【宏儒顾问】ISO27001全球信息安全管理标准介绍及认证步骤
ISO27001标准介绍
随着信息技术的迅猛发展,信息安全已成为一个现代企业管理中不容忽视的问题,信息安全管理体系(ISMS)也广泛应用于各企事业中。
而ISO27001:2005作为信息安全管理体系的国际标准,为建立、实施、运行、监视、评审、保持和改进ISMS提供了一套详实可靠的规范体系。
ISO27001以风险评估为基础,强调对法律法规的符合性,并采用了“规范(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)模型,该模型适用于所有的ISMS过程。并与其他管理标准有极强的兼容性。
应用于ISMS过程的PDCA模型
Plan规划(建立ISMS):建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序,以提供与组织整体方针和目标相一致的结果。
Do实施(实施和运行ISMS):实施和运行ISMS方针、控制措施、过程和程序。
Check检查(监视和评审ISMS):对照ISMS方针、目标和实践经验,评估并在适当时,测量过程的执行情况,并将结果报告管理者以供评审。
Act处置(保持和改进ISMS):基于ISMS内部审核和管理评审的结果或者其他相关信息,采取纠正和预防措施,以持续改进ISMS。
ISO27001认证咨询
在长期实践过程中,宇鸿总结创新了一套高效可行的ISMS项目实施的规范流程。
现状调研分析:本阶段主要是前期的准备和计划工作,包括明确评估目标,确定评估范围,组建评估管理和实施团队。通过对主要业务、组织结构、规章制度和信息系统等进行初步调研和沟通来确定评估项目的实施方案,并得到高层许可。
项目准备:前期沟通交流,建立信息安全管理领导机构,组建信息安全推进团队,收集整理相关文件、资料。
走访调查:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。确定信息安全管理体系范围、定义信息安全方针。
前期培训:进行信息安全管理意识和信息安全基础知识的培训。
现状分析:初步理解信息安全现状,分析与ISO27001标准要求的差距。
明确职责:明确信息安全职责,并形成文件。
资产识别和风险评估:对组织信息资产进行资产价值、威胁因素、脆弱性分析,从而评估组织信息安全风险,选择适当的措施、方法实现管理风险的目的。
资产识别:识别组织的各种信息资产。
风险评估:重要资产、威胁、弱点、风险识别与评估。
体系的规划和制定:通过对企业的风险评估,制定相应的信息安全整体规划,管理规划,技术规划等。并制定相应有效的安全控制措施。
文件编写:确定信息安全管理体系总体方案,编写ISMS各级管理文件,并由管理层审核确定。
发布实施:ISMS实施计划,体系文件发布,控制措施实施。
中期培训:全员文件学习落实,安全意识培训,ISMS实施推广培训,必要的考核。
体系的实施:全面实施信息安全管理体系,落实实施信息安全管理技术计划,执行信息安全管理控制措施。测试体系的有效性和稳定性。
体系运行:按制定的安全管理计划运行体系。
后期培训:对企业内体系执行人员的专业培训。
监督评审和循环改进:通过组织内部审核和管理评审,对组织整体信息安全管理水平进行综合评价,提出改进方案,制定整改计划,并在运行中进行不断的整改。
内部审核:建立内部审核机制,制定内部审核方案,纠正审核后发现的问题,跟踪改进措施的实施。
管理评审:信息安全管理委员会组织ISMS整体评审,评估ISMS改进的机会和变更的需要,以及体系的运行情况。
循环改进:根据内部审核和管理评审中发现的问题,不断改进体系,以达到预期的要求。
审核认证阶段:在体系建立并平稳运行一段时间以后,可提出申请认证。
认证准备:准备送审资料,落实部署审核事项。
协助认证:内审小组陪同协助,应对审核问题。
信息安全风险评估是信息安全管理的基础和关键环节。通过开展信息安全风险评估,对网络与信息系统的资产价值、潜在的安全威胁、薄弱环节、防护措施等进行分析,可以做到心中有数,可以发现信息系统中存在的主要安全问题,并找到解决这些问题的方法,有针对性地进行管理。
评估准备阶段:本阶段主要是前期的准备和计划工作,包括明确评估目标,确定评估范围,组建评估管理与实施团队,对主要业务、组织结构、规章制度和信息系统等进行初步调研,沟通和确定风险分析方法,协商并确定评估项目的实施方案,并得到被评估单位的高层许可。尽管评估准备阶段的工作比较琐碎,但准备阶段中充分、细致的沟通和合理、精确的计划,是保证评估工作得以顺利实施的关键。
要素识别阶段:在准备阶段完成之后,将依靠已经建立起来的评估管理和实施团队,遵照准备阶段中确定的实施方案进行评估。首先要进行的就是识别信息安全风险的构成要素——资产、威胁和脆弱性,以及识别和验证已有安全控制措施的有效性——为下一阶段的风险分析收集必要的基础数据。本阶段除了要进行有关要素的识别活动以外,还需要进行要素的分类、赋值以及要素间的关联等活动,这由所选用的具体评估方法而定。
风险分析阶段:经过识别阶段之后,已经得到影响被评估信息系统信息安全风险的基本数据,包括资产、威胁、脆弱性和安全控制措施等。接下来需要根据被评估单位的实际情况制定出一套合理、清晰的影响及可能性等级判据;然后根据这些判据,对主要威胁场景进行分析,描述和评价个主要威胁场景的潜在影响及其发生的可能性,从而确定信息安全风险。经过与被评估单位的沟通与协商,风险分析团队应以被评估单位所能接受的形式,提交《风险分析报告》和《风险控制建议》。
汇报验收阶段:本阶段主要是按照评估方案所确定的汇报和验收流程,完成最后评估项目的总结和验收工作。
宇鸿顾问ISO27001信息安全管理认证步骤
第一步:按照ISO27001(BS7799-2:2005)建立框架
第二步:认证机构评估费用和正式审核时间
第三步:向认证机构递交正式申请
第四步:(可选项)认证机构将进行预审,在正式审核前排除一些重大的确失,同时让客户熟悉审核的方法危险评估,审查方针,范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方。
第五步:认证机构将进行第一阶段审核,主要进行方针,范围和采用程序的审核,查看风险评估的结果、处理方法和适用性声明,检查体系中遗漏和繁琐需要修改的地方。
第六步:认证机构将进行第二阶段审核,主要进行实施审核,查看程序规定的执行情况。认证机构通常将现场审核并给出建议。
第七步:如果能顺利完成审核,在确定清楚认证范围后,发放信息安全体系证书。在满足持续审核情况下,三年有效。