The post ISO27001 信息安全基本方針（實例） first appeared on 深圳市安信達咨詢有限公司.

The post ISO27001信息安全管理體系認證背景 first appeared on 深圳市安信達咨詢有限公司.

信息安全管理體系要求

Information technology- Security techniques

-Information security management systems-requirements

（ISO/IEC 27001:2005）

 
目次
前言………………………………………………………………….. II
引言…………………………………………………………………. III
1 范圍…………………………………………………………………….. 1
2 規(guī)范性引用文件……………………………………………………………. 1
3 術語和定義……………………………………………………………….. 1
4 信息安全管理體系（ISMS）…………………………………………………… 3
5 管理職責…………………………………………………………………. 6
6 內部ISMS審核…………………………………………………………….. 7
7 ISMS的管理評審……………………………………………………………. 7
8 ISMS改進…………………………………………………………………. 8
附錄A （規(guī)范性附錄） 控制目標和控制措施……………………………………. 9
附錄B （資料性附錄） OECD原則和本標準……………………………………. 20
附錄C （資料性附錄） ISO 9001:2000, ISO 14001:2004 和本標準之間的對照…………… 21
 
引言
0.1 總則
本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（Information Security
Management System，簡稱ISMS）提供模型。采用ISMS 應當是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS 的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結構的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS，是本標準所期望的，例如，簡單的情況可采用簡單的ISMS 解決方案。
本標準可被內部和外部相關方用于一致性評估。
0.2 過程方法
本標準采用一種過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進一個組織的ISMS。
一個組織必須識別和管理眾多活動使之有效運作。通過使用資源和管理，將輸入轉化為輸出的任意活動，可以視為一個過程。通常，一個過程的輸出可直接構成下一過程的輸入。
一個組織內諸過程的系統(tǒng)的運用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。
本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調以下方面的重要性：
a) 理解組織的信息安全要求和建立信息安全方針與目標的需要；
b) 從組織整體業(yè)務風險的角度，實施和運行控制措施，以管理組織的信息安全風險；
c) 監(jiān)視和評審ISMS 的執(zhí)行情況和有效性；
d) 基于客觀測量的持續(xù)改進。
本標準采用了“規(guī)劃（Plan）-實施（Do）-檢查（Check）-處置（Act）”（PDCA） 模型，該模型可應用于所有的ISMS 過程。圖1 說明了ISMS 如何把相關方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產生滿足這些要求和期望的信息安全結果。圖1 也描述了4、5、6、7 和8 章所提出的過程間的聯(lián)系。
采用PDCA模型還反映了治理信息系統(tǒng)和網絡安全的OECD指南（2002 版）中所設置的原則。本標準為實施OECD指南中規(guī)定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個強健的模型。
例1：某些信息安全缺陷不至于給組織造成嚴重的財務損失和/或使組織陷入困境，這可能是一種要求。
例2：如果發(fā)生了嚴重的事故——可能是組織的電子商務網站被黑客入侵——應有經充分培訓的員工按照適當的程序，將事件的影響降至最小。這可能是一種期望。
備注：因文章編輯原因，該圖片不可顯示，PDCA模型與ISO9001模型一致，不到之處敬請原諒。沉默的王安石
圖1 應用于ISMS 過程的PDCA 模型

 
0.3 與其它管理體系的兼容性
本標準與GB/T 19001-2000 及GB/T 24001-1996 相結合，以支持與相關管理標準一致的、整合的實施和運行。因此，一個設計恰當的管理體系可以滿足所有這些標準的要求。表C.1 說明了本標準、GB/T19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各條款之間的關系。本標準的設計能夠使一個組織將其ISMS與其它相關的管理體系要求結合或整合起來。
信息技術安全技術信息安全管理體系要求
重點：本出版物不聲稱包括一個合同所有必要的規(guī)定。用戶負責對其進行正確的應用。符合標準本身并不獲得法律義務的豁免。
 
1 范圍

1.1 總則
本標準適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機構、非贏利組織）。本標準從組織的整體
業(yè)務風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS 規(guī)定了要求。它規(guī)定
了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
ISMS的設計應確保選擇適當和相宜的安全控制措施，以充分保護信息資產并給予相關方信心。
注1：本標準中的“業(yè)務”一詞應廣義的解釋為關系一個組織生存的核心活動。
注2：ISO/IEC 17799提供了設計控制措施時可使用的實施指南。
1.2 應用
本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標準時，對于
4、5、6、7 和8 章的要求不能刪減。
為了滿足風險接受準則所必須進行的任何控制措施的刪減，必須證明是合理的，且需要提供證據證
明相關風險已被負責人員接受。除非刪減不影響組織滿足由風險評估和適用法律法規(guī)要求所確定的安全
要求的能力和/或責任，否則不能聲稱符合本標準。
注：如果一個組織已經有一個運轉著的業(yè)務過程管理體系（例如，與ISO 9001 或者ISO 14001 相
關的），那么在大多數情況下，更可取的是在這個現有的管理體系內滿足本標準的要求。
 
2 規(guī)范性引用文件
下列參考文件對于本文件的應用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本
標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。
ISO/IEC 17799:2005，信息技術—安全技術—信息安全管理實用規(guī)則。
 
3 術語和定義
本標準采用以下術語和定義。
3.1
資產asset
任何對組織有價值的東西[ISO/IEC 13335-1:2004]。
3.2
可用性availability
根據授權實體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3
保密性confidentiality
信息不能被未授權的個人，實體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4
信息安全information security
保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性
等特性[ISO/IEC 17799：2005]。
3.5
信息安全事件information security event
信息安全事件是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反
或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀態(tài)[ISO/IEC TR 18044：2004]。
3.6
信息安全事故information security incident
一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務運作和威
脅信息安全的極大的可能性[ISO/IEC TR 18044：2004]。
3.7
信息安全管理體系（ISMS） information security management system（ISMS）
是整個管理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改
進信息安全的。
注：管理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。
3.8
完整性integrity
保護資產的準確和完整的特性[ISO/IEC 13335-1:2004]。
3.9
殘余風險residual risk
經過風險處理后遺留的風險[ISO/IEC Guide 73:2002]。
3.10
風險接受risk acceptance
接受風險的決定[ISO/IEC Guide 73：2002]。
3.11
風險分析risk analysis
系統(tǒng)地使用信息來識別風險來源和估計風險[ISO/IEC Guide 73：2002]。
3.12
風險評估risk assessment
風險分析和風險評價的整個過程[ISO/IEC Guide 73：2002]。
3.13
風險評價risk evaluation
將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程[ISO/IEC Guide 73：2002]。
3.14
風險管理risk management
指導和控制一個組織相關風險的協(xié)調活動[ISO/IEC Guide 73：2002]。
3.15
風險處理risk treatment
選擇并且執(zhí)行措施來更改風險的過程[ISO/IEC Guide 73：2002]。
注：在本標準中，術語“控制措施”被用作“措施”的同義詞。
3.16
適用性聲明statement of applicability
描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文檔。
注：控制目標和控制措施基于風險評估和風險處理過程的結果和結論、法律法規(guī)的要求、合同義務以及組織對于信息安全的業(yè)務要求。
 
4 信息安全管理體系（ISMS）

4.1 總要求
一個組織應在其整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進
文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。

4.2 建立和管理ISMS
4.2.1 建立ISMS
組織應：
a) 根據業(yè)務特點、組織結構、位置、資產和技術，確定ISMS 的范圍和邊界，包括對例外于此范
圍的對象作出詳情和合理性的說明（見1.2）。
b) 根據業(yè)務特點、組織結構、位置、資產和技術，確定ISMS 方針，應：
1) 為其目標建立一個框架并為信息安全行動建立整體的方向和原則；
2) 考慮業(yè)務和法律法規(guī)的要求，及合同中的安全義務；
3) 在組織的戰(zhàn)略性風險管理環(huán)境下，建立和保持ISMS；
4) 建立風險評價的準則[見4.2.1 c]]；
5) 獲得管理者批準。
注：就本標準的目的而言，ISMS 方針被認為是信息安全方針的一個擴展集。這些方針可以在
一個文件中進行描述。
c) 確定組織的風險評估方法
1）識別適合ISMS、已識別的業(yè)務信息安全和法律法規(guī)要求的風險評估方法。
2）制定接受風險的準則，識別可接受的風險級別（見5.1f）。
選擇的風險評估方法應確保風險評估產生可比較的和可再現的結果。
注：風險評估具有不同的方法。在ISO/IEC TR 13335-3《信息技術IT 安全管理指南：IT 安全
管理技術》中描述了風險評估方法的例子。
d) 識別風險
1) 識別ISMS范圍內的資產及其責任人；
2) 識別資產所面臨的威脅；
3) 識別可能被威脅利用的脆弱點；
4) 識別喪失保密性、完整性和可用性可能對資產造成的影響。
術語“責任人”標識了已經獲得管理者的批準，負責產生、開發(fā)、維護、使用和保證資產的安全的個人或實體。術語“責任人”不是指該人員實際上對資產擁有所有權。
e) 分析和評價風險
1) 在考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造
成的對組織的影響。
2) 評估由主要威脅和脆弱點導致安全失誤的現實可能性、對資產的影響以及當前所實施的控
制措施。
3) 估計風險的級別。
4) 確定風險是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風險的準則進行處
理。
f) 識別和評價風險處理的可選措施
可能的措施包括：
1) 采用適當的控制措施；
2) 在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險[見4.2.1
c)2)]；
3) 避免風險；
4) 將相關業(yè)務風險轉移到其他方，如：保險，供應商等。
g) 為處理風險選擇控制目標和控制措施
應選擇和實施控制目標和控制措施以滿足風險評估和風險處理過程中所識別的要求。這種選擇
應考慮接受風險的準則（見4.2.1c）2））以及法律法規(guī)和合同要求。
從附錄A 中選擇控制目標和控制措施應成為此過程的一部分，該過程適合于滿足這些已識別的要求。
附錄A 所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要選擇另外的控制目標和控制措施。
注：附錄A 包含了組織內一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄A 作為選擇
控制措施的出發(fā)點，以確保不會遺漏重要的可選控制措施。
h) 獲得管理者對建議的殘余風險的批準
i) 獲得管理者對實施和運行ISMS 的授權
j) 準備適用性聲明（SoA）
應從以下幾方面準備適用性聲明：
1） 從4.2.1 g）選擇的控制目標和控制措施，以及選擇的理由；
2） 當前實施的控制目標和控制措施（見4.2.1e）2））；
3） 對附錄A 中任何控制目標和控制措施的刪減，以及刪減的合理性說明。
注：適用性聲明提供了一份關于風險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺
漏控制措施。
 
4.2.2 實施和運行ISMS
組織應：
a) 為管理信息安全風險識別適當的管理措施、資源、職責和優(yōu)先順序，即：制定風險處理計劃（見
第5 章）。
b) 實施風險處理計劃以達到已識別的控制目標，包括資金安排、角色和職責的分配。
c) 實施4.2.1 g）中所選擇的控制措施，以滿足控制目標。
d) 確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評估控制措施的有效
性，以產生可比較的和可再現的結果（見4.2.3c)）。
注：測量控制措施的有效性可使管理者和員工確定控制措施達到計劃的控制目標的程度。
e) 實施培訓和意識教育計劃（見5.2.2）。
f) 管理ISMS 的運行。
g) 管理ISMS 的資源（見5.2）。
h) 實施能夠迅速檢測安全事件和響應安全事故的程序和其他控制措施（見4.2.3）a））。
 
4.2.3 監(jiān)視和評審ISMS
組織應：
a) 執(zhí)行監(jiān)視和評審程序和其它控制措施，以：
1) 迅速檢測過程運行結果中的錯誤；
2) 迅速識別試圖的和得逞的安全違規(guī)和事故；
3) 使管理者確定分配給人員的安全活動或通過信息技術實施的安全活動是否被如期執(zhí)行；
4) 通過使用指標，幫助檢測安全事件并預防安全事故；
5) 確定解決安全違規(guī)的措施是否有效。
b) 在考慮安全審核結果、事故、有效性測量結果、所有相關方的建議和反饋的基礎上，進行ISMS
有效性的定期評審（包括滿足ISMS 方針和目標，以及安全控制措施的評審）。
c) 測量控制措施的有效性以驗證安全要求是否被滿足。
d) 按照計劃的時間間隔進行風險評估的評審，以及對殘余風險和已確定的可接受的風險級別進行
評審，應考慮以下方面的變化：
1) 組織結構；
2) 技術；
3) 業(yè)務目標和過程；
4) 已識別的威脅；
5) 已實施控制措施的有效性；
6) 外部事件，如法律法規(guī)環(huán)境的變更、合同義務的變更和社會環(huán)境的變更。
e) 按計劃的時間間隔，對ISMS 進行內部審核（見第6 章）。
注：內部審核，有時稱為第一方審核，是用于內部目的，由組織自己或以組織的名義所進行的審核。
f) 定期對ISMS 進行管理評審，以確保ISMS 范圍保持充分，ISMS 過程的改進得到識別（見7.1）。
g) 考慮監(jiān)視和評審活動的結果，以更新安全計劃。
h) 記錄可能影響ISMS 的有效性或執(zhí)行情況的措施和事件（見4.3.3）。
 
4.2.4 保持和改進ISMS
組織應經常：
a) 實施已識別的ISMS 改進措施。
b) 依照8.2 和8.3 采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓。
c) 向所有相關方溝通措施和改進措施，其詳細程度應與環(huán)境相適應，需要時，商定如何進行。
d) 確保改進達到了預期目標。
 
 
4.3 文件要求
4.3.1 總則
文件應包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應確保所記錄的結
果是可重復產生的。
至關重要的是，能夠顯示出所選擇的控制措施回溯到風險評估和風險處理過程的結果、并進而回溯
到ISMS 方針和目標之間的關系。
ISMS 文件應包括：
a) 形成文件的ISMS 方針[見4.2.1b）]和目標；
b) ISMS 的范圍[見4.2.la）]；
c) 支持ISMS 的程序和控制措施；
d) 風險評估方法的描述[見4.2.1c）]；
e) 風險評估報告[見4.2.1c）到4.2.1g）]；
f) 風險處理計劃[見4.2.2b）]；
g) 組織為確保其信息安全過程的有效規(guī)劃、運行和控制以及描述如何測量控制措施的有效性所需
的形成文件的程序（見4.2.3c））；
h) 本標準所要求的記錄（見4.3.3）；
i) 適用性聲明。
注1：本標準出現“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實施和保持。
注2：不同組織的ISMS文件的詳略程度取決于：
. ???????組織的規(guī)模和活動的類型；
.?????? ?安全要求和被管理系統(tǒng)的范圍及復雜程度；
注3：文件和記錄可以采用任何形式或類型的介質。
 
4.3.2 文件控制
ISMS 所要求的文件應予以保護和控制。應編制形成文件的程序，以規(guī)定以下方面所需的管理措施：
a) 文件發(fā)布前得到批準，以確保文件是適當的；
b) 必要時對文件進行評審、更新并再次批準；
c) 確保文件的更改和現行修訂狀態(tài)得到標識；
d) 確保在使用處可獲得適用文件的相關版本；
e) 確保文件保持清晰、易于識別；
f) 確保文件對需要的人員可用，并依照文件適用的類別程序進行傳輸、貯存和最終銷毀；
g) 確保外來文件得到標識；
h) 確保文件的分發(fā)得到控制；
i) 防止作廢文件的非預期使用；
j) 若因任何原因而保留作廢文件時，對這些文件進行適當的標識。
 
4.3.3 記錄控制
記錄應建立并加以保持，以提供符合ISMS 要求和有效運行的證據。記錄應加以保護和控制。ISMS
的記錄應考慮相關法律法規(guī)要求和合同義務。記錄應保持清晰、易于識別和檢索。記錄的標識、貯存、
保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。記錄的詳略程度應通過管理過程確定。
應保留4.2 中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS 有關的安全事故的記錄。
例如：記錄包括訪客登記薄、審核報告和已完成的訪問授權單。
 
5 管理職責
5.1 管理承諾
管理者應通過以下活動，對建立、實施、運行、監(jiān)視、評審、保持和改進ISMS 的承諾提供證據：
a) 制定ISMS 方針；
b) 確保ISMS 目標和計劃得以制定；
c) 建立信息安全的角色和職責；
d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；
e) 提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進ISMS （見5.2.1）；
f) 決定接受風險的準則和風險的可接受級別；
g) 確保ISMS 內部審核的執(zhí)行（見第6 章）；
h) 實施ISMS 的管理評審（見第7 章）。
 
5.2 資源管理
5.2.1 資源提供
組織應確定并提供所需的資源，以：
a) 建立、實施、運行、監(jiān)視、評審、保持和改進ISMS；
b) 確保信息安全程序支持業(yè)務要求；
c) 識別和滿足法律法規(guī)要求、以及合同中的安全義務；
d) 通過正確實施所有的控制措施保持適當的安全；
e) 必要時，進行評審，并適當響應評審的結果；
f) 在需要時，改進ISMS 的有效性。
 
5.2.2 培訓、意識和能力
組織應通過以下方式，確保所有分配有ISMS 職責的人員具有執(zhí)行所要求任務的能力：
a) 確定從事影響ISMS 工作的人員所必要的能力；
b) 提供能力培訓，必要時，聘用有能力的人員以滿足這些需求；
c) 評價所提供的培訓和所采取的措施的有效性；
d) 保持教育、培訓、技能、經歷和資格的記錄（見4.3.3）。
組織也要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到ISMS目標
做出貢獻。
 
6 內部ISMS 審核
組織應按照計劃的時間間隔進行內部ISMS 審核，以確定其ISMS 的控制目標、控制措施、過程和
程序是否：
a) 符合本標準和相關法律法規(guī)的要求；
b) 符合已確定的信息安全要求；
c) 得到有效地實施和保持；
d) 按預期執(zhí)行。
應在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結果的情況下，制定審核方案。方案
應規(guī)定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。
審核員不應審核自己的工作。
策劃和實施審核以及報告結果和保持記錄（見4.3.3）的職責和要求應在形成文件的程序中做出規(guī)
定。
負責受審區(qū)域的管理者應確保及時采取措施，以消除已發(fā)現的不符合及其產生的原因。跟蹤活動應
包括對所采取措施的驗證和驗證結果的報告（見第8 章）。
注：GB/T 19011：2003給出了管理體系審核的基本指南，也可作為認證機構的指南。
 
7 ISMS 的管理評審
7.1 總則
管理者應按計劃的時間間隔（至少每年1次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和
有效性。評審應包括評估ISMS改進的機會和變更的需要，包括信息安全方針和信息安全目標。評審的
結果應清晰地形成文件，記錄應加以保持（見4.3.3）。
 
7.2 評審輸入
管理評審的輸入應包括：
a) ISMS 審核和評審的結果；
b) 相關方的反饋；
c) 組織用于改進ISMS 執(zhí)行情況和有效性的技術、產品或程序；
d) 預防和糾正措施的狀況；
e) 以往風險評估沒有充分強調的脆弱點或威脅；
f) 有效性測量的結果；
g) 以往管理評審的跟蹤措施；
h) 可能影響ISMS 的任何變更；
i) 改進的建議。

7.3 評審輸出
管理評審的輸出應包括與以下方面有關的任何決定和措施：
a) ISMS 有效性的改進；
b) 風險評估和風險處理計劃的更新；
c) 必要時修改影響信息安全的程序，以響應內部或外部可能影響ISMS 的事件，包括以下的變更：
1) 業(yè)務要求；
2) 安全要求；
3) 影響現有業(yè)務要求的業(yè)務過程；
4) 法律法規(guī)環(huán)境；
5) 合同義務；
6) 風險級別和/或接受風險的準則。
d) 資源需求；
e) 正在被測量的控制措施的有效性的改進。
 
8 ISMS 改進
8.1 持續(xù)改進
組織應通過使用信息安全方針、安全目標、審核結果、監(jiān)視事件的分析、糾正和預防措施以及管理
評審（見第7章），持續(xù)改進ISMS的有效性。
 
8.2 糾正措施
組織應采取措施，以消除與ISMS 要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施程序，
應規(guī)定以下方面的要求：
a) 識別不符合；
b) 確定不符合的原因；
c) 評價確保不符合不再發(fā)生的措施需求；
d) 確定和實施所需要的糾正措施；
e) 記錄所采取措施的結果（見4.3.3）；
f) 評審所采取的糾正措施。

8.3 預防措施
組織應確定措施，以消除潛在不符合的原因，防止其發(fā)生。預防措施應與潛在問題的影響程度相適
應。形成文件的預防措施程序，應規(guī)定以下方面的要求：
a) 識別潛在的不符合及其原因；
b) 評價防止不符合發(fā)生的措施需求；
c) 確定和實施所需要的預防措施；
d) 記錄所采取措施的結果（見4.3.3）；
e) 評審所采取的預防措施。
組織應識別變化的風險，并識別針對重大變化的風險的預防措施的要求。
預防措施的優(yōu)先級要根據風險評估的結果確定。
注：預防不符合的措施通常比糾正措施更節(jié)約成本。
 

The post ISO27001信息安全管理體系標準 first appeared on 深圳市安信達咨詢有限公司.

1.???? ISMS認證

1.1?? 什么是ISMS認證

所謂認證，即由可以充分信任的第三方認證機構依據特定的審核準則，按照規(guī)定的程序和方法對受審核方實施審核，以證實某一經鑒定的產品或服務符合特定標準或規(guī)范性文件的活動。
針對ISO/IEC 27001的受認可的認證，是對組織ISMS符合ISO/IEC 27001 要求的一種認證。這是一種通過權威的第三方審核之后提供的保證：受認證的組織實施了ISMS，并且符合ISO/IEC 27001標準的要求。通過認證的組織，將會被注冊登記。

1.2?? 為什么要進行ISMS認證

根據CSI/FBI的Computer Crime and Security Survey2005中的統(tǒng)計， 65%的組織至少發(fā)生了一次信息安全事故，而在這份報告中同時表明有97%的組織部署了防火墻，96%組織部署了殺毒軟件?？梢姡覀兊男畔踩侄尾⒉蛔嘈?，信息安全現狀不容樂觀。
實際上，只有在宏觀層次上實施了良好的信息安全管理，即采用國際上公認的最佳實踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實現其恰當的作用。采用ISMS標準并得到認證無疑是組織應該考慮的方案之一。
1)??????? 預防信息安全事故，保證組織業(yè)務的連續(xù)性，使組織的重要信息資產受到與其價值相符的保護，包括防范：
l? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
l? 重要業(yè)務所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
2)??????? 節(jié)省費用。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費用，而且也能幫助組織合理籌劃信息安全費用支出，包括：
l? 依據信息資產的風險級別，安排安全控制措施的投資優(yōu)先級；
l? 對于可接受的信息資產的風險，不投資安全控制；
3)??????? 保持組織良好的競爭力和成功運作的狀態(tài)，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業(yè)機會；
4)??????? 增強客戶、合作伙伴等相關方的信任和信心。

1.3?? ISMS認證適合何種類型的組織

ISO/IEC 27001:2005中明確指出，標準中規(guī)定的要求是通用的，適用于所有的組織，無論其類型、規(guī)模和業(yè)務性質怎樣。
ISO/IEC 27001:2005可以作為評估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據，無論是自我評估還是獨立第三方認證。
就目前國內發(fā)展來看，最先確定實施ISMS 并考慮接受ISO/IEC 27001:2005認證的組織，其驅動力都比較明顯，這種驅動力可以是外部的，也可以是發(fā)自內部的。這些組織主要集中在以下幾個行業(yè)：
u 半導體行業(yè)：尤其是主業(yè)為集成電路芯片制造的組織。由于國內最近幾年IC 產業(yè)發(fā)展迅猛，大量國外設計企業(yè)的制造訂單都飛往國內一些大型的芯片制造企業(yè)，鑒于IP（知識產權）保護的重要性，來自國外客戶的明確要求，使得國內芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
u 軟件外包行業(yè)：情況與芯片制造企業(yè)類似，近年來，承擔軟件定制開發(fā)的很多企業(yè)，也面臨外部客戶明確提出的信息保護的要求。
u 金融業(yè)和保險業(yè)：一直以來，金融和保險行業(yè)對信息安全的重視都是非常高的，保護客戶信息、保證業(yè)務運轉的可靠性和持續(xù)性，這都是此行業(yè)組織實施ISMS，并尋求認證的驅動力。
u 通訊行業(yè)：特別是一些大型的通信設備提供商，由于牽涉到對自身核心技術的保護，對信息安全加以重視并全面實施信息安全管理體系就成了這些企業(yè)必然的選擇。
u 電子商務行業(yè)：對于電子商務交易平臺、電子商務支付平臺，由于客戶以及合作伙伴對交易過程的高度安全需求，導致這類組織都會在信息安全建設方面加大投入建設，全面的信息安全管理體系。
u 其他行業(yè)：只要是涉及到IP 保護、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會逐漸在信息安全建設上加強力度，就拿美國Sarbanes-Oxley 法案（薩班斯法案，簡稱SOX 法案）來說，由于對在SEC 注冊的上市公司提出了內部控制審核的要求，相關組織必然會在信息安全方面投入關注，因為信息安全控制是企業(yè)內部控制必不可少的一個部分。

1.4?? 全球ISMS認證狀況及發(fā)展趨勢

1.4.1???? 全球ISMS證書統(tǒng)計

自2002年以來，全球許多組織開始建立和實施ISMS，并認識到ISMS認證給組織帶來的利益。截至Saturday, 06 January 2007，全球通過的ISMS認證的組織已達3274家，其中包括我國大陸的41家（在xisec網站上列出了39個證書的企業(yè)名稱），臺灣112家，香港26家和澳門3家。

1.4.2???? 中國ISMS證書統(tǒng)計

中國大陸地區(qū)目前已經取得ISMS認證的企業(yè)有44家（xisec網站上只統(tǒng)計了41個證書），大多數都是從去年下半年開始新出現的，詳見表二。
在這44個證書中，按位置劃分：上海11家；深圳9家；大連6家；北京8家；沈陽 2家；廈門、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。
按行業(yè)劃分：生產業(yè)企業(yè)有10家；軟件開發(fā)是10家；通信業(yè)有8家； IT服務5家；咨詢業(yè)3家；電力行業(yè)2家；保險業(yè) 2家；廣告、業(yè)務流程外包、數據恢復、互聯(lián)網各1家。

1.4.3???? 中國政府關注ISMS

u?? 2000年4月，北京知識安全中心把ISMS介紹給國信安辦（原）；
u?? 2002年4月，認監(jiān)委與國信辦在中認大廈召開國家ISMS認證認可高層研討會；
u?? 2002年11月，信安標委WG7開始研究和制定ISMS國家標準；
u?? 2004年4月，認監(jiān)委在其辦公大樓會議室召開ISMS認證認可工作會議；
u?? 2005年6月15日，我國發(fā)布第一個ISMS國家標準“GB/T19716-2005信息安全管理實用規(guī)則”，該標準修改采用ISO/IEC17799:2000；
u?? 2006年2月，國信辦在5個單位開展ISMS標準應用試點工作：國家稅務總局、證監(jiān)會、北京、上海、武鋼；
u?? 2006年3月，認監(jiān)委批準4家ISMS試點認證機構：信產部4所、華夏認證中心、上海認證中心、賽寶認證中心；

1.4.4???? ISMS認證發(fā)展趨勢

自2002年以來，根據ISMS官方網站陸續(xù)公布的數字，全球ISMS證書數量每年都在成倍增長，下圖體現了ISMS證書在全球范圍快速的趨勢。
 
從這些統(tǒng)計數字可以看出，ISMS做為管理體系家族的一支新秀，正在成為全球企業(yè)解決信息安全問題、提高其競爭力的選擇。

1.5?? 如何建設ISMS并取得認證

組織在確定實施ISMS建設及認證項目后，通常有兩種途徑可以去操作以取得ISMS認證，兩種途徑各有所長，關鍵是看組織自身所具備的特點和看問題的角度。
一：組織內部成立專人專項工作組，按照計劃自我實施。
u? 適合對象：組織規(guī)模不大、業(yè)務模式簡單、信息系統(tǒng)也不復雜。
u? 優(yōu)??? 點：自我實施比較經濟快捷。
u? 缺??? 點：要求組織有勝任的人員，且對信息安全的認識和運作已經達到了一定高度。
二：選擇有實力的咨詢機構，幫助組織完成項目。
u? 適合對象：組織規(guī)模較大、組織結構相互關聯(lián)、對IT的依賴廣泛，更重要的是，組織本身對信息安全的意識和運作還處于較低水平，或者發(fā)展并不均衡。
u? 優(yōu)??? 點：咨詢機構會把一些成熟的經驗移植過來，以最直接快速的方式發(fā)現組織現有問題并對癥下藥。此外，有經驗的咨詢機構和顧問通常都能比較好地把握認證機構的“偏好“和習慣，這一點尤其對最終通過認證尤其重要。一般來說，咨詢機構可以在人員培訓、全程輔導、后續(xù)支持等方面給予組織大力的支持。
u? 缺??? 點：組織須承擔相關的咨詢費用。
當然，無論是選擇自我實施，還是請外部的咨詢機構和顧問，組織都應該知道，實施ISMS 認證項目，必須要有一套行之有效的方法，事先要對整個過程做好計劃。
在建設ISMS的方法上，ISO/IEC 27001:2005標準為我們提供了指導性建議，即基于PDCA 的持續(xù)改進的管理模式；另一方面，ISMS 實施及認證項目可以借鑒很多成熟的管理體系實施方法，比如ISO9001 、ISO14001 、TS16949 等管理體系。
 
 

The post ISMS ISO27001認證介紹 first appeared on 深圳市安信達咨詢有限公司.

1.???? ISMS概述

1.1?? 什么是ISMS

信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領域中的一個新概念，是管理體系（Management System，MS）思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
在ISMS的要求標準ISO/IEC27001:2005（信息安全管理體系 要求）的第3章術語和定義中，對ISMS的定義如下：
ISMS（信息安全管理體系）：是整個管理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。注：管理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。
這個定義看上去同其他管理體系的定義描述不盡相同，但我們也可以用ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards管理體系標準合理性和制定導則）中管理體系的定義，將ISMS描述為：組織在信息安全方面建立方針和目標，并實現這些目標的一組相互關聯(lián)、相互作用的要素。
ISMS同其他MS（如QMS、EMS、OHSMS）一樣，有許多共同的要素，其原理、方法、過程和體系的結構也基本一致。
單純從定義理解，可能無法立即掌握ISMS的實質，我們可以把ISMS理解為一臺“機器”，這臺機器的功能就是制造“信息安全”，它由許多“部件”（要素）構成，這些“部件”包括ISMS管理機構、ISMS文件以及資源等，ISMS通過這些“部件”之間的相互作用來實現其“保障信息安全”的功能。
 
 

1.2?? 為什么需要ISMS

今天，我們已經身處信息時代，在這個時代，“計算機和網絡”已經成為組織重要的生產工具，“信息”成為主要的生產資料和產品，組織的業(yè)務越來越依賴計算機、網絡和信息，它們共同成為組織賴以生存的重要信息資產。
可是，計算機、網絡和信息等信息資產在服務于組織業(yè)務的同時，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網絡欺詐、重要信息資料丟失以及利用計算機網絡實施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經常在我們身邊發(fā)生。下面的案例更清晰的表現了這種趨勢：
2005年6月19日，萬事達公司宣布，儲存有大約4千萬信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號的信息資料已經在互聯(lián)網上公開出售，每條100美元，并可能被用于金融欺詐活動。
2005年5月19日，深圳市中級人民法院對華為公司訴其前員工案作出終審判決，維持深圳市南山區(qū)人民法院2004年12月作出的一審判決。3名前華為公司員工，因辭職后帶走公司技術資料并以此贏利。這3名高學歷的IT界科技精英，最終因侵犯商業(yè)秘密罪將分別在牢房里度過兩到三年光陰。
2005年7月12日下午2時35分，承載著超過200萬用戶的北京網通ADSL和LAN寬帶網，突然同時大面積中斷。北京網通隨即投入大量人力物力緊急搶修，至3時30分左右開始網絡逐漸恢復正常。這次事故大約影響了20萬北京網民。
2006年5月8日上午8時左右，中國工程院院士，著名的傳染病學專家鐘南山在上班的路上，被劫匪很“柔和”地搶走了手中的筆記本電腦。事后鐘院士說“一個科技工作者的作品、心血都在電腦里面，電腦里還存著正在研制的新藥方案，要是這個研究方案變成一種新藥，那是幾個億的價值啊”。
（以上案例均來自互聯(lián)網）
這幾個案例僅僅是冰山一角，打開電視、翻翻報紙、瀏覽一下互聯(lián)網，類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出，信息資產一旦遭到破壞，將給組織帶來直接的經濟損失、損害組織的聲譽和公眾形象，使組織喪失市場機會和競爭力，更為甚者，會威脅到組織的生存。
因此，保護信息資產，解決信息安全問題，已經成為組織必須考慮的問題。
信息安全問題出現的初期，人們主要依靠信息安全的技術和產品來解決信息安全問題。技術和產品的應用，一定程度上解決了部分信息安全問題。但是人們發(fā)現僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，如防病毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發(fā)生，組織安裝的許多安全產品成了“聾子的耳朵”。與組織中人員相關的信息安全問題，信息安全成本和效益的平衡問題，信息安全目標、業(yè)務連續(xù)性、信息安全相關法規(guī)符合性等問題，依靠產品和技術是解決不了的。
人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應運而生。2000年12月，國際標準化組織發(fā)布一個信息安全管理的標準－ISO/IEC 17799:2000“信息安全管理實用規(guī)則（Code of practice for information security management）”，2005年6月，國際標準化組織對該標準進行了修訂，頒布了ISO/IEC17799:2005（現已更名為ISO/IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求（Information Security Management System Requirement）”。
自此，ISMS在國際上確立并發(fā)展起來。今天，ISMS已經成為信息安全領域的一個熱門話題。

1.3?? 如何建立ISMS

組織的業(yè)務目標和信息安全要求緊密相關。實際上，任何組織成功經營的能力在很大程度上取決于其有效地管理其信息安全風險的才干。因此，如何確保信息安全已是各種組織改進其競爭能力的一個新的挑戰(zhàn)任務。組織建立一個基于ISO/IEC 27001:2005 ISMS，已成為時代的需要。
從簡單分析ISO/IEC 27001:2005標準的要求入手，下面的內容論述了建立一個符合標準要求的ISMS的要點。

1.3.1???? 正確理解ISMS的含義和要素

ISMS建設人員只有正確地理解ISMS的含義、要素和ISO/IEC 27001:2005標準的要求之后，才有可能建立一個符合要求的完善的ISMS。
ISMS的含義
在ISO/IEC 27001標準中，已對ISMS做出了明確的定義。通俗地說，組織有一個總管理體系，ISMS是這個總管理體系的一部分，或總管理體系的一個子體系。ISMS的建立是以業(yè)務風險方法為基礎，其目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。
如果一個組織有多個管理體系，例如包括ISMS、QMS（質量管理體系）和EMS（環(huán)境管理體系）等，那么這些管理體系就組成該組織的總管理體系，而每一個管理體系只是該組織總管理體系中的一個組成部分，或一個子管理體系。各個子管理體系必須相互配合、協(xié)調一致地工作，才能實現該組織的總目標。
ISMS的要素
標準還指出，管理體系包括“組織的結構、方針、規(guī)劃活動、職責、實踐、程序、過程和資源”（見ISO/IEC 27001:2005 3.7）。這些就是構成管理體系的相互依賴、協(xié)調一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：
1)??????? 信息安全管理機構
通過信息安全管理機構，可建立各級安全組織、確定相關人員職責、策劃信息安全活動和實踐等。
2)??????? ISMS文件
包括ISMS方針、過程、程序和其它必須的文件等。
3)??????? 資源
包括建立與實施ISMS所需要的合格人員、足夠的資金和必要的設備等。
ISMS的建立要確保這些ISMS要素得到滿足。

1.3.2???? 建立信息安全管理機構

1)??????? 信息安全管理機構的名稱
標準沒有規(guī)定信息安全管理機構的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經運行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機構合并于現有管理體系的管理機構，實行一元化領導。
2)??????? 信息安全管理機構的級別
信息安全管理機構的級別應根據組織的規(guī)模和復雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設立三個不同級別的信息安全管理機構：
a)????? 高層：以總經理或管理者代表為領導，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。
b)????? 中層：負責該組織日常信息安全的管理與監(jiān)督活動。
c)????? 基層：基層部門指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。

1.3.3???? 執(zhí)行標準要求的ISMS建立過程

按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求，建立ISMS的步驟包括：
1)??????? 定義ISMS的范圍和邊界，形成ISMS的范圍文件；
2)??????? 定義ISMS方針（包括建立風險評價的準則等）,形成ISMS方針文件；
3)??????? 定義組織的風險評估方法；
4)??????? 識別要保護的信息資產的風險，包括識別：
a） 資產及其責任人；
b）資產所面臨的威脅；
c） 組織的脆弱點；
d）? 資產保密性、完整性和可用性的喪失造成的影響。
5)??????? 分析和評價安全風險，形成《風險評估報告》文件，包括要保護的信息資產清單；
6)??????? 識別和評價風險處理的可選措施，形成《風險處理計劃》文件；
7)??????? 根據風險處理計劃，選擇風險處理控制目標和控制措施，形成相關的文件；
8)??????? 管理者正式批準所有殘余風險；
9)??????? 管理者授權ISMS的實施和運行；
10)??? 準備適用性聲明。

1.3.4???? 完成所需要的ISMS文件

ISMS文件是ISMS的主要要素，既要與ISO/IEC 27001:2005保持一致，又要符合本組織的信息安全的需要。實際上，ISMS文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標準，是ISO/IEC 27001:2005的具體體現。對一般員工來說，在其實際工作中，可以不過問國際信息安全管理標準-ISO/IEC 27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。
(1) ISMS文件的類型
根據ISO/IEC 27001:2005標準的要求，ISMS文件有三種類型。
1)??????? 方針類文件（Policies）
方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：
a） ISMS方針（ISMS policy）；
b）信息安全方針（information security policy）。
2)??????? 程序類文件（Procedures）
3)??????? 記錄（Records）
記錄是提供客觀證據的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關程序文件運行產生的結果（或輸出）。記錄通常是表格形式。
4)??????? 適用性聲明文件（Statement of Applicability, 簡稱SOA）
ISO/IEC 27001:2005標準的附錄A提供許多控制目標和控制措施。這些控制目標和控制措施是最佳實踐。對于這些控制目標和控制措施，實施ISMS的組織只要有正當性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成《適用性聲明》文件。
(2) 必須的文件
“必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強制性文件（mandatory documents）。“4.3.1總則”要求ISMS文件必須包括9方面的內容：
1)??????? ISMS方針
ISMS方針是組織的頂級文件，規(guī)定該組織如何管理和保護其信息資產的原則和方向，以及各方面人員的職責等。
2)??????? ISMS的范圍
3)??????? 支持ISMS的程序和控制措施；
4)??????? 風險評估方法的描述；
5)??????? 風險評估報告；
6)??????? 風險處理計劃；
7)??????? 控制措施有效性的測量程序；
8)??????? 本標準所要求的記錄；
9)??????? 適用性聲明。
(3) 可選的文件
除了上述必須的文件外，組織可以根據其實際的業(yè)務活動和風險的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的可選的文件（Discretionary documents）。這類文件的內容可隨組織的不同而有所不同，主要取決于:
1)??????? 組織的業(yè)務活動及風險；
2)??????? 安全要求的嚴格程度；
3)??????? 管理的體系的范圍和復雜程度。
這里，需要特別提出的是，ISMS的特點之一是風險評估和風險管理。組織需要哪些ISMS文件及其復雜程度如何，通?？筛鶕L險評估決定。如果風險評估的結果，發(fā)現有不可接受的風險，那么就應識別處理這些風險的可能方法，包括形成相關文件。
(4) 文件的符合性
ISMS文件的符合性包括符合相關法律法規(guī)的要求、符合ISO/IEC 27001:2005標準4-8章的所有要求和符合本組織的實際要求。為此：
1)??????? 參考相關法律法規(guī)要求和標準要求
在編寫ISMS文件時，編寫者應參考相關法律法規(guī)要求和標準的相應條款的要求，例如，在編寫ISMS方針時，要參考ISO/IEC 27001 “4.2.1b） 定義ISMS方針”；編寫適用性聲明時，要參考ISO/IEC 27001 “4.2.1 j） 準備適用性聲明”；編寫文件控制程序時，要參考ISO/IEC 27001 “4.3.2文件控制”等等。
2)??????? 將本組織的最好實踐形成文件
為了易于操作，編寫者最好把本組織當前的最好實踐寫下來，補充標準的要求，形成統(tǒng)一格式的文件。
3)??????? 保持一致性
a） 同一個文件中，上下文不能有不一致或矛盾的地方
b） 同一個體系的不同文件之間不能有矛盾的地方
c） 不同體系的文件之間不能有不一致的地方
如果組織同時運行多個管理體系，例如質量管理體系（QMS）、環(huán)境管理體系（EMS）和ISMS等，那么各個體系的文件之間應相互協(xié)調，避免產生不一致的地方。此外，在文字的表達上，應準確，無二義。

The post ISO/IEC27001知識體系 first appeared on 深圳市安信達咨詢有限公司.