[实用参考]ISO27001简介

ISO/IEC27001简介冯真凯目录背景介绍27001新版解析27001新版内容建立ISMS27001认证介绍一、背景介绍ISO27001发展历史对应国内标准2005年6月15日，我国发布了国家标准《信息安全管理实用规则》(GB/T19716-2005)。该标准修改采用了ISO/IEC17799:2000标准。2008年6月19日，GB/T19716-2005作废，改为GB/T22081-2008。GB/T22080-2008信息安全管理体系要求对应ISO/IEC27001:2005ISO27000标准家族与其他标准的兼容性本标准与GB/T19001-2000及GB/T24001-1996相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T19001-2000（ISO9001:2000）和GB/T24001-1996（ISO14001:2004）的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。（引用自ISO/IEC27001:2005中“0.3与其它管理体系的兼容性”）注：ISO14001:2004－环境管理体系－规范及使用指南ISO9001:2000－国际性质量管理标准与其他标准的兼容性(续)二、27001新版解析新标准特点新标准架构变化新标准内容构成核心内容变化附录A变化附录A控制领域结构附录A控制领域的变化附录A控制项的增删调整三、27001新版内容◆前言◆引言◆1范围◆2规范性引用文件◆3术语和定义◆4组织环境◆5领导◆6规划◆7支持◆8运行◆9绩效评价◆10改进◆附录A(规范性附录)参考控制目标和控制措施◆参考文献本标准的重点章节是4－10章。ISO27001新版的内容第四章组织的背景4.1了解组织现状及背景组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题，以达到信息安全管理体系的预期效果。4.2理解相关方的需求和期望a)信息安全管理体系的相关方；b)这些相关方信息安全相关要求；4.3确定ISMS的范围组织应确定信息安全管理体系的边界和适用性，以确定其范围。4.4建立ISMS组织应按照本国际标准的要求建立，实施，保持和持续改进信息安全管理体系。PDCA某银行实施信息安全管理，先期所确定的范围为：因特网银行服务。具体识别为：提供网上银行服务的人员人员使用的流程系统操作手册安全手册网银规程使用的信息顾客的详细信息内部的银行数据来自其它银行的外部数据用以提供在线交易的网络服务顾客接入与其它银行的连接和接口（内部和外部）便利在线服务的技术桌面计算机和其它ICT设备电话范围说明实例第五章领导力5.1领导和承诺高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺：a)确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致；b)确保将信息安全管理体系要求整合到组织的业务过程中；c)确保信息安全管理体系所需资源可用；d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性；e)确保信息安全管理体系实现其预期结果；f)指挥并支持人员为信息安全管理体系的有效实施作出贡献；g)促进持续改进；h)支持其他相关管理角色在其职责范围内展示他们的领导力；第五章领导力5.2方针高层管理者应建立信息安全方针，以：a)适于组织的目标；b)包含信息安全目标（见6.2）或设置信息安全目标提供框架；c)包含满足适用的信息安全相关要求的承诺；d)包含信息安全管理体系持续改进的承诺。信息安全方针应：e)文件化并保持可用性；f)在组织内部进行传达；g)适当时，对相关方可用。第五章领导力5.3组织角色，职责和权限高层管理者应确保分配并传达了信息安全相关角色的职责和权限。高层管理者应分配下列职责和权限：a)确保信息安全管理体系符合本标准的要求；b)将信息安全管理体系的绩效报告给高层管理者。注：高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。第六章规划6.1应对风险和机会的措施6.1.1总则当规划信息安全管理体系时，组织应考虑4.1中提及的问题和4.2中提及的要求，确定需要应对的风险和机会，以：a)确保信息安全管理体系能实现其预期结果；b)防止或减少意外的影响；c)实现持续改进。组织应规划：d)应对这些风险和机会的措施；e)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程；2)评价这些措施的有效性。第六章规划6.1.2信息安全风险评估组织应定义并应用风险评估过程，以：a)建立并保持信息安全风险准则，包括：1)风险接受准则；2)执行信息安全风险评估的准则；b)确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果；c)识别信息安全风险：1)应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险；2)识别风险负责人；第六章规划6.1.2信息安全风险评估d)分析信息安全风险：1)评估所识别风险发生后将导致的潜在影响；2)评估所识别风险发生的现实可能性；3)确定风险级别；e)评价信息安全风险；1)将风险分析结果同建立的风险准则进行比较；2)为实施风险处置确定已分析风险的优先级。组织应保留信息安全风险评估过程的文件记录信息。第六章规划6.1.3信息安全风险处置组织应定义并应用信息安全风险处置过程，以：a)在考虑风险评估结果的前提下，选择适当的信息安全风险处置选项：b)为实施所选择的信息安全风险处置选项，确定所有必需的控制措施；注：组织可按要求设计控制措施，或从其他来源识别控制措施。c)将所确定的控制措施与附录A的控制措施进行比较，以核实没有遗漏必要的控制措施；d)产生适用性声明。适用性声明要包含必要的控制措施、对包含的合理性说明以及对附录A控制措施删减的合理性说明；e)制定信息安全风险处置计划；f)获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。组织应保留信息安全风险处置过程的文件记录信息。第六章规划6.2信息安全目标和规划实现组织应在相关职能和层次上建立信息安全目标。组织应保留关于信息安全目标的文件记录信息。当规划如何实现其信息安全目标时，组织应确定：f)要做什么；g)需要什么资源；h)由谁负责；i)什么时候完成；j)如何评价结果。第七章支持7.1资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。7.2能力组织应：a)确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力；b)确保人员在适当教育，培训和经验的基础上能够胜任工作；c)适用时，采取措施来获得必要的能力，并评价所采取措施的有效性；d)保留适当的文件记录信息作为能力方面的证据。注：例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作；雇用或签约有能力的人员。第七章支持7.3意识人员在组织的控制下从事其工作时应意识到：a)信息安全方针；b)他们对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处；c)不符合信息安全管理体系要求可能的影响。7.4沟通组织应确定有关信息安全管理体系在内部和外部进行沟通的需求，包括：a)什么需要沟通；b)什么时候沟通；c)跟谁进行沟通；d)由谁负责沟通；e)影响沟通的过程。7.5文件记录信息第八章运行8.1运行的规划和控制组织应规划、实施和控制满足信息安全要求所需的过程，并实施6.1中确定的措施。组织还应实施这些规划来实现6.2中所确定的信息安全目标。8.2信息安全风险评估6.1.2a）中建立的风险评估执行准则，组织应按计划的时间间隔执行信息安全风险评估，当重大变更被提出或发生时也应执行信息安全风险评估。8.1信息安全风险处置组织应实施信息安全风险处置计划。注：在运行活动中都应保留相关文件记录。第九章绩效评价9.1监视、测量、分析、评价组织应评价信息安全绩效和信息安全管理体系的有效性。组织应确定：a)什么需要监视和测量，包括信息安全过程和控制措施；b)监视、测量、分析和评价的方法，适用时，确保结果有效；注：选择的方法最好产生可比较和可再现的结果，这样才能被认为是有效的。c)什么时候应执行监视和测量；d)谁应实施监视和测量；e)什么时候应对监视和测量的结果进行分析和评价；f)谁应分析和评价这些结果。组织应保留适当的文件记录信息作为监视和测量结果的证据。第九章绩效评价9.2内部审核组织应按计划的时间间隔进行内部审核，以提供信息确定信息安全管理体系是否：a)符合1)组织自身信息安全管理体系的要求；2)本标准的要求；b)得到有效的实施和保持。9.3管理评审管理者应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。第十章改进10.1不符合和纠正措施当发生不符合时，组织应：a)对不符合作出反应b)为确保不符合不再发生或不在其他地方发生，评价消除不符合原因的措施需求：c)实施所需的措施；d)评审所采取纠正措施的有效性；e)必要时，对信息安全管理体系实施变更。f)不符合的性质以及所采取的所有后续措施；g)所有纠正措施的结果。10.2持续改进组织应持续改进信息安全管理体系的适宜性、充分性和有效性。四、建立ISMSISMS(信息安全管理系统)ISO/IEC27001通篇就在讲一件事，ISMS(信息安全管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurityManagementSystem，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。PDCA（戴明环）PDCA（Plan、Do、Check和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19世纪30年代构想的，后来被戴明（EdwardsDeming）采纳、宣传并运用于持续改善产品质量的过程当中。1、P（Plan）--计划，确定方针和目标，确定活动计划；2、D（Do）--执行，实地去做，实现计划中的内容；3、C（Check）--检查，总结执行计划的结果，注意效果，找出问题；4、A（Action）--行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个PDCA循环。PDCA特点大环套小环，小环保大环，推动大循环PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。PDCA特点不断前进、不断提高PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。PDCA质量水平螺旋上升的PDCAPDCA和ISMS的结合确定ISMS方针根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：1）包括设定目标的框架和建立信息安全工作的总方向和原则；2）考虑业务和法律法规的要求，及合同中的安全义务；3）在组织的战略性风险管理环境下，建立和保持ISMS；4）建立风险评价的准则（见4.2.1c）；5）获得管理者批准。建立ISMS信息安全风险管理标准引用的有关风险管理的术语和定义●