為您提供最貼心的一站式管理咨詢服務 專注企業管理咨詢,管理咨詢優秀品牌,中國著名品牌

ISO27000認證 (信息安全管理體系標準)概述

　　ISO/IEC 27000標準是國際標準化組織專門為信息安全管理體系建立的一系列相關標準的總稱，已經預留了ISO/IEC 27000到ISO/IEC 27059共60個標準號，到目前為止，正式發布的信息安全管理體系(ISMS)標準有8個，其中兩個已經轉化成國家標準。全部標準從ISO/IEC 27000到ISO/IEC 27037，以及ISO 27799和其他，基本可以分為以下四部分。

　　第一部分是要求和支持性指南，包括ISO/IEC 27000到ISO/IEC 27005，是信息安全管理體系的基礎和基本要求;第二部分是有關認證認可和審核的指南，包括ISO/IEC 27006到ISO/IEC 27008，面向認證機構和審核人員;第三部分是面向專門行業的信息安全管理要求，如金融業、電信業，或者專門應用于某個具體的安全域，如數字證據、業務連續性方面;第四部分是由ISO 技術委員會TC215單獨制定的(而非和IEC共同制定)應用于健康行業的標準ISO 27799，以及一些處于研究階段并以新項目提案方式體現的成果，比如供應鏈安全、存儲安全等。部分標準見附表。本文向大家介紹一下ISO/IEC27000族主要標準。

　　ISO/IEC 27000是信息安全管理的概述和術語，是最基礎的標準之一。它提供了ISMS標準族中所涉及的通用術語和基本原則，由于ISMS每個標準都有自己的術語和定義，以及使用環境和行業的差別，不同標準的術語間往往會有一些細微的差異，致使在使用過程中相對缺乏協調，而ISO/IEC 27000就是用于實現這種一致性。ISO/IEC 27000標準有三個章節，第一章是標準的范圍說明;第二章對ISO 27000系列的各個標準進行介紹，說明了各個標準之間的關系;第三章給出了共63個與ISO 27000系列標準相關的術語和定義。

　　ISO/IEC 27001：2005是《信息技術 安全技術 信息安全管理體系 要求》，等同轉化為中國國家標準GB/T 22080-2008/ISO/IEC 27001:2005，于2008年6月19發布，同年11月1日正式實施。同ISO 9001標準的性質一樣，它是ISMS的規范性標準，也是ISO/IEC 27000系列最核心的兩個標準之一，適用于所有類型的組織。它著眼于組織的整體業務風險，通過對業務進行風險評估來建立、實施、運行、監視、評審、保持和改進其信息安全管理體系，確保其信息資產的保密性、可用性和完整性。它還規定了為適應不同組織或部門的需求而制定的安全控制措施的實施要求，也是獨立第三方認證及實施審核的依據。

　　ISO/IEC 27002:2005是《信息技術 安全技術 信息安全管理實用規則》，等同轉化為中國國家標準GB/T 22081-2008/ISO/IEC 27002:2005，也是ISO/IEC 27000系列最核心的兩個標準之一。它從11個方面提出39個控制目標和133個控制措施，這些控制目標和措施是信息安全管理的最佳實踐。從應用角度看，該標準具有專用和通用的二重性。作為ISO 27000標準族系列的成員之一，它是配合ISO/IEC 27001標準來使用的，體現其專用性;同時，它提出的信息安全控制目標和控制措施又是從信息安全工作實踐中總結出來的，不管組織是否建立和實施ISMS，均可從中選擇適合自己的思路、方法和手段來實現目標，這又體現其通用性。

　　ISO/IEC 27003是《信息安全管理體系實施指南》，該標準適用于所有類型、所有規模和所有業務形式的組織，為建立、實施、運行、監視、評審、保持和改進符合ISO/IEC 27001的信息安全管理體系提供實施指南。它給出了ISMS實施的關鍵成功因素，按照PDCA的模型，明確了計劃、實施、檢查、糾正每個階段的活動內容和詳細指南。

　　ISO/IEC 27004是《信息安全管理測量》，該標準闡述信息安全管理的測量和指標，用于測量信息安全管理的實施效果，為組織測量信息安全控制措施和ISMS過程的有效性提供指南。它分為信息安全測量概述、管理責任、測量和測量改進、測量操作、數據分析和測量結果報告、信息安全管理項目的評估和改進共6個關鍵部分，該標準還詳細描述了測量過程機制，分析了如何收集基準測量單位，以及如何利用分析技術和決策準則來生成信息安全的臨界指標等。

　　ISO/IEC 27005是《信息安全風險管理》，該標準描述了信息安全風險管理的要求，可以用于風險評估，識別安全需求，支撐信息安全管理體系的建立和維持。作為信息安全風險管理的指南，該標準還介紹了一般性的風險管理過程，重點闡述風險評估的重要環節。在附錄中它給出了資產、影響、脆弱性以及風險評估的方法，即列出了常見的威脅和脆弱性，最后給出了根據不同通訊系統、不同安全威脅選擇控制措施的方法。

　　ISO/IEC 27006是《信息安全管理對認證機構的認可要求》，該標準主要是對從事ISMS認證的機構提出了要求和規范，即一個機構具備了怎樣的條件才能從事ISMS認證業務，所有提供ISMS認證服務的機構需要按照該標準的要求證明其能力和可靠性。

　　ISO/IEC 27007是《信息安全管理的審核指南》，該標準對提供ISMS認證的第三方認證機構的審核員的工作提供支持，內部審核員也可以參考本標準完成內部審核活動，還可為任何依據ISO/IEC 27002標準來管理信息安全風險、審查組織措施有效性的人員提供指導和支持。

　　ISO/IEC 27008是《信息安全管理的控制措施審核員指南》，該標準是對所有審核員在考察組織基于業務風險而采取信息安全控制措施方面提供工作指導，它通過比較信息安全風險管理過程中內部、外部、第三方的所有管理體系要求與控制措施之間的關系來判定其有效性，也判別其控制措施的有效程度，滿足信息安全治理的要求。

　　ISO/IEC 27010是《部門間通信的信息安全管理》，該標準提供了如何針對信息安全風險、控制措施約束以及如何在不同物理場地跨組織通信的情況下進行數據共享的方法，尤其是對跨重要設施進行通信時所產生的問題和影響提供了有效支持。通過對同一物理場地通信、不同物理場地通信、危機時與政府機構間的通信、常規商務環境下為滿足正常合同要求而進行雙向業務通信的一系列分析，該標準明確了不同組織之間安全信息交換的方法、模型、過程、協議、控制措施和工作機制。



 

　　ISO/IEC 27001認證標準范圍:

　　ISO/IEC 27001《信息技術-安全技術-信息安全管理體系-要求》，旨在為所有類型的組織，包括政府、銀行、電訊、研究機構、外包服務企業、軟件服務企業等，在建立、實施、運行、監視、評審、保持和改進信息安全管理體系時提供模型，并規定了為適應不同組織或其部門的需要而制定安全控制措施的實施要求。ISO/IEC 27001標準涉及了最廣泛意義上的信息安全，為組織實施、維護和管理信息安全提供了最好的商業操作指南和原則，并可以用作第三方認證的依據。2008年6月19日，我國等同采用發布了GB/T 22080-2008標準。

　　ISO/IEC 27001：2005標準包括

　　11大控制領域、39個控制目標和133項控制措施，為組織提供全方位的信息安全保障。

　　ISO/IEC 27001：2005標準特點：

　　● 注重體系的完整性，是一套科學的信息安全管理體系

　　● 基于系統、全面、科學的安全風險評估，體現預防控制為主的思想

　　● 以風險評估為基礎，采用PDCA的過程方法

　　● 強調遵守國家有關信息安全的法律法規及其他合同方要求

　　● 強調確保信息的保密性、完整性和可用性

　　● 用于保護組織信息資產，防止信息資產遭受危害的管理工具，通過對所有潛在信息風險進行分析，確定預防措施。減少、防止信息威脅的發生

　　● 適用于各種類型、不同規模和業務性質的組織

　　● 與其他管理體系兼容(例如ISO9000標準等)





 

　　ISO/IEC 27001認證 申請認證條件

　　● 具備獨立的法人資格或經獨立的法人授權的組織;

　　● 按照ISO/IEC 27001標準的要求建立文件化的信息安全管理體系;

　　● 已經按照文件化的體系運行三個月以上，并在進行認證審核前按照文件的要求進行了至少一次管理評審和內部質量體系審核。



 

　　ISO27000認證 (信息安全管理體系)咨詢流程：

　　信息安全管理體系建設項目劃分成五個大的階段，并包含25項關鍵的活動，如果每項前后關聯的活動都能很好地完成，最終就能建立起有效的ISMS，實現信息安全建設整體藍圖，接受ISO27001審核并獲得認證更是水到渠成的事情。

　　1現狀調研：從日常運維、管理機制、系統配置等方面對組織信息安全管理安全現狀進行調研，通過培訓使組織相關人員全面了解信息安全管理的基本知識。

　　2 風險評估：對組織信息資產進行資產價值、威脅因素、脆弱性分析，從而評估組織信息安全風險，選擇適當的措施、方法實現管理風險的目的。

　　3 管理策劃：根據組織對信息安全風險的策略，制定相應的信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。

　　4 體系實施階段：ISMS建立起來(體系文件正式發布實施)之后，要通過一定時間的試運行來檢驗其有效性和穩定性。

　　5 認證審核階段：經過一定時間運行，ISMS達到一個穩定的狀態，各項文檔和記錄已經建立完備，此時，可以提請進行認證。
 

　　ISO/IEC 27001認證(信息安全管理)認證流程:

　　第一步：按照ISO27001(BS7799-2：2005)建立框架 。

　　第二步：認證機構評估費用和正式審核時間。

　　第三步：向認證機構遞交正式申請。

　　第四步：(可選項)認證機構將進行預審，在正式審核前排除一些重大的確失，同時讓客戶熟悉審核的方法危險評估，審查方針，范圍和采用的程序。檢查體系中遺漏和繁瑣需要修改的地方。

　　第五步：認證機構將進行第一階段審核，主要進行方針，范圍和采用程序的審核，查看風險評估的結果、處理方法和適用性聲明，檢查體系中遺漏和繁瑣需要修改的地方。

　　第六步：認證機構將進行第二階段審核，主要進行實施審核，查看程序規定的執行情況。認證機構通常將現場審核并給出建議。

　　第七步：如果能順利完成審核，在確定清楚認證范圍后，發放信息安全體系證書。在滿足持續審核情況下，三年有效。



 

ISO27001認證 (信息安全管理體系)的益處：

　　信息安全管理體系標準(ISO27001)可有效保護信息資源,保護信息化進程健康、有序、可持續發展。ISO27001是信息安全領域的管理體系標準，類似于質量管理體系認證的 ISO9000標準。當您的組織通過了ISO27001的認證,就相當于通過ISO9000的質量認證一般，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障。根據 ISO27001 對您的信息安全管理體系進行認證，可以帶來以下幾個好處:

　　引入信息安全管理體系就可以協調各個方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個防火墻，或找一個24小時提供信息安全服務的公司就可以達到的。它需要全面的綜合管理。

　　通過進行ISO27001信息安全管理體系認證，可以增進組織間電子電子商務往來的信用度，能夠建立起網站和貿易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務提供商提供一個基礎的設備管理。同時，把組織的干擾因素降到最小，創造更大收益。

　　通過認證能保證和證明組織所有的部門對信息安全的承諾。

　　通過認證可改善全體的業績、消除不信任感。

　　獲得國際認可的機構的認證證書，可得到國際上的承認，拓展您的業務。

　　建立信息安全管理體系能降低這種風險，通過第三方的認證能增強投資者及其他利益相關方的投資信心。

　　組織按照ISO27001標準建立信息安全管理體系，會有一定的投入，但是若能通過認證機關的審核，獲得認證，將會獲得有價值的回報。企業通過認證將可以向其客戶、競爭對手、供應商、員工和投資方展示其在同行內的領導地位;定期的監督審核將確保組織的信息系統不斷地被監督和改善，并以此作為增強信息安全性的依據,信任、信用及信心,使客戶及利益相關方感受到組織對信息安全的承諾。

　　通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性。




 

ISO27000信息安全管理證書樣本：

恩湛ISO27001認證咨詢案例千余例，樣本只供參考，若了解更多有關證書樣本問題，請咨詢020-38849876