portant; overflow-wrap: break-word !important;">
portant; overflow-wrap: break-word !important;">ISO27001是有关信息安全管理的国际标准。最初源于英国标准portant;">BS7799,经过十年的不断改版,终于在portant;">2005年被国际标准化组织(portant;">ISO)转化为正式的国际标准,于portant;">2005年portant;">10月portant;">15日发布为portant;">ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用portant;">PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。对现代企业来说,将以往被认为是成本中心的portant;">IT部门转变成积极的增值服务提供者,是一种挑战,也是机遇,而推动这一机遇成为现实的portant;">.
portant; overflow-wrap: break-word !important;">2.获取认证应具备的条件
portant; overflow-wrap: break-word !important;">
portant; overflow-wrap: break-word !important;"> (1) 具备独立的法人资格或经独立的法人授权的组织;
(2) 按照ISO/IEC 27001标准的要求建立文件化的信息安全管理体系;
(3) 已经按照文件化的体系运行三个月以上,并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部质量体系审核。
portant; overflow-wrap: break-word !important;">3.取得认证的程序
portant; overflow-wrap: break-word !important;">1. ISO27001认证项目准备阶段
启动该项目所必需的组织准备包括:
1)理解管理层意图,渗透管理思路;
2)将实施ISO27001认证项目的决定、目的、意义、要求在组织内传达,这也是体现内部沟通,提高全体员工意识的必要手段;
3)组织建设,包括任命管理者代表、成立贯标组织机构、各级质量及信息 安全管理人员,明确其职责。
portant; overflow-wrap: break-word !important;">
2. 现场诊断
1)根据企业的主要业务流程所产生的信息流及其所依赖的计算环境(包括硬件、软件、数据、人力、服务等)进行安全要求的确定;
2)对企业现行业务流程进行全面的了解,按照标准评估企业的质量体系;
3)识别各业务流程所采取的管理流程和管理职责;
4)对照标准要求,寻找改进的机会;
5)根据ISO27001的风险评估方法论,国家标准,制定科学、有效、适用的风险评估方法。
portant; overflow-wrap: break-word !important;">
3. 管理层培训
管理层培训扩大到中层领导,最后与高层领导在一起培训,高层领导的 参与就是一种榜样的力量,有助于全体员工质量及信息安全意识的提高;
portant; overflow-wrap: break-word !important;">
4. 整合体系文件架设计
1)根据所识别的业务流程,形成管理活动流程图;优化或再造业务流程,保证管理活动的系统和顺畅;
2)根据流程图及流程的复杂程度,策划符合标准要求和实际业务要求的管理体系文件清单;
3)形成管理体系文件说明,包括文件的目的、管控范围、职责、管理活动接口、管理流程等;与各业务流程负责人沟通修订文件清单
portant; overflow-wrap: break-word !important;">
5. 确定质量和信息安全方针和目标
1)与最高管理者进行沟通,理解管理意图和管理要求,设计质量和安全方针;
2)根据方针的要求,制定目标,并分解到各个管理活动中,形成可测量的指标体系,确保方针和目标得以实现;
portant; overflow-wrap: break-word !important;">
6. 建立管理组织机构
1)建立整合体系管理委员会,就重大质量管理和信息安全事项进行决策;
2)建立管理协调小组,就日常管理活动中的质量及信息安全事项进行沟通改进;
3)明确管理活动中各流程责任人的职责,并文件化。
portant; overflow-wrap: break-word !important;">
7. 信息安全风险评估
1)根据业务要求及信息的密级划分,对信息资产的重要程度进行判定,识别对关键核心业务具有关键作用的信息资产清单;对重要信息资产从内部及外部识别其所面临的威胁;
2)根据威胁,从管理和技术两方面识别重要信息资产所存在的薄弱点;
3)根据风险评估的方法指南,对威胁利用薄弱点对重要信息资产所产生的风险在保密性、完整性、可用性三方面所造成的影响进行评价;评价威胁利用薄弱点引发安全风险事件的可能性;
4)根据风险影响及发生的可能性评价风险等级;
5)根据信息安全方针,各核心业务流程的安全要求,与管理层进行沟通,确定不可接受风险等级的标准;
6)针对不可接受的高风险,制定风险处理计划,从ISO27002及顾问的行业经验来选择适宜的风险管控措施;实施所选择的控制措施,降低、转移或消除安全风险;
7)编写风险评估报告。
portant; overflow-wrap: break-word !important;">
8. 体系文件编写
1)整合体系手册,明确各管理过程的顺序及相互关系;
2)整合体系所要求的程序文件,从体系维护管理、资产管理、物理环境安全、人力资源安全、访问控制、通信和运作管理、业务连续性管理、信息安全事件管理、符合性等方面对各类管理活动及作业指导进行文件化;
3)制定各类安全策略,如:电子邮件策略、互联网访问策略,访问控制策略等
portant; overflow-wrap: break-word !important;">
9. 管理体系记录的设计
1)搜集原有管理记录;
2)优化记录或重新设计;
3)沟通记录的形式和管理记录填写的必要性,保证管理体系的可控性与记录保持的数量之间的平衡。
portant; overflow-wrap: break-word !important;">
10. 管理体系文件审核
1)对照风险评估结果及SoA的框架,对照核心业务流程,审核程序文件及作业指导书的系统性;
2)针对每一个具体的管理流程,审核文件所描述的管理职责、管理活动是否符合实际情况,流程责任人是否能够按照文件要求执行管理活动;
3)针对文件所要求的管理活动,审核其效率是否满足管理的要求;形成文件审核的结论,并通过管理层的审批,对文件进行修订,形成发布稿。
portant; overflow-wrap: break-word !important;">
11. 体系文件发布实施
1)召开文件发布会,最高管理者提出管理体系运行的总要求,使全员意识到管理体系文件是管理活动的行动指南和强制要求;
2)各流程责任人根据管理体系文件的要求落实各项管理活动,保持管理体系所要求的记录;认证项目组搜集体系运行中所发现的问题,包括流程上的、职责上的、 资源上的、技术上的等,统一修改、处理、答复。
portant; overflow-wrap: break-word !important;">
12. 组织全员进行文件学习
1)充分考虑管理活动的范围,设计分层次、分阶段的系统性的培训计划;
2)培训中考虑到管理要求的内容,也将考虑到技术上的要求,不简单的对 体系文件照本宣科;对培训的效果进行评价,采用考试、实际操作、讨论等多种方式进行,确保培训的有效性。
portant; overflow-wrap: break-word !important;">
13. 业务连续性管理
1)从战略的层面进行业务连续、永续经营的考虑,明确各核心业务流程的最大可容许中断时间;
2)识别核心业务可能遭受到的灾难性风险事件;
3)评估灾难性事件所引发的影响;
4)针对灾难性事件,设计管控措施,制定详细的业务连续性计划,包括应急响应的组织架构、人员职责、响应流程、恢复流程等;
5)实施业务连续性计划所要求的管理上及技术上的改进;
6)测试业务连续性计划的每一个步骤,确保其有效性;根据测试的结果进一步改进业务连续性计划,为应对灾难事件提供信心保证。
portant; overflow-wrap: break-word !important;">
14. 内部审核
1)制定内部审核计划,与受审核人员进行沟通;
2)召开内部审核首次会议,明确审核计划、审核范围、审核目的、审核活动的安排等事项;
3)带领内审员实施现场审核活动:
4)根据审核发现开具不符合项报告,明确审核的对象、审核发现、不符合事实、改进要求,并确定整改责任人,限期改进:
5)召开内部审核末次会议,报告所有的审核发现:对不符合事项进行跟踪验证,确保所有的不符合均被有效关闭。
portant; overflow-wrap: break-word !important;">
15. 管理体系有效性测量
1)设计测量方法,从各个管理流程中制定安全关键绩效指标KPI;
2)搜集运行过程中的记录数据,利用量化的数据分析,体现管理体系所带来的改进;
3)对比信息安全管理目标和指标体系,测量KPI是否达成管理目标的要求;
4)对所发现的问题进行沟通,制定纠正预防措施并落实责任人,改进管理 体系的有效性。
portant; overflow-wrap: break-word !important;">
16. 管理评审
1)制定管理评审计划;
2)准备管理评审输入材料,包括风险状况、安全措施落实情况、各相关方的反馈、业务连续性管理架构、管理体系内部审核情况、体系有效性测 量报告等;
3)召开管理评审会议;根据最高管理者提出的管理要求,实施纠正预防措施或管理改进方案;
4)跟踪纠正预防措施及管理改进方案的落实情况。
portant; overflow-wrap: break-word !important;">
17. ISO27001认证机构初访及正式审核
1)与审核机构沟通审核的时间计划安排;实施审核活动,并提交审核报告;
2)根据审核报告,制定必要的纠正预防措施,并将改进的证据提交审核机构;
3)获得信息安全管理体系认证证书。
portant; overflow-wrap: break-word !important;"> 4.主要记录文件
portant; overflow-wrap: break-word !important;">
portant; overflow-wrap: break-word !important;">管理手册、信息安全适用性声明、信息安全管理体系方针 程序文件(信息安全风险评估管理程序、文件控制程序、记录控制程序、信息处理设备管理程序、文件信息密级控制程序、监视和测量管理程序、纠正预防措施控制程序、人力资源管理程序、信息安全培训管理程序、信息安全人员考察与保密管理程序、恶意软件控制程序、业务持续性管理程序、变更控制程序、第三方服务管理程序、管理评审控制程序、物理访问控制程序、用户访问控制程序、远程访问管理程序、系统开发与维护控制程序、事故事件薄弱点与故障管理程序、内部审核控制程序、重要信息备份管理程序等) 控制策略(信息资源保密策略、可移动代码防范策略、备份安全策略、第三方访问策略、物理访问策略、变更管理安全策略、病毒防范策略、帐号管理策略、清洁桌面和清屏策略、运输中物理介质安全策略、电子邮件策略、设备及布缆安全策略、入侵检测策略等等)