方奧小編帶您快速了解ISO27001認證

發布時間：2021-09-01 瀏覽次數：428次

• ISO27001信息安全管理體(ti)系認證(zheng)市場現(xian)狀

      隨著信(xin)息化水(shui)平的不(bu)斷提(ti)高，信(xin)息本(ben)身(shen)的價值越來越高，信(xin)息安(an)(an)(an)全(quan)(quan)(quan)(quan)風(feng)險始終存在，同時由于(yu)諸如(ru)敏感(gan)信(xin)息泄露、網(wang)(wang)絡(luo)非法(fa)劫持、核心系統宕機(ji)等信(xin)息安(an)(an)(an)全(quan)(quan)(quan)(quan)事(shi)件時有發(fa)生，國(guo)(guo)家出臺了如(ru)《中華人民共和(he)國(guo)(guo)網(wang)(wang)絡(luo)安(an)(an)(an)全(quan)(quan)(quan)(quan)法(fa)》、《互(hu)聯(lian)網(wang)(wang)個(ge)人信(xin)息安(an)(an)(an)全(quan)(quan)(quan)(quan)保(bao)護指南》、《加強工業互(hu)聯(lian)網(wang)(wang)安(an)(an)(an)全(quan)(quan)(quan)(quan)工作的指導意見(jian)》、《中華人民共和(he)國(guo)(guo)密(mi)碼法(fa)》、《電信(xin)和(he)互(hu)聯(lian)網(wang)(wang)行業提(ti)升(sheng)網(wang)(wang)絡(luo)數(shu)據(ju)安(an)(an)(an)全(quan)(quan)(quan)(quan)保(bao)護能(neng)力專項行動(dong)方案》等意見(jian)法(fa)規文件，對企(qi)業實施信(xin)息安(an)(an)(an)全(quan)(quan)(quan)(quan)管(guan)理提(ti)出了更高的要求(qiu)。實施信(xin)息安(an)(an)(an)全(quan)(quan)(quan)(quan)管(guan)理體系（ISO27001）并(bing)通過第三方認證，重要性日漸凸顯。

  本文之后(hou)將圍(wei)繞體系標準(zhun)(zhun)介紹、標準(zhun)(zhun)實施收(shou)益、如(ru)何(he)通過信(xin)息安全管理(li)體系認證三個方面(mian)，給大(da)家做(zuo)簡要介紹。

  1、信息安全管理體系標準介紹

  信(xin)息安(an)(an)全(quan)(quan)管(guan)(guan)理(li)(li)體(ti)(ti)(ti)系（Information Security Management System，簡稱ISMS）的(de)概念(nian)最初來源于英國(guo)標(biao)準(zhun)學會(hui)制(zhi)定的(de)BS7799-1：1995《信(xin)息安(an)(an)全(quan)(quan)管(guan)(guan)理(li)(li)實施細則》。2002年，英國(guo)標(biao)準(zhun)學會(hui)發(fa)布了BS7799-2：2002《信(xin)息安(an)(an)全(quan)(quan)管(guan)(guan)理(li)(li)體(ti)(ti)(ti)系規范(fan)》，2005年10月，該規范(fan)通(tong)過了國(guo)際標(biao)準(zhun)化組織(zhi)ISO的(de)認可，正式成為國(guo)際標(biao)準(zhun)，被廣(guang)泛接(jie)受。這(zhe)套標(biao)準(zhun)是建(jian)立(li)信(xin)息安(an)(an)全(quan)(quan)管(guan)(guan)理(li)(li)體(ti)(ti)(ti)系的(de)一(yi)套需求(qiu)規范(fan)，其中詳(xiang)細說(shuo)明了建(jian)立(li)、實施和維(wei)護信(xin)息安(an)(an)全(quan)(quan)管(guan)(guan)理(li)(li)體(ti)(ti)(ti)系的(de)要求(qiu)，指出實施機(ji)構(gou)應該遵循的(de)風險評估標(biao)準(zhun)。

      目前現行的ISO27001：2013標(biao)準于2013年10月19日由國際標(biao)準化組織（ISO）正(zheng)式頒布實施。

  2、通過信息安全管理體系認(ren)證的(de)收益

  組織實施(shi)信(xin)息(xi)安(an)全(quan)(quan)管理體(ti)系(xi)，通過ISO27001標準認證，表示(shi)企(qi)業已經建立了一套科學(xue)有(you)效的體(ti)系(xi)作為(wei)保障，為(wei)企(qi)業帶來全(quan)(quan)面的價值(zhi)提升，包括但不限于以下五(wu)個方面:

  1）提升企業品(pin)牌形象(xiang)

  企(qi)業實施(shi)信息(xi)安(an)全(quan)(quan)管理體系并通過第三方認證機構相(xiang)關(guan)認證，能向(xiang)公眾和外部客戶展示自身的管理水平(ping)，能向(xiang)外部證明自身管理能力(li)符合相(xiang)關(guan)信息(xi)安(an)全(quan)(quan)標準及相(xiang)關(guan)法(fa)律法(fa)規的要求，體現企(qi)業較于同業企(qi)業的競爭優勢。

  2）獲取政(zheng)府財務(wu)支(zhi)持

  為相應(ying)國家相關行業(ye)政策，推進區(qu)域(yu)企(qi)業(ye)高質量發展(zhan)，鼓勵企(qi)業(ye)提升自(zi)身信息安全(quan)管理(li)能力(li)，各地主管部門對本(ben)地區(qu)通過(guo)第三方認(ren)證的(de)企(qi)業(ye)有不(bu)同(tong)的(de)財(cai)務補貼政策。

  3）其他(ta)資質(zhi)前置條件

   目前有許多IT行(xing)業(ye)(ye)內通(tong)用(yong)的(de)證書如業(ye)(ye)務(wu)連續性(xing)管理(li)(li)體(ti)系(xi)（ISO22301）、  云服務(wu)信息(xi)安全管理(li)(li)體(ti)系(xi)、（ISO27017）云隱(yin)私保(bao)護(hu)體(ti)系(xi)、（ISO27018）隱(yin)私信息(xi)安全管理(li)(li)體(ti)系(xi)（ISO27701）、個(ge)人(ren)身份(fen)信息(xi)保(bao)護(hu)管理(li)(li)體(ti)系(xi)（ISO21951）、國際云安全認證（C-STAR）等，在申(shen)報這些(xie)認證證書時，申(shen)報企(qi)業(ye)(ye)需要提前建(jian)立ISO27001管理(li)(li)體(ti)系(xi)并通(tong)過(guo)第三方(fang)認證。

  4）提高(gao)企(qi)業信息(xi)安全管理能力

  通過實施ISO27001，按照PDCA模型建立信(xin)息安全管理自我(wo)約束機制(zhi)，有助于企(qi)業識別信(xin)息安全風險并(bing)加改進規(gui)避，減(jian)少可能存在的安全隱患，降(jiang)低(di)潛在安全事(shi)件發(fa)生給企(qi)業帶來(lai)的損失，規(gui)范企(qi)業各(ge)個部門各(ge)個崗位的職責，提升員工信(xin)息安全意識，不斷改善，有效(xiao)預防，最(zui)終實現組(zu)織的良性發(fa)展。

  5）滿足(zu)市場準入需求

  各(ge)類體(ti)系認證(zheng)(zheng)證(zheng)(zheng)書(shu)是IT行業招投(tou)標(biao)(biao)的(de)敲門(men)磚，不(bu)(bu)同證(zheng)(zheng)書(shu)在不(bu)(bu)同的(de)投(tou)標(biao)(biao)標(biao)(biao)的(de)會有不(bu)(bu)同的(de)分數占比。部(bu)分項目標(biao)(biao)的(de)甚至明(ming)確(que)要求ISO27001認證(zheng)(zheng)證(zheng)(zheng)書(shu)作(zuo)為準入門(men)檻。

  3、如何通過ISO27001體系認證

  01｜獲證流(liu)程

      我們以ISO/IEC27001標準為指(zhi)導，結合信(xin)(xin)息(xi)安全體系認(ren)證(zheng)優秀實踐(jian)，充分考慮國內(nei)企業(ye)的(de)信(xin)(xin)息(xi)安全管理現狀(zhuang)，總結歸納出適宜電子信(xin)(xin)息(xi)行業(ye)快速通過(guo)ISO27001認(ren)證(zheng)的(de)六大流程：

  01差距分(fen)析

  從(cong)人員(yuan)、環(huan)境、技術、管理四個方面對企業進(jin)行評估調研，發掘組織信息安(an)全需求(qiu)，分析與標準之間差距，明確體系(xi)實施(shi)的目標、范圍(wei)和(he)要點。

  02培(pei)訓導入

  開(kai)展信息(xi)(xi)安全基礎知(zhi)識培(pei)(pei)訓、項目專題培(pei)(pei)訓、體系建立(li)指導等，導入(ru)信息(xi)(xi)安全管理思(si)想(xiang)，明確各崗位信息(xi)(xi)安全管理職(zhi)責(ze)。

  03體系建立

  結合(he)(he)組織(zhi)信息安(an)全目標(biao)和方針，指導、協助編寫ISO27001程(cheng)(cheng)序(xu)文(wen)件、管理手冊(ce)，制定合(he)(he)乎規范的管理規程(cheng)(cheng)和控制措施。

  04推廣實(shi)施

  在企(qi)業內部(bu)推(tui)進體系(xi)運行，識別信(xin)息安全風險資產，在適宜時間開(kai)展有效的內部(bu)評審和管理評審，保留體系(xi)有效運行證據。

  05現場審核

  向第(di)三方認證(zheng)機構申請信息安全管理體(ti)系認證(zheng)，協助企業完成現場(chang)審(shen)(shen)核，整改或(huo)糾正審(shen)(shen)核過程中(zhong)產生的(de)不符合項。

  06改進維持

  規劃體(ti)系年度審核計劃及方(fang)案，按照PDCA原(yuan)則，結合(he)企業實際需求(qiu)，繼續(xu)完善和改(gai)進信息安全管理體(ti)系。

  02｜審核前需準備的材料

  在進行管(guan)理體系(xi)審核(he)之前，需要準備(bei)(bei)和提交完備(bei)(bei)的體系(xi)材(cai)料。通常我們將這些材(cai)料分為管(guan)理手冊、程序文(wen)件、制度策略、運行記(ji)錄等四級文(wen)件。

  03｜審核員一般會關注的點

  文件審核關注要點

  在進行文(wen)(wen)(wen)件(jian)(jian)審(shen)核時，外部(bu)審(shen)核員主(zhu)要(yao)關(guan)注(zhu)信(xin)息(xi)安全管理體系文(wen)(wen)(wen)件(jian)(jian)是否(fou)符(fu)合(he)ISO27001標(biao)準(zhun)，關(guan)注(zhu)文(wen)(wen)(wen)件(jian)(jian)的(de)適(shi)宜性和(he)完整(zheng)性是否(fou)符(fu)合(he)要(yao)求。著重關(guan)注(zhu)的(de)文(wen)(wen)(wen)件(jian)(jian)包括但(dan)不限于：

  法律地位證明(ming)、組織簡介、組織機(ji)構圖、人(ren)員情(qing)況說明(ming)、管理手冊、程序文件(jian)、信息安全方針和目(mu)標、信息安全管理體系的規(gui)程和控制措(cuo)施、SOA適用性聲(sheng)明(ming)、風險(xian)評估報告、殘(can)余(yu)風險(xian)聲(sheng)明(ming)、風險(xian)處(chu)置計劃(hua)、資(zi)產識別(bie)表、法律法規(gui)清單。

  現場審核關注要(yao)點

  現場審(shen)核時，外部(bu)審(shen)核員主要關(guan)注(zhu)(zhu)組織信(xin)息安全管理(li)體系執行(xing)的程度及有效性(xing)，除著重(zhong)關(guan)注(zhu)(zhu)各部(bu)門(men)信(xin)息安全資(zi)產識別(bie)與風險管理(li)相關(guan)記(ji)錄外，對應不同部(bu)門(men)或角色，著重(zhong)關(guan)注(zhu)(zhu)的體系運(yun)行(xing)記(ji)錄分別(bie)為：

  行政人事部門：

  1.來訪人員登記(ji)記(ji)錄

  2.人員保密協(xie)議

  3.與信息安(an)全相關的法律法規清單、符合性評(ping)價

  4.與相(xiang)(xiang)關(guan)相(xiang)(xiang)關(guan)的(de)培(pei)訓(xun)計劃(hua)、培(pei)訓(xun)簽到記錄

  IT相關(guan)部門：

  1.服務器管理（包括設備(bei)點檢(jian)、測試日志記錄與審(shen)查(cha)）

  2.機房管理等重(zhong)點區域進出管理

  3.對各(ge)部門定期(qi)殺毒、屏保(bao)、密碼等(deng)監督檢查表單

  4.公司軟件使用清單、容量標注(zhu)

  5.重要數據備份(fen)記錄

  6.上網安全(quan)檢(jian)查(cha)

  7.各類信(xin)息系統如郵箱、OA權限及權限時(shi)效性管(guan)理記錄

  市場業務部門：

  1.合(he)同(tong)、訂單

  2.業務連續性(xing)資料（計劃(hua)、驗證）

  3.訪問區域限制如未經授(shou)權(quan)人員可能進入的地點管理記錄

  研發(fa)部門：

  1.產品技術資料（設計開發資料，應包括(kuo)信息安全風險評估）

  2.研發人員保密(mi)協議

  3.生產工藝流程圖

  采購部門：

  1.合格(ge)供應(ying)商名錄

  2.供應商調查表

  3.供應商簽署(shu)安(an)全要(yao)求(qiu)的文件(jian)協議

  4.供應商基本資料(liao)（如營業執(zhi)照、ISO9001證(zheng)書等）

  管理層(ceng)：

  1.目(mu)標達成(cheng)統(tong)計表

  2.文件(jian)清單(dan)（手冊、程序、作(zuo)業指導書(shu)）

  3.文件發布記錄

  4.外(wai)來(lai)文件清(qing)單

  5.全(quan)公(gong)司資產(chan)識別與(yu)風險管理匯總表

  6.內審、管審過程記錄

1.  上一篇：通過ISO9001體系認證,如何實現質量體系的有效性!
2.  下一篇：成功企業必備的10項體系認證!
3. 返回列表