一、??? 資產的分類

資產的分級標準

資產的等級通過資產的機密性（C）、完整性（I）和可用性(A)三個因素表現(xiàn)。計算公式為：機密性價值（C）＋完整性價值（I）＋可用性價值（A）
每個因素的判定標準如下：

二、

The post ISO27001資產和資產風險等級劃分準則 first appeared on 深圳市安信達咨詢有限公司.

The post ISO27001 信息安全基本方針（實例） first appeared on 深圳市安信達咨詢有限公司.

The post ISO27001信息安全管理體系認證背景 first appeared on 深圳市安信達咨詢有限公司.

信息安全管理體系要求

Information technology- Security techniques

-Information security management systems-requirements

（ISO/IEC 27001:2005）

 
目次
前言………………………………………………………………….. II
引言…………………………………………………………………. III
1 范圍…………………………………………………………………….. 1
2 規(guī)范性引用文件……………………………………………………………. 1
3 術語和定義……………………………………………………………….. 1
4 信息安全管理體系（ISMS）…………………………………………………… 3
5 管理職責…………………………………………………………………. 6
6 內部ISMS審核…………………………………………………………….. 7
7 ISMS的管理評審……………………………………………………………. 7
8 ISMS改進…………………………………………………………………. 8
附錄A （規(guī)范性附錄） 控制目標和控制措施……………………………………. 9
附錄B （資料性附錄） OECD原則和本標準……………………………………. 20
附錄C （資料性附錄） ISO 9001:2000, ISO 14001:2004 和本標準之間的對照…………… 21
 
引言
0.1 總則
本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（Information Security
Management System，簡稱ISMS）提供模型。采用ISMS 應當是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS 的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結構的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS，是本標準所期望的，例如，簡單的情況可采用簡單的ISMS 解決方案。
本標準可被內部和外部相關方用于一致性評估。
0.2 過程方法
本標準采用一種過程方法來建立、實施、運行、監(jiān)視、評審、保持和改進一個組織的ISMS。
一個組織必須識別和管理眾多活動使之有效運作。通過使用資源和管理，將輸入轉化為輸出的任意活動，可以視為一個過程。通常，一個過程的輸出可直接構成下一過程的輸入。
一個組織內諸過程的系統(tǒng)的運用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。
本標準中提出的用于信息安全管理的過程方法鼓勵其用戶強調以下方面的重要性：
a) 理解組織的信息安全要求和建立信息安全方針與目標的需要；
b) 從組織整體業(yè)務風險的角度，實施和運行控制措施，以管理組織的信息安全風險；
c) 監(jiān)視和評審ISMS 的執(zhí)行情況和有效性；
d) 基于客觀測量的持續(xù)改進。
本標準采用了“規(guī)劃（Plan）-實施（Do）-檢查（Check）-處置（Act）”（PDCA） 模型，該模型可應用于所有的ISMS 過程。圖1 說明了ISMS 如何把相關方的信息安全要求和期望作為輸入，并通過必要的行動和過程，產生滿足這些要求和期望的信息安全結果。圖1 也描述了4、5、6、7 和8 章所提出的過程間的聯(lián)系。
采用PDCA模型還反映了治理信息系統(tǒng)和網絡安全的OECD指南（2002 版）中所設置的原則。本標準為實施OECD指南中規(guī)定的風險評估、安全設計和實施、安全管理和再評估的原則提供了一個強健的模型。
例1：某些信息安全缺陷不至于給組織造成嚴重的財務損失和/或使組織陷入困境，這可能是一種要求。
例2：如果發(fā)生了嚴重的事故——可能是組織的電子商務網站被黑客入侵——應有經充分培訓的員工按照適當?shù)某绦颍瑢⑹录挠绊懡抵磷钚?。這可能是一種期望。
備注：因文章編輯原因，該圖片不可顯示，PDCA模型與ISO9001模型一致，不到之處敬請原諒。沉默的王安石
圖1 應用于ISMS 過程的PDCA 模型

 
0.3 與其它管理體系的兼容性
本標準與GB/T 19001-2000 及GB/T 24001-1996 相結合，以支持與相關管理標準一致的、整合的實施和運行。因此，一個設計恰當?shù)墓芾眢w系可以滿足所有這些標準的要求。表C.1 說明了本標準、GB/T19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各條款之間的關系。本標準的設計能夠使一個組織將其ISMS與其它相關的管理體系要求結合或整合起來。
信息技術安全技術信息安全管理體系要求
重點：本出版物不聲稱包括一個合同所有必要的規(guī)定。用戶負責對其進行正確的應用。符合標準本身并不獲得法律義務的豁免。
 
1 范圍

1.1 總則
本標準適用于所有類型的組織（例如，商業(yè)企業(yè)、政府機構、非贏利組織）。本標準從組織的整體
業(yè)務風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS 規(guī)定了要求。它規(guī)定
了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。
ISMS的設計應確保選擇適當和相宜的安全控制措施，以充分保護信息資產并給予相關方信心。
注1：本標準中的“業(yè)務”一詞應廣義的解釋為關系一個組織生存的核心活動。
注2：ISO/IEC 17799提供了設計控制措施時可使用的實施指南。
1.2 應用
本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標準時，對于
4、5、6、7 和8 章的要求不能刪減。
為了滿足風險接受準則所必須進行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證
明相關風險已被負責人員接受。除非刪減不影響組織滿足由風險評估和適用法律法規(guī)要求所確定的安全
要求的能力和/或責任，否則不能聲稱符合本標準。
注：如果一個組織已經有一個運轉著的業(yè)務過程管理體系（例如，與ISO 9001 或者ISO 14001 相
關的），那么在大多數(shù)情況下，更可取的是在這個現(xiàn)有的管理體系內滿足本標準的要求。
 
2 規(guī)范性引用文件
下列參考文件對于本文件的應用是必不可少的。凡是注日期的引用文件，只有引用的版本適用于本
標準；凡是不注日期的引用文件，其最新版本（包括任何修改）適用于本標準。
ISO/IEC 17799:2005，信息技術—安全技術—信息安全管理實用規(guī)則。
 
3 術語和定義
本標準采用以下術語和定義。
3.1
資產asset
任何對組織有價值的東西[ISO/IEC 13335-1:2004]。
3.2
可用性availability
根據(jù)授權實體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。
3.3
保密性confidentiality
信息不能被未授權的個人，實體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4
信息安全information security
保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性
等特性[ISO/IEC 17799：2005]。
3.5
信息安全事件information security event
信息安全事件是指系統(tǒng)、服務或網絡的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反
或防護措施的失效，或是和安全關聯(lián)的一個先前未知的狀態(tài)[ISO/IEC TR 18044：2004]。
3.6
信息安全事故information security incident
一個信息安全事故由單個的或一系列的有害或意外信息安全事件組成，它們具有損害業(yè)務運作和威
脅信息安全的極大的可能性[ISO/IEC TR 18044：2004]。
3.7
信息安全管理體系（ISMS） information security management system（ISMS）
是整個管理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改
進信息安全的。
注：管理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。
3.8
完整性integrity
保護資產的準確和完整的特性[ISO/IEC 13335-1:2004]。
3.9
殘余風險residual risk
經過風險處理后遺留的風險[ISO/IEC Guide 73:2002]。
3.10
風險接受risk acceptance
接受風險的決定[ISO/IEC Guide 73：2002]。
3.11
風險分析risk analysis
系統(tǒng)地使用信息來識別風險來源和估計風險[ISO/IEC Guide 73：2002]。
3.12
風險評估risk assessment
風險分析和風險評價的整個過程[ISO/IEC Guide 73：2002]。
3.13
風險評價risk evaluation
將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程[ISO/IEC Guide 73：2002]。
3.14
風險管理risk management
指導和控制一個組織相關風險的協(xié)調活動[ISO/IEC Guide 73：2002]。
3.15
風險處理risk treatment
選擇并且執(zhí)行措施來更改風險的過程[ISO/IEC Guide 73：2002]。
注：在本標準中，術語“控制措施”被用作“措施”的同義詞。
3.16
適用性聲明statement of applicability
描述與組織的信息安全管理體系相關的和適用的控制目標和控制措施的文檔。
注：控制目標和控制措施基于風險評估和風險處理過程的結果和結論、法律法規(guī)的要求、合同義務以及組織對于信息安全的業(yè)務要求。
 
4 信息安全管理體系（ISMS）

4.1 總要求
一個組織應在其整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進
文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。

4.2 建立和管理ISMS
4.2.1 建立ISMS
組織應：
a) 根據(jù)業(yè)務特點、組織結構、位置、資產和技術，確定ISMS 的范圍和邊界，包括對例外于此范
圍的對象作出詳情和合理性的說明（見1.2）。
b) 根據(jù)業(yè)務特點、組織結構、位置、資產和技術，確定ISMS 方針，應：
1) 為其目標建立一個框架并為信息安全行動建立整體的方向和原則；
2) 考慮業(yè)務和法律法規(guī)的要求，及合同中的安全義務；
3) 在組織的戰(zhàn)略性風險管理環(huán)境下，建立和保持ISMS；
4) 建立風險評價的準則[見4.2.1 c]]；
5) 獲得管理者批準。
注：就本標準的目的而言，ISMS 方針被認為是信息安全方針的一個擴展集。這些方針可以在
一個文件中進行描述。
c) 確定組織的風險評估方法
1）識別適合ISMS、已識別的業(yè)務信息安全和法律法規(guī)要求的風險評估方法。
2）制定接受風險的準則，識別可接受的風險級別（見5.1f）。
選擇的風險評估方法應確保風險評估產生可比較的和可再現(xiàn)的結果。
注：風險評估具有不同的方法。在ISO/IEC TR 13335-3《信息技術IT 安全管理指南：IT 安全
管理技術》中描述了風險評估方法的例子。
d) 識別風險
1) 識別ISMS范圍內的資產及其責任人；
2) 識別資產所面臨的威脅；
3) 識別可能被威脅利用的脆弱點；
4) 識別喪失保密性、完整性和可用性可能對資產造成的影響。
術語“責任人”標識了已經獲得管理者的批準，負責產生、開發(fā)、維護、使用和保證資產的安全的個人或實體。術語“責任人”不是指該人員實際上對資產擁有所有權。
e) 分析和評價風險
1) 在考慮喪失資產的保密性、完整性和可用性所造成的后果的情況下，評估安全失誤可能造
成的對組織的影響。
2) 評估由主要威脅和脆弱點導致安全失誤的現(xiàn)實可能性、對資產的影響以及當前所實施的控
制措施。
3) 估計風險的級別。
4) 確定風險是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受風險的準則進行處
理。
f) 識別和評價風險處理的可選措施
可能的措施包括：
1) 采用適當?shù)目刂拼胧?br /> 2) 在明顯滿足組織方針策略和接受風險的準則的條件下，有意識地、客觀地接受風險[見4.2.1
c)2)]；
3) 避免風險；
4) 將相關業(yè)務風險轉移到其他方，如：保險，供應商等。
g) 為處理風險選擇控制目標和控制措施
應選擇和實施控制目標和控制措施以滿足風險評估和風險處理過程中所識別的要求。這種選擇
應考慮接受風險的準則（見4.2.1c）2））以及法律法規(guī)和合同要求。
從附錄A 中選擇控制目標和控制措施應成為此過程的一部分，該過程適合于滿足這些已識別的要求。
附錄A 所列的控制目標和控制措施并不是所有的控制目標和控制措施，組織也可能需要選擇另外的控制目標和控制措施。
注：附錄A 包含了組織內一般要用到的全面的控制目標和控制措施的列表。本標準用戶可將附錄A 作為選擇
控制措施的出發(fā)點，以確保不會遺漏重要的可選控制措施。
h) 獲得管理者對建議的殘余風險的批準
i) 獲得管理者對實施和運行ISMS 的授權
j) 準備適用性聲明（SoA）
應從以下幾方面準備適用性聲明：
1） 從4.2.1 g）選擇的控制目標和控制措施，以及選擇的理由；
2） 當前實施的控制目標和控制措施（見4.2.1e）2））；
3） 對附錄A 中任何控制目標和控制措施的刪減，以及刪減的合理性說明。
注：適用性聲明提供了一份關于風險處理決定的綜述。刪減的合理性說明提供交叉檢查，以證明不會因疏忽而遺
漏控制措施。
 
4.2.2 實施和運行ISMS
組織應：
a) 為管理信息安全風險識別適當?shù)墓芾泶胧①Y源、職責和優(yōu)先順序，即：制定風險處理計劃（見
第5 章）。
b) 實施風險處理計劃以達到已識別的控制目標，包括資金安排、角色和職責的分配。
c) 實施4.2.1 g）中所選擇的控制措施，以滿足控制目標。
d) 確定如何測量所選擇的控制措施或控制措施集的有效性，并指明如何用來評估控制措施的有效
性，以產生可比較的和可再現(xiàn)的結果（見4.2.3c)）。
注：測量控制措施的有效性可使管理者和員工確定控制措施達到計劃的控制目標的程度。
e) 實施培訓和意識教育計劃（見5.2.2）。
f) 管理ISMS 的運行。
g) 管理ISMS 的資源（見5.2）。
h) 實施能夠迅速檢測安全事件和響應安全事故的程序和其他控制措施（見4.2.3）a））。
 
4.2.3 監(jiān)視和評審ISMS
組織應：
a) 執(zhí)行監(jiān)視和評審程序和其它控制措施，以：
1) 迅速檢測過程運行結果中的錯誤；
2) 迅速識別試圖的和得逞的安全違規(guī)和事故；
3) 使管理者確定分配給人員的安全活動或通過信息技術實施的安全活動是否被如期執(zhí)行；
4) 通過使用指標，幫助檢測安全事件并預防安全事故；
5) 確定解決安全違規(guī)的措施是否有效。
b) 在考慮安全審核結果、事故、有效性測量結果、所有相關方的建議和反饋的基礎上，進行ISMS
有效性的定期評審（包括滿足ISMS 方針和目標，以及安全控制措施的評審）。
c) 測量控制措施的有效性以驗證安全要求是否被滿足。
d) 按照計劃的時間間隔進行風險評估的評審，以及對殘余風險和已確定的可接受的風險級別進行
評審，應考慮以下方面的變化：
1) 組織結構；
2) 技術；
3) 業(yè)務目標和過程；
4) 已識別的威脅；
5) 已實施控制措施的有效性；
6) 外部事件，如法律法規(guī)環(huán)境的變更、合同義務的變更和社會環(huán)境的變更。
e) 按計劃的時間間隔，對ISMS 進行內部審核（見第6 章）。
注：內部審核，有時稱為第一方審核，是用于內部目的，由組織自己或以組織的名義所進行的審核。
f) 定期對ISMS 進行管理評審，以確保ISMS 范圍保持充分，ISMS 過程的改進得到識別（見7.1）。
g) 考慮監(jiān)視和評審活動的結果，以更新安全計劃。
h) 記錄可能影響ISMS 的有效性或執(zhí)行情況的措施和事件（見4.3.3）。
 
4.2.4 保持和改進ISMS
組織應經常：
a) 實施已識別的ISMS 改進措施。
b) 依照8.2 和8.3 采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓。
c) 向所有相關方溝通措施和改進措施，其詳細程度應與環(huán)境相適應，需要時，商定如何進行。
d) 確保改進達到了預期目標。
 
 
4.3 文件要求
4.3.1 總則
文件應包括管理決定的記錄，以確保所采取的措施符合管理決定和方針策略，還應確保所記錄的結
果是可重復產生的。
至關重要的是，能夠顯示出所選擇的控制措施回溯到風險評估和風險處理過程的結果、并進而回溯
到ISMS 方針和目標之間的關系。
ISMS 文件應包括：
a) 形成文件的ISMS 方針[見4.2.1b）]和目標；
b) ISMS 的范圍[見4.2.la）]；
c) 支持ISMS 的程序和控制措施；
d) 風險評估方法的描述[見4.2.1c）]；
e) 風險評估報告[見4.2.1c）到4.2.1g）]；
f) 風險處理計劃[見4.2.2b）]；
g) 組織為確保其信息安全過程的有效規(guī)劃、運行和控制以及描述如何測量控制措施的有效性所需
的形成文件的程序（見4.2.3c））；
h) 本標準所要求的記錄（見4.3.3）；
i) 適用性聲明。
注1：本標準出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實施和保持。
注2：不同組織的ISMS文件的詳略程度取決于：
. ???????組織的規(guī)模和活動的類型；
.?????? ?安全要求和被管理系統(tǒng)的范圍及復雜程度；
注3：文件和記錄可以采用任何形式或類型的介質。
 
4.3.2 文件控制
ISMS 所要求的文件應予以保護和控制。應編制形成文件的程序，以規(guī)定以下方面所需的管理措施：
a) 文件發(fā)布前得到批準，以確保文件是適當?shù)模?br /> b) 必要時對文件進行評審、更新并再次批準；
c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標識；
d) 確保在使用處可獲得適用文件的相關版本；
e) 確保文件保持清晰、易于識別；
f) 確保文件對需要的人員可用，并依照文件適用的類別程序進行傳輸、貯存和最終銷毀；
g) 確保外來文件得到標識；
h) 確保文件的分發(fā)得到控制；
i) 防止作廢文件的非預期使用；
j) 若因任何原因而保留作廢文件時，對這些文件進行適當?shù)臉俗R。
 
4.3.3 記錄控制
記錄應建立并加以保持，以提供符合ISMS 要求和有效運行的證據(jù)。記錄應加以保護和控制。ISMS
的記錄應考慮相關法律法規(guī)要求和合同義務。記錄應保持清晰、易于識別和檢索。記錄的標識、貯存、
保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。記錄的詳略程度應通過管理過程確定。
應保留4.2 中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS 有關的安全事故的記錄。
例如：記錄包括訪客登記薄、審核報告和已完成的訪問授權單。
 
5 管理職責
5.1 管理承諾
管理者應通過以下活動，對建立、實施、運行、監(jiān)視、評審、保持和改進ISMS 的承諾提供證據(jù)：
a) 制定ISMS 方針；
b) 確保ISMS 目標和計劃得以制定；
c) 建立信息安全的角色和職責；
d) 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；
e) 提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進ISMS （見5.2.1）；
f) 決定接受風險的準則和風險的可接受級別；
g) 確保ISMS 內部審核的執(zhí)行（見第6 章）；
h) 實施ISMS 的管理評審（見第7 章）。
 
5.2 資源管理
5.2.1 資源提供
組織應確定并提供所需的資源，以：
a) 建立、實施、運行、監(jiān)視、評審、保持和改進ISMS；
b) 確保信息安全程序支持業(yè)務要求；
c) 識別和滿足法律法規(guī)要求、以及合同中的安全義務；
d) 通過正確實施所有的控制措施保持適當?shù)陌踩?br /> e) 必要時，進行評審，并適當響應評審的結果；
f) 在需要時，改進ISMS 的有效性。
 
5.2.2 培訓、意識和能力
組織應通過以下方式，確保所有分配有ISMS 職責的人員具有執(zhí)行所要求任務的能力：
a) 確定從事影響ISMS 工作的人員所必要的能力；
b) 提供能力培訓，必要時，聘用有能力的人員以滿足這些需求；
c) 評價所提供的培訓和所采取的措施的有效性；
d) 保持教育、培訓、技能、經歷和資格的記錄（見4.3.3）。
組織也要確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到ISMS目標
做出貢獻。
 
6 內部ISMS 審核
組織應按照計劃的時間間隔進行內部ISMS 審核，以確定其ISMS 的控制目標、控制措施、過程和
程序是否：
a) 符合本標準和相關法律法規(guī)的要求；
b) 符合已確定的信息安全要求；
c) 得到有效地實施和保持；
d) 按預期執(zhí)行。
應在考慮擬審核的過程與區(qū)域的狀況和重要性以及以往審核的結果的情況下，制定審核方案。方案
應規(guī)定審核的準則、范圍、頻次和方法。審核員的選擇和審核的實施應確保審核過程的客觀性和公正性。
審核員不應審核自己的工作。
策劃和實施審核以及報告結果和保持記錄（見4.3.3）的職責和要求應在形成文件的程序中做出規(guī)
定。
負責受審區(qū)域的管理者應確保及時采取措施，以消除已發(fā)現(xiàn)的不符合及其產生的原因。跟蹤活動應
包括對所采取措施的驗證和驗證結果的報告（見第8 章）。
注：GB/T 19011：2003給出了管理體系審核的基本指南，也可作為認證機構的指南。
 
7 ISMS 的管理評審
7.1 總則
管理者應按計劃的時間間隔（至少每年1次）評審組織的ISMS，以確保其持續(xù)的適宜性、充分性和
有效性。評審應包括評估ISMS改進的機會和變更的需要，包括信息安全方針和信息安全目標。評審的
結果應清晰地形成文件，記錄應加以保持（見4.3.3）。
 
7.2 評審輸入
管理評審的輸入應包括：
a) ISMS 審核和評審的結果；
b) 相關方的反饋；
c) 組織用于改進ISMS 執(zhí)行情況和有效性的技術、產品或程序；
d) 預防和糾正措施的狀況；
e) 以往風險評估沒有充分強調的脆弱點或威脅；
f) 有效性測量的結果；
g) 以往管理評審的跟蹤措施；
h) 可能影響ISMS 的任何變更；
i) 改進的建議。

7.3 評審輸出
管理評審的輸出應包括與以下方面有關的任何決定和措施：
a) ISMS 有效性的改進；
b) 風險評估和風險處理計劃的更新；
c) 必要時修改影響信息安全的程序，以響應內部或外部可能影響ISMS 的事件，包括以下的變更：
1) 業(yè)務要求；
2) 安全要求；
3) 影響現(xiàn)有業(yè)務要求的業(yè)務過程；
4) 法律法規(guī)環(huán)境；
5) 合同義務；
6) 風險級別和/或接受風險的準則。
d) 資源需求；
e) 正在被測量的控制措施的有效性的改進。
 
8 ISMS 改進
8.1 持續(xù)改進
組織應通過使用信息安全方針、安全目標、審核結果、監(jiān)視事件的分析、糾正和預防措施以及管理
評審（見第7章），持續(xù)改進ISMS的有效性。
 
8.2 糾正措施
組織應采取措施，以消除與ISMS 要求不符合的原因，以防止再發(fā)生。形成文件的糾正措施程序，
應規(guī)定以下方面的要求：
a) 識別不符合；
b) 確定不符合的原因；
c) 評價確保不符合不再發(fā)生的措施需求；
d) 確定和實施所需要的糾正措施；
e) 記錄所采取措施的結果（見4.3.3）；
f) 評審所采取的糾正措施。

8.3 預防措施
組織應確定措施，以消除潛在不符合的原因，防止其發(fā)生。預防措施應與潛在問題的影響程度相適
應。形成文件的預防措施程序，應規(guī)定以下方面的要求：
a) 識別潛在的不符合及其原因；
b) 評價防止不符合發(fā)生的措施需求；
c) 確定和實施所需要的預防措施；
d) 記錄所采取措施的結果（見4.3.3）；
e) 評審所采取的預防措施。
組織應識別變化的風險，并識別針對重大變化的風險的預防措施的要求。
預防措施的優(yōu)先級要根據(jù)風險評估的結果確定。
注：預防不符合的措施通常比糾正措施更節(jié)約成本。
 

The post ISO27001信息安全管理體系標準 first appeared on 深圳市安信達咨詢有限公司.

1.???? ISMS認證

1.1?? 什么是ISMS認證

所謂認證，即由可以充分信任的第三方認證機構依據(jù)特定的審核準則，按照規(guī)定的程序和方法對受審核方實施審核，以證實某一經鑒定的產品或服務符合特定標準或規(guī)范性文件的活動。
針對ISO/IEC 27001的受認可的認證，是對組織ISMS符合ISO/IEC 27001 要求的一種認證。這是一種通過權威的第三方審核之后提供的保證：受認證的組織實施了ISMS，并且符合ISO/IEC 27001標準的要求。通過認證的組織，將會被注冊登記。

1.2?? 為什么要進行ISMS認證

根據(jù)CSI/FBI的Computer Crime and Security Survey2005中的統(tǒng)計， 65%的組織至少發(fā)生了一次信息安全事故，而在這份報告中同時表明有97%的組織部署了防火墻，96%組織部署了殺毒軟件?？梢姡覀兊男畔踩侄尾⒉蛔嘈?，信息安全現(xiàn)狀不容樂觀。
實際上，只有在宏觀層次上實施了良好的信息安全管理，即采用國際上公認的最佳實踐或規(guī)則集等，才能使微觀層次上的安全，如物理措施等，實現(xiàn)其恰當?shù)淖饔?。采用ISMS標準并得到認證無疑是組織應該考慮的方案之一。
1)??????? 預防信息安全事故，保證組織業(yè)務的連續(xù)性，使組織的重要信息資產受到與其價值相符的保護，包括防范：
l? 重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用；
l? 重要業(yè)務所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷；
2)??????? 節(jié)省費用。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費用，而且也能幫助組織合理籌劃信息安全費用支出，包括：
l? 依據(jù)信息資產的風險級別，安排安全控制措施的投資優(yōu)先級；
l? 對于可接受的信息資產的風險，不投資安全控制；
3)??????? 保持組織良好的競爭力和成功運作的狀態(tài)，提高在公眾中的形象和聲譽，最大限度的增加投資回報和商業(yè)機會；
4)??????? 增強客戶、合作伙伴等相關方的信任和信心。

1.3?? ISMS認證適合何種類型的組織

ISO/IEC 27001:2005中明確指出，標準中規(guī)定的要求是通用的，適用于所有的組織，無論其類型、規(guī)模和業(yè)務性質怎樣。
ISO/IEC 27001:2005可以作為評估組織滿足客戶、組織本身以及法律法規(guī)所確定的信息安全要求的能力的依據(jù)，無論是自我評估還是獨立第三方認證。
就目前國內發(fā)展來看，最先確定實施ISMS 并考慮接受ISO/IEC 27001:2005認證的組織，其驅動力都比較明顯，這種驅動力可以是外部的，也可以是發(fā)自內部的。這些組織主要集中在以下幾個行業(yè)：
u 半導體行業(yè)：尤其是主業(yè)為集成電路芯片制造的組織。由于國內最近幾年IC 產業(yè)發(fā)展迅猛，大量國外設計企業(yè)的制造訂單都飛往國內一些大型的芯片制造企業(yè)，鑒于IP（知識產權）保護的重要性，來自國外客戶的明確要求，使得國內芯片制造企業(yè)必須在信息安全管理方面做出保證，ISO/IEC 27001:2005證書就是最好的選擇。
u 軟件外包行業(yè)：情況與芯片制造企業(yè)類似，近年來，承擔軟件定制開發(fā)的很多企業(yè)，也面臨外部客戶明確提出的信息保護的要求。
u 金融業(yè)和保險業(yè)：一直以來，金融和保險行業(yè)對信息安全的重視都是非常高的，保護客戶信息、保證業(yè)務運轉的可靠性和持續(xù)性，這都是此行業(yè)組織實施ISMS，并尋求認證的驅動力。
u 通訊行業(yè)：特別是一些大型的通信設備提供商，由于牽涉到對自身核心技術的保護，對信息安全加以重視并全面實施信息安全管理體系就成了這些企業(yè)必然的選擇。
u 電子商務行業(yè)：對于電子商務交易平臺、電子商務支付平臺，由于客戶以及合作伙伴對交易過程的高度安全需求，導致這類組織都會在信息安全建設方面加大投入建設，全面的信息安全管理體系。
u 其他行業(yè)：只要是涉及到IP 保護、行業(yè)規(guī)范和法律法規(guī)要求、自身發(fā)展需求的，組織都會逐漸在信息安全建設上加強力度，就拿美國Sarbanes-Oxley 法案（薩班斯法案，簡稱SOX 法案）來說，由于對在SEC 注冊的上市公司提出了內部控制審核的要求，相關組織必然會在信息安全方面投入關注，因為信息安全控制是企業(yè)內部控制必不可少的一個部分。

1.4?? 全球ISMS認證狀況及發(fā)展趨勢

1.4.1???? 全球ISMS證書統(tǒng)計

自2002年以來，全球許多組織開始建立和實施ISMS，并認識到ISMS認證給組織帶來的利益。截至Saturday, 06 January 2007，全球通過的ISMS認證的組織已達3274家，其中包括我國大陸的41家（在xisec網站上列出了39個證書的企業(yè)名稱），臺灣112家，香港26家和澳門3家。

1.4.2???? 中國ISMS證書統(tǒng)計

中國大陸地區(qū)目前已經取得ISMS認證的企業(yè)有44家（xisec網站上只統(tǒng)計了41個證書），大多數(shù)都是從去年下半年開始新出現(xiàn)的，詳見表二。
在這44個證書中，按位置劃分：上海11家；深圳9家；大連6家；北京8家；沈陽 2家；廈門、遼寧、嘉興、山東、蘇州、東莞、廣州、四川各1家。
按行業(yè)劃分：生產業(yè)企業(yè)有10家；軟件開發(fā)是10家；通信業(yè)有8家； IT服務5家；咨詢業(yè)3家；電力行業(yè)2家；保險業(yè) 2家；廣告、業(yè)務流程外包、數(shù)據(jù)恢復、互聯(lián)網各1家。

1.4.3???? 中國政府關注ISMS

u?? 2000年4月，北京知識安全中心把ISMS介紹給國信安辦（原）；
u?? 2002年4月，認監(jiān)委與國信辦在中認大廈召開國家ISMS認證認可高層研討會；
u?? 2002年11月，信安標委WG7開始研究和制定ISMS國家標準；
u?? 2004年4月，認監(jiān)委在其辦公大樓會議室召開ISMS認證認可工作會議；
u?? 2005年6月15日，我國發(fā)布第一個ISMS國家標準“GB/T19716-2005信息安全管理實用規(guī)則”，該標準修改采用ISO/IEC17799:2000；
u?? 2006年2月，國信辦在5個單位開展ISMS標準應用試點工作：國家稅務總局、證監(jiān)會、北京、上海、武鋼；
u?? 2006年3月，認監(jiān)委批準4家ISMS試點認證機構：信產部4所、華夏認證中心、上海認證中心、賽寶認證中心；

1.4.4???? ISMS認證發(fā)展趨勢

自2002年以來，根據(jù)ISMS官方網站陸續(xù)公布的數(shù)字，全球ISMS證書數(shù)量每年都在成倍增長，下圖體現(xiàn)了ISMS證書在全球范圍快速的趨勢。
 
從這些統(tǒng)計數(shù)字可以看出，ISMS做為管理體系家族的一支新秀，正在成為全球企業(yè)解決信息安全問題、提高其競爭力的選擇。

1.5?? 如何建設ISMS并取得認證

組織在確定實施ISMS建設及認證項目后，通常有兩種途徑可以去操作以取得ISMS認證，兩種途徑各有所長，關鍵是看組織自身所具備的特點和看問題的角度。
一：組織內部成立專人專項工作組，按照計劃自我實施。
u? 適合對象：組織規(guī)模不大、業(yè)務模式簡單、信息系統(tǒng)也不復雜。
u? 優(yōu)??? 點：自我實施比較經濟快捷。
u? 缺??? 點：要求組織有勝任的人員，且對信息安全的認識和運作已經達到了一定高度。
二：選擇有實力的咨詢機構，幫助組織完成項目。
u? 適合對象：組織規(guī)模較大、組織結構相互關聯(lián)、對IT的依賴廣泛，更重要的是，組織本身對信息安全的意識和運作還處于較低水平，或者發(fā)展并不均衡。
u? 優(yōu)??? 點：咨詢機構會把一些成熟的經驗移植過來，以最直接快速的方式發(fā)現(xiàn)組織現(xiàn)有問題并對癥下藥。此外，有經驗的咨詢機構和顧問通常都能比較好地把握認證機構的“偏好“和習慣，這一點尤其對最終通過認證尤其重要。一般來說，咨詢機構可以在人員培訓、全程輔導、后續(xù)支持等方面給予組織大力的支持。
u? 缺??? 點：組織須承擔相關的咨詢費用。
當然，無論是選擇自我實施，還是請外部的咨詢機構和顧問，組織都應該知道，實施ISMS 認證項目，必須要有一套行之有效的方法，事先要對整個過程做好計劃。
在建設ISMS的方法上，ISO/IEC 27001:2005標準為我們提供了指導性建議，即基于PDCA 的持續(xù)改進的管理模式；另一方面，ISMS 實施及認證項目可以借鑒很多成熟的管理體系實施方法，比如ISO9001 、ISO14001 、TS16949 等管理體系。
 
 

The post ISMS ISO27001認證介紹 first appeared on 深圳市安信達咨詢有限公司.

1.???? ISMS標準

1.1?? ISMS標準體系－ISO/IEC27000族簡介

ISMS是近兩年來在管理體系和信息安全領域興起的一個熱門話題，按照ISO/IEC27001建立和實施ISMS并積極申請認證成為許多組織解決其信息安全問題的選擇。
ISO/IEC27000族是國際標準化組織專門為ISMS預留下來的系列相關國際標準的總稱。根據(jù)國際標準化組織的最新計劃，該系列標準的序號已經預留到27019，其中將27000～27009留給ISMS基本標準，27010～27019預留給ISMS標準族的解釋性指南與文檔?？梢奍SMS標準將來會是一個龐大的家族。

1.1.1???? ISMS國際標準化組織

ISO/IEC JTC1/SC27/WG1（國際標準化組織/國際電工委員會 信息技術委員會/安全技術分委員會/第一工作組）是制定和修訂ISMS標準的國際組織，我國是該組織的P成員國。ISO/IEC JTC1/SC27成立后設有三個工作組：
l? WG1：需求、安全服務及指南工作組
l? WG2：安全技術與機制工作組
l? WG3：信息系統(tǒng)、部件和產品相關的安全評估準則工作組
在2006年5月8日至17日西班牙馬德里舉行的SC27第32屆工作組會議和第18屆全體會議上，通過了2005年11月在馬來西亞會議上提出的調整SC27組織結構的提案，將原來的三個工作組調整為現(xiàn)在五個工作組：
l? WG1：ISMS標準工作組
l? WG2：安全技術與機制工作組
l? WG3：信息系統(tǒng)、部件和產品相關的安全評估準則工作組
l? WG4：安全控制與服務工作組
l? WG5：身份管理與隱私保護技術工作組
SC27組織機構的這次調整，專門將WG1做為ISMS標準的工作組，負責開發(fā)ISMS相關的標準與指南，充分體現(xiàn)了ISMS的發(fā)展在全球范圍內受到高度重視。

1.1.2???? 已經發(fā)布的ISMS標準－ISO/IEC27001和ISO/IEC27002

目前國際標準化組織已經正式發(fā)布的ISMS國際標準有兩個：ISO/IEC27001和ISO/IEC27002，它們是ISMS的核心標準。
l? ISO/IEC27001:2005：信息安全管理體系要求
Information technology-Security techniques-Information security management systems-Requirements
l? ISO/IEC27002:2005：信息安全管理實用規(guī)則
Information technology-Security techniques-Code of practice for Information security management
ISO/IEC27001于2005年10月15日正式發(fā)布。它同ISO9001的性質一樣，是ISMS的要求標準，內容共分8章和3個附錄，其中附錄A中的內容直接引用并與ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005適用于所有類型的組織（如企事業(yè)單位、政府機關等）。它從組織的整體業(yè)務風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求，并提供了方法。它還規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。ISO/IEC27001:2005是組織建立和實施ISMS的依據(jù)，也是ISMS認證機構實施審核的依據(jù)。
ISO/IEC17799于2000年12月1日正式發(fā)布，2005年6月15日發(fā)布修訂版即ISO/IEC17799:2005，原來版本同時廢止。ISO/IEC17799的2005年版本比2000年版本在結構和內容上都有較大的變化。
根據(jù)今年召開的第18屆SC27全體會議決議，將于2007年4月將ISO/IEC17799的標準序號更改為ISO/IEC27002。
1.1.3???? ISMS標準的類型
根據(jù)ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards 管理體系標準合理性和制定導則）和ISO/IEC的相關導則，ISO/IEC JTC1/SC27/WG1將ISMS標準分為4類：
l? Type A – Vocabulary Standard?????? A類－詞匯標準
l? Type B – Requirements Standard???? B類－要求標準
l? Type C – Guidelines Standard?????? C類－指南標準
l? Type D – Related Standard????????? D類－相關標準
A類－詞匯標準：主要提供標準族中所有標準所涉及的基礎信息，包括通用術語、基本原則等內容。ISO/IEC27000同ISO 9000（質量管理體系 基礎和術語）類似，屬于此類標準。
B類－要求標準：主要提供管理體系的相關規(guī)范，它能夠使一個組織證明其滿足內部和外部要求的能力。ISO/IEC27001同ISO 9001（質量管理體系 要求）、ISO 14001（環(huán)境管理體系 規(guī)范及使用指南）、OHSAS 18001（職業(yè)健康安全管理體系 規(guī)范）等標準一樣，屬于此類標準。
C類－指南標準：此類標準目的是為一個組織實施要求標準提供相關的指南，ISO/IEC27002、ISO/IEC27003等同ISO 9004（質量管理體系 業(yè)績改進指南）、ISO 14004（環(huán)境管理體系 原則、體系和支持技術通用指南）、OHSMS 18002（職業(yè)健康安全管理體系 指南）等標準一樣，屬于此類標準。
D類－相關標準：此類標準嚴格說不是管理體系標準族中的標準，他們主要提供關于特定方面或相關支持技術的進一步的指導，此類標準一般獨立開發(fā)，與要求類標準和指南類標準無明顯的關聯(lián)。ISO/IEC27006同ISO19011（質量和環(huán)境管理體系審核指南）等標準一樣屬于此類。
1.1.4???? 制訂中的ISO/IEC27000系列標準介紹
截至2006年5月18日，ISO/IEC JTC1/SC27/WG1正在制定中的標準包括5個，分別是：
ISO/IEC 27000
ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理體系基礎和術語），屬于A類標準。ISO/IEC 27000提供了ISMS標準族中所涉及的通用術語及基本原則，是ISMS標準族中最基礎的標準之一。ISMS標準族中的每個標準都有“術語和定義”部分，但不同標準的術語間往往缺乏協(xié)調性，而ISO/IEC27000則主要用于實現(xiàn)這種協(xié)調。
ISO/IEC 27000目前處于WD（工作組草案）階段，正在SC27內研究并征求意見。
ISO/IE 27003
ISO/IEC27003（Information security management system implementation guidance 信息安全管理體系實施指南），屬于C類標準。ISO/IEC27003為建立、實施、監(jiān)視、評審、保持和改進符合ISO/IEC27001的ISMS提供了實施指南和進一步的信息，使用者主要為組織內負責實施ISMS的人員。
該標準給出了ISMS實施的關鍵成功因素，實施過程依照ISO/IEC27001要求的PDCA模型進行，并進一步介紹了各個階段的活動內容及詳細實施指南。
ISO/IEC 27003目前也處在WD階段，正在SC27內研究并征求意見。
ISO/IEC 27004
ISO/IEC27004（Information security management measurements 信息安全管理測量），屬于C類標準。該標準主要為組織測量信息安全控制措施和ISMS過程的有效性提供指南。
該標準將測量分為兩個類別：有效性測量和過程測量，列出了多種測量方法，例如調查問卷、觀察、知識評估、檢查、二次執(zhí)行、測試（包括設計測試和運行測試）以及抽樣等。
該標準定義了ISMS的測量過程：首先要實施ISMS的測量，應定義選擇測量措施，同時確定測量的對象和驗證準則，形成測量計劃；實施ISMS測量的過程中，應定義數(shù)據(jù)的收集、分析和報告程序并評審、批準提供資源以支持測量活動的開展；在ISMS的檢查和處置階段，也應對測量措施加以改進，這就要求首先定義測量過程的評價準則，對測量過程加以監(jiān)控，并定期實施評審。
目前該標準已經處于CD（委員會草案）階段，預計將于2008年完成。
ISO/IEC 27005
ISO/IEC27005（Information security risk management 信息安全風險管理），屬于C類標準。該標準給出了信息安全風險管理的指南，其中所描述的技術遵循ISO/IEC27001中的通用概念、模型和過程。
該標準介紹了一般性的風險管理過程，并重點闡述了風險評估的幾個重要環(huán)節(jié)，包括風險評估、風險處理、風險接受等。在標準的附錄中，給出了資產、影響、脆弱性以及風險評估的方法，并列出了常見的威脅和脆弱性。最后還給出了根據(jù)不同通信系統(tǒng)以及不同安全問題和威脅選擇控制措施的方法。
目前該標準處于Final CD（最終委員會草案）階段。
ISO/IEC 27006
ISO/IEC27005（Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理體系認證機構的認可要求），屬于D類標準。該標準的主要內容是對從事ISMS認證的機構提出了要求和規(guī)范，或者說它規(guī)定了一個機構“具備怎樣的條件就可以從事ISMS認證業(yè)務”。
目前該標準處于Final CD（最終委員會草案）階段。
 
 
 
 

1.2?? 信息安全管理實用規(guī)則－ISO/IEC27002:2005介紹

ISO/IEC27002是國際標準化組織ISO/IEC JTC1/SC27最早發(fā)布的ISMS系列標準之一（當時稱之為ISO/IEC17799，2007年4月正式更名為ISO/IEC 27002）。它從信息安全的諸多方面，總結了一百多項信息安全控制措施，并給出了詳細的實施指南，為組織采取控制措施、實現(xiàn)信息安全目標提供了選擇，是信息安全的最佳實踐。

1.2.1???? ISO/IEC27002的由來

組織對信息安全的要求是隨著組織業(yè)務對信息技術尤其是網絡技術的應用而來的。人們在解決信息安全問題以滿足信息安全要求的過程中，經歷了由“重技術輕管理”到“技術和管理并重”的兩個不同階段。
當信息安全問題開始出現(xiàn)的初期，人們解決信息安全問題的主要途徑就是安裝和使用信息安全產品，如加密機、防火墻、入侵檢測設備等。信息安全技術和產品的應用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，仍然無法避免一些信息安全事件的發(fā)生。與組織中個人有關的信息安全問題、信息安全成本和效益的平衡、信息安全目標、業(yè)務連續(xù)性、信息安全相關法規(guī)符合性等，這些問題與信息安全的要求都密切相關，而僅僅通過產品和技術是無法解決的。
上個世紀90年代末，人們開始意識到管理在解決信息安全問題中的作用。1993年9月，由英國貿工部（DTI）組織許多企業(yè)參與編寫了一個信息安全管理的文本－“信息安全管理實用規(guī)則（Code of practice for information security management）”，1995年2月，在該文本的基礎上，英國發(fā)布了國家標準BS7799-1:1995。1999年英國對該標準進行了修訂后發(fā)布1999年版，2000年12月被采納成為國際標準，即ISO/IEC17799:2000。2005年6月15日，該標準被修訂發(fā)布為ISO/IEC17799:2005。2007年4月正式更名為ISO/IEC 27002。
同時伴隨著ISO/IEC27002發(fā)展的還有另一個標準，即1998年2月英國發(fā)布的英國國家標準BS7799-2:1998，1999年修訂后發(fā)布1999版。2000年12月，當BS7799-1:1999被采納成為國際標準時，BS7799-2:1999并沒有被國際標準化組織采納為國際標準。2002年英國又對BS7799-2:1999進行了修訂發(fā)布2002版。2005年10月，這個標準被采納成為國際標準ISO/IEC27001:2005。

1.2.2???? ISO/IEC27002的范圍

ISOS/IEC27002為組織實施信息安全管理提供建議，供一個組織中負責信息安全工作的人員使用。該標準適用于各個領域、不同類型、不同規(guī)模的組織。對于標準中提出的任何一項具體的信息安全控制措施，組織應考慮本國的法律法規(guī)以及組織的實際情況來選擇使用。參照本標準，組織可以開發(fā)自己的信息安全準則和有效的安全管理方法，并提供不同組織間的信任。

1.2.3???? ISO/IEC27002的主要內容

ISO/IEC27002:2005是一個通用的信息安全控制措施集，這些控制措施涵蓋了信息安全的方方面面，是解決信息安全問題的最佳實踐。
標準從什么是信息安全、為什么需要信息安全、如何建立安全要求和選擇控制等問題入手，循序漸進，從11個方面提出了39個信息安全控制目標和133個控制措施。每一個具體控制措施，標準還給出了詳細的實施方面的信息，以方便標準的用戶使用。
值得注意的是，標準中推薦的這133個控制措施，并非信息安全控制措施的全部。組織可以根據(jù)自己的情況選擇使用標準以外的控制措施來實現(xiàn)組織的信息安全目標。
從內容和機構上看，可以將標準分為四個部分：
一、引言部分。
主要介紹了信息安全的基礎知識，包括什么是信息安全、為什么需要信息安全、如何建立安全要求、評估安全風險等8個方面內容。
二、標準的通用要素部分（1～3章）。
第1章是標準的范圍，給出了該標準的內容概述、用途及目標。第2章是術語和定義，介紹了資產、控制措施、指南、信息處理設施、信息安全等十七個術語。第3章則給出了該標準的結構。
三、風險評估和處理部分。
該章簡單介紹了評估安全風險和處理安全風險的原則、流程及要求。
四、控制措施部分（5～15章）。
這是標準的主體部分，包括11個控制措施章節(jié)，分別是：
5????????? 安全方針（控制目標：1個，控制措施： 2個）
6????????? 信息安全組織（控制目標：2個，控制措施：11個）
7????????? 資產管理（控制目標：2個，控制措施： 5個）
8????????? 人力資源安全（控制目標：3個，控制措施：9個）
9????????? 物理和環(huán)境安全（控制目標：2個，控制措施：13個）
10????? 通信和操作管理（控制目標：10個，控制措施：32個）
11????? 訪問控制（控制目標：7個，控制措施：25個）
12????? 信息系統(tǒng)獲取、開發(fā)和維護（控制目標：6個，控制措施：16個）
13????? 信息安全事件管理（控制目標：2個，控制措施：5個）
14????? 業(yè)務連續(xù)性管理（控制目標：1個，控制措施： 5個）
15符合性（控制目標：3個，控制措施：10個）

1.2.4???? ISO/IEC27002的使用說明

ISO/IEC27002:2005作為信息安全管理的最佳實踐，它的應用既有專用性的特點，也有通用性特點。
說它具有專用性，是因為作為信息安全管理體系標準族（ISMS標準）中的一員，目前它與ISMS的要求標準ISO/IEC27001:2005是組合使用的，ISO/IEC27001:2005中的規(guī)范性附錄A就是ISO/IEC27002:2005的控制目標和控制措施集。對于期望建設和實施ISMS的組織，應根據(jù)ISO/IEC27001:2005的要求，選擇ISMS范圍，制定信息安全方針和目標， 實施風險評估，根據(jù)風險評估的結果，選擇控制目標和控制措施，制定和實施風險處理計劃，執(zhí)行內部審核和管理評審，以持續(xù)改進。
ISO/IEC27002:2005的通用性，體現(xiàn)在標準中提出的控制措施是從信息安全工作實踐中總結出來的，是最佳實踐。任何規(guī)模、任何性質的有信息安全要求的組織，不管其是否建設ISMS，都可以從標準中找到適合自己使用的控制措施來滿足其信息安全要求。
另外，ISO/IEC27002:2005中提出的控制目標和控制措施，對一個具體的組織并不一定全部適用，也不一定就是信息安全控制措施的全部。任何組織還可以根據(jù)具體情況選擇ISO/IEC27002:2005以外的控制目標和控制措施。

1.2.5???? 我國采用ISO/IEC17799情況的說明

我國政府主管部門十分重視信息安全管理國家標準的制定。2002年，全國信息安全標準化技術委員會（www.tc260.org.cn）成立之初，其第七工作組（WG7）就開始了ISO/IEC17799的研究和制標工作。2005年6月15日，我國發(fā)布了國家標準“GB/T19716-2005信息安全管理實用規(guī)則”，修改采用ISO/IEC17799:2000。
2006年，根據(jù)ISMS國際標準的發(fā)展和我國的實際需要，全國信息安全標準化技術委員會又提出了GB/T19716-2005的修訂計劃和對應ISO/IEC27001:2005等相關ISMS標準的制定和研究計劃。相信不久，對應最新ISMS國際標準的國家標準就會發(fā)布，以供大家遵照使用。
 
 
 
 
 
 
 
 
 

1.3?? 信息安全管理體系要求－ISO/IEC27001:2005介紹

1.3.1???? 發(fā)展：一個重要的里程碑

ISO/IEC 27001:2005的名稱是 “Information technology- Security techniques-Information security management systems-requirements ”，可翻譯為“信息技術- 安全技術-信息安全管理體系 要求”。
在ISO/IEC 27001:2005標準出現(xiàn)之前，組織只能按照英國標準研究院（British Standard Institute，簡稱BSI）的BS 7799-2:2002標準，進行認證?，F(xiàn)在，組織可以獲得全球認可的ISO/IEC 27001:2005標準的認證。這標志著ISMS的發(fā)展和認證已向前邁進了一大步：從英國認證認可邁進國際認證認可。ISMS的發(fā)展和認證進入一個重要的里程碑。這個新ISMS標準正成為最新的全球信息安全武器。

1.3.2???? 目的：認證

ISO/IEC 27001:2005標準設計用于認證目的，它可幫助組織建立和維護ISMS。標準的4 – 8章定義了一組ISMS要求。如果組織認為其ISMS滿足該標準4 – 8章的所有要求，那么該組織就可以向ISMS認證機構申請ISMS認證。如果認證機構對組織的ISMS進行審核（初審）后，其結果是符合ISO/IEC 27001:2005的要求，那么它就會頒發(fā)ISMS證書，聲明該組織的ISMS符合ISO/IEC 27001:2005標準的要求。
然而，ISO/IEC 27001:2005標準與ISO/IEC 9001:2002標準（質量管理體系標準）不同。ISO/IEC 27001:2005標準的要求十分“嚴格”。該標準4 – 8章有許多信息安全管理要求。這些要求是“強制性要求”。只要有任何一條要求得不到滿足，就不能聲稱該組織的ISMS符合ISO/IEC 27001:2005標準的要求。相比之下，ISO/IEC 9001:2002標準的第7章的某些要求（或條款），只要合理，可允許其質量管理體系（QMS）作適當刪減。
因此，不管是第一方審核、第二方審核，還是第三方審核，評估組織的ISMS對ISO/IEC 27001:2005標準的符合性是十分嚴格的。

1.3.3???? 特點：信息資產風險評估

ISO/IEC 27001:2005標準適用于所有類型的組織，而不管組織的性質和規(guī)模如何。該新標準的特點之一是基于組織的資產風險評估。也就是說，該標準要求組織通過業(yè)務風險評估的方法，來建立、實施、運行、監(jiān)視、評審、保持和改進其ISMS，確保其信息資產的保密性、可用性和完整性。
(1) 信息資產
ISO/IEC 27001:2005所指“信息”可包括所有形式的數(shù)據(jù)、文件、通信件（如email和傳真等）、交談（如電話等）、消息、錄音帶和照片等。信息資產是被認為對組織具有“價值”的，以任何方式存儲的信息。通常，系統(tǒng)（如信息系統(tǒng)和數(shù)據(jù)庫等）也可作為一類信息資產。
(2) 安全風險
組織的信息資產可面臨許多威脅，包括人員（內部人員和外人員）誤操作 （不管有意的，還是無意的）、盜竊、惡意代碼和自然災害等。
另一方面，組織本身存在某些可被威脅者利用或進行破壞的薄弱環(huán)節(jié)，包括員工缺乏安全意識、基礎設施中的弱點和控制中的弱點等。這就導致組織的密級信息資產和應用系統(tǒng)可能遭受未授權訪問、修改、泄露或破壞，而使其造成損失，包括經濟損失、公司形象損失和顧客信心損失等。
(3) 風險評估與處理
ISO/IEC 27001:2005標準要求組織利用風險評估的方法，確定每一個關鍵信息資產的風險，并根據(jù)各類信息資產的重要度和價值，選擇適當?shù)目刂拼胧?，減緩風險。
風險評估和風險處理是ISO/IEC 27001:2005標準要求的兩個相互關聯(lián)的必須的活動。一個組織建立ISMS體系，要進行信息資產風險評估和風險處理。其主要過程是：
1)??????? 制定組織的ISMS方針和風險接受準則；
2)??????? 定義組織的風險評估方法；
3)??????? 識別要保護的信息資產，并進行登記；
4)??????? 識別安全風險，包括識別資產所面臨的威脅、組織的脆弱點和造成的影響等；
5)??????? 對照組織的風險接受準則，評價和確定已估算的風險的嚴重性、可否接受；
6)??????? 形成風險評估報告；
7)??????? 制定風險處理計劃，選擇風險控制措施；
標準明確規(guī)定，有4種風險處理方法：采用適當?shù)目刂拼胧?、接受風險、避免風險和轉移風險；
8)??????? 執(zhí)行風險處理計劃，將風險降低到可接受的級別。
從理論上，風險只能降低（或減少），而不能完全消除。選擇控制措施的原則是既能使本組織的資產受到與其價值和保密等級相符的保護，將其所受的風險降低到可接受的水準，又能使所需要的費用在該組織的預算范圍之內，使該組織能夠保持良好的競爭力和成功運作的狀態(tài)。
另外，風險是動態(tài)的。風險評估活動應定期進行。特別是在出現(xiàn)新的信息資產、技術發(fā)生重大變化和內外環(huán)境發(fā)生重大變化時，風險評估應重新進行。

1.3.4???? 要求：基于過程

(1) “PDCA”過程
圖1 ISMS“PDCA”過程周期
國際標準化組織(ISO)使用Plan-Do-Check-Act (即計劃-實施-檢查-糾正)過程模型組織ISO/IEC 27001:2005標準。這個標準4 – 8章規(guī)定了ISMS的建立、實
施與運行、監(jiān)督與評審、維護與改進所要遵循的活動(過程)，并形成一個周期，稱“PDCA”周期，如圖1
(2) 過程方法
過程是指使用資源把輸入轉為輸出的一組活動。更通俗地說，過程就是將原料（輸入）加工成產品（輸出）的工作（活動）。輸入之所以能轉為輸出是因為開展了某些工作或活動。
ISO/IEC 27001:2005標準4 – 8章規(guī)定了一組ISMS過程。該標準也要求組織使用“過程方法”來管理和控制其ISMS過程。即：
1)??????? 組織必須對應4 – 8章的相應要求，建立其實際的ISMS過程；
2)??????? 組織的ISMS需按“過程方法”進行管理和控制。
這意味著組織的ISMS要包含有許多符合該標準4 – 8章規(guī)定的、相互協(xié)調的過程。通常，一個過程的輸出便是另一個過程的輸入。通過這些輸出和輸入把各個ISMS過程“粘”在一起，而形成一個相互依賴的統(tǒng)一整體。
標準還規(guī)定，某些ISMS過程要用形成文件的程序加以控制。
(3) 過程要求
ISO/IEC 27001:2005標準4 – 8章規(guī)定了一組ISMS過程。因此，從另一個角度，ISO/IEC 27001:2005標準的要求就是過程要求。組織的ISMS必要滿足這些過程要求。
注：與ISO/IEC 27001:2005正文內容不同，ISO/IEC 27001:2005附錄A的內容屬于控制要求。
 

The post ISO27001標準族介紹 first appeared on 深圳市安信達咨詢有限公司.

1.???? ISMS概述

1.1?? 什么是ISMS

信息安全管理體系（Information Security Management System，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領域中的一個新概念，是管理體系（Management System，MS）思想和方法在信息安全領域的應用。近年來，伴隨著ISMS國際標準的制修訂，ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。ISMS認證隨之成為組織向社會及其相關方證明其信息安全水平和能力的一種有效途徑。
在ISMS的要求標準ISO/IEC27001:2005（信息安全管理體系 要求）的第3章術語和定義中，對ISMS的定義如下：
ISMS（信息安全管理體系）：是整個管理體系的一部分。它是基于業(yè)務風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。注：管理體系包括組織結構、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。
這個定義看上去同其他管理體系的定義描述不盡相同，但我們也可以用ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards管理體系標準合理性和制定導則）中管理體系的定義，將ISMS描述為：組織在信息安全方面建立方針和目標，并實現(xiàn)這些目標的一組相互關聯(lián)、相互作用的要素。
ISMS同其他MS（如QMS、EMS、OHSMS）一樣，有許多共同的要素，其原理、方法、過程和體系的結構也基本一致。
單純從定義理解，可能無法立即掌握ISMS的實質，我們可以把ISMS理解為一臺“機器”，這臺機器的功能就是制造“信息安全”，它由許多“部件”（要素）構成，這些“部件”包括ISMS管理機構、ISMS文件以及資源等，ISMS通過這些“部件”之間的相互作用來實現(xiàn)其“保障信息安全”的功能。
 
 

1.2?? 為什么需要ISMS

今天，我們已經身處信息時代，在這個時代，“計算機和網絡”已經成為組織重要的生產工具，“信息”成為主要的生產資料和產品，組織的業(yè)務越來越依賴計算機、網絡和信息，它們共同成為組織賴以生存的重要信息資產。
可是，計算機、網絡和信息等信息資產在服務于組織業(yè)務的同時，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網絡欺詐、重要信息資料丟失以及利用計算機網絡實施的各種犯罪行為，人們已不再陌生，并且這樣的事件好像經常在我們身邊發(fā)生。下面的案例更清晰的表現(xiàn)了這種趨勢：
2005年6月19日，萬事達公司宣布，儲存有大約4千萬信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號的信息資料已經在互聯(lián)網上公開出售，每條100美元，并可能被用于金融欺詐活動。
2005年5月19日，深圳市中級人民法院對華為公司訴其前員工案作出終審判決，維持深圳市南山區(qū)人民法院2004年12月作出的一審判決。3名前華為公司員工，因辭職后帶走公司技術資料并以此贏利。這3名高學歷的IT界科技精英，最終因侵犯商業(yè)秘密罪將分別在牢房里度過兩到三年光陰。
2005年7月12日下午2時35分，承載著超過200萬用戶的北京網通ADSL和LAN寬帶網，突然同時大面積中斷。北京網通隨即投入大量人力物力緊急搶修，至3時30分左右開始網絡逐漸恢復正常。這次事故大約影響了20萬北京網民。
2006年5月8日上午8時左右，中國工程院院士，著名的傳染病學專家鐘南山在上班的路上，被劫匪很“柔和”地搶走了手中的筆記本電腦。事后鐘院士說“一個科技工作者的作品、心血都在電腦里面，電腦里還存著正在研制的新藥方案，要是這個研究方案變成一種新藥，那是幾個億的價值啊”。
（以上案例均來自互聯(lián)網）
這幾個案例僅僅是冰山一角，打開電視、翻翻報紙、瀏覽一下互聯(lián)網，類似這樣的事件幾乎每天都在發(fā)生。從這些案例可以看出，信息資產一旦遭到破壞，將給組織帶來直接的經濟損失、損害組織的聲譽和公眾形象，使組織喪失市場機會和競爭力，更為甚者，會威脅到組織的生存。
因此，保護信息資產，解決信息安全問題，已經成為組織必須考慮的問題。
信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術和產品來解決信息安全問題。技術和產品的應用，一定程度上解決了部分信息安全問題。但是人們發(fā)現(xiàn)僅僅靠這些產品和技術還不夠，即使采購和使用了足夠先進、足夠多的信息安全產品，如防病毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發(fā)生，組織安裝的許多安全產品成了“聾子的耳朵”。與組織中人員相關的信息安全問題，信息安全成本和效益的平衡問題，信息安全目標、業(yè)務連續(xù)性、信息安全相關法規(guī)符合性等問題，依靠產品和技術是解決不了的。
人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應運而生。2000年12月，國際標準化組織發(fā)布一個信息安全管理的標準－ISO/IEC 17799:2000“信息安全管理實用規(guī)則（Code of practice for information security management）”，2005年6月，國際標準化組織對該標準進行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO/IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求（Information Security Management System Requirement）”。
自此，ISMS在國際上確立并發(fā)展起來。今天，ISMS已經成為信息安全領域的一個熱門話題。

1.3?? 如何建立ISMS

組織的業(yè)務目標和信息安全要求緊密相關。實際上，任何組織成功經營的能力在很大程度上取決于其有效地管理其信息安全風險的才干。因此，如何確保信息安全已是各種組織改進其競爭能力的一個新的挑戰(zhàn)任務。組織建立一個基于ISO/IEC 27001:2005 ISMS，已成為時代的需要。
從簡單分析ISO/IEC 27001:2005標準的要求入手，下面的內容論述了建立一個符合標準要求的ISMS的要點。

1.3.1???? 正確理解ISMS的含義和要素

ISMS建設人員只有正確地理解ISMS的含義、要素和ISO/IEC 27001:2005標準的要求之后，才有可能建立一個符合要求的完善的ISMS。
ISMS的含義
在ISO/IEC 27001標準中，已對ISMS做出了明確的定義。通俗地說，組織有一個總管理體系，ISMS是這個總管理體系的一部分，或總管理體系的一個子體系。ISMS的建立是以業(yè)務風險方法為基礎，其目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。
如果一個組織有多個管理體系，例如包括ISMS、QMS（質量管理體系）和EMS（環(huán)境管理體系）等，那么這些管理體系就組成該組織的總管理體系，而每一個管理體系只是該組織總管理體系中的一個組成部分，或一個子管理體系。各個子管理體系必須相互配合、協(xié)調一致地工作，才能實現(xiàn)該組織的總目標。
ISMS的要素
標準還指出，管理體系包括“組織的結構、方針、規(guī)劃活動、職責、實踐、程序、過程和資源”（見ISO/IEC 27001:2005 3.7）。這些就是構成管理體系的相互依賴、協(xié)調一致，缺一不可的組成部分或要素。我們將其歸納后，ISMS的要素要包括：
1)??????? 信息安全管理機構
通過信息安全管理機構，可建立各級安全組織、確定相關人員職責、策劃信息安全活動和實踐等。
2)??????? ISMS文件
包括ISMS方針、過程、程序和其它必須的文件等。
3)??????? 資源
包括建立與實施ISMS所需要的合格人員、足夠的資金和必要的設備等。
ISMS的建立要確保這些ISMS要素得到滿足。

1.3.2???? 建立信息安全管理機構

1)??????? 信息安全管理機構的名稱
標準沒有規(guī)定信息安全管理機構的名稱，因此名稱并不重要。從目前的情況看，許多組織在建立ISMS之前，已經運行了其它的管理體系，如QMS和EMS等。因此，最有效與節(jié)省資源的辦法是將信息安全管理機構合并于現(xiàn)有管理體系的管理機構，實行一元化領導。
2)??????? 信息安全管理機構的級別
信息安全管理機構的級別應根據(jù)組織的規(guī)模和復雜性而決定。從管理效果看，對于中等以上規(guī)模的組織，最好設立三個不同級別的信息安全管理機構：
a)????? 高層：以總經理或管理者代表為領導，確保信息安全工作有一個明確的方向和提供管理承諾和必要的資源。
b)????? 中層：負責該組織日常信息安全的管理與監(jiān)督活動。
c)????? 基層：基層部門指定一位兼職的信息安全檢查員，實施對其本部門的日常信息安全監(jiān)視和檢查工作。

1.3.3???? 執(zhí)行標準要求的ISMS建立過程

按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 條款的要求，建立ISMS的步驟包括：
1)??????? 定義ISMS的范圍和邊界，形成ISMS的范圍文件；
2)??????? 定義ISMS方針（包括建立風險評價的準則等）,形成ISMS方針文件；
3)??????? 定義組織的風險評估方法；
4)??????? 識別要保護的信息資產的風險，包括識別：
a） 資產及其責任人；
b）資產所面臨的威脅；
c） 組織的脆弱點；
d）? 資產保密性、完整性和可用性的喪失造成的影響。
5)??????? 分析和評價安全風險，形成《風險評估報告》文件，包括要保護的信息資產清單；
6)??????? 識別和評價風險處理的可選措施，形成《風險處理計劃》文件；
7)??????? 根據(jù)風險處理計劃，選擇風險處理控制目標和控制措施，形成相關的文件；
8)??????? 管理者正式批準所有殘余風險；
9)??????? 管理者授權ISMS的實施和運行；
10)??? 準備適用性聲明。

1.3.4???? 完成所需要的ISMS文件

ISMS文件是ISMS的主要要素，既要與ISO/IEC 27001:2005保持一致，又要符合本組織的信息安全的需要。實際上，ISMS文件是本組織“度身定做”的適合本組織需要的實際的信息安全管理標準，是ISO/IEC 27001:2005的具體體現(xiàn)。對一般員工來說，在其實際工作中，可以不過問國際信息安全管理標準-ISO/IEC 27001:2005，但必須按照ISMS文件的要求執(zhí)行工作。
(1) ISMS文件的類型
根據(jù)ISO/IEC 27001:2005標準的要求，ISMS文件有三種類型。
1)??????? 方針類文件（Policies）
方針是政策、原則和規(guī)章。主要是方向和路線上的問題，包括：
a） ISMS方針（ISMS policy）；
b）信息安全方針（information security policy）。
2)??????? 程序類文件（Procedures）
3)??????? 記錄（Records）
記錄是提供客觀證據(jù)的一種特殊類型的文件。通常, 記錄發(fā)生于過去，是相關程序文件運行產生的結果（或輸出）。記錄通常是表格形式。
4)??????? 適用性聲明文件（Statement of Applicability, 簡稱SOA）
ISO/IEC 27001:2005標準的附錄A提供許多控制目標和控制措施。這些控制目標和控制措施是最佳實踐。對于這些控制目標和控制措施，實施ISMS的組織只要有正當性理由，可以只選擇適合本組織使用的那些部分，而不適合使用的部分，可以不選擇。選擇，或不選擇，要做出聲明（說明），并形成《適用性聲明》文件。
(2) 必須的文件
“必須的ISMS文件”是指ISO/IEC 27001:2005“4.3.1總則”明確規(guī)定的，一定要有的文件。這些文件就是所謂的強制性文件（mandatory documents）?！?.3.1總則”要求ISMS文件必須包括9方面的內容：
1)??????? ISMS方針
ISMS方針是組織的頂級文件，規(guī)定該組織如何管理和保護其信息資產的原則和方向，以及各方面人員的職責等。
2)??????? ISMS的范圍
3)??????? 支持ISMS的程序和控制措施；
4)??????? 風險評估方法的描述；
5)??????? 風險評估報告；
6)??????? 風險處理計劃；
7)??????? 控制措施有效性的測量程序；
8)??????? 本標準所要求的記錄；
9)??????? 適用性聲明。
(3) 可選的文件
除了上述必須的文件外，組織可以根據(jù)其實際的業(yè)務活動和風險的需要，而確定某些文件（包括某些程序文件和方針類文件）。這些文件就是所謂的可選的文件（Discretionary documents）。這類文件的內容可隨組織的不同而有所不同，主要取決于:
1)??????? 組織的業(yè)務活動及風險；
2)??????? 安全要求的嚴格程度；
3)??????? 管理的體系的范圍和復雜程度。
這里，需要特別提出的是，ISMS的特點之一是風險評估和風險管理。組織需要哪些ISMS文件及其復雜程度如何，通常可根據(jù)風險評估決定。如果風險評估的結果，發(fā)現(xiàn)有不可接受的風險，那么就應識別處理這些風險的可能方法，包括形成相關文件。
(4) 文件的符合性
ISMS文件的符合性包括符合相關法律法規(guī)的要求、符合ISO/IEC 27001:2005標準4-8章的所有要求和符合本組織的實際要求。為此：
1)??????? 參考相關法律法規(guī)要求和標準要求
在編寫ISMS文件時，編寫者應參考相關法律法規(guī)要求和標準的相應條款的要求，例如，在編寫ISMS方針時，要參考ISO/IEC 27001 “4.2.1b） 定義ISMS方針”；編寫適用性聲明時，要參考ISO/IEC 27001 “4.2.1 j） 準備適用性聲明”；編寫文件控制程序時，要參考ISO/IEC 27001 “4.3.2文件控制”等等。
2)??????? 將本組織的最好實踐形成文件
為了易于操作，編寫者最好把本組織當前的最好實踐寫下來，補充標準的要求，形成統(tǒng)一格式的文件。
3)??????? 保持一致性
a） 同一個文件中，上下文不能有不一致或矛盾的地方
b） 同一個體系的不同文件之間不能有矛盾的地方
c） 不同體系的文件之間不能有不一致的地方
如果組織同時運行多個管理體系，例如質量管理體系（QMS）、環(huán)境管理體系（EMS）和ISMS等，那么各個體系的文件之間應相互協(xié)調，避免產生不一致的地方。此外，在文字的表達上，應準確，無二義。

The post ISO/IEC27001知識體系 first appeared on 深圳市安信達咨詢有限公司.