一
二、
在人類邁入信息息時代的今天,組織在分享著現代科技帶來便利的同時,也面臨著信息安全的威脅。如何既能享用現代信息系統的快捷方便,又能充分防范信息的損壞和泄露,已成為當前企業迫切需要解決的問題。專家研究表明,信息安全在于保證信息的保密性、完整性、可用性三種屬性不被破壞。信息安全可使信息避免一系列威脅,保障業務的連續性,最大限度地減少業務的損失,獲取相關方的信任,以最大限度地獲得投資和業務的回報。
“七分管理,三分技術”的信息安全原則表明,解決信息安全問題不應僅從技術方著手,同時更應加強信息安全的管理工作,通過建立正規的信息安全管理體系以達到系統、全面地解決信息安全問題。ISO/IEC 27001標準目前是國際上公認的實現信息安全管理的最佳標準。該標準強調以風險管理為基礎的、全面的安全管理,目前該方法在世界范圍內得到了廣泛的認可。
三、
ISO 27001:2005是建立信息安全管理體系(ISMS)的一套需求規范(Information Security. Security techniques. Information security management systems. Requirements),其中詳細說明了建立、實施和維護信息安全管理體系的要求,指出實施機構應該遵循的風險評估標準,當然,如果要得到最終的認證(對依據ISO 27001:2005建立的ISMS進行認證),還有一系列相應的注冊認證過程。作為一套管理標準,ISO 27001:2005指導相關人員怎樣去應用ISO27002:2005,其最終目的,還在于建立適合組織需要的信息安全管理體系(ISMS)。
下表以標準原文目錄格式,列舉說明了ISO 27001:2005的主要內容。
一級目錄 | 二級目錄 | 內容簡介 | ||
前言 | 發布者,目的,內容概要,其他說明。 | |||
0. 簡介 | 0.1 概要 | 本標準對組織的價值所在。 | ||
0.2 過程方法 | 對過程方法進行解釋,引入PDCA模型。 | |||
0.3 與其他管理體系的兼容 | 強調與ISO9001和ISO14001的一致性。 | |||
1. 范圍 | 1.1 概要 | 本標準規定了ISMS建設的要求及根據需要實施安全控制的要求。 | ||
1.2 應用 | 本標準適用于所有的組織。控制選擇與否應根據風險評估和適用法規需求。 | |||
2. 標準引用 | 引用ISO9001、ISO17799和ISO Guide 73:2002 | |||
3. 術語和定義 | 資產,CIA,信息安全,信息安全事件,ISMS,風險評估與管理,SOA等。 | |||
4. 信息安全管理體系 | 4.1 一般要求 | 在組織全面的業務活動和風險環境中,應該開發、實施、維護并持續改進一個文檔化的ISMS。 | ||
4.2 建立并管理ISMS | 4.2.1 建立ISMS(Plan) ? 定義ISMS的范圍 ? 定義ISMS方針 ? 定義系統的風險評估途徑 ? 識別風險 ? 評估風險 ? 識別并評價風險處理措施 ? 選擇用于風險處理的控制目標和控制 ? 準備適用性聲明(SoA) ? 取得管理層對殘留風險的承認,并授權實施和操作ISMS 4.2.2 實施和操作ISMS(Do) ? 制定風險處理計劃 ? 實施風險處理計劃 ? 實施所選的控制措施以滿足控制目標 | |||
? 實施培訓和意識程序 ? 管理操作 ? 管理資源(參見5.2) ? 實施能夠激發安全事件檢測和響應的程序和控制 4.2.3 監視和復查ISMS(Check) ? 執行監視程序和控制 ? 對ISMS的效力進行定期復審 ? 復審殘留風險和可接受風險的水平 ? 按照預定計劃進行內部ISMS審計 ? 定期對ISMS進行管理復審 ? 記錄活動和事件可能對ISMS的效力或執行力度造成影響 4.2.4 維護并改進ISMS(Act) ? 對ISMS實施可識別的改進 ? 采取恰當的糾正和預防措施 ? 與所有利益伙伴溝通 ? 確保改進成果滿足其預期目標 | ||||
4.3 文件要求 | 4.3.1 概要-說明ISMS應該包含的文件。 4.3.2 對文件的控制- ISMS所要求的文件應該妥善保護和控制。 | |||
4.3.3 對記錄的控制-應該建立并維護記錄。 | ||||
5. 管理層責任 | 5.1 管理層責任 | 說明管理層在ISMS建設過程中應該承擔的責任。 | ||
5.2 對資源的管理 | 5.2.1 資源提供-組織應該確定并提供ISMS相關所有活動必要的資源 5.2.2 培訓、意識和能力-通過培訓,組織應該確保所有在ISMS中承擔責任的人能夠勝任其職 | |||
6. ISMS內部審計 | 組織應該通過定期的內部審計來確定ISMS的控制目標、控制、過程和程序滿足相關要求。 | |||
7. ISMS管理評審 | 7.1 概要 | 管理層應該對組織的ISMS定期進行評審,確保其持續適宜、充分和有效。 | ||
7.2 評審輸入 | 評審時需要的輸入資料,包括內審結果。 | |||
7.3 評審輸出 | 評審成果,應該包含任何決策及相關行動。 | |||
8. ISMS改進 | 8.1 持續改進 | 組織應該借助信息安全策略、安全目標、審計結果、受監視的事件分析、糾正性和預防性措施、管理復審來持續改進ISMS的效力。 | ||
8.2 糾正措施 | 組織應該采取措施,消除并實施和操作ISMS相關的不一致因素,避免其再次出現。 | |||
8.3 預防措施 | 為了防止將來出現不一致,應該確定防護措施。所采取的預防措施應與潛在問題的影響相適宜。 | |||
附錄A 控制目標和控制 | A.5 安全策略 A.6 組織信息安全 A.7 資產管理 A.8 人力資源管理 A.9 物理和環境安全 | 以列表(表A.1)方式展示:A.5到A.15所列的控制目標和控制,是直接從ISO/IEC 17799:2005正文5到15那里引用過來的。此處列舉的控制目標和控制,應該被4.2.1規定的ISMS過程所選擇。 | ||
A.10 通信和操作管理 A.11 訪問控制 A.12 信息系統獲取、開發和維護 A.13 信息安全事件管理 A.14 業務連續性管理 下一篇:什么是ISO27000? 延伸閱讀
熱門標簽:
行業新聞
培訓課程標準化體系
深圳市智天下管理顧問有限公司 
| ||||
