ISO27001信息安全管理體系認證介紹

ISO已為信息安全管理體系標準預留了ISO/IEC 27000系列編號，類似于質量管理體系的ISO 9000系列和環境管理體系的ISO 14000系列標準。規劃的ISO 27000系列包含下列標準：上述標準中，ISO 27001是ISO 27000系列的主標準，類似于ISO 9000系列中的ISO9001，各類組織可以按照ISO 27001的要求建立自己的信息安全管理體系（ISMS），并通過認證。目前的有效版本是ISO/IEC 27001：2005。 

ISO27001：2005信息安全管理體系（ISMS）表明組織對信息安全地、客戶要求和持續改進的承諾，其中由以下幾部分組成： 

ISO17799信息安全管理實施指南用于指導ISMS的推行 

ISO27001：2005信息安全管理體系標準是用于ISMS的認證 



ISO27001信息安全管理體系的信息安全是指

信息安全 (Information security): 是指信息的保密性 (Confidentiality) 、完整性 (Integrity) 和可用性 (Availability) 的保持。 

保密性：為保障信息僅僅為那些被授權使用的人獲取。 

信息的保密性是針對信息被允許訪問（ Access ）對象的多少而不同，所有人員都可以訪問的信息為公開信息，需要限制訪問的信息一般為敏感信息或秘密，秘密可以根據信息的重要性及保密要求分為不同的密級，例如國家根據秘密泄露對國家經濟、安全利益產生的影響（后果）不同，將國家秘密分為秘密、機密和絕密三個等級，組織可根據其信息安全的實際，在符合《國家保密法》的前提下將其信息劃分為不同的密級；對于具體的信息的保密性有時效性，如秘密到期解密等。 

完整性：為保護信息及其處理方法的準確性和完整性。 

信息完整性一方面是指信息在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等，另一方面是指信息處理的方法的正確性。不正當的操作，如誤刪除文件，有可能造成重要文件的丟失。 

可用性：為保障授權使用人在需要時可以獲取信息和使用相關的資產。 

信息的可用性是指信息及相關的信息資產在授權人需要的時候，可以立即獲得。例如通信線路中斷故障會造成信息的在一段時間內不可用，影響正常的商業運作，這是信息可用性的破壞。不同類型的信息及相應資產的信息安全在保密性、完整性及可用性方面關注點不同，如組織的專有技術、市場營銷計劃等商業秘密對組織來講保守機密尤其重要；而對于工業自動控制系統，控制信息的完整性相對其保密性重要得多。 




ISO27001信息安全管理體系的作用 

任何組織，不論它在信息技術方面如何努力以及采納如何新的信息安全技術，實際上在信息安全管理方面都還存在漏洞，例如： 

缺少信息安全管理論壇，安全導向不明確，管理支持不明顯； 

缺少跨部門的信息安全協調機制； 

保護特定資產以及完成特定安全過程的職責還不明確； 

雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產和工作場所； 

組織信息系統管理制度不夠健全； 

組織信息系統主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等； 

組織信息系統備份設備仍有欠缺； 

組織信息系統安全防范技術投入欠缺； 

軟件知識產權保護欠缺； 

計算機房、辦公場所等物理防范措施欠缺； 

檔案、記錄等缺少可靠貯存場所； 

缺少一旦發生意外時的保證生產經營連續性的措施和計劃； 信息處理過程及對信息起支持作用的信息系統和信息網絡都是重要的商務資產。信息的保密性、完整性和可用性對保持競爭優勢、資金流動、效益、法律符合性和商業形象都是至關重要的。然而，越來越多的組織及其信息系統和網絡面臨著包括計算機詐騙、間諜、蓄意破壞、火災、水災等大范圍的安全威脅，諸如計算機病毒、計算機入侵、 Dos 攻擊等手段造成的信息災難已變得更加普遍 , 有計劃而不易被察覺。組織對信息系統和信息服務的依賴意味著更易受到安全威脅的破壞，公共和私人網絡的互連及信息資源的共享增大了實現訪問控制的難度。許多信息系統本身就不是按照安全系統的要求來設計的，所以僅依靠技術手段來實現信息安全有其局限性，所以信息安全的實現必須得到管理和程序控制的適當支持。確定應采取哪些控制方式則需要周密計劃，并注意細節。信息安全管理至少需要組織中的所有雇員的參與，此外還需要供應商、顧客或股東的參與和信息安全的專家建議。在信息系統設計階段就將安全要求和控制一體化考慮，則成本會更低、效率會更高。 


ISO27001信息安全管理體系的認證流程

ISMS模型將整個信息安全管理體系建設項目劃分成五個大的階段，并包含25項關鍵的活動，如果每項前后關聯的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設整體藍圖，接受ISO27001審核并獲得認證更是水到渠成的事情。 

現狀調研階段：從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研，通過培訓使組織相關人員全面了解信息安全管理的基本知識。包括：

項目啟動：前期溝通，實施計劃，項目小組，資源支持，啟動會議。

前期培訓：信息安全管理基礎，風險評估方法。

現狀評估：初步了解信息安全現狀，分析與ISO27001標準要求的差距。

業務分析：訪談調查，核心與支持業務，業務對資源的需求，業務影響分析。

風險評估階段：對組織信息資產進行資產價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當的措施、方法實現管理風險的目的。

資產識別：識別組織的各種信息資產。

風險評估：重要資產、威脅、弱點、風險識別與評估。

管理策劃階段：根據組織對信息安全風險的策略，制定相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。

文件編寫：編寫ISMS各級管理文件，進行Review及修訂，管理層討論確認。

發布實施：ISMS實施計劃，體系文件發布，控制措施實施。

中期培訓：全員安全意識培訓，ISMS實施推廣培訓，必要的考核。

體系實施階段：ISMS建立起來（體系文件正式發布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩定性。

認證申請：與認證機構磋商，準備材料申請認證，制定認證計劃，預審核。

后期培訓：審核員等角色的專業技能培訓。

內部審核：審核計劃，Checklist，內部審核，不符合項整改。

管理評審：信息安全管理委員會組織ISMS整體評審，糾正預防。 

認證審核階段：經過一定時間運行，ISMS達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。

認證準備：準備送審文件，安排部署審核事項。

協助認證：內部審核小組陪同協助，應對審核問題。