信息安全I(xiàn)SO 27001
簡(jiǎn)介:信息安全管理要求ISO/IEC27001的前身為英國的BS7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國標(biāo)準(zhǔn)協(xié)會(huì)(BSI���、于1995年2月提出��,并于1995年5月修訂而成的���。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分:BS7799-1����,信息安全管理實(shí)施規(guī)則;BS7799-2����,信息安全管理體系規(guī)范。第一部分對(duì)信息安全管理給出建議����,供負(fù)責(zé)在其組織啟動(dòng)��、實(shí)施或維護(hù)安全的人員使用��;第二部分說明了建立�����、實(shí)施和文件化信息安全管理體系(ISMS���、的要求,規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求����。
ISO27001和ISO20000認(rèn)證已經(jīng)成為企業(yè)核心競(jìng)爭(zhēng)力的重要標(biāo)志。
新規(guī)發(fā)布:
自2005年國際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱:ISO)將BS7799轉(zhuǎn)化為ISO27001:2005發(fā)布以來�,此標(biāo)準(zhǔn)在國際上獲得了空前的認(rèn)可,相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證,至2011年底����,國際上頒發(fā)的ISO27001認(rèn)證證書總數(shù)約為15625張(其中,BSI的市場(chǎng)占有率達(dá)約為45.65%���、����。在我國,自從2008年將ISO27001:2005轉(zhuǎn)化為國家標(biāo)準(zhǔn)GB/T22080:2008以來��,信息安全管理體系認(rèn)證在國內(nèi)進(jìn)一步獲得了全面推廣�,至2011年底��,國內(nèi)頒發(fā)認(rèn)證證書數(shù)量是1107張�����。越來越多的行業(yè)和組織認(rèn)識(shí)到信息安全的重要性���,并把它作為基礎(chǔ)管理工作之一開展起來�����。
然而過去的幾年中�����,IT領(lǐng)域和通信行業(yè)發(fā)生了非常大的變革���,出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合���。移動(dòng)互聯(lián)網(wǎng)蓬勃興起、智能手機(jī)的廣泛采用�、云計(jì)算技術(shù)的風(fēng)起云涌,帶來了全新的網(wǎng)絡(luò)威脅�����、數(shù)據(jù)泄漏和欺詐的風(fēng)險(xiǎn)�。面對(duì)這樣的變化和趨勢(shì),使得信息安全管理體系標(biāo)準(zhǔn)的更新也變得日益重要�。
ISO對(duì)標(biāo)準(zhǔn)的更新,一般是以三年為一個(gè)周期,但因?yàn)镮SO27001::2005標(biāo)準(zhǔn)發(fā)布后的巨大成功���,以及ICT行業(yè)的飛躍發(fā)展�����,使得這個(gè)標(biāo)準(zhǔn)的更新變得非常謹(jǐn)慎���,至今已有7年。從ISO組織發(fā)布的最新信息可以看到����,ISO27001標(biāo)準(zhǔn)的更新籌備實(shí)際上已經(jīng)在2008年開始�,任命了工作組(JTC1/SC27WG1���、��;2009年正式啟動(dòng)更新����。目前���,處于該標(biāo)準(zhǔn)草案(CommitteeDraft、正在編寫委員會(huì)討論層面(30.20:2012-06-20�、,預(yù)計(jì)新版發(fā)布時(shí)間會(huì)在2013-10-19�����,那時(shí)我們就可以一睹它的全新面貌了�。
從ISO27001標(biāo)準(zhǔn)新版更新的一些說明材料中,可以看出這次ISO27001標(biāo)準(zhǔn)改版將會(huì)具有以下幾個(gè)特征:
采用ISO導(dǎo)則83��。ISO導(dǎo)則83����,規(guī)范了今后ISO管理體系認(rèn)證標(biāo)準(zhǔn)的基本框架�;采用導(dǎo)則83頒布的第一個(gè)標(biāo)準(zhǔn)是2012年5月15日發(fā)布的業(yè)務(wù)連續(xù)管理體系標(biāo)準(zhǔn)——ISO22301:2012���。
導(dǎo)則83對(duì)今后的標(biāo)準(zhǔn)提出了新的框架要求����,如下圖示����,標(biāo)注了ISO27001新版與2005版結(jié)構(gòu)的對(duì)比和差異:
在這個(gè)框架下,明顯的改變有如下幾點(diǎn):
標(biāo)準(zhǔn)第4-7章�,說明管理體系的一般要求,包括:組織的情境�����、領(lǐng)導(dǎo)力�����、策劃和支持����;標(biāo)準(zhǔn)第8章���,描述ISMS實(shí)施要求,包括信息安全風(fēng)險(xiǎn)評(píng)估和處置��;標(biāo)準(zhǔn)第9章��,描述監(jiān)視�����,測(cè)量和評(píng)審活動(dòng)的要求���;標(biāo)準(zhǔn)第10章�����,描述改善活動(dòng)的要求;其中����,取消了預(yù)防措施。信息安全風(fēng)險(xiǎn)管理與ISO31000風(fēng)險(xiǎn)管理保持一致新版的ISO27001標(biāo)準(zhǔn)中信息安全風(fēng)險(xiǎn)管理要求與ISO31000:2009(Riskmanagement——Principlesandguidelines)保持一致���,并遵從其中的定義�����。
在新版標(biāo)準(zhǔn)中明確了以下要求:
信息安全風(fēng)險(xiǎn)評(píng)估:組織應(yīng)確定如何確定其信息安全風(fēng)險(xiǎn)評(píng)估和處置過程的可靠性��。信息安全風(fēng)險(xiǎn)處理:適用時(shí)�����,組織應(yīng)調(diào)整信息安全風(fēng)險(xiǎn)評(píng)估和處置過程��,以及采用的方法���,以改善過程的可靠性�����。保留附錄A控制措施與控制目標(biāo)新版ISO27001依然會(huì)保留SOA和附錄A控制目標(biāo)����、控制措施的架構(gòu)���;因此��,毫無疑問���,ISO27001的新版修訂一定會(huì)與ISO27002的修訂同步進(jìn)行���。
事實(shí)上,關(guān)于控制措施和控制目標(biāo)的修訂��,也是應(yīng)對(duì)新的變化的信息安全威脅和風(fēng)險(xiǎn)必須的選擇���;這部分的更新���,在修訂項(xiàng)目中,接受了大量的修改建議�,爭(zhēng)論也相當(dāng)大,目前還沒有最后的結(jié)論�����。
持續(xù)發(fā)展27系列支持性標(biāo)準(zhǔn)ISO27001從誕生第一天開始就不是孤立的��,為了支持信息安全管理體系標(biāo)準(zhǔn)�,ISO27系列發(fā)布了一系列普遍適用和行業(yè)適用的參考標(biāo)準(zhǔn)�。如下圖:
截止目前,一些支持性標(biāo)準(zhǔn)目前的狀態(tài)如下表:
古希臘哲學(xué)家赫拉克利特因其作為辯證法的奠基人聞名于世����,他曾經(jīng)寫道“一切皆流����,無物常住”����,過去幾年中,國際上幾乎所有行業(yè)和組織面臨的信息安全風(fēng)險(xiǎn)的局勢(shì)無不體現(xiàn)了赫氏的這一學(xué)說�����。變化和發(fā)展是永恒的��,信息安全風(fēng)險(xiǎn)總是處在持續(xù)演進(jìn)中�,攻擊者的手段依然會(huì)層出不窮。因此信息安全管理的實(shí)踐和標(biāo)準(zhǔn)都在不斷發(fā)展���,我們唯一要做的就是保持警惕���,隨時(shí)準(zhǔn)備抵御風(fēng)險(xiǎn)。
標(biāo)準(zhǔn)的主要內(nèi)容
ISO/IEC17799-2000(BS7799-1���、對(duì)信息安全管理給出建議�����,供負(fù)責(zé)在其組織啟動(dòng)��、實(shí)施或維護(hù)安全的人員使用����。該標(biāo)準(zhǔn)為開發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ),并為組織之間的交往提供信任����。
標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣,信息也是一種資產(chǎn)”���。它對(duì)一個(gè)組織具有價(jià)值����,因此需要加以合適地保護(hù)�。信息安全防止信息受到的各種威脅,以確保業(yè)務(wù)連續(xù)性�����,使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小���,使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大���。
內(nèi)容章節(jié)
ISO/IEC17799-2000包含了127個(gè)安全控制措施來幫助組織識(shí)別在運(yùn)做過程中對(duì)信息安全有影響的元素,組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用����,或者增加其他附加控制。國際標(biāo)準(zhǔn)化組織(ISO����、在2005年對(duì)ISO17799進(jìn)行了修訂,修訂后的標(biāo)準(zhǔn)作為ISO27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC27001�����,新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施���,新增17點(diǎn)控制措施���,并重組部分控制措施而新增一章,重組部分控制措施�,關(guān)聯(lián)性邏輯性更好,更適合應(yīng)用;并修改了部分控制措施措辭���。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié):
1���、安全策略。指定信息安全方針�,為信息安全提供管理指引和支持,并定期評(píng)審����。
2、信息安全的組織�。建立信息安全管理組織體系,在內(nèi)部開展和控制信息安全的實(shí)施��。
3��、資產(chǎn)管理���。核查所有信息資產(chǎn)���,做好信息分類,確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)���。
4�、人力資源安全。確保所有員工��,合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任����,義務(wù)�����,以減少人為差錯(cuò)��,盜竊��,欺詐或誤用設(shè)施的風(fēng)險(xiǎn)���。
5����、物理和環(huán)境安全�。定義安全區(qū)域,防止對(duì)辦公場(chǎng)所和信息的未授權(quán)訪問��,破壞和干擾;保護(hù)設(shè)備的安全����,防止信息資產(chǎn)的丟失,損壞或被盜��,以及對(duì)企業(yè)業(yè)務(wù)的干擾����;同時(shí),還要做好一般控制���,防止信息和信息處理設(shè)施的損壞和被盜��。
6����、通信和操作管理�����。制定操作規(guī)程和職責(zé)���,確保信息處理設(shè)施的正確和安全操作��;建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則��,將系統(tǒng)失效的風(fēng)險(xiǎn)降到最低�;防范惡意代碼和移動(dòng)代碼,保護(hù)軟件和信息的完整性��;做好信息備份和網(wǎng)絡(luò)安全管理�����,確保信息在網(wǎng)絡(luò)中的安全��,確保其支持性基礎(chǔ)設(shè)施得到保護(hù)���;建立媒體處置和安全的規(guī)程,防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷�;防止信息和軟件在組織之間交換時(shí)丟失,修改或誤用��。
7�、訪問控制。制定訪問控制策略����,避免信息系統(tǒng)的非授權(quán)訪問���,并讓用戶了解其職責(zé)和義務(wù),包括網(wǎng)絡(luò)訪問控制��,操作系統(tǒng)訪問控制����,應(yīng)用系統(tǒng)和信息訪問控制,監(jiān)視系統(tǒng)訪問和使用�,定期檢測(cè)未授權(quán)的活動(dòng);當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)����,也要確保信息安全。
8�����、系統(tǒng)采集���、開發(fā)和維護(hù)����。標(biāo)示系統(tǒng)的安全要求�,確保安全成為信息系統(tǒng)的內(nèi)置部分�,控制應(yīng)用系統(tǒng)的安全����,防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失,被修改或誤用��;通過加密手段保護(hù)信息的保密性���,真實(shí)性和完整性�����;控制對(duì)系統(tǒng)文件的訪問,確保系統(tǒng)文檔��,源程序代碼的安全��;嚴(yán)格控制開發(fā)和支持過程�,維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。
9����、信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)���,及時(shí)采取糾正措施�����,確保使用持續(xù)有效的方法管理信息安全事故��,并確保及時(shí)修復(fù)�。
10、業(yè)務(wù)連續(xù)性管理�。目的是為減少業(yè)務(wù)活動(dòng)的中斷,是關(guān)鍵業(yè)務(wù)過程免受主要故障或天災(zāi)的影響�,并確保及時(shí)恢復(fù)。
11�、符合性。信息系統(tǒng)的設(shè)計(jì)�����,操作����,使用過程和管理要符合法律法規(guī)的要求,符合組織安全方針和標(biāo)準(zhǔn)�,還要控制系統(tǒng)審計(jì),使信息審核過程的效力最大化�����,干擾最小化。
ISO27001的效益
1��、通過定義�����、評(píng)估和控制風(fēng)險(xiǎn)��,確保經(jīng)營的持續(xù)性和能力
2���、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任
3�、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力�,提升企業(yè)形象
4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo):謹(jǐn)防數(shù)據(jù)的誤用和丟失
5�����、建立安全工具使用方針
6��、謹(jǐn)防技術(shù)訣竅的丟失
7����、在組織內(nèi)部增強(qiáng)安全意識(shí)
8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)
認(rèn)識(shí)ISO27001國際標(biāo)準(zhǔn)
ISO27001(BS7799/ISO17799����、國際標(biāo)準(zhǔn)究竟是什么?它如何幫助一個(gè)組織更加有效地管理信息安全��?BS7799/ISO27001和ISO9001之間有什么聯(lián)系���?初次涉獵信息安全管理領(lǐng)域應(yīng)該掌握哪些內(nèi)容����,以便組織發(fā)起信息安全管理項(xiàng)目���?如何獲得BS7799國際標(biāo)準(zhǔn)認(rèn)證���?
IT治理和信息安全
近年來企業(yè)高層對(duì)內(nèi)部治理需求越來越實(shí)際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面�,企業(yè)越來越依賴IT系統(tǒng)來處理和儲(chǔ)存各種信息,以保證業(yè)務(wù)正常運(yùn)營��,由此IT系統(tǒng)在企業(yè)治理中的作z用越來越明晰�����,IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可,成為董事會(huì)和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域�。IT治理的基礎(chǔ)部分是信息安全保護(hù)——包括確保信息的可用性、機(jī)密性和完整性——這是其他IT治理環(huán)節(jié)實(shí)施的前提���。
與此同時(shí)���,和信息安全相關(guān)的國際標(biāo)準(zhǔn)已經(jīng)出臺(tái),成為標(biāo)準(zhǔn)IT治理框架中的一大基石�。
信息安全和法律法規(guī)
業(yè)內(nèi)人士對(duì)ISO27001認(rèn)證趨之若鶩,這其中有兩個(gè)關(guān)鍵性的驅(qū)動(dòng)因素:一是日益嚴(yán)峻的信息安全威脅����,二是不斷增長(zhǎng)的信息保護(hù)相關(guān)法規(guī)的需求。
本質(zhì)上說����,信息安全威脅是全球化的。一般來說��,它將毫無差別地輻射到每一個(gè)擁有�����、使用電子信息的機(jī)構(gòu)和個(gè)人�����。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放�。更嚴(yán)重的問題是,其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全�,包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)��。
過去的十年內(nèi)���,圍繞信息和數(shù)據(jù)安全問題建立起來的法律法規(guī)體系從無到有����、不斷壯大�����,其中包括專門針對(duì)個(gè)人數(shù)據(jù)保護(hù)問題的��,也有針對(duì)企業(yè)財(cái)政���、運(yùn)營和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問題的���。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)����。目前����,建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件,與此同時(shí)���,針對(duì)該管理體系的認(rèn)證逐漸成為各種組織(包括政府部門�����、的熱門需求��,這份認(rèn)證可以為他們帶來重要的潛在商業(yè)合同����。
信息安全和技術(shù)
絕大多數(shù)人認(rèn)為信息安全是一個(gè)純粹的有關(guān)技術(shù)的話題����,只有那些技術(shù)人員,尤其是計(jì)算機(jī)安全技術(shù)人員����,才能夠處理任何保障數(shù)據(jù)和計(jì)算機(jī)安全的相關(guān)事宜。這固然有一定道理���。不過�����,實(shí)際上�,恰恰是計(jì)算機(jī)用戶本身需要考慮這樣的問題:避免哪些威脅���?在信息安全和信息通暢中如何平衡取舍�?的確如此�,一旦用戶給出答案,計(jì)算機(jī)安全專家就可以設(shè)計(jì)并執(zhí)行一個(gè)技術(shù)方案以達(dá)成用戶需求����。
在組織內(nèi)部,管理層應(yīng)當(dāng)負(fù)責(zé)決策��,而不是IT部門��。一個(gè)規(guī)范的信息安全管理體系必須明確指出��,組織機(jī)構(gòu)董事會(huì)和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策,同時(shí)��,這個(gè)體系也應(yīng)當(dāng)能夠反映這種決策����,并且在運(yùn)行過程中能夠提供證據(jù)證明其有效性。
所以機(jī)構(gòu)組織內(nèi)部的信息安全管理體系的建立項(xiàng)目不必由一個(gè)技術(shù)專家來領(lǐng)導(dǎo)���。事實(shí)上�����,技術(shù)專家在很多情況下起到相反的作用���,可能會(huì)阻礙項(xiàng)目進(jìn)程。因此���,這個(gè)項(xiàng)目應(yīng)該由質(zhì)量管理經(jīng)理�、總經(jīng)理或者其他負(fù)責(zé)機(jī)構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持����。
信息安全標(biāo)準(zhǔn)
1995年,英國標(biāo)準(zhǔn)協(xié)會(huì)(BSI��、發(fā)布BS7799標(biāo)準(zhǔn),即ISMS(信息安全管理體系�、,旨在規(guī)范���、引導(dǎo)信息安全管理體系的發(fā)展過程和實(shí)施情況。BS7799標(biāo)準(zhǔn)被外界認(rèn)為是一個(gè)不偏向任何技術(shù)���、任何企業(yè)和產(chǎn)品供應(yīng)商的價(jià)值中立的管理體系�����。只要實(shí)施得當(dāng)���,BS7799標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實(shí)施方案的有效性。
從企業(yè)外部來看��,BS7799關(guān)注信息的可用性�����、機(jī)密性和完整性�,至今這仍然是這項(xiàng)標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)。BS7799集中關(guān)注企業(yè)組織層面上的風(fēng)險(xiǎn)規(guī)避(一定程度上主要是商業(yè)和金融風(fēng)險(xiǎn)���、�����,而不包括避免每一個(gè)潛在風(fēng)險(xiǎn)的保護(hù)措施——盡管它們至關(guān)重要�����。
BS7799最初僅有一份文檔�����,且具有明顯的實(shí)踐指南性質(zhì)�����。也就是說�����,它為組織提供信息安全指引���,但沒有形成規(guī)范�,不能為外部第三方審計(jì)和認(rèn)證等提供依據(jù)。隨著越來越多的企業(yè)開始認(rèn)識(shí)到來自信息安全的威脅波及范圍越來越廣���,影響程度越來越大�����,并且關(guān)于數(shù)據(jù)和隱私權(quán)保護(hù)的法律法規(guī)不斷出臺(tái)��,信息安全標(biāo)準(zhǔn)認(rèn)證的需求開始不斷增加�����。
這種需求的增加最終促成了該項(xiàng)標(biāo)準(zhǔn)第二部分的出臺(tái),即標(biāo)準(zhǔn)規(guī)范��。實(shí)踐指南和標(biāo)準(zhǔn)規(guī)范之間的關(guān)系是這樣的:標(biāo)準(zhǔn)規(guī)范是認(rèn)證方案的基礎(chǔ)����,同時(shí)標(biāo)準(zhǔn)規(guī)范要求實(shí)踐者遵從實(shí)踐指南的指引。
這個(gè)實(shí)踐指南最近被修訂為ISO/IEC17799:2005�����,標(biāo)準(zhǔn)規(guī)范也被修訂為ISO/IEC27001:2005��,逐步得到國際認(rèn)同���。
許多國家也已發(fā)布了自己的相關(guān)標(biāo)準(zhǔn)���,比如AS/NZS7799�����。這些標(biāo)準(zhǔn)的國際化版本可以在世界任何國家得到認(rèn)可�����,這促使了本土化標(biāo)準(zhǔn)的消退(除了基于兩個(gè)標(biāo)準(zhǔn)號(hào)碼基礎(chǔ)上的本土化標(biāo)準(zhǔn)以外�、�����。
認(rèn)證與遵從
一個(gè)組織可以僅遵從ISO17799來建立和發(fā)展ISMS(信息安全管理體系��、�,因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的。然而�����,由于ISO17799并非基于認(rèn)證框架,它不具備關(guān)于通過認(rèn)證所必需的信息安全管理體系的要求����。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求。在技術(shù)層面來講���,這就表明一個(gè)正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織����,完全符合實(shí)踐指南的要求�,但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是����,一個(gè)正在同時(shí)運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織�����,可以建立一個(gè)完全符合認(rèn)證具體要求的ISMS��,同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求�,于是,這一組織就可以獲得外界的認(rèn)同����,即獲得認(rèn)證���。
ISO27001認(rèn)證要求
ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn),比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的����,這一標(biāo)準(zhǔn)中的編號(hào)系統(tǒng)和文件管理需求的設(shè)計(jì)初衷,就是為了提供良好的兼容性�,使得組織可以建立起這樣一套管理體系:能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來說����,組織通常會(huì)使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu),來提供ISO27001認(rèn)證服務(wù)����。正是因?yàn)檫@個(gè)緣故,在ISMS體系建立的過程中���,質(zhì)量管理的經(jīng)驗(yàn)舉足輕重�。
但是有一點(diǎn)需要注意��,一個(gè)組織如果沒有事先擁有并使用任何形式的管理體系����,并不意味著該組織不能進(jìn)行ISO27001認(rèn)證���。這種情況下,該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮��,選擇一個(gè)合適的管理體系的認(rèn)證機(jī)構(gòu)來提供認(rèn)證服務(wù)���。認(rèn)證機(jī)構(gòu)必須得到一個(gè)國家鑒定機(jī)構(gòu)的委托授權(quán)���,才能為認(rèn)證組織提供認(rèn)證服務(wù),并發(fā)放認(rèn)證證書�。大多數(shù)國家都有自己的國家鑒定機(jī)構(gòu)(比如:英國UKAS、����,任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案。
風(fēng)險(xiǎn)評(píng)估應(yīng)對(duì)計(jì)劃
任何一個(gè)ISMS體系的建立和開發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求����。每個(gè)組織不僅都有自己獨(dú)特的業(yè)務(wù)模式���、運(yùn)營目標(biāo)�、形象特點(diǎn)和內(nèi)部文化,他們對(duì)待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭���。換句話說��,同一個(gè)東西����,一個(gè)機(jī)構(gòu)組織認(rèn)為是必須提防的威脅����,在另一個(gè)組織看來可能是一個(gè)必須抓住的機(jī)遇。同樣地��,各個(gè)機(jī)構(gòu)組織對(duì)于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊��?���;谝陨匣蛘咂渌颍總€(gè)運(yùn)行ISMS的組織���,其內(nèi)部成員必須對(duì)風(fēng)險(xiǎn)評(píng)估有一個(gè)共識(shí)���,這個(gè)風(fēng)險(xiǎn)評(píng)估的方法論��、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會(huì)的首肯��。
ISMS項(xiàng)目和PDCA流程
ISMS項(xiàng)目很復(fù)雜����,可能持續(xù)若干個(gè)月甚至若干年���,涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門的每個(gè)成員��。ISO27001認(rèn)證誕生時(shí)間短�,成功的案例比較少����。從務(wù)實(shí)的角度考慮,這表明在項(xiàng)目計(jì)劃過程中����,必須盡早對(duì)這些僅有的指導(dǎo)性的書籍和案例進(jìn)行分析和研究。
ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開展ISMS項(xiàng)目��,并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素�����。
1950年W.EdwardsDeming提出PDCA流程����,即計(jì)劃(Plan、-執(zhí)行(Do���、-檢查(Check����、-提升(Act��、過程��,意在說明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的����,該方法使得職能部門經(jīng)理可以識(shí)別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)���,都必須遵循這樣一個(gè)過程:先計(jì)劃�����,再執(zhí)行�����,而后對(duì)其運(yùn)行結(jié)果進(jìn)行評(píng)估��,緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)查����,而后尋找到任何與計(jì)劃不符的結(jié)果偏差(即潛在改進(jìn)的可能性、�����,最后向管理層提出如何運(yùn)行的最終報(bào)告�。
ISO27001認(rèn)證審核費(fèi)用及周期
除了組織自身投入之外,ISO27001認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了�����。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后����,認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀,確定審核范圍�,提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來確定的,決定因素包括:
1�����、受審核組織的員工數(shù)量����;
2��、納入審核范圍的信息量��;
3�����、場(chǎng)所數(shù)量����;
4、組織與外界的關(guān)聯(lián)�;
5、組織IT的復(fù)雜性�����;
6、組織類型和業(yè)務(wù)性質(zhì)等�。
除了費(fèi)用問題,認(rèn)證審核的周期通常也是組織比較關(guān)心的�����。一般來說,從組織啟動(dòng)ISMS建設(shè)項(xiàng)目開始,到最終通過審核��,至少要有半年時(shí)間(不包括獲取證書的時(shí)間、����。對(duì)于很多因?yàn)橥獠框?qū)動(dòng)力而決心實(shí)施ISO27001認(rèn)證項(xiàng)目的組織來說,提早進(jìn)行規(guī)劃是必要的���。
激光設(shè)備檢測(cè)
網(wǎng)站備案:
公安網(wǎng)備案:
