ISO27001常见问题
ISO27001常见问题
(内部使?)
版本1.0,2008/31.什么是ISO27001?
ISO/IEC27001:2005的名称是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-
requirements”,可翻译为信息技术“—安全技术—信息安全管理体系——要求”。ISO27001是信息安全管理体系(ISMS)的规
范标准,是为组织机构提供信息安全认证执?的认证标准,其中详细说明了建?、实施和维护信息安全管理体系的要求。它是
BS7799-2:2002由国际标准化组织及国际电?委员会转换?来,并于2005年10?15?颁布。
2.ISO27001与其他标准有什么关系?
ISO/IEC27001与ISO9001(质量管理体系)和ISO14001(环境管理体系)标准紧密相连。这三个标准中众多的体系元素和
原则是互通的,?如采?PDCA(计划、执?、检查、改进)的循环流程。在ISO27001附录C中列举了三个管理体系之间的
对应关系,该对应关系使得体系之间的整合与集成扩展成为可能。
3.哪些企业适?于ISO27001标准?
ISO/IEC27001:2005标准中明确指出,标准中规定的要求是通?的,适?于所有的组织,?论其类型、规模和业务性质怎
样。
如果由于组织及其业务性质?导致标准中有不适?之处,可以考虑对要求进?删减,但是务必要保证,这种删减不影响组织为
满?由风险评估和适?的法律所确定的安全需求?提供信息安全的能?和责任,否则就不能声称是符合27001:2005标准的。
27001:2005标准可以作为评估组织满?客户、组织本?以及法律法规所确定的信息安全要求的能?的依据,?论是?我评估
还是独?第三?认证。就?前国内发展来看,最先确定实施ISMS并考虑接受ISO/IEC27001:2005标准认证的组织,其驱动
?都?较明显,这种驱动?可以是外部的,也可以是发?内部的。这些组织主要集中在以下?个?业:
半导体?业:尤其是主业为集成电路芯?制造的组织。由于国内最近?年IC产业发展迅猛,?量国外设计企业的制造订单都
飞往国内?些?型的芯?制造企业鉴于IP(知识产权)保护的重要性,来?国外客户的明确要求,使得国内芯?制造企业必须
在信息安全管理??做出保证,27001:2005标准证书就是最好的选择。
软件外包?业:情况与芯?制造企业类似,近年来,承担软件定制开发的很多企业,也?临外部客户明确提出的信息保护的
要求。
?融业和保险业:?直以来,?融和保险?业对信息安全的重视都是?常?的,保护客户信息保证业务运转的可靠性和持续
性,这都是此?业组织实施ISMS并寻求认证的驱动?。
通讯?业:特别是?些?型的通信设备提供商,由于牵涉到对??核?技术的保护,对信息安全加以重视并全?实施信息安
全管理体系就成了这些企业必然的选择。
制造?业:随着制造企业的信息化进?步加强,制造企业的知识产权、技术秘密、客户资料、?产数据等组织赖以?存的核
?信息愈来愈受到来?各??的威胁,如何保护它们以及确保它们的保密性、完整性、可?性?关重要,因此,信息安全管理
体系也是制造企业不可缺少的?部分。
其他?业:只要是牵涉到IP保护的、牵涉到?业规范和法律法规要求的、牵涉到??发展需求的,组织都会逐渐在信息安全
建设上加强?度,就拿美国Sarbanes-Oxley法案(萨班斯法案,简称SOX法案)来说,由于对在SEC注册的上市公司提出
了内部控制审核的要求,相关组织必然会在信息安全??投?关注,因为信息安全控制是企业内部控制必不可少的?个部分。
例如:销售公司,数据中?等。
4.如何建?ISO27001体系?
按照ISO/IEC27001:2005“4.2.1建?ISMS”条款的要求,采?PDCA的过程?法,建?ISMS的主要步骤和内容如下:
1.确定ISMS的范围和边界并?件化;
2.确定ISMS?针并?件化,包括建?信息安全?标框架,建?信息安全活动的总?向和总原
则;建?风险评价的准则和定义风险评估的结构
3.确定组织的风险评估?法,包括建?风险接受的准则;
4.识别要保护的信息资产的风险,包括识别:
i.资产及其责任?;
ii.资产所?临的威胁;
iii.组织的脆弱性;
iv.资产保密性、完整性和可?性的丧失造成的影响。
5.分析和评价安全风险,形成风险评估报告,包括要保护