ISO27001信息安全管理體系服務(wù)咨詢 - 無錫禾度信息科技有限公司

欄目導(dǎo)航

ISO27001信息安全管理體系服務(wù)咨詢您現(xiàn)在的位置：首頁 → 業(yè)務(wù)與服務(wù) → 企業(yè)資質(zhì)服務(wù)

ISO27001信息安全管理體系服務(wù)咨詢

新聞出處:　　 2018-12-28 16:25:10

一、信息安全管理體系標準業(yè)務(wù)介紹
1、背景介紹
  信息作為組織的重要資產(chǎn)，需要得到妥善保護。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問世及網(wǎng)上交易的啟用，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴重的影響。安全問題所帶來的損失遠大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：
·直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率；
·間接損失：恢復(fù)成本，競爭力受損，品牌、聲譽受損，負面的公眾影響，失去未來的業(yè)務(wù)機會，影響股票市值或政治聲譽；
·法律損失：法律、法規(guī)的制裁，帶來相關(guān)聯(lián)的訴訟或追索等。
  所以，在享用現(xiàn)代信息系統(tǒng)帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當前企業(yè)迫切需要解決的問題。
  俗話說“三分技術(shù)七分管理”。目前組織普遍采用現(xiàn)代通信、計算機、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的高管理層對信息資產(chǎn)所面臨的威脅的嚴重性認識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運行、維護、開發(fā)等崗位不清，職責不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個重要的問題。所以，我們需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運作。
2、標準發(fā)展
  目前，在信息安全管理體系方面，ISO27001:2005――信息安全管理體系標準已經(jīng)成為世界上應(yīng)用廣泛與典型的信息安全管理標準。標準適用于各種性質(zhì)、各種規(guī)模的組織，如政府、銀行、電訊、研究機構(gòu)、外包服務(wù)企業(yè)、軟件服務(wù)企業(yè)等。
  2008年6月，ISO27001同等轉(zhuǎn)換成國內(nèi)標準GB/T22080-2008，并在2008年11月1日正式實施。
  經(jīng)過多年的發(fā)展，信息安全管理體系國際標準已經(jīng)出版了一系列的標準，其中ISO/IEC27001是可用于認證的標準，其他標準可為實施信息安全管理的組織提供實施的指南。目前各標準的現(xiàn)行狀態(tài)如下表1：。
  2013年10月，為適應(yīng)信息安全管理的發(fā)展趨勢，ISO組織發(fā)布了ISO/IEC 27001:2013-信息安全管理體系標準，新版標準相對舊版標準作了較大修訂，為組織加強信息安全管理提供的指導(dǎo)。
表1 ISO27000標準族現(xiàn)行

序號	標準編號	標準名稱	現(xiàn)行狀態(tài)
1	ISO27000	信息技術(shù)–安全技術(shù)-信息安全管理體系-概論及術(shù)語	2009年出版
2	ISO27001	信息技術(shù)–安全技術(shù)-信息安全管理體系-要求	2013年出版
3	ISO/IEC 27002	信息技術(shù)–安全技術(shù)-信息安全管理-為規(guī)范	2013年出版
4	ISO/IEC 27003	信息技術(shù)–安全技術(shù)-信息安全管理體系-實施指南	2010年出版
5	ISO/IEC 27004	信息技術(shù)–安全技術(shù)-信息安全管理-測量	2009年出版
6	ISO/IEC 27005	信息技術(shù)–安全技術(shù)-信息安全風險管理	2011年出版
7	ISO/IEC 27006	信息技術(shù)–安全技術(shù)-認證機構(gòu)要求	2011年出版
8	ISO/IEC 27007	信息技術(shù)–安全技術(shù)-信息安全管理體系審核指南	2011年出版
9	ISO/IEC TR 27008	信息安全控制措施審核指南	2011年出版
10	ISO/IEC 27010	行業(yè)間交流的信息安全管理	2012年出版
11	ISO/IEC 27011	信息技術(shù)–安全技術(shù)-基于ISO/IEC 27002通訊行業(yè)信息安全管理體系	2008年出版
12	ISO/IEC 27013	信息技術(shù)–安全技術(shù)- ISO/IEC 20000-1及ISO/IEC 27001一體化實施指南	2012年出版
13	ISO/IEC 27014	信息安全治理框架	工作組草案
14	ISO/IEC TR 27015	金融及保險行業(yè)信息安全管理體系	2012年出版
15	ISO/IEC 27031	信息技術(shù)–安全技術(shù)–業(yè)務(wù)連續(xù)性的ICT準備能力指南	2011年出版
16	ISO/IEC 27032	信息技術(shù)–安全技術(shù)–網(wǎng)絡(luò)空間安全指南	2012年出版
17	ISO/IEC 27033-1	信息技術(shù)–安全技術(shù)–網(wǎng)絡(luò)安全–第1部分：概述和概念	2009年出版
18	ISO/IEC 27033-2	信息技術(shù)–安全技術(shù)–網(wǎng)絡(luò)安全–第2部分：設(shè)計和實施網(wǎng)絡(luò)安全指南	2012年出版
19	ISO/IEC 27033-3	信息技術(shù)–安全技術(shù)–網(wǎng)絡(luò)安全–第3部分：參考網(wǎng)絡(luò)情境–威脅、設(shè)計技術(shù)和控制活動	2010年出版
20	ISO/IEC 27033-4	信息技術(shù)–安全技術(shù)–網(wǎng)絡(luò)安全–第4部分：使用安全網(wǎng)關(guān)確保網(wǎng)絡(luò)間的通信安全–威脅、設(shè)計技術(shù)和控制活動	工作組草案
21	ISO/IEC 27034-1	應(yīng)用安全–第1部分：概述和概念	2011年出版
22	ISO/IEC 27034-2	應(yīng)用安全–第2部分：組織規(guī)范性框架	批準的新項目
23	ISO/IEC 27034-3	應(yīng)用安全–第3部分：應(yīng)用安全管理過程	批準的新項目
24	ISO/IEC 27034-4	應(yīng)用安全–第4部分：應(yīng)用安全確認	批準的新項目
25	ISO/IEC 27034-5	應(yīng)用安全–第5部分：協(xié)議和應(yīng)用安全控制的數(shù)據(jù)結(jié)構(gòu)	批準的新項目
26	ISO/IEC 27035	信息技術(shù)–安全技術(shù)–信息安全事件管理	2011年出版
27	ISO/IEC 27036	信息技術(shù)–安全技術(shù)–外包安全指南	批準的新項目
28	ISO/IEC 27037	識別、收集、獲取和保存數(shù)字證據(jù)指南	2012年出版
29	ISO/IEC 27038	信息技術(shù)–安全技術(shù)–數(shù)字化修訂詳述	批準的新項目

3、ISO27001標準內(nèi)容簡介
ISO27001：2013標準包括14控制領(lǐng)域（見表2）、35個控制目標和113項控制措施，為組織提供全方位的信息安全保障。
表2 ISO27001：2013版標準控制目標

控制域	控制目標
A.5安全方針	A.5.1信息安全方針
A.6信息安全組織	A.6.1內(nèi)部組織 A.6.2移動設(shè)備和遠程工作
A.7人力資源安全	A.7.1雇傭前 A.7.2雇傭期間 A.7.3雇傭終止或變更
A.8資產(chǎn)管理	A.8.1資產(chǎn)責任 A.8.2信息分類 A.8.3介質(zhì)處置
A.9訪問控制	A.9.1安全區(qū)域 A.9.2用戶訪問管理 A.9.3用戶職責 A.9.4系統(tǒng)和應(yīng)用訪問控制
A.10密碼學(xué)	A.10.1密碼控制
A.11物理和環(huán)境安全	A.11.1安全區(qū)域 A.11.2設(shè)備
A.12操作安全	A.12.1操作規(guī)程和職責 A.12.2惡意軟件防護 A.12.3備份 A.12.4日志和監(jiān)視 A.12.5運行軟件控制 A.12.6技術(shù)脆弱性管理 A.12.7信息系統(tǒng)審計考慮
A.13通信安全	A.13.1網(wǎng)絡(luò)安全管理 A.13.2信息交換
A.14系統(tǒng)獲取、開發(fā)和維護	A.14.1信息系統(tǒng)的安全需求 A.14.2開發(fā)和支持過程中的安全 A.14.3測試數(shù)據(jù)
A.15供應(yīng)商關(guān)系	A.15.1供應(yīng)商關(guān)系的信息安全 A.15.2供應(yīng)商服務(wù)交付管理
A.16信息安全事件管理	A.16.1信息安全事件和改進的管理
A.17業(yè)務(wù)連續(xù)性管理的信息安全方面	A.17.1信息安全連續(xù)性 A.17.2冗余
A.18符合性	A.18.1符合法律和合同要求 A.18.2信息安全評審

4、標準特點
ISO27001:2013版新標準特點：
1.    1)采用新結(jié)構(gòu)，在ISO27001:2013新版當中采用ISO導(dǎo)則83做結(jié)構(gòu)性要求，這個結(jié)構(gòu)未來在ISO其他標準改版中會普遍采用，將未企業(yè)管理體系融合提供了統(tǒng)一的體系架構(gòu)，管理體系融合將更加便捷。新結(jié)構(gòu)保持與PDCA方法的對應(yīng)關(guān)系。
2.         2）控制更精簡
  ISO27001:2013附錄A中將舊版133個控制項縮減到113個，合并了類型的控制措施（如變更管理），新增的控制項目比如對智能型裝置的管理、強化ICT供應(yīng)鏈的委外管理、以及系統(tǒng)開發(fā)項目管理的信息安全要求等，以反映目前信息安全的發(fā)展趨勢。。
  ISO27001:2013將通信與操作管理領(lǐng)域拆分為通信安全與操作安全兩個領(lǐng)域，比舊版標準更清晰的反應(yīng)了實際的需求，與企業(yè)的信息系統(tǒng)的管理實踐結(jié)合更緊密。ISO27001:2013將舊版業(yè)務(wù)連續(xù)性管理更新為信息安全方面的業(yè)務(wù)連續(xù)性管理，表述更準確。
3.         3）提供更多參考
  此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的方面以及風險進行深度的強化，通過ISO 27001認證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務(wù)、數(shù)字鑒識、供應(yīng)鏈管理、軟件開發(fā)測試等，企業(yè)組織可參考這些指引做升級的要求。
二、認證的價值和適用范圍
§ ISMS認證的價值有以下幾點：
  1）符合法律法規(guī)要求：
  證書的獲得，可以向權(quán)威機構(gòu)表明，組織遵守了所有適用的法律法規(guī)。從而保護企業(yè)和相關(guān)方的信息系統(tǒng)安全、知識產(chǎn)權(quán)、商業(yè)秘密等。
  2）維護企業(yè)的聲譽、品牌和客戶信任：
  證書的獲得，可以向合作伙伴、股東和客戶表明組織為保護信息而付出的努力，令其對組織的信心將得到加強。同樣的，證書的獲得，有助于確定組織在同行業(yè)內(nèi)的競爭優(yōu)勢，提升其市場地位。事實上，現(xiàn)在很多國際或國內(nèi)的投標項目已經(jīng)開始要求ISO27001的符合性了。
  3）履行信息安全管理責任：
  證書的獲得，本身就能證明組織在各個層面的安全保護上都付出了卓有成效的努力，表明管理層履行了相關(guān)責任。
  4）增強員工的意識、責任感和相關(guān)技能：
  證書的獲得，可以強化員工的信息安全意識，規(guī)范組織信息安全行為，減少人為原因造成的不必要的損失。
  5）保持業(yè)務(wù)持續(xù)發(fā)展和競爭優(yōu)勢：
信息安全管理體系的建立，意味著組織核心業(yè)務(wù)所賴以持續(xù)的各項信息資產(chǎn)得到了妥善保護，并且建立有效的業(yè)務(wù)持續(xù)性計劃框架，提升了組織的核心競爭力。
  6）實現(xiàn)風險管理：
  有助于更好地了解信息系統(tǒng)，并找到存在的問題以及保護的辦法，保證組織自身的信息資產(chǎn)能夠在一個合理而完整的框架下得到妥善保護，確保信息環(huán)境有序而穩(wěn)定地運作。
  7）減少損失，降低成本：
  ISMS的實施，能降低因為潛在安全事件發(fā)生而給組織帶來的損失，在信息系統(tǒng)受到侵襲時，能確保業(yè)務(wù)持續(xù)開展并將損失降到低程度
§ ISMS認證的適用范圍
  信息安全管理標準正式發(fā)布后得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標準。
信息安全管理對每個企業(yè)或組織來說都是需要的，所以信息安全管理體系認證具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。

返回目錄