在2005版和2013版ISO 27001標準中都提到了“資產(chǎn)所有者（Asset owners）”的概念，什么是資產(chǎn)所有者？資產(chǎn)所有者是“已經(jīng)獲得管理層批準，負責生產(chǎn)、開發(fā)、維護、使用和保證資產(chǎn)安全的個人或?qū)嶓w。”通俗的理解，資產(chǎn)的所有者就是資產(chǎn)安全上的責任人，即確定資產(chǎn)的安全需求、對資產(chǎn)安全管控提出安全要求的人。
為什么指定資產(chǎn)所有者至關(guān)重要？因為如果不指定資產(chǎn)所有者，就沒人對資產(chǎn)的安全負責，這樣的話無法確保資產(chǎn)能夠得到妥善的保護與管理，從而造成資產(chǎn)安全管理上的混亂與安全風險的不可控。
由于上述資產(chǎn)所有者的關(guān)鍵性，所以無論2005版還是2013版的ISO 27001標準中都要求識別資產(chǎn)所有者，然后再以資產(chǎn)為主線進行“基于資產(chǎn)的風險評估”，最終通過資產(chǎn)所有者落實風險處置措施來提高安全管控能力。

如何理解風險所有者（Risk owners）
那么，什么又是風險所有者（Risk owners）呢？風險所有者是“對風險管理持有權(quán)利和責任的個人或?qū)嶓w（person or entity with the accountability and authority to manage a risk.）?！蓖ㄋ椎睦斫?，風險所有者就是希望能夠控制某一風險，并且在組織中又有足夠的權(quán)利和資源去處理這一風險的人。（安信達咨詢znojukyf.cn）
既然有了資產(chǎn)所有者的概念，為什么還需要風險所有者呢？原因如下：

1. 標準之間的兼容性 ：在ISO 31000風險管理標準中已經(jīng)定義了“風險所有者“的概念，ISO 27001：2013版此次改版意在與其他相關(guān)的管理標準保證兼容性。

2. 風險評估方法擴展 ：一直以來信息安全風險評估都是采用“基于資產(chǎn)的風險評估”方法，雖然在ISO 27001：2013版中以資產(chǎn)為出發(fā)點進行風險評估仍然是一種主導(dǎo)方法，但是，新版標準已經(jīng)針對風險評估方法進行了擴展，在針對資產(chǎn)進行安全評估的同時還要評估企業(yè)的”安全環(huán)境“，而這種”安全環(huán)境“風險的處置是資產(chǎn)所有者無能為力的。

3. 風險處置效果考慮 ：由于風險處置所涉及組織的部門及角色很多，很多情況下資產(chǎn)所有者沒有足夠的能力或資源來進行風險的有效處置，例如信息系統(tǒng)可能面臨 變更管理 不善所帶來的風險，但完善變更管理這項處置措施并不一定是信息系統(tǒng)的所有者能夠去完成的，可能由組織的其他部門或角色（如IT服務(wù)管理部門）來進行。也就是說，資產(chǎn)所有者只能針對資產(chǎn)本身存在的風險進行處置，組織風險、過程風險的處置是資產(chǎn)所有者無法完成的。

總結(jié)下來，2013版ISO 27001針對”風險所有者（Risk owners）“的變化，主要是進一步完善標準中關(guān)于風險管理理論的邏輯性，同時也實用性上進一步加強了風險控制措施落實。

如何選擇風險所有者（Risk owners）

既然風險的所有者（Risk owners）對于風險管理如此之重要，那么，在進行風險評估時該如何選擇風險的所有者呢？針對這個問題，我給出三個方面的原則建議：

1. 風險與職責直接相關(guān) ：風險所有者最終負責風險的處置，那么最重要的當然是這一風險要與風險所有者在職責上直接相關(guān)，也就是說誰會為這個風險來”買單“，或者說這個風險不處置的話誰會受影響，這個人就是風險所有者。

2. 具有足夠高度與能力 ：組織內(nèi)位置足夠高的崗位人員才有更強的風險處置推動能力及協(xié)調(diào)資源能力，所以，在指定風險所有者時應(yīng)指定級別較高的管理人員，通常，風險所有者要比資產(chǎn)所有者的職位級別要高一些。

3. 明確到組織具體人員 ：在識別資產(chǎn)所有者時，很多組織都將所有者指定到部門（如IT部）而不是指定到個人，但確定風險所有者時并不建議這樣操作，相反，風險所有者一定要非常具體并指定到人。

恰當?shù)淖R別資產(chǎn)所有者與風險所有者是組織需要仔細考慮的事情，合理的設(shè)置資產(chǎn)所有者、風險所有者不僅能使風險的處置更加容易，而且還能使風險處置活動更加有效。

The post ISO27001新版標準釋疑 first appeared on 深圳市安信達咨詢有限公司.

信息安全和法律法規(guī)
業(yè)內(nèi)人士對ISO27001認證趨之若鶩，這其中有兩個關(guān)鍵性的驅(qū)動因素：一是日益嚴峻的信息安全威脅，二是不斷增長的信息保護相關(guān)法規(guī)的需求。
本質(zhì)上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構(gòu)和個人。這種威脅在因特網(wǎng)的環(huán)境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險。
過去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有、不斷壯大，其中包括專門針對個人數(shù)據(jù)保護問題的，也有針對企業(yè)財政、運營和風險管理體系建立的法規(guī)保障問題的。一套正式規(guī)范的信息安全管理體系應(yīng)當可以提供最佳實踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項目的必要條件，與此同時，針對該管理體系的認證逐漸成為各種組織（包括政府部門）的熱門需求，這份認證可以為他們帶來重要的潛在商業(yè)合同。
信息安全和技術(shù)
絕大多數(shù)人認為信息安全是一個純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計算機安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計算機安全的相關(guān)事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全專家就可以設(shè)計并執(zhí)行一個技術(shù)方案以達成用戶需求。
在組織內(nèi)部，管理層應(yīng)當負責決策，而不是IT部門。一個規(guī)范的信息安全管理體系必須明確指出，組織機構(gòu)董事會和管理層應(yīng)當負責相關(guān)信息安全管理體系的決策，同時，這個體系也應(yīng)當能夠反映這種決策，并且在運行過程中能夠提供證據(jù)證明其有效性。
所以機構(gòu)組織內(nèi)部的信息安全管理體系的建立項目不必由一個技術(shù)專家來領(lǐng)導(dǎo)。事實上，技術(shù)專家在很多情況下起到相反的作用，可能會阻礙項目進程。因此，這個項目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負責機構(gòu)內(nèi)部重大職能的執(zhí)行主管負責主持。
信息安全標準
1995年，英國標準機構(gòu)（BSI）發(fā)布BS7799標準，即ISMS（信息安全管理體系），旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價值中立的管理體系。只要實施得當，BS7799標準將幫助企業(yè)檢查并確認其信息安全管理手段和實施方案的有效性。
從企業(yè)外部來看，BS7799關(guān)注信息的可用性、機密性和完整性，至今這仍然是這項標準致力達到的目標。BS7799集中關(guān)注企業(yè)組織層面上的風險規(guī)避（一定程度上主要是商業(yè)和金融風險），而不包括避免每一個潛在風險的保護措施——盡管它們至關(guān)重要。
BS7799最初僅有一份文檔，且具有明顯的實踐指南性質(zhì)。也就是說，它為組織提供信息安全指引，但沒有形成規(guī)范，不能為外部第三方審計和認證等提供依據(jù)。隨著越來越多的企業(yè)開始認識到來自信息安全的威脅波及范圍越來越廣，影響程度越來越大，并且關(guān)于數(shù)據(jù)和隱私權(quán)保護的法律法規(guī)不斷出臺，信息安全標準認證的需求開始不斷增加。（安信達咨詢znojukyf.cn）
這種需求的增加最終促成了該項標準第二部分的出臺，即標準規(guī)范。實踐指南和標準規(guī)范之間的關(guān)系是這樣的：標準規(guī)范是認證方案的基礎(chǔ)，同時標準規(guī)范要求實踐者遵從實踐指南的指引。
許多國家也已發(fā)布了自己的相關(guān)標準，比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可，這促使了本土化標準的消退（除了基于兩個標準號碼基礎(chǔ)上的本土化標準以外）。
認證與遵從
一個組織可以僅遵從ISO17799來建立和發(fā)展ISMS（信息安全管理體系），因為實踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認證框架，它不具備關(guān)于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術(shù)層面來講，這就表明一個正在獨立運用ISO17799的機構(gòu)組織，完全符合實踐指南的要求，但是這并不足以讓外界認可其已經(jīng)達到認證框架所制定的認證要求。不同的是，一個正在同時運用ISO27001和ISO17799標準的機構(gòu)組織，可以建立一個完全符合認證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認同，即獲得認證。
ISO27001認證要求與其他管理標準
ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設(shè)計的，這一標準中的編號系統(tǒng)和文件管理需求的設(shè)計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務(wù)的機構(gòu)，來提供ISO27001認證服務(wù)。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。
但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應(yīng)當從經(jīng)濟利益考慮，選擇一個合適的管理體系的認證機構(gòu)來提供認證服務(wù)。認證機構(gòu)必須得到一個國家鑒定機構(gòu)的委托授權(quán)，才能為認證組織提供認證服務(wù)，并發(fā)放認證證書。大多數(shù)國家都有自己的國家鑒定機構(gòu)（比如：英國UKAS），任何獲得該機構(gòu)授權(quán)進行ISMS認證的機構(gòu)均記錄在案。
風險評估和風險應(yīng)對計劃
任何一個ISMS體系的建立和開發(fā)都應(yīng)當滿足組織獨特的需求。每個組織不僅都有自己獨特的業(yè)務(wù)模式、運營目標、形象特點和內(nèi)部文化，他們對待風險的態(tài)度傾向也大相徑庭。換句話說，同一個東西，一個機構(gòu)組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構(gòu)組織對于既有風險防護的投入也參差不齊?；谝陨匣蛘咂渌?，每個運行ISMS的組織，其內(nèi)部成員必須對風險評估有一個共識，這個風險評估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會的首肯。
著手準備ISMS項目和PDCA流程
ISMS項目很復(fù)雜，可能持續(xù)若干個月甚至若干年，涉及整個機構(gòu)組織以及從管理層到收發(fā)部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務(wù)實的角度考慮，這表明在項目計劃過程中，必須盡早對這些僅有的指導(dǎo)性的書籍和案例進行分析和研究。
ISO27001標準指導(dǎo)一個企業(yè)如何著手開展ISMS項目，并且關(guān)注整個項目進程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執(zhí)行（Do）－檢查（Check）－提升（Act）過程，意在說明業(yè)務(wù)流程應(yīng)當是不斷改進的，該方法使得職能部門經(jīng)理可以識別出那些需要修正的環(huán)節(jié)并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結(jié)果進行評估，緊接著按照計劃的具體要求對該評估進行復(fù)查，而后尋找到任何與計劃不符的結(jié)果偏差（即潛在改進的可能性），最后向管理層提出如何運行的最終報告。

The post 信息安全與ISO27001國際標準 first appeared on 深圳市安信達咨詢有限公司.

The post 最新版ISO27001：2013標準新增信息安全控制措施有哪些？ first appeared on 深圳市安信達咨詢有限公司.

The post 淺談企業(yè)認證ISO27001的誤區(qū) first appeared on 深圳市安信達咨詢有限公司.

信息安全是通過實現(xiàn)一組合適控制獲得的。控制可以是策略、慣例、規(guī)程、組織結(jié)構(gòu)和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

起源

隨著在世界范圍內(nèi)，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點，世界范圍內(nèi)的各個機構(gòu)、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息安全的本國標準，國際標準化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國際標準及技術(shù)報告。目前，在信息安全管理方面，英國標準ISO27000:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導(dǎo)下制定完成。

ISO27001標準于1993年由英國貿(mào)易工業(yè)部立項，于1995年英國首次出版BS?7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準，并且適用于大、中、小組織。

1998年英國公布標準的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎(chǔ)，它可以作為一個正式認證方案的根據(jù)。BS?7799-1與BS?7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時還非常強調(diào)了商務(wù)涉及的信息安全及信息安全的責任。

2000年12月，BS?7799-1：1999《信息安全（安信達咨詢znojukyf.cn）管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準—–ISO/IEC17799：2000《信息技術(shù)-信息安全管理實施細則》。2002年9月5日，BS?7799-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標準，同時BS?7799-2:1999被廢止。2004年9月5日，BS?7799-2:2002正式發(fā)布。

2005年，BS?7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC?27001:2005.

2005年6月，ISO/IEC?17799:2000經(jīng)過改版，形成了新的ISO/IEC?17799:2005，新版本較老版本無論是組織編排還是內(nèi)容完整性上都有了很大增強和提升。ISO/IEC?17799:2005已更新并在2007年7月1日正式發(fā)布為ISO/IEC?27002:2005，這次更新只是在標準上的號碼，內(nèi)容并沒有改變。

2013年10月19日修訂原版，正式使用ISO/IEC27001:2013版。

現(xiàn)在，ISO27001標準已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對ISO27001標準感興趣，我國的臺灣、香港也在推廣該標準。許多國家的政府機構(gòu)、銀行、證券、保險公司、電信運營商、網(wǎng)絡(luò)公司及許多跨國公司已采用了此標準對自己的信息安全進行系統(tǒng)的管理。

The post ISO/IEC27001的起源與發(fā)展？ first appeared on 深圳市安信達咨詢有限公司.

4 新標準對已獲得認證證書組織的影響
新標準的頒布和執(zhí)行，對已通過ISO27001認證的企業(yè)會造成一定影響，在新版公布后的18至24個月的認證轉(zhuǎn)換緩沖期中，原有已取得ISO27001證書的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標準。新標的執(zhí)行需要企業(yè)在3方面對現(xiàn)有體系進行調(diào)整：
1風險評估工具需升級
隨著新標準控制項架構(gòu)的調(diào)整，企業(yè)目前使（安信達咨詢znojukyf.cn）用的風險評估方法將受到一定影響，核心在于信息資產(chǎn)弱點建模及風險處置的控制項選擇部分，需要重新構(gòu)建符合新標準結(jié)構(gòu)的風險評估工具。
2 SOA適用性聲明及文件體系的升級
新標準的實施，將對SOA適用性聲明及企業(yè)現(xiàn)有體系文件制度產(chǎn)生較大影響，體系一二級文件將需進行一個較大的內(nèi)容調(diào)整及升級，不過，對三四級文件的影響較小，在三四級文件層面上，僅需根據(jù)新標要求進行少量增補即可。
3內(nèi)部審核工具的升級
受內(nèi)部管理制度的調(diào)整，內(nèi)部審核的開展方式及使用工具將不可避免受到影響，也需根據(jù)新標要求進行升級。

The post ISO/IEC27001最新標準的特點及對獲證企業(yè)的影響？ first appeared on 深圳市安信達咨詢有限公司.