ISO27001認證咨詢
信息安全管理實用規則ISOIEC27001的前身為英國的BS7799標準,該標準由英國標準協會(BSI)于1995年2月提出,并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分: BS7799-1,信息安全管理實施規則 BS7799-2,信息安全管理體系規范。 第一部分對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用;第二部分說明了建立、實施和文件化信息安全管理體系(ISMS)的要求,規定了根據獨立組織的需要應實施安全控制的要求。
標準的主要內容
ISOIEC17799-2000(BS7799-1)對信息安全管理給出建議,供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎,并為組織之間的交往提供信任。
標準指出“象其他重要業務資產一樣,信息也是一種資產”。它對一個組織具有價值,因此需要加以合適地保護。信息安全防止信息受到的各種威脅,以確保業務連續性,使業務受到損害的風險減至最小,使投資回報和業務機會最大。
信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制,以確保滿足該組織的特定安全目標。
內容章節
ISOIEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素,組織可以根據適用的法律法規和章程加以選擇和使用,或者增加其他附加控制。國際標準化組織(ISO)在2005年對ISO 17799進行了修訂,修訂后的標準作為ISO 27000標準族的第一部分——ISOIEC 27001,新標準去掉9點控制措施,新增17點控制措施,并重組部分控制措施而新增一章,重組部分控制措施,關聯性邏輯性更好,更適合應用;并修改了部分控制措施措辭。修改后的標準包括11個章節:
1)安全策略
2)信息安全的組織
3)資產管理
4)人力資源安全
5)物理和環境安全
6)通信和操作管理
7)訪問控制
8)系統系統采集、開發和維護
9)信息安全事故管理
10)業務連續性管理
11)符合性
ISO27001的效益
1、通過定義、評估和控制風險,確保經營的持續性和能力
2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任
3、通過遵守國際標準提高企業競爭能力,提升企業形象
4、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失
5、建立安全工具使用方針
6、謹防技術訣竅的丟失
7、在組織內部增強安全意識
8、可作為公共會計審計的證據
一、 信息安全管理體系認證的標準是什么?
信息安全管理體系(Information Security Management System,簡稱ISMS)的概念最初來源于英國標準學會制定的BS7799標準, 并伴隨著其作為國際標準的發布和普及而被廣泛地接受。ISOIEC JTC1 SC27WG1(國際標準化組織國際電工委員會信息技術委員會 安全技術分委員會第一工作組)是制定和修訂ISMS標準的國際組織。
ISOIEC270012005(《信息安全管理體系 要求》)是ISMS認證所采用的標準。目前我國已經將其等同轉化為中國國家標準GBT 22080-2008ISOIEC 270012005。
二、 ISOIEC 27000族的成員標準主要有哪些?
ISOIEC 27000族是國際標準化組織專門為ISMS預留下來的一系列相關標準的總稱,其包含的成員標準有:
1. ISOIEC 27000 ISMS概述和術語 IS
2. ISOIEC 27001 信息安全管理體系 要求 IS
3. ISOIEC 27002 信息安全管理體系實用規則 IS
4. ISOIEC 27003 信息安全管理體系實施指南 FDIS
5. ISOIEC 27004 信息安全管理度量 FDIS
6. ISOIEC 27005 信息安全風險管理 IS
7. ISOIEC 27006 ISMS認證機構的認可要求 IS
8. ISOIEC 27007 信息安全管理體系審核指南 CD
9. ISOIEC 27008 ISMS控制措施審核員指南 WD
10. ISOIEC 27010 部門間通信的信息安全管理 NP
11. ISOIEC 27011 電信業信息安全管理指南 IS
……
目前,國際標準化組織(即:ISO)正在不斷地擴充和完善ISMS系列標準,使之成為由多個成員標準組成的標準族。
三、 中國信息安全認證中心開展ISMS認證的資質有哪些?
根據《中華人民共和國認證認可條例》規定,在我國境內開展認證業務須經國家主管部門──國家認證認可監督管理委員會批準并頒發資質證明。
中國信息安全認證中心是經國家認證認可監督管理委員會批準并頒發資質證明的可從事信息安全管理體系認證的正式機構。認證機構的信息安全管理體系認證資質可查詢
同時,中國信息安全認證中心是國內首家通過中國合格評定國家認可委員會能力認可的ISMS認證機構。
四、 信息安全管理體系證書是否實現了國際互認?
1. 信息安全管理體系(ISMS)認證是一種自愿的、基于市場需求的第三方認證,其作用是通過認證向客戶、合作伙伴等相關方證明組織在信息安全管理方面的水平和能力,以提供信任和信心。實現ISMS國際互認的前提和條件是統一認證標準。目前,各國認可機構均依據本國認證認可制度對申請認可的認證機構進行認可。在不同的國家認證認可制度下,通過認可的認證機構頒發的信息安全管理體系認證證書,由于認證標準都是依據ISOIEC 270012005國際標準,其證書具有相同的效力。
2. 國際認可論壇(IAF)作為有關國家認可機構(包括中國CNAS ,英國UKAS,美國ANAB,荷蘭RvA等)參加的多邊合作組織,其主要目標是協調各國認證認可制度,通過統一規范各成員單位的審核員資格要求、認證標準及管理體系認證機構的評定和認證程序,使其在技術運作上保持一致,從而確保有效的國際互認。目前,我國已經在質量管理體系(QMS)、環境管理體系(EMS)兩個管理體系的認證證書與IAF的成員單位簽訂了互認協議。但是信息安全管理體系(ISMS)涉及到安全等敏感問題,各國的認可機構都沒有在ISMS領域加入IAF,因此還沒有實現國際互認。嚴格說來,帶有CNAS、UKAS、ANAB等標志的ISMS認證證書都不屬于國際認證證書,均不具有國際互認性,獲得任何一家認證機構頒發的證書都不能稱為獲得了國際認證。
3. 中國合格評定國家認可中心(CNAS)作為IAF 17個發起成員單位之一,承擔著眾多責任。目前CNAS作為主要協調單位,正積極組織開展信息安全管理體系國際互認工作,但各國簽署互認協議、加入IAF還有待時日。
綜上所述,只有IAF中的各成員單位就ISMS簽署多邊互認協議,同時相關認證機構被授權在所頒發的ISMS認證證書上加貼IAF標識后,該ISMS認證證書才具有國際互認性。
五、 ISOIEC 27000族標準中有哪些已轉化為中國國家標準?
ISOIEC 270012005
已等同轉化為中國國家標準GBT 22080-2008ISOIEC 270012005
《信息技術 安全技術 信息安全管理體系 要求》(2008-06-19發布,2008-11-01實施)
ISOIEC 270022005
已等同轉化為中國國家標準GBT 22081-2008ISOIEC 270022005
《信息技術 安全技術 信息安全管理實用規則》(2008-06-19發布,2008-11-01實施)
目前,全國信息安全標準化技術委員會(TC260)信息安全管理工作組(WG7)正在不斷推進信息安全管理體系國家標準的編制和轉化工作。
六、 建立信息安全管理體系對組織有什么好處?
通過定期的監督審核將確保組織的體系不斷地被監督和改善,并以此作為增強信息安全性的依據;
通過第三方的認證能增強投資者及其他利益相關方的投資信心;
通過認證能夠向政府及行業主管部門證明組織對相關法律法規的符合性;
通過認證能保證和證明組織對信息安全的承諾;
通過認證可改善組織的業績、拓展業務、消除不信任感。
建立信息安全管理體系,能切實提高組織的信息安全管理水平,提高全員信息安全意識, 降低信息安全風險,保證信息的保密性、完整性和可用性。尤其是通過第三方的認證,更能向其他各方證明其信息安全管理能力,因此越來越多的組織建立信息安全管理體系。截止2009年9月,全球有5941個組織獲得了信息安全管理體系認證,并且這個數字正在快速地增長。
