信息安全管理体系ISO27000认证基础知识

本页关键词：信息安全管理体系认证，iso27000认证、基础知识

俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

一、什么是信息安全管理体系？

信息安全管理体系是在组织内部建立信息安全管理目标，以及完成这些目标所用方法的体系。

ISO/LEC27001是建立、实施和维持信息安全管理体系的标准，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础，选择控制目标与控制方式等活动建立信息安全管理体系。

二、信息安全的必要性和好处

我国软件行业，病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生，80%信息泄露都是由内或内外勾结造成，所以建立信息安全管理体系很有必要。

归纳而言，有以下七点：
1、识别信息安全风险，增强安全防范意识；
2、明确安全管理职责，强化风险控制责任；
3、明确安全管理要求，规范从业人员行为；
4、保护关键信息资产，保持业务稳定运营；
5、防止外来病毒侵袭，减小低损失程度；
6、树立公司对外形象，增加客户合作信心7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局等政府机构的补贴，补贴额度不少于企业建立ISO27001体系的投入费用（包含咨询认证过程）。
此外，信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点，39个控制措施，11个控制域。
其中11个控制域包括：
1）安全策略
2）信息安全的组织
3）资产管理
4）人力资源安全
5）物理和环境安全
6）通信和操作管理
7）访问控制
8）系统采集、开发和维护
9）信息安全事故管理
10）业务连续性管理
11）符合性

三、建立信息安全体系的主要程序

建立信息安全管理体系一般要经过下列四个基本步骤：
①信息安全管理体系的策划与准备；
②信息安全管理体系文件的编制；
③信息安全管理体系运行；
④信息安全管理体系审核、评审和持续改进。

四、系列标准
ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似于质量管理体系的ISO9000系列和环境管理体系的ISO14000系列标准。
规划的ISO27000系列包含下列标准：
1、ISO27000原理与术语Principlesandvocabulary
2、ISO27001信息安全管理体系—要求ISMSRequirements(以BS7799-2为基础)
3、ISO27002信息技术—安全技术—信息安全管理实践规范(ISO/IEC17799:2005)
4、ISO27003信息安全管理体系—实施指南ISMSImplementationguidelines
5、ISO27004信息安全管理体系—指标与测量ISMSMetricsandmeasurement
6、ISO27005信息安全管理体系—风险管理ISMSRiskmanagement
7、ISO27006信息安全管理体系—认证机构的认可要求ISMS
8、ISO27007信息技术-安全技术-信息安全管理体系审核员指南
9、审计指南Informationtechnology_Securitytechniques_ISMSauditorguidelines

五、咨询认证

信息安全管理体系建设项目划分成五个大的阶段，并包含25项关键的活动，如果每项前后关联的活动都能很好地完成，终就能建立起有效的ISMS，实现信息安全建设整体蓝图，接受ISO27001审核并获得认证更是水到渠成的事情。具体来说：

1、现状调研：从日常运维、管理机制、系统配置等方面对组织信息安全管理安全现状进行调研，通过培训使组织相关人员全面了解信息安全管理的基本知识。
2、风险评估：对组织信息资产进行资产价值、威胁因素、脆弱性分析，从而评估组织信息安全风险，选择适当的措施、方法实现管理风险的目的。
3、管理策划：根据组织对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。
4、体系实施阶段：ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。
5、认证审核阶段：经过一定时间运行，ISMS达到一个稳定的状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

质量体系认证历经数年的发展，拥有现代化的办公设备及自动化的网络管理系统，每年业务处理量超过几千件，已为全国万余家单位提供了大量的3C认证、知识产权贯标认证、CMMI认证、体系认证、产品出口资质认证、计量检测服务、商标专利代理咨询服务，并顺利取得了相应的证书。赢得了广大企业客户的信赖。