、新增子条款(ISO/IEC 27001:2022)
3、对第10条款-改进的两个子条款交换顺序;
4、参考书目中列出的相关文件进行版本更新,例如ISO/IEC 27002:2022和ISO 31000:2018均引用了最新版;
5、对原标准ISO/IEC 27001:2013中的高层结构、核心文本、通用术语和核心定义进行了更精准的描述。
Part.07
ISO 27001标准体系
落地的难点及解决方式
ISO27001标准体系落地的难点在哪里?根本上讲,需要找到业务与安全的平衡点,任何安全控制措施的实施都会给降低业务运行效率,不论是增加安全设备,还是流程。安全的目标是为了保障业务的正常稳定运行,而不是阻碍业务的发展,因此,解决好业务和安全的平衡是ISO 27001标准体系落地的根本难点。
ISO 27001标准体系
落地的难点有哪些?
资产不清晰
资产是ISMS保护的对象,资产的不清晰将导致安全策略的无效、冗余、甚至缺失。在小型组织中,资产数量和类型往往较少,但是在大型组织中,资产数量和类型纷繁复杂,如何将资产梳理清楚已经成为普遍认识的难题,资产梳理的结果往往仅停留在一张表,无法为ISMS的建设提供实质性的基础支撑。
资产权属不清晰,资产的所有者、管理者、使用者模糊不清,导致资产有人用,无人管;
资产价值不清晰,资产价值被过高或过低的评价,造成保护过当或不足;
资产位置不清晰,资产可能在多个地点存在副本,如数据的流动往往会造成其在多处存在副本,资产位置不清晰,将导致部分资产处于0防护状态;
资产访问需求不清晰,谁需要使用,怎么使用,始终处于动态变化过程中。
资产是动态的,资产的权属、价值、位置、访问需求等均处在动态变化的过程中,若做不到资产的持续动态监控,那么安全管理策略在制定出来的那一刻,就已经部分失效了。大型组织要注重采用有效技术手段提高资产持续动态监控的能力,做到资产的时时清晰。
风险不清晰
风险是ISMS建设的主线,目标是保证保护对象面临的风险始终在组织的可接受范围内,风险的不清晰将导致风险应对措施失效,既造成了资源的浪费,又无法降低真正的风险。
在现阶段,如何做到风险的持续有效监控,是组织面临的一大挑战,主要原因包括:
风险评估人才门槛高
过度依赖技术手段
需要对组织面临的风险情况进行监控,不断调整更新ISMS,以适应风险环境的变化。
ISO 27001标准体系
落地难点的解决方式
了解企业内部对信息安全的各项要求及当前存在的问题。根据诊断数据进行风险分析和评估,根据风险水平制定风险应对方式。
方式一:资产识别
组织信息资产识别与收集的工作是在信息安全体系建设初期阶段进行的,对于后续风险评估与体系文件设计编纂具有很好的参考价值,有效的资产识别对于组织资产安全乃至于整体的信息安全来说都是不可或缺的,但这往往也是组织最容易轻视甚至忽视的要点。
许多人会不假思索的认为资产识别就是把现有的六大类信息资产做个汇总形成清单,然后给出各资产的C(保密性)、I(完整性)、A(可用性)评分,符合ISO27001的A8资产管理控制域(以及A15供应商关系控制域的部分内容)的各项控制点即可,但这不过是纸上谈兵,想要做到全面、准确且有效的信息资产识别这并非易事。
即便是对于专门配备有资产管理部门的组织来说,也往往因为无法兼顾安全属性而导致识别过程中出现漏洞与缺陷,无法做到尽善尽美。即便是由安全部门进行信息资产识别的工作,也会因为各部门间的配合、对资产安全的理解与认识、时间等因素导致无法顺利开展。(上图为非人员,下图为人员)
信息资产与其他物理形式的财务资产不同点在于:信息资产不是一成不变的,它是一种携带动态属性的资产,存在于所承载的信息全生命周期当中的一个阶段或多个阶段,不同的信息资产具有其独特资产价值,而通常来说,同一种信息资产在信息生命周期中的不同阶段会产生不同的资产价值,正是这种动态属性赋予了资产识别更深刻的意义。
信息资产的分类方式通常是根据组织的业务类型特点所决定的,但总体上不会有太大的偏差。根据ISO27005:2008中资产识别章节的描述,分为基本资产和所有类型的支持性资产(资本资产所依赖的范围)。
基本资产又分为业务过程或活动以及信息两大类,而支持性资产包括了如硬件、软件、网络、人员、场所、组织架构等。在这样的资产框架下,不同组织按照各自的业务重点进行有针对性的分类。如下图是一种常见分类方式(其中数据资产较为特殊,放到本章节最后谈):
资产大类确定后,可以对每类资产进行
二级分类、三级分类等拆分细化。
而对于相同类别、相同位置、相同所有者和管理者、脆弱性和面对威胁类似的信息资产,在识别过程中可归纳为一个资产,同样的若是从信息系统为出发点进行资产识别时,某个信息系统所属的应用程序、服务器操作系统、数据库、中间件等,也可以再次归纳识别为一个“资产组”。
因为像这样对有逻辑关联性的资产进行合并归纳,大大减少了工作量的同时,还能更清晰的理解组织资产间的关系纽带,可以为后续风险评估工作中的落地提供更有价值的参考。
划入后续风险评估范围和边界的每项资产都应该被识别和评价,资产识别的不准确,可能会造成后续风险评估的对象模糊、体系文件范围不清晰、甚至是各角色岗位的管理(针对资产)出现真空等一系列问题,影响的是整个信息安全体系建设的过程。
当然,也不要因此产生排斥、恐惧,信息资产识别的对象并不是组织所有的资产,识别的是与信息和信息处理设施有关的资产,这与资产盘点还是有本质区别的,所以只要有计划、有条理、有层次、模块化的将信息资产识别的工作推进下去,并做好知识传递与宣导,才能打好ISO27001标准贯彻的地基。
需要明确理解的一点是,资产识别的工作不是组织的信息安全部或资产管理部等某一个部门的责任,而是需要全公司所有部门的共同配合与参与。事实上ISO27001标准体系就是面向全公司层级的全方位安全建设。
所以作为体系建设的牵头者(通常为组织的信息安全部),第一要务应该是
通过培训宣贯等方式,向各部门传达体系建设的重要性。
除此之外,信息资产识别作为体系建设的基础,
让各部门清晰地了解到信息资产的属性、分类及相关定义,清楚识别每项资产的所有者(owner)、管理者和使用者。
以免为后续的风险处置阶段造成不必要的争端与麻烦,阻碍体系落地的进程。
其次,统一资产清单模板、委任各部门资产识别负责人的工作同样必不可少。
资产清单模板的统一是为了便于后续所有部门资产信息回收后的汇总。鉴于个别部门业务与资产的特殊性,模板的设计就需要考虑更周全,如资产的分类是否涵盖全面、各类资产的属性描述是否准确等。而筛选出各部门最适合资产识别的负责人,则可以大大提高资产识别的效率及准确性。
通常部门会有专门负责内部资产管理的人员,而熟悉部门内部业务的员工也是合适的人选。当然需要指出的是,真正确定具体资产的人并不一定是该负责人,更多的是承担着协调者的角色,找到各类资产对应的所有者或管理者并下发给他们识别才是负责人的主要工作。
方式二:差距分析
根据木桶原理,一只木桶能装多少水取决于它最短的那块木板,同样组织的安全性达到什么样的高度取决于安全性最弱的一环,也是黑客或恶意攻击者的关注点,一旦被攻破,可能会导致整个组织安全的崩坏。差距分析与风险评估的目的就是寻找组织这一块或多块“短板”,或是即将成为“短板”的地方。
差距分析的核心是严格将ISO27001:2013
的14个控制域、35个控制目标、114个控制点
与组织的实际运行现状进行差异比对,宏观的
了解组织当前安全状态
是组织与标准差异的直观体现,同时也对后续风险评估的完整性提供很好的参考。
PDCA模型可应用于整个ISMS体系
建立的全过程
风险评估阶段同样是如此,从风险评估方法论的建立、风险评估计划的制定、风险评估的执行、风险点确认到风险分析与处置,最后达成风险评估工作常态化持续运行的目的——识别ISMS范围内的信息资产丧失保密性、完整性和可用性的相关风险。
其中包括了威胁识别、现有控制识别、脆弱性识别以及影响识别,而信息安全风险的定义是“人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响”,风险识别的目的终归是为了保护组织信息资产。
方式三:风险评估
风险评估前期以ISO 27005以及行业最佳实践为参考基础建立通用威胁库时,收集所有作用于信息资产的包括信息系统、人员活动、物理环境以及自然灾难等威胁来源。
寻找信息系统、系统安全程序、内部控制或实施中可能被威胁利用的弱点,脆弱点是资产、载体或内部业务流程自身所携带的负面基因,从横向的种类来看通常分为技术类脆弱性和管理类脆弱性,从纵向的ISO27001安全域层级来看通常分为应用层脆弱性、操作系统层脆弱性、终端硬件脆弱性、通信和组网级脆弱性、安全机制脆弱性以及开发生命周期与运维管理脆弱性等。
以上述的威胁库与脆弱性列举为输入,结合组织本身所在行业的特殊性以及现有的包括威胁性、预防性、检测性与纠正性控制的识别,建立有针对性的威胁与脆弱性矩阵列表,执行风险评估工作。需要注意的是,
风险评估落地的一个关键操作在于对已采取的安全措施的有效性进行确认
即现有控制是否真正地降低了资产的脆弱性,抵御了威胁,现有控制是否准确识别。
建立有针对性的威胁与脆弱性矩阵列表,目的是为了识别出相应的威胁源、威胁事件与相关脆弱性的关联关系,评估如果该脆弱性被该威胁源利用,会对所评估对象的机密性,完整性和可用性产生多大的风险
而该风险的大小判断可通过设计相关计算公式得出,量化评估关系如下:
资产价值可通过资产识别阶段的对信息资产的打分获取,严重程度、发生频率以及成熟度的评分可参考如下判断依据:(此处需要注意的是成熟度一项,成熟度越高,对应的成熟度风险值越小,成反比)
风险识别与评估中应首先明确风险偏好,
风险偏好是组织对风险的可接受程度,
可能来源于多个客观事实与主观思维
如组织所在行业的独特性、政策、甚至是管理层的个人偏好(如历史经验、激进或保守思维等),在某些特定的情况下,合适且具有前瞻性的风险偏好会大大提高风险处置的效率与准确性,一定程度上能够优化处置优先级的顺序,甚至可以获得超出预期的安全收益。
而风险可接受水平更像是一块“平衡板”。理论上来说,风险当然是越小越好,但现实中降低风险(包括降低风险发生的可能性与采取措施减少风险损失)意味着资金、人力资源、技术资源的投入。而风险可接受水平的确定可以很好的平衡风险与利益,根据风险的影响要素、强度、范围等,计算出风险可接受的损失空间,为风险处置提供最佳的参考建议。
最后,根据风险评价的结果制定所有风险的
处置策略。
处置策略通常分为接受风险、消减风险、转移风险与规避风险四大类。
Part.08
ISO27001信息安全管理体系
标准解读
国际标准化组织(ISO/IEC)颁布了多个管理体系标准,这些体系包括信息安全、环境、质量、职业健康安全等多个领域。为了解决这些管理体系的成文结构混乱不一的情况,ISO/IEC就提出和规定了相通的核心正文,核心定义的通用术语和相同的章节顺序,即“高阶结构”(HLS)。
高阶结构是指十个章节:(1)范围;(2)规范性引用文件;(3)术语和定义;(4)组织环境;(5)领导;(6)规划;(7)支持;(8)运行;(9)绩效评价;(10)改进。 可以理解为以PDCA为框架的过程方法结构。
有个比较大的变化就是使用导则83编写,规范了今后ISO管理体系认证标准的基础框架。
导则 83 是对编写国际标准的要求,基于 P(plan 策划 - 确定范围 & 风险评估)D(实施 - 设计 & 实施)C(检查 - 监控 & 评审)A(改进 - 改进ISMS) 框架的目录章节,所以基于导则83编写的标准目录和章节都是一样的,方便整合。
ISO/IEC27001:2022标准同样采用该高阶结构。标准主要框架如下:
标准定位:
ISO/IEC 27001标准提供建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。
信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并为相关方树立风险得到充分管理的信心。
重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分分并集成在其中,并且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是,信息安全管理体系的实现程度要与组织的需要相符合。
ISO/IEC 27001标准可被内部和外部各方用于评估组织的能力是否满足自身的信息息安全要求。
ISO/IEC 27001本标准中所表述要求的顺序不反映各要求的重要性或者这些要求要予实现的顺序。条款编号仅为方便引用ISO/IEC/IEC 27000描述了信息安全管理体系的概要和词汇,引用了信息安全管理体系的标准族(包括ISO/IEC27003、ISO/IEC 27004、ISO/IEC 27005),以及相关术语和定义。
各章节主要内容如下:
范围(Scope):这一章节描述了标准的应用范围,即建立、实施、维护和持续改进信息安全管理体系(ISMS)。重点是确保标准适用于所有类型和规模的组织。
规范引用(Normative References):提供了实施ISO/IEC 27001所需的参考文档。重点是确保组织有正确的参考资料来实施和维护ISMS,包括其他相关的ISO标准和指南。
术语和定义(Terms and Definitions):定义ISO/IEC 27001中使用的特定术语。重点是确保所有使用者对标准中的术语有统一的理解。
组织环境(Context of the Organization):要求组织确定外部和内部问题,理解利益相关者的需求和期望,以及定义ISMS的范围。重点是确保ISMS与组织的业务目标和环境相适应,包括法律、技术和市场环境。
领导(Leadership):强调了管理层对于建立、实施和维护ISMS的责任。重点是确保管理层的承诺和领导,以支持ISMS的成功实施。这包括建立信息安全政策,确保资源的分配,以及建立角色和责任。
规划(Planning):要求组织进行风险评估和风险处理,以及建立信息安全目标。重点是确保组织有明确的计划来管理信息安全风险,包括识别资产、威胁和漏洞,评估风险的可能性和影响,以及选择适当的控制。
支持(Support):涉及到实施ISMS所需的资源、能力和意识,以及文档化信息。重点是确保组织有足够的资源和能力来实施和维护ISMS,包括人员、技术和财务资源,以及员工的培训和意识提高。
运行(Operation):要求组织执行风险评估和风险处理计划,以及管理变更。重点是确保ISMS的日常运行符合计划,包括实施选定的控制,管理ISMS的变更,以及应对信息安全事件。
绩效评价(Performance evaluation):涉及到监控、测量、分析和评估ISMS的效果,以及内部审计和管理评审。重点是确保ISMS的效果和有效性得到定期评估和审查,以检查其是否符合组织的信息安全政策和目标,以及法律和合同要求。
改进(Improvement):要求组织根据ISMS的绩效评估结果进行持续改进。重点是确保组织有机制来识别和实施ISMS的改进,包括修正不符合项,以及改进ISMS的绩效和效果。
附录A(Annex A):这一部分提供了一系列建议的控制,组织可以根据自己的风险评估结果选择适当的控制。重点是提供一个全面的控制列表,以帮助组织管理信息安全风险。
正文解析
ISO/IEC27001的正文分为8章,分别为:
①范围;
②规范性引用文件;
③术语和定义;
④信息安全管理体系;
⑤管理职责;
⑥内部信息安全管理体系审核;
⑦信息安全管理体系的管理评审;
⑧信息安全管理体系的改进:
标准的开始就说明了下面的原则:
本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。
对管理流程的认证和对产品的认证是两种不同的概念,后者注重结果,前者注重过程。理论上讲,按照本标准的要求部署信息安全管理体系后,会防止信息安全事件的发生,但是不能百分之百的保证,更不能理解为符合标准就获得法律义务的豁兔。管理流程是诸多经验的总结,而且在实践中证明也是有效的。
对于结果的证明是很难实现的,但是对于规范的流程是可以向客户证明的。
信息安全管理体系正是提供了这样一个完整的管理流程, 我们无法保证这种方法是正确的或者是唯-的,但是至少在实践中试行之有效的。
范围解析
ISO/IEC27001不专门针对某个行业,而是适用所有类型组织,对于具体行业中的应用,在ISO/IEC27000族标准中的其他标准中讨论。标准的主要内容有两个部分:
(1)从组织的整体业务风险的角度,为建立、实施、监视、评审、保持和改进文件化的信息安全管理体系规定了详细的要求。
(2)为适应不同组织或其部门的需要而制定的安全控制措施的实施要求。
规范性引用文件解析
ISO/IEC27001明确了ISO/IEC27002为其应用标准。
ISO/IEC27002: 2005 《信息安全管理实用规则》作为-一个通用的信息安全控制措施集,是目前发布的两个信息安全管理体系标准之- -,这些控制措施涵盖了信息安全的各个方面,为信息安全管理体系的建设提供了控制措施的选择依据。
该标准把控制措施分为11个安全领域,分别是:
(1)安全方针
(2)信息安全组织
(3)资产管理
(4)人力资源安全
(5)物理和环境安全
(6)通信和操作管理
(7)访问控制
(8)信息系统获取开发和维护
(9)信息安全事故管理
(10)业务连续性管理
(11)符合性这11个方面进一步分为39个安全类型和133条控制措施, 条控制措施的描述则包括了较为详细的实施方法,因此该标准可以作为信息安全管理体系的实施指南。
安全方针解析
安全方针,是组织总体方针文件的一部分,其作用是业务要求和相关法律法规提供管理指导并支持信息全。
信息安全方针是通过文件的方式进行体现。信息安全方针文件组织信息管理者确定的信息安全方针文件化,应该包括下面内容:
①信息安全的定义以及信息安全在信息共享机制下安全的重要性。
②信息安全的整体目标以及管理者的意图。
③信息安全的范围。
④信息安全目标和原则。
⑤控制目标和控制的框架,包括风险评估和风险管理的结构。
⑥对于组织特别重要的安全方针策略、原则、标准和符合性要求的简要说明。
⑦信息安全管理的一般和特定职责的定义。
⑧对于支持方针的文件的引用。
信息安全方针文件应该由管理者批准、发布并传达给所有员工和外部相关方。在编写信息安全方针文件时,必须注意到其预期读者比较广泛,因此必须以适合的、可访问的和可理解的形式进行表达。
信息安全组织解析
组织分为内部组织和外部组织两个大部分。在组织内部应该通过组织结构和组织活动来支持信息安全,首先应建立管理框架,启动和控制组织范围内的信息安全的实施,管理者应批准信息安全方针、指派安全角色以及协调和评审整个组织安全的实施。
若需要在组织内建立专家信息安全建议库,并发展与外部安全专家或者组织的联系,以便跟上行业的趋势、跟踪标准和评估方法,并且处理信息安全事件时,提供合适的联络点。
组织的外部的安全问题也必须加以考虑,组织的信息处理设施和信息资产的安全不应该由于外部的产品或者服务而降低,任何外部对这种信息处理设施的访问,对信息资7的处理和通信都应该给以控制。对于外部各方的信息安全控制,以防止外部方队组织信息处理设施进行访问,对信息资产进行处理以及通信过程中的安全事件的发生。
资产管理解析
资产是组织内部所有有用的东西,因此,资产的概念是宽泛的。对于大部分组织来说,传统资产的管理是完善的,但是对于信息本身来说却没有很好的管理。本标准在引言中就已经指出:信息是一种资产,像其他业务资产一样,对组织具有价值。
要想把资产管理好,首先要识别所有的资产并形成完善的清单,而且要把资产重要性形成文件,这样在实际的管理中就做到了心中有数。资产清单可以帮助组织从灾难中恢复所需要的信息,包含的项目有资产的类型、格式、位置、备份信息许可证信息业务价值等。这些项目不-定要在 一个相同的清单中,它们可以分散到很多清单中去,但是必须保证这些清单是相关联的。
资产清单中包括了另一个重要的栏目、即资产的负责人。与信息处理设施有关的所有信息和资产应该由指定的部门或者人员承担责任。
资产负债人应负责:
a)确保与信息处理设施相关的信息和资产进行了适当的分类;
b)确定并周期性评审访问限制和分类, 要考虑到可应用的访问控制策略。
对于普通的用户而言,关心的是资产能提供合格的服务。那么,任何引导他们正确地使用资产,所有雇员承包方人员和第三方人员应该遵循信息处理设施相关信息与资产的可接受的使用规则。这其中包括很多方面,对所有的资产都应该有具体的使用规则和指南。在很多情况下,这些规则或指南,可能不是独立的, 可能被划归到对信息系统的合格使用问题上。
人力资源安全解析
所有的管理活动都不能离开“人” 这个主体的参与,实上,一个组织重要的、有价值的信息相当-部分存在员工的大脑中,许多信息安全事件是由人而起的。"人” 在信息安全活动中是最复杂、最难控制的保护对象。
信息安全意识的好坏直接影响信息安全管理体系效果。组织的所有雇员,适当时,包括承包方和第三方人员,应该受到与其工作职能相关的适当的意识培训和组织方针策略程序的定期更新培训。在所有的雇员、各方人员和第三方人员在终止任用、合同或者协议时,应归还他们使用的所有组织资产。这些资产“主要包括:
a)软件.公司文件和设备;
b)其他组织资产,例如移动计算设备、信用卡、访问卡、软件、手册;
c)存储于电子介质中的信息。
归还资产和撤销访问权应是在终止或变化时必须执行的步骤。很多信息安全事故都是由于人员任用终止,而服务权没有相应终止,由心怀怨恨的雇员引起的。
物理和环境安全解析
物理和环境的安全控制不仅是信息安全的需要,也是传统安全的要求。-个组织无论是否考虑信息安全问面,都有物理和环境安全做好。
设备的环境安全部分涉及:安全边界的定义,入口的控制,办公室、房间和设施一 直到外部环境威胁的安全保护,还包括工作的安全区域和公共访问和交接区。
设备安全部分从设备购置后的安置和保护,到支持性设施的保护,再到电缆投入运行,一直到最后的处置和再利用。之间包括了设备的正确维护、移动,以及场所外如何保证安全的问题。
通信和操作管理解析
这里的“通信”是广义的通信的概念,主要是指信息是交换、沟通和交流等活动。操作是指对信息处理设备和设施、信息系统、软件等的操作。
为了保证对所有的有需求的用户可用,与信息处理和通信设施相关的系统活动要具备形成文件的程序,例如计算机启动和关机程序、备份、设备维护、介质处理、计算机机房、邮件处置管理和物理安全等。要将操作程序和系統活动的文件化程序看做正式的文件,其变更由管理者授权。
操作程序文件和信息系统的变更-定要保持- 致。 而信息系统的各种操作可能比较繁杂,技术上可行时,信息系统应该使用相同的程序、工具和实用程序进行-致的管理。
对于信息处理设施、操作系统和应用软件等变更应该由严格的控制。只有规范了变更程序,才能保证操作程序文件和实际操作的一致性,更重要的是这些变更可能会引入新的风险,必须有批准、记录、 备份等才能保证变更的安全性。
在分配职责时,应该尽量让权限最小化,以尽量降低未授权或无意识的修改或者不当使用组织资产的机会。
访问控制
访问控制的目标是队长对信息的访问,目前已经发展成为保护信息安全的最 重要的手段之-。对信息信息处理设施和业务过程的访问应在业务和安全要求的基础上予以控制。因此,访问控制策略必须基于业务和访问的安全要求,访问控制规范要考虑到信息传播授权的策略。在访问策略中应该清晰地叙述每个用户或者-组用户访问控制规则和权力。访问控制既是逻辑的也是物理的,应该引起考虑。
访问控制策略要以用户的访问管理为基础,首先应有正式的用户注册和注销程序。未授权或者撤销所有信息系统及服务的访问。用户注册是用户管理生命周期的开始,注册必须使用唯一的ID与用户行为联系起来。
口令的分配和控制必须有正式的管理控制过程。口令的使用也必须培养良好的用户习惯。 管理者必须对用户的访问进行定期审查,某些用户可能从一个部门掉到另一个部门,这时候必须重新分配用户的访问权。
信息系统获取开发和维护解析
本章主要对信息系统购置、开发建设以及系统运行维护过程中的信息安全有关方面提出了详细的控制目标和控制措施。
安全应该贯穿信息系统的生命周期,从需求阶段必须对安全提出要求。组织的大部分信息系统可能都是买的,那么购买产品之后就进行常规的测试和需求处理。与供货商签的合同上应该确切地标明安全需要。
应用中的正确处理的目的是防止应用系统中的信息的错误.遗失、 未授权的修改以及误用。其中三个方面的内容:输入与输出数据的验证和内部处理的控制,与规范的程序编码要求是完全一致的。
信息安全事件管理解析
无论采取什么样的控制措施,都不可能达到百分之百的安全,总有可能发生信息安全事件,因此亡羊补牢式的信息安全事件便成了整个管理体系中的重要的一环。
信息安全事件犹如信息安全管理体系中的不合格品,必须采取措施加以预防。这就要求雇员、承包方和第三方人员都有尽可能快的按照正式的事件报告和上报程序,将信息安全事态和弱点报告给指定的联系点,以便尽早采取措施,降低信息安全事件发生的可能性。
信息安全事件的检测事件管理的开始,应该建立正常的信息安全事件报告.事故应答和分类机制,在接到信息安全事件报告后着手采取措施。应建立管理职责和程序,以确保能对信息安全事故作出快速、有效和有序的响应。应建立-套机制来量化、 监视和评审信息安全事故,积累事故的历史数据,可以有效的估算发生的频率和发生后的损失,而且可以有效的采取措施防止事故的再次发生。
业务连续性管理解析
对企业来说,业务连续性管理是一项重要的、 综合的管理,涉及企业的诸多方面,是信息安全活动中很重要的一个方面。
防止业务活动中断,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。为通过和恢复控制的组合,将对机构的影响减少到最低水平,并能从信息资产的损失中恢复到可以接受的程度,实现业务连续性管理过程。
符合性解析
满足我国当前的法律法规中关于信息安全方面的要求是任何组织必须要做到的,其次是满足合同要求。组织制定的规章制度和技术要求等。
对于法律法规方面的要求,应从组织的法律顾问或者合格的法律从业人员处获得特定的法律要求建议。法律要求因国家而异,而且对于在一一个国家产生的信息发送到另一个国家的法律要求也不同。法律方面的要求也包括知识产权、记录保持、数据以及密码控制等方面。
对于组织自身安全策略和标准以及技术符合性,则应定期评审信息系统的安全,这种评审应按照适当的安全策略进行。审核技术平台信息系统,看其是否符合适用的安全实施标准和文件化的安全控制措施。
企业获得ISO/IEC 27001认证的益处
1、预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护,包括防范:
* 重要的商业秘密信息的泄漏、丢失、篡改和不可用;
* 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断;
2、节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用,而且也能帮助组织合理筹划信息安全费用支出,包括:
* 依据信息资产的风险级别,安排安全控制措施的投资优先级;
* 对于可接受的信息资产的风险,不投资或减少投资;
3、保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,最大限度的增加投资回报和商业机会;
4、 增强客户、合作伙伴等相关方的信任和信心。
5、 降低法律风险;
6、 强化员工的信息安全意识、规范组织的信息安全行为。
企业如何建立
ISO/IEC 27001信息安全管理体系?
ISO/IEC 27001信息安全管理体系,采用PDCA循环模型,分为四个阶段:安全风险评估、规划体系建设方案(Plan),建立并实施信息安全管理体系(Do),体系运行绩效考核(Check),持续改进(Action)。
我们重点说说企业在应对ISO/IEC 27001认证时应该怎么建设符合标准要求的信息安全管理系统,重点从五个方面来进行:
1. 确立管理系统使用的范围
◇ 必须覆盖到公司的每一个职能部门,或者覆盖公司信息系统相连的外部机构,例如合作伙伴、供应商等。同时从系统层次考虑覆盖网络系统、服务器平台系统、数据、安全管理、应用系统以及支撑信息系统的场所和所处的周边环境以及场所内,确保计算机系统正常运营的设施设备等。
2. 安全风险评估
◇ 安全风险评估,主要包括企业安全管理类的评估和企业安全技术类的评估。
安全管理评估的内容包括与ISO/IEC 27001信息安全管理体系相关的11个方面,包括信息安全政策、安全组织、资产分类与控制、人员安全、物理与环境安全、通信与运行管理、访问控制等,系统开发和维护、安全事件管理、业务连续性管理和合规性。
安全技术评估是基于资产安全等级的分类。通过对信息设备的安全扫描和安全设备的配置,对现有网络设备、服务器系统、终端和网络安全架构的安全状况和薄弱环节进行检查和分析,为安全加固提供依据。
3. 规划系统建设方案
◇ 规划系统建设方案在风险评估的基础上,针对企业存在的安全风险提出安全建议,提高系统的安全性和抗攻击能力。
4. 信息安全体系建设与运行
◇ 系统建设以信息安全模式和企业信息化为基础,兼顾内外部安全功能。
规划信息安全技术可以从安全基础设施、网络、系统和应用四个方面进行规划。
5. 改进
◇ ISO/IEC 27001认证标准的信息安全管理体系文件编制完成以后,按照文件控制的要求进行审核批准,向各部门发放先行有效的体系文件,保留体系运行过程中的记录,并定期进行内审和管理评审,对不符合或潜在不符合项进行纠正和预防措施,不断改进信息安全管理体系。
ISO/IEC 27001新版问答集锦
Q
信息安全策略集要如何更新呢?
A
ISO/IEC 27001 FDIS 2022中新增加了11个控制项,针对这个11个控制项,企业可考虑是否需要增加新的策略,如需增加,在现有策略集中加入新的策略,如不需增加,保持现有的策略集即可。
Q
新版审查风险评价和处置计划方法上有变化,那资产识别和风险评价方法会有变化吗?
A
新版风险评估和风险处置的方法没有变化,只是在进行信息安全风险处置时可选的控制措施有变化,所以企业现在使用的信息安全风险评估方法基本不受影响。
Q
如果我们要到 2025 年 10 月才完成转版,为什么现在要采取行动
A
这些变更反映了我们的工作方式和相关威胁的演变,而且它们使实施更加轻松和灵活,因此应该尽快开始转版旅程,以便:
确保您的信息安全态势反映当前的数字业务状况和相关风险。
充分利用更灵活的控制结构,该结构现在很容易与全球网络安全框架保持一致。
使您的管理体系与最新的管理体系协调结构保持一致,以便提高效率。
Q
ISO 27001已发布新版本,同时拥有ISO 27001+ISO 27701认证应如何处理?旧版ISO 27001要转版,但ISO 27701还是针对旧版,这个在文档方面应如何处理?
A
建议ISO 27701同步更新,其中涉及ISO 27001的条款有新旧对照的,涉及附录A的部分,可按照ISO 27002:2022新版的条款对应。
结 语
ISO27001信息安全管理体系标准要求我们把公司的各项工作体系化运作,保护重要信息资产不受到各种威胁而导致企业机密信息泄漏并被人利用,或者是受到环境及人为的破坏而不能继续使用,保持业务的持续运营是公司的目标。
通过实施ISO27001.按照PDCA模型建立信息安全管理自我约束机制,有助于企业识别信息安全风险并加改进规避,减少可能存在的安全隐患,降低潜在安全事件发生给企业带来的损失,规范企业各个部门各个岗位的职责,提升员工信息安全意识,不断改善,有效预防,最终实现组织的良性发展。
ISO27001监控机制有哪些
ISO27001监控机制
ISO27001监控机制是确保信息安全管理体系(ISMS)有效运行的重要部分。它涉及到定期的内部审查、外部审核以及风险监控等方面。通过这些监控机制,组织可以及时发现潜在的问题和风险,并采取相应的纠正措施,以持续改进ISMS,确保其始终符合最新需求和最佳实践。
内部审核
内部审核是组织自我评估的过程,旨在检查ISMS是否按照ISO27001标准的要求进行实施和维护。内部审核员通常是由组织内部的人员担任,他们会对信息安全管理的各个方面进行审查,包括政策和程序的遵守情况、安全控制的实施情况以及风险管理的效率等。内部审核的结果应形成文档,并根据发现的问题提出改进措施。
外部审核
外部审核,也称为认证审核,是由独立的第三方机构进行的审核。这种审核旨在验证组织是否符合ISO27001标准的要求,并且是否有效地实施了ISMS。外部审核通常包括对组织的文档审查、现场考察和对员工进行访谈等环节。如果审核结果满足ISO27001的标准,组织将获得认证证书,证明其信息安全管理符合国际标准。
风险监控
风险监控是ISMS中的一个关键过程,它涉及到定期评估和监控组织的信息资产和资源的潜在风险。这包括监视内外部环境的变化,以及新技术、威胁和漏洞的出现。通过风险监控,组织可以及时调整其安全策略和控制措施,以应对新的威胁和挑战。此外,风险监控还应包括对已识别风险的处理情况进行跟踪,以确保风险得到了有效的管理。
持续改进
持续改进是ISO27001管理体系的核心原则之一。它要求组织不仅要建立ISMS,还要不断地对其进行审查和优化,以提高信息安全水平。持续改进可以通过内部反馈、外部反馈以及采纳新的最佳实践和技术来实现。组织应设立明确的改进目标,并制定相应的行动计划,以确保ISMS能够适应不断变化的信息安全环境。
综上所述,ISO27001监控机制包括内部审核、外部审核、风险监控和持续改进等方面。这些机制共同确保了ISMS的有效性和持续性,从而保护组织的敏感信息和数据免受未经授权的访问、泄露或破坏。
