ISO27001信息管理體系認證

認識ISO27001標準

??ISO27001（BS7799/ISO17799）國際標準究竟是什么？它如何幫助一個組織更加有效地管理信息安全？BS7799/ISO27001和ISO9001之間有什么聯系？初次涉獵信息安全管理領域應該掌握哪些內容，以便組織發起信息安全管理

項目？如何獲得BS7799國際標準認證？???

IT治理和信息安全??

??近年來企業高層對內部治理需求越來越實際而具體。隨著信息技術普遍滲透到企業組織中的各個方面，企業越來越依賴IT系統來處理和儲存各種信息，以保證業務正常運營，由此IT系統在企業治理中的作z用越來越明晰，IT治理也逐漸被大多數企業認可，成為董事會和企業內部共同關注的領域。IT治理的基礎部分是信息安全保護——包括確保信息的可用性、機密性和完整性——這是其他IT治理環節實施的前提。?

??與此同時，和信息安全相關的國際標準已經出臺，成為標準IT治理框架中的一大基石。?????

??業內人士對ISO27001認證趨之若鶩，這其中有兩個關鍵性的驅動因素：一是日益嚴峻的信息安全威脅，二是不斷增長的信息保護相關法規的需求。?

??本質上說，信息安全威脅是全球化的。一般來說，它將毫無差別地輻射到每一個擁有、使用電子信息的機構和個人。這種威脅在因特網的環境中自動生成并釋放。更嚴重的問題是，其他各種形式的危險也在整日威脅數據安全，包括從外部攻擊行為到內部破壞、偷盜等一系列危險。?

??過去的十年內，圍繞信息和數據安全問題建立起來的法律法規體系從無到有、不斷壯大，其中包括專門針對個人數據保護問題的，也有針對企業財政、運營和風險管理體系建立的法規保障問題的。一套正式規范的信息安全管理體系應當可以提供最佳實踐部署指導。目前，建立這樣的管理體系逐漸成為諸多合規項目的必要條件，與此同時，針對該管理體系的認證逐漸成為各種組織（包括政府部門）的熱門需求，這份認證可以為他們帶來重要的潛在商業合同。???

信息安全和技術?

??絕大多數人認為信息安全是一個純粹的有關技術的話題，只有那些技術人員，尤其是計算機安全技術人員，才能夠處理任何保障數據和計算機安全的相關事宜。這固然有一定道理。不過，實際上，恰恰是計算機用戶本身需要考慮這樣的問題：避免哪些威脅？在信息安全和信息通暢中如何平衡取舍？的確如此，一旦用戶給出答案，計算機安全專家就可以設計并執行一個技術方案以達成用戶需求。?

??在組織內部，管理層應當負責決策，而不是IT部門。一個規范的信息安全管理體系必須明確指出，組織機構董事會和管理層應當負責相關信息安全管理體系的決策，同時，這個體系也應當能夠反映這種決策，并且在運行過程中能夠提供證據證明其有效性。?

??所以機構組織內部的信息安全管理體系的建立項目不必由一個技術專家來領導。事實上，技術專家在很多情況下起到相反的作用，可能會阻礙項目進程。因此，這個項目應該由質量管理經理、總經理或者其他負責機構內部重大職能的執行主管負責主持。???

信息安全標準?

??1995年，英國標準機構（BSI）發布BS7799標準，即ISMS（信息安全管理體系），旨在規范、引導信息安全管理體系的發展過程和實施情況。BS7799標準被外界認為是一個不偏向任何技術、任何企業和產品供應商的價值中立的管理體系。只要實施得當，BS7799標準將幫助企業檢查并確認其信息安全管理手段和實施方案的有效性。?

??從企業外部來看，BS7799關注信息的可用性、機密性和完整性，至今這仍然是這項標準致力達到的目標。BS7799集中關注企業組織層面上的風險規避（一定程度上主要是商業和金融風險），而不包括避免每一個潛在風險的保護措施——盡管它們至關重要。?

??BS7799最初僅有一份文檔，且具有明顯的實踐指南性質。也就是說，它為組織提供信息安全指引，但沒有形成規范，不能為外部第三方審計和認證等提供依據。隨著越來越多的企業開始認識到來自信息安全的威脅波及范圍越來越廣，影響程度越來越大，并且關于數據和隱私權保護的法律法規不斷出臺，信息安全標準認證的需求開始不斷增加。???

????這種需求的增加最終促成了該項標準第二部分的出臺，即標準規范。實踐指南和標準規范之間的關系是這樣的：標準規范是認證方案的基礎，同時標準規范要求實踐者遵從實踐指南的指引。?

??這個實踐指南最近被修訂為ISO/IEC?17799：2005，標準規范也被修訂為ISO/IEC?27001:2005，逐步得到國際認同。?

??許多國家也已發布了自己的相關標準，比如AS/NZS7799。這些標準的國際化版本可以在世界任何國家得到認可，這促使了本土化標準的消退（除了基于兩個標準號碼基礎上的本土化標準以外）。???

認證與遵從?

??一個組織可以僅遵從ISO17799來建立和發展ISMS（信息安全管理體系），因為實踐指南中的內容是普遍適用的。然而，由于ISO17799并非基于認證框架，它不具備關于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講，這就表明一個正在獨立運用ISO17799的機構組織，完全符合實踐指南的要求，但是這并不足以讓外界認可其已經達到認證框架所制定的認證要求。不同的是，一個正在同時運用ISO27001和ISO17799標準的機構組織，可以建立一個完全符合認證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認同，即獲得認證。???

ISO27001認證要求與其他管理標準?

??ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質量管理的經驗舉足輕重。?

??但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權，才能為認證組織提供認證服務，并發放認證證書。大多數國家都有自己的國家鑒定機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。???

風險評估和風險應對計劃?

??任何一個ISMS體系的建立和開發都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業務模式、運營目標、形象特點和內部文化，他們對待風險的態度傾向也大相徑庭。換句話說，同一個東西，一個機構組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構組織對于既有風險防護的投入也參差不齊?；谝陨匣蛘咂渌?，每個運行ISMS的組織，其內部成員必須對風險評估有一個共識，這個風險評估的方法論、結果發現和推薦解決方式都必須得到董事會的首肯。???

著手準備ISMS項目和PDCA流程?

??ISMS項目很復雜，可能持續若干個月甚至若干年，涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務實的角度考慮，這表明在項目計劃過程中，必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。?

??ISO27001標準指導一個企業如何著手開展ISMS項目，并且關注整個項目進程中的若干重要元素。?

??1950年W.?Edwards?Deming提出PDCA流程，即計劃（Plan）－執行（Do）－檢查（Check）－提升（Act）過程，意在說明業務流程應當是不斷改進的，該方法使得職能部門經理可以識別出那些需要修正的環節并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執行，而后對其運行結果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結果偏差（即潛在改進的可能性），最后向管理層提出如何運行的最終報告。?

?

ISO27001?咨詢顧問服務內容?

咨詢內容?

1?項目準備階段?

目的：充分體現領導作用和全員參與的原則，確保各個層面意識到管理體系的必要性和管理層的決心??

內容：咨詢工作關注貴公司為啟動該項目所必需的組織準備?包括：?

??1.）?理解管理層意圖，滲透管理思路；?

??2.）?將實施ISO27001項目的決定、目的、意義、要求在組織內傳達，這也是體現內部溝通，提高全體員工意識的必要手段；?????

????3.)??組織建設，包括任命管理者代表、成立貫標組織機構、各級質量及信息?安全管理人員，明確其職責。?

2?現場診斷?

目的：了解現狀，尋找與標準的差距?

內容：實施診斷?包括：根據貴公司的主要業務流程所產生的信息流及其所依賴的計算環境（包括硬件、軟件、數據、人力、服務等）進行安全要求的確定；對企業現行業務流程進行全面的了解，按照標準評估企業的質量體系；識別各業務流程所采取的管理流程和管理職責；對照標準要求，尋找改進的機會；根據ISO27001的風險評估方法論，國家標準，制定科學、有效、適用的風險評估方法。??????

?3?管理層培訓??

目的：提升各級領導和全員的質量和安全意識，使內審員具備相應能力?

內容：培訓是落實要求的重要手段，索信達十分注重培訓?包括：?

管理層培訓擴大到中層領導，最后與高層領導在一起培訓，高層領導的?參與就是一種榜樣的力量，有助于全體員工質量及信息安全意識的提高；??

4??整合體系文件架設計??

目的：策劃覆蓋各個業務流程的系統的文件化程序，包括作業指導書。?

內容：根據現場診斷的結果，梳理所有管理活動流程，根據標準要求形成管理體系文件清單，?

包括：根據所識別的業務流程，形成管理活動流程圖；優化或再造業務流程，保證管理活動的系統和順暢；根據流程圖及流程的復雜程度，策劃符合標準要求和實際業務要求的管理體系文件清單；形成管理體系文件說明，包括文件的目的、管控范圍、職責、管理活動接口、管理流程等；與各業務流程負責人溝通修訂文件清單??

5??確定質量和信息安全方針和目標?

目的：明確質量和信息安全方針和目標，為管理體系提供導向。?

內容：根據業務要求及組織實際情況，制定質量和安全方針和目標，?

包括：與最高管理者進行溝通，理解管理意圖和管理要求，設計質量和安全方針；根據方針的要求，制定目標，并分解到各個管理活動中，形成可測量的指標體系，確保方針和目標得以實現；????

6??建立管理組織機構??

目的：建立完善的內控組織架構，為整合體系提供支持。??

內容：良好的組織架構是確保各項管理活動落實的根本。?

包括：建立整合體系管理委員會，就重大質量管理和信息安全事項進行決策；?

建立管理協調小組，就日常管理活動中的質量及信息安全事項進行溝通改進；?

明確管理活動中各流程責任人的職責，并文件化。?

7??信息安全風險評估?

目的：實施風險評估，識別不可接受風險，明確管理目標；??

內容：風險評估是整個風險管理的基礎，本階段將根據前期策劃的風險評估方法。?

包括：根據業務要求及信息的密級劃分，對信息資產的重要程度進行判定，識別對關鍵核心業務具有關鍵作用的信息資產清單；對重要信息資產從內部及外部識別其所面臨的威脅；根據威脅，從管理和技術兩方面識別重要信息資產所存在的薄弱點；根據風險評估的方法指南，對威脅利用薄弱點對重要信息資產所產生的風險在保密性、完整性、可用性三方面所造成的影響進行評價；評價威脅利用薄弱點引發安全風險事件的可能性；根據風險影響及發生的可能性評價風險等級；根據信息安全方針，各核心業務流程的安全要求，與管理層進行溝通，確定不可接受風險等級的標準；針對不可接受的高風險，制定風險處理計劃，從ISO27002及顧問的行業經驗來選擇適宜的風險管控措施；實施所選擇的控制措施，降低轉移或消除安全風險；編寫風險評估報告。??

8??體系文件編寫??

目的：建立文件化的管理體系。?

內容：根據文件體系策劃的結果，編寫管理體系文件。?

包括：整合體系手冊，明確各管理過程的順序及相互關系；整合體系所要求的程序文件，從體系維護管理、資產管理、物理環境安全、人力資源安全、訪問控制、通信和運作管理、業務連續性管理、信息安全事件管理、符合性等方面對各類管理活動及作業指導進行文件化；制定各類安全策略，如：電子郵件策略、互聯網訪問策略，訪問控制策略等。??

9??管理體系記錄的設計?

目的：設計科學的管理體系記錄，保證各管理流程的可控性和可追溯性。?

內容：根據各個管理流程和文件對管理過程的記錄要求，設計記錄表格格式?

包括：搜集原有管理記錄；優化記錄或重新設計；溝通記錄的形式和管理記錄填寫的必要性，保證管理體系的可控性與記錄保持的數量之間的平衡。

10??管理體系文件審核??

目的：確保管理體系文件的系統性、有效性和效率。?

內容：對管理體系文件進行評審?

包括：對照風險評估結果及SoA的框架，對照核心業務流程，審核程序文件及作業指導書的系統性；針對每一個具體的管理流程，審核文件所描述的管理職責、管理活動是否符合實際情況，流程責任人是否能夠按照文件要求執行管理活動；?

針對文件所要求的管理活動，審核其效率是否滿足管理的要求；形成文件審核的結論，并通過管理層的審批，對文件進行修訂，形成發布稿?

11??體系文件發布實施?

目的：發布管理體系文件，落實管理要求。?

內容：由最高管理者組織發布管理文件，并提出管理要求?

包括：召開文件發布會，最高管理者提出管理體系運行的總要求，使全員意識到管理體系文件是管理活動的行動指南和強制要求；各流程責任人根據管理體系文件的要求落實各項管理活動，保持管理體系所要求的記錄；認證項目組搜集體系運行中所發現的問題，包括流程上的、職責上的、資源上的、技術上的等，統一修改、處理、答復。?

12??組織全員進行文件學習??

目的：確保管理體系文件要求在各個層級、各個崗位均得到有效的溝通和理解。?

內容：培訓是提升質量和安全意識，明確質量和安全要求的有效途徑，組織全員參與到體系的運行維護中，發揮每一個員工的重要作用?

包括：充分考慮管理活動的范圍，設計分層次、分階段的系統性的培訓計劃；?

培訓中考慮到管理要求的內容，也將考慮到技術上的要求，不簡單的對?體系文件照本宣科；對培訓的效果進行評價，采用考試、實際操作、討論等多種方式進行，確保培訓的有效性。?

13??業務連續性管理??

目的：確保在任何情況下，核心業務均可保持提供連續提供服務的能力。??

內容：根據標準要求，結合英國標準協會BSI最新發布的BS25999業務連續性管理標準，對重大的災難性事件發生時所引發的業務中斷進行應急響應和災難恢復的設計?

包括：從戰略的層面進行業務連續、永續經營的考慮，明確各核心業務流程的最大可容許中斷時間；識別核心業務可能遭受到的災難性風險事件；?評估災難性事件所引發的影響；針對災難性事件，設計管控措施，制定詳細的業務連續性計劃，包括應急響應的組織架構、人員職責、響應流程、恢復流程等；實施業務連續性計劃所要求的管理上及技術上的改進；測試業務連續性計劃的每一個步驟，確保其有效性；根據測試的結果進一步改進業務連續性計劃，為應對災難事件提供信心保證。?

14??內部審核???

目的：實施內部審核，發現管理體系運行中的不符合，尋找改進的機會。?

內容：根據項目計劃實施內部審核?

包括：制定內部審核計劃，與受審核人員進行溝通；召開內部審核首次會議，明確審核計劃、審核范圍、審核目的、審核活動的安排等事項；帶領內審員實施現場審核活動：根據審核發現開具不符合項報告，明確審核的對象、審核發現、不符合事實、改進要求，并確定整改責任人，限期改進：召開內部審核末次會議，報告所有的審核發現：對不符合事項進行跟蹤驗證，確保所有的不符合均被有效關閉。?

15??管理體系有效性測量?

目的：根據量化指標，測量管理體系的有效性。?

內容：制定測量的方法論，根據?ISO27004?指南的內容，進行管理體系有效性測量。?

包括：設計測量方法，從各個管理流程中制定安全關鍵績效指標KPI；搜集運行過程中的記錄數據，利用量化的數據分析，體現管理體系所帶來的改進；對比信息安全管理目標和指標體系，測量KPI是否達成管理目標的要求；對所發現的問題進行溝通，制定糾正預防措施并落實責任人，改進管理體系的有效性。?

16??管理評審??

目的：將體系運行過程中的成效和問題向管理層匯報，由最高管理者提出改進的要求和資源的支持。?

內容：根據管理評審流程的要求實施管理評審，?

包括：制定管理評審計劃；準備管理評審輸入材料，包括風險狀況、安全措施落實情況、各相關方的反饋、業務連續性管理架構、管理體系內部審核情況、體系有效性測量報告等；召開管理評審會議；根據最高管理者提出的管理要求，實施糾正預防措施或管理改進方案；跟蹤糾正預防措施及管理改進方案的落實情況。??

17??認證機構初訪及正式審核?

目的：由第三方權威機構審核管理體系的有效性。??

內容：由認證機構對索信達所提供的咨詢服務進行進一步的審核驗證，發現改進機會?

包括：與審核機構溝通審核的時間計劃安排；實施審核活動，并提交審核報告；?

根據審核報告，制定必要的糾正預防措施，并將改進的證據提交審核機構；?

獲得質量管理體系和信息安全管理體系認證證書。