ISO27001信息安全管理體系認(rèn)證介紹

ISO已為信息安全管理體系標(biāo)準(zhǔn)預(yù)留了ISO/IEC 27000系列編號(hào)，類似于質(zhì)量管理體系的ISO 9000系列和環(huán)境管理體系的ISO 14000系列標(biāo)準(zhǔn)。規(guī)劃的ISO 27000系列包含下列標(biāo)準(zhǔn)：上述標(biāo)準(zhǔn)中，ISO 27001是ISO 27000系列的主標(biāo)準(zhǔn)，類似于ISO 9000系列中的ISO9001，各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系（ISMS），并通過(guò)認(rèn)證。目前的有效版本是ISO/IEC 27001：2005。 

ISO27001：2005信息安全管理體系（ISMS）表明組織對(duì)信息安全地、客戶要求和持續(xù)改進(jìn)的承諾，其中由以下幾部分組成： 

ISO17799信息安全管理實(shí)施指南用于指導(dǎo)ISMS的推行 

ISO27001：2005信息安全管理體系標(biāo)準(zhǔn)是用于ISMS的認(rèn)證 



ISO27001信息安全管理體系的信息安全是指

信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。 

保密性：為保障信息僅僅為那些被授權(quán)使用的人獲取。 

信息的保密性是針對(duì)信息被允許訪問(wèn)（ Access ）對(duì)象的多少而不同，所有人員都可以訪問(wèn)的信息為公開(kāi)信息，需要限制訪問(wèn)的信息一般為敏感信息或秘密，秘密可以根據(jù)信息的重要性及保密要求分為不同的密級(jí)，例如國(guó)家根據(jù)秘密泄露對(duì)國(guó)家經(jīng)濟(jì)、安全利益產(chǎn)生的影響（后果）不同，將國(guó)家秘密分為秘密、機(jī)密和絕密三個(gè)等級(jí)，組織可根據(jù)其信息安全的實(shí)際，在符合《國(guó)家保密法》的前提下將其信息劃分為不同的密級(jí)；對(duì)于具體的信息的保密性有時(shí)效性，如秘密到期解密等。 

完整性：為保護(hù)信息及其處理方法的準(zhǔn)確性和完整性。 

信息完整性一方面是指信息在利用、傳輸、貯存等過(guò)程中不被篡改、丟失、缺損等，另一方面是指信息處理的方法的正確性。不正當(dāng)?shù)牟僮鳎缯`刪除文件，有可能造成重要文件的丟失。 

可用性：為保障授權(quán)使用人在需要時(shí)可以獲取信息和使用相關(guān)的資產(chǎn)。 

信息的可用性是指信息及相關(guān)的信息資產(chǎn)在授權(quán)人需要的時(shí)候，可以立即獲得。例如通信線路中斷故障會(huì)造成信息的在一段時(shí)間內(nèi)不可用，影響正常的商業(yè)運(yùn)作，這是信息可用性的破壞。不同類型的信息及相應(yīng)資產(chǎn)的信息安全在保密性、完整性及可用性方面關(guān)注點(diǎn)不同，如組織的專有技術(shù)、市場(chǎng)營(yíng)銷計(jì)劃等商業(yè)秘密對(duì)組織來(lái)講保守機(jī)密尤其重要；而對(duì)于工業(yè)自動(dòng)控制系統(tǒng)，控制信息的完整性相對(duì)其保密性重要得多。 




ISO27001信息安全管理體系的作用 

任何組織，不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實(shí)際上在信息安全管理方面都還存在漏洞，例如： 

缺少信息安全管理論壇，安全導(dǎo)向不明確，管理支持不明顯； 

缺少跨部門(mén)的信息安全協(xié)調(diào)機(jī)制； 

保護(hù)特定資產(chǎn)以及完成特定安全過(guò)程的職責(zé)還不明確； 

雇員信息安全意識(shí)薄弱，缺少防范意識(shí)，外來(lái)人員很容易直接進(jìn)入生產(chǎn)和工作場(chǎng)所； 

組織信息系統(tǒng)管理制度不夠健全； 

組織信息系統(tǒng)主機(jī)房安全存在隱患，如：防火設(shè)施存在問(wèn)題，與危險(xiǎn)品倉(cāng)庫(kù)同處一幢辦公樓等； 

組織信息系統(tǒng)備份設(shè)備仍有欠缺； 

組織信息系統(tǒng)安全防范技術(shù)投入欠缺； 

軟件知識(shí)產(chǎn)權(quán)保護(hù)欠缺； 

計(jì)算機(jī)房、辦公場(chǎng)所等物理防范措施欠缺； 

檔案、記錄等缺少可靠貯存場(chǎng)所； 

缺少一旦發(fā)生意外時(shí)的保證生產(chǎn)經(jīng)營(yíng)連續(xù)性的措施和計(jì)劃； 信息處理過(guò)程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭(zhēng)優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。然而，越來(lái)越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的安全威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、 Dos 攻擊等手段造成的信息災(zāi)難已變得更加普遍 , 有計(jì)劃而不易被察覺(jué)。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到安全威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問(wèn)控制的難度。許多信息系統(tǒng)本身就不是按照安全系統(tǒng)的要求來(lái)設(shè)計(jì)的，所以僅依靠技術(shù)手段來(lái)實(shí)現(xiàn)信息安全有其局限性，所以信息安全的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議。在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮，則成本會(huì)更低、效率會(huì)更高。 


ISO27001信息安全管理體系的認(rèn)證流程

ISMS模型將整個(gè)信息安全管理體系建設(shè)項(xiàng)目劃分成五個(gè)大的階段，并包含25項(xiàng)關(guān)鍵的活動(dòng)，如果每項(xiàng)前后關(guān)聯(lián)的活動(dòng)都能很好地完成，最終就能建立起有效的ISMS，實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖，接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。 

現(xiàn)狀調(diào)研階段：從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對(duì)組織信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研，通過(guò)培訓(xùn)使組織相關(guān)人員全面了解信息安全管理的基本知識(shí)。包括：

項(xiàng)目啟動(dòng)：前期溝通，實(shí)施計(jì)劃，項(xiàng)目小組，資源支持，啟動(dòng)會(huì)議。

前期培訓(xùn)：信息安全管理基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估方法。

現(xiàn)狀評(píng)估：初步了解信息安全現(xiàn)狀，分析與ISO27001標(biāo)準(zhǔn)要求的差距。

業(yè)務(wù)分析：訪談?wù){(diào)查，核心與支持業(yè)務(wù)，業(yè)務(wù)對(duì)資源的需求，業(yè)務(wù)影響分析。

風(fēng)險(xiǎn)評(píng)估階段：對(duì)組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析，從而評(píng)估組織信息安全風(fēng)險(xiǎn)，選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。

資產(chǎn)識(shí)別：識(shí)別組織的各種信息資產(chǎn)。

風(fēng)險(xiǎn)評(píng)估：重要資產(chǎn)、威脅、弱點(diǎn)、風(fēng)險(xiǎn)識(shí)別與評(píng)估。

管理策劃階段：根據(jù)組織對(duì)信息安全風(fēng)險(xiǎn)的策略，制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

文件編寫(xiě)：編寫(xiě)ISMS各級(jí)管理文件，進(jìn)行Review及修訂，管理層討論確認(rèn)。

發(fā)布實(shí)施：ISMS實(shí)施計(jì)劃，體系文件發(fā)布，控制措施實(shí)施。

中期培訓(xùn)：全員安全意識(shí)培訓(xùn)，ISMS實(shí)施推廣培訓(xùn)，必要的考核。

體系實(shí)施階段：ISMS建立起來(lái)（體系文件正式發(fā)布實(shí)施）之后，要通過(guò)一定時(shí)間的試運(yùn)行來(lái)檢驗(yàn)其有效性和穩(wěn)定性。

認(rèn)證申請(qǐng)：與認(rèn)證機(jī)構(gòu)磋商，準(zhǔn)備材料申請(qǐng)認(rèn)證，制定認(rèn)證計(jì)劃，預(yù)審核。

后期培訓(xùn)：審核員等角色的專業(yè)技能培訓(xùn)。

內(nèi)部審核：審核計(jì)劃，Checklist，內(nèi)部審核，不符合項(xiàng)整改。

管理評(píng)審：信息安全管理委員會(huì)組織ISMS整體評(píng)審，糾正預(yù)防。 

認(rèn)證審核階段：經(jīng)過(guò)一定時(shí)間運(yùn)行，ISMS達(dá)到一個(gè)穩(wěn)定的狀態(tài)，各項(xiàng)文檔和記錄已經(jīng)建立完備，此時(shí)，可以提請(qǐng)進(jìn)行認(rèn)證。

認(rèn)證準(zhǔn)備：準(zhǔn)備送審文件，安排部署審核事項(xiàng)。

協(xié)助認(rèn)證：內(nèi)部審核小組陪同協(xié)助，應(yīng)對(duì)審核問(wèn)題。