ISO27001信息安全管理標準

1、1. 起源和發(fā)展2. 認證的好處3. ISMS項目和PDCA流程介紹 標準的起源和發(fā)展標準的起源和發(fā)展-背景在世界范圍內，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關注的焦點；世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標準，國際標準化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標準及技術報告。在信息安全管理方面，英國標準ISO27000:2005已經成為世界上應用最廣泛與典型的信息安全管理標準，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制

2、定完成。標準的起源和發(fā)展信息安全管理要求ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協(xié)會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。2000年12月，BS 7799-1：1999信息安全管理實施細則通過了國際標準化組織ISO的認可，正式成為國際標準-ISO/IEC17799：2000信息技術-信息安全管理實施細則。2002年9月5日，BS 7799-2:2002草案經過廣泛的討論之后，終于發(fā)布成為正式標準，同時BS 7799-2:1999被廢止。2004年9月5日，BS 7799-2:2002正式發(fā)布。2005年，

3、BS 7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC 27001:2005.標準的起源和發(fā)展2013年，ISO 27001:2005標準已經使用了8年，ISO組織（國際標準化組織）將新版ISO 27001:2013 DIS版（國際標準草案Draft International Standard）草稿向公眾開放并征求意見。ISO組織在2013年10月19日頒布正式版本，在新版公布后的18至24個月內是轉換緩沖期，即原有已取得證書的企業(yè)最遲需要在2015年10月19日前轉換到新版標準。標準的起源和發(fā)展現在，ISO27000:2005標準已得到了很多國家的認可，是國際上

4、具有代表性的信息安全管理體系標準。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標準；日本、瑞士、盧森堡等國也表示對ISO27000:2005標準感興趣，我國的臺灣、香港也在推廣該標準。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網絡公司及許多跨國公司已采用了此標準對自己的信息安全進行系統(tǒng)的管理。截至2002年9月，全球共有142家各類組織通過了ISO27000:2005信息安全管理體系認證。ISO27001認證好處ISO27001認證好處信息安全管理體系標準（ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續(xù)發(fā)展。當您的組織通過了ISO27001

5、的認證，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處:協(xié)調各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，需要全面的綜合管理?？梢栽鲞M組織間電子電子商務往來的信用度，能夠建立起網站和貿易伙伴之間的互相信任，改善全體的業(yè)績、消除不信任感。同時，把組織的干擾因素降到最小，創(chuàng)造更大收益。企業(yè)通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位；定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強信息安全性的依據，信任、信用及信心，使客戶及利益

6、相關方感受到組織對信息安全的承諾。向政府及行業(yè)主管部門證明組織對相關法律法規(guī)的符合性ISMS項目和PDCA流程介紹信息安全管理體系（ISMS）信息安全管理體系（Information Security Management System，簡稱ISMS）起源于英國標準協(xié)會(British Standards Institution, BSI) 1990年代制定的英國國家標準BS7799，是系統(tǒng)化管理思想在信息安全領域的應用。ISMS信息安全管理體系是組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。ISO/IEC 27001從組織的整體業(yè)務風險的角度，為建立、實施、運

7、行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。組織應在其整體業(yè)務活動中且在所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審ISMS，形成文件，并保持和改進其有效性文檔化的ISMS。在本標準中，所使用的過程基于圖1所示的PDCA模型。ISMS項目和PDCA流程ISMS項目很復雜，可能持續(xù)若干個月甚至若干年，涉及整個機構組織以及從管理層到收發(fā)部門的每個成員。ISO27001標準指導一個企業(yè)如何著手開展ISMS項目，并且關注整個項目進程中的若干重要元素。1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）執(zhí)行（Do）檢查（Check）提升（Act）過程，意在說明業(yè)務

8、流程應當是不斷改進的，該方法使得職能部門經理/項目經理可以識別出那些需要修正的環(huán)節(jié)并進行修正。流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執(zhí)行，而后對其運行結果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結果偏差（即潛在改進的可能性），最后向管理層提出如何運行的最終報告。ISMS項目和PDCA流程不同的組織在建立與完善信息安全管理體系時，可根據自己的特點和具體情況，采取不同的步驟和方法?？傮w上，建立信息安全管理體系一般要經過下列PDCA四個基本階段：Plan 信息安全管理體系的策劃與準備；Do 信息安全管理體系文件的編制；Check 信息安全管理體系

9、運行；Action 信息安全管理體系審核、評審和持續(xù)改進。建立和管理ISMS根據業(yè)務、組織、位置、資產和技術等方面的特性，確定ISMS的范圍和邊界，包括對范圍任 何刪減的詳細說明和正當性理由根據業(yè)務、組織、位置、資產和技術等方面的特性，確定ISMS方針確定組織的風險評估方法：識別風險分析和評價風險 識別和評價風險處理的可選措施為處理風險選擇控制目標和控制措施獲得管理者對建議的殘余風險的批準獲得管理者對實施和運行ISMS的授權實施和運行ISMS為管理信息安全風險識別適當的管理措施、資源、職責和優(yōu)先順序，1.制定風險處理計劃2.實施風險處理計劃以達到已識別的控制目標，包括資金安排、角色和職責的分配

10、； 3.選擇的控制措施，以滿足控制目標； 4.確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用這些測量措施來評估控制措施的有效性，以產生可比較的和可再現的結果 5.實施培訓和意識教育計劃6.管理ISMS的運行7.管理ISMS的資源 8.實施能夠迅速檢測安全事態(tài)和響應安全事件的規(guī)程和其他控制措施監(jiān)視和評審ISMS執(zhí)行監(jiān)視與評審規(guī)程和其他控制措施在考慮安全審核結果、事件、有效性測量結果、所有相關方的建議和反饋的基礎上，進行ISMS 有效性的定期評審（包括滿足ISMS方針和目標，以及安全控制措施的評審）。測量控制措施的有效性以驗證安全要求是否被滿足。按照計劃的時間間隔進行風險評估的評審，以及對殘余風險和已確定的可接受的風險級別進行評審按計劃的時間間隔，實施ISMS內部審核定期進行ISMS管理評審，以確保ISMS范圍保持充分，ISMS過程的改進得到