ISO27001基本介绍

 内容索引信息安全的定义企业的信息安全现状为什么要建立企业的信息安全管理体系ISO27001标准ISO27001的贯标过程和贯标计划ISO27001的认证过程

信息和信息安全的定义   

     信息 可以以多种形式存在。它可以是打印或写在纸上（如：书面的财务报表等）；电子形式存贮(如:一个组织ERP系统的备份磁带)；通过邮件或用电子手段传输；显示在胶片上；表达在会话中。信息象其他重要的商务资产一样，也是一种资产，对一个组织而言具有价值，因而需要被妥善保护。   

     信息安全使信息避免一系列威胁，保障了组织商务的连续性，**限度地减小组织的商务损失，顺利获取投资和商务回报。

信息安全的维持可表征为：  

 A、机密性：确保信息仅可让授权获取的人士访问；  

 B、完整性：保护信息和处理方法的准确和完善；   

C、可用性：确保授权人需要时可以获取信息和相应的资产。

Ø 还应该再考虑可控性、真实性和不可否认性等，称之为“六性”。

Ø 信息的机密性、完整性和可用性对保持一个组织的竞争优势、资金流动、效益、法律符合性和商务形象都是至关重要的。

Ø 信息安全是通过执行一套适当的控制来达到的。可以是方针、惯例、程序、组织结构和软件功能来实现，这些控制方式需要确定，才能保障组织特定的安全目标的实现。

企业的信息安全现状

Ø 缺少信息安全管理论坛，安全导向不明确，管理支持不明显；组织信息系统管理制度不够健全；

Ø 缺少跨部门的信息安全协调机制；

Ø 保护特定资产以及完成特定安全过程的职责还不明确；

Ø 员工信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；

Ø 组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；

Ø 组织信息系统备份设备仍有欠缺；

Ø 组织信息系统安全防范技术投入欠缺；

Ø 软件知识产权保护欠缺；档案、记录等缺少可靠贮存场所；

Ø 缺少一旦发生意外时的保证生产经营连续性的措施和计划；

Ø 许多计数机处于不设防状态。

Ø 防范意识、管理措施、核心技术、安全产品，距离信息安全的要求相差很远。

Ø 各种重要数据和文件被滥用、泄露、丢失被盗。

Ø 据国外统计，企业信息受到的损失中，70%是由于内部员工的疏忽或者有意泄密造成的。

Ø 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 直接损失：丢失订单，减少直接收入，损失生产率；间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响**市值或政治声誉；法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。

信息安全管理系统ISMS   

（Information Security Management System）信息安全管理体系，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所使用的方法体系，它是整个管理体系的一部分，是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进组织的信息安全系统，其目的是保障组织的信息安全。它由许多要素组成，如组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等；从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。信息安全管理需要组织中的所有雇员的参与，比如为了防止组织外的第三方人员非法进入组织的办公区域获取组织的技术机密，除物理控制外，还需要组织全体人员参与，加强控制。此外还需要供应商，顾客或股东的参与，需要组织以外的**建议。

为什么要建立信息安全管理体系？

Ø 保护企业的知识产权、商标、竞争优势Ø 维护企业的声誉、品牌和客户信任Ø 减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失Ø 强化员工的信息安全意识，规范组织信息安全行为Ø 在信息系统受到侵袭时，确保业务持续开展并将损失降到**程度

BS7799的发展历史

ISO/IEC 27001:2005标准的主要内容

标准特点：注重体系的完整性，是一套科学的信息安全管理体系Ø 以风险评估为基础Ø 强调对法律法规的符合性Ø 广泛适用于各类组织Ø 与ISO9000标准有很强的兼容性

ISO27001提供了一个组织进行有效安全管理的公共基础，全面涵盖了信息系统日常安全管理方面的内容，提供了一个可持续提高的信息安全管理环境。包括安全管理的注意事项和安全制度，例如磁盘文件交换和处理的安全规定、设备的安全配置管理、工作区进出的控制等一些很容易理解的问题。这些管理制度易于理解，一般的单位都可以制定，具有可操作性，推广信息安全管理标准的关键在于重视程度和制度落实方面。体系包括建立、运行、评审、维护和改进一系列过程。

ISO27001:2005从11个方面定义了133项控制措施

1.安全方针:为信息安全提供管理指导和支持;

2.组织安全:建立信息安全架构,保证组织的内部管理;被第三方访问或外协时,保障组织的信息安全;

3.资产的归类与控制:明确资产责任,保持对组织资产的适当保护;将信息进行归类,确保信息资产受到适当程度的保护;

4.人员安全:在工作说明和资源方面,减少因人为错误,盗窃,欺诈和设施误用造成的风险;加强用户培训,确保用户清楚知道信息安全的危险性和相关事项,以便在他们的日常工作中支持组织的安全方针;制定安全事故或故障的反应程序,减少由安全事故和故障造成的损失,监控安全事件并从这种事件中吸取教训;

5.实物与环境安全:确定安全区域,防止非授权访问,破坏,干扰商务场所和信息;通过保障设备安全,防止资产的丢失,破坏,资产危害及商务活动的中断;采用通用的控制方式,防止信息或信息处理设施损坏或失窃;

6.通信和操作方式管理:明确操作程序及其责任,确保信息处理设施的正确,安全操作;加强系统策划与验收,减少系统失效风险;防范恶意软件以保持软件和信息的完整性;加强内务管理以保持信息处理和通讯服务的完整性和有效性通过;加强网络管理确保网络中的信息安全及其辅助设施受到保护;通过保护媒体处理的安全,防止资产损坏和商务活动的中断;加强信息和软件的交换的管理,防止组织间在交换信息时发生丢失,更改和误用;

7.访问控制:按照访问控制的商务要求,控制信息访问;加强用户访问管理,防止非授权访问信息系统;明确用户职责,防止非授权的用户访问;加强网络访问控制,保护网络服务程序;加强操作系统访问控制,防止非授权的计算机访问;加强应用访问控制,防止非授权访问系统中的信息;通过监控系统的访问与使用,监测非授权行为;在移动式计算和电传工作方面,确保使用移动式计算和电传工作设施的信息安全;

8.系统开发与维护:明确系统安全要求,确保安全性已构成信息系统的一部份;加强应用系统的安全,防止应用系统用户数据的丢失,被修改或误用;加强密码技术控制,保护信息的保密性,可靠性或完整性;加强系统文件的安全,确保IT方案及其支持活动以安全的方式进行;加强开发和支持过程的安全,确保应用系统软件和信息的安全;

9.信息安全事故管理：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施，确保使用持续有效的方法管理信息安全事故。

10.商务连续性管理:防止商务活动的中断及保护关键商务过程不受重大失误或灾难事故的影响;

11.符合性:符合法律法规要求,避免刑法,民法,有关法令法规或合同约定事宜及其他安全要求的规定相抵触;加强安全方针和技术符合性评审,确保体系按照组织的安全方针及标准执行;系统审核考虑因素,使效果**化,并使系统审核过程的影响**小化。

建立信息安全管理体系的步骤

贯标过程系统规划系统规划主要是明订信息安全管理的目标、范围和政策，并收集目前和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全委员会」来负责，并且拥有**高管理阶层的支持。风险评估ISMS的目标是透过系统的安全风险评估确定安全需求，并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑；透过风险评估可以了解风险的权重和等级，以供建立安全控制机制的参考。风险管理公司必须就企业需求和法令规章决定可接受风险之临界等级，并应该依照所决定的风险管理策略规划和建立控制机制。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action 机制，藉由不断的审核、重新规划，加强让公司内的安全等级不断提升。系统颁行和推广ISMS 是一套不限于IT技术的管理系统，它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中，需要经营管理阶层的认知与全力支持，以及 全体员工的共识和配合。教育训练和不断的实施活动是必要的，尤其需要定期审核和检查，以确保系统可以持续不断的执行。有效地实施选定的控制目标和控制方式；进行内部审核和管理评审，保证体系的有效实施和持续适宜。

贯标计划

ISO27001的认证 ISO27001的认证方法与ISO9001的认证相似，所不同的是：ISO27001的认证分两个阶段：**阶段审核主要是文档审核，进行方针、范围和采用程序的审核，查看风险评估的结果、处理方法和适用性声明，检查体系中遗漏和繁琐需要修改的地方。确认受审核方是否具备认证条件。第二阶段审核主要是现场审核，评价受审核方的ISMS是否有效运行，是否能通过认证。认证通过后发放证书，三年有效。

ISO27001和ISO9001整合为一个体系

名    称：北京永鸣兴标管理咨询中心

地    址：北京市朝阳区左家庄中街豪成大厦9层

邮    编：100028

联    系：13910686128     010-52426930

传    真：010-52426930

Q      Q：2506119662

http：//www.bj10huan.com/