企航顧問ISO/IEC27001信息安全管理體系服務(wù)

2022/04/04

信息作為一種寶貴的資產(chǎn)，可以為您的企業(yè)帶來成功，也可能帶來毀滅。當(dāng)管理得當(dāng)時(shí)，信息可讓您充滿信心地投入工作。信息安全管理讓您確信所有的保密信息都可保證安全，從而讓您自由地發(fā)展、創(chuàng)新和擴(kuò)大您的客戶群。

一、ISO/IEC 27001概述

為確保運(yùn)營流暢和數(shù)據(jù)安全，組織必須持續(xù)地對(duì)重要信息系統(tǒng)及重要業(yè)務(wù)信息進(jìn)行管理。ISO/IEC 27001信息安全管理體系助您憑借強(qiáng)大的信息安全手段從競爭中脫穎而出。

ISO/IEC27001標(biāo)準(zhǔn)基于CIA三大原則——保密性（Confidentiality）、完整性（Integrity）和實(shí)用性（Availability），內(nèi)容覆蓋以下方面：

ISO/IEC 27001是一部針對(duì)信息技術(shù)、安全技術(shù)、信息安全管理體系（ISMS）的國際標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建設(shè)和實(shí)施，提供了從規(guī)劃（P）、實(shí)施（D）、檢查（C）、改進(jìn)（A）的信息安全管理持續(xù)改進(jìn)過程方法。

企航顧問作為專業(yè)的信息安全管理咨詢機(jī)構(gòu)，以風(fēng)險(xiǎn)管理為驅(qū)動(dòng)、以預(yù)防為核心，幫助客戶規(guī)劃、建設(shè)信息安全管理體系，從ISO/IEC 27001標(biāo)準(zhǔn)的14個(gè)信息安全管理域入手，將114個(gè)信息安全控制措施與客戶管理流程有機(jī)結(jié)合，實(shí)現(xiàn)以預(yù)防為主的信息安全管理機(jī)制，全面系統(tǒng)地持續(xù)提高客戶的信息安全管理水平，達(dá)到最大程度的降低信息安全管理風(fēng)險(xiǎn)和損失的目的。

二、ISO/IEC 27001的起源及發(fā)展

• a）、1993年由英國貿(mào)易工業(yè)部立項(xiàng)；

• b）、1995年英國首次出版BS 7799-1:1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織；

• c）、1998年英國公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)，它可以作為一個(gè)正式認(rèn)證方案的根據(jù)；

• d）、BS 7799-1與BS 7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任；

• e）、2000年12月，BS 7799-1:1999《信息安全管理實(shí)施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)-----ISO/IEC 17799:2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》；

• f）、2002年9月5日，BS 7799-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn)，同時(shí)BS 7799-2:1999被廢止；

• g）、2004年9月5日，BS 7799-2:2002正式發(fā)布；

• h）、2005年6月，ISO/IEC 17799:2000經(jīng)過改版，形成了新的ISO/IEC 17799:2005；

• i）、在2007年7月1日正式發(fā)布為ISO/IEC 27001:2005 ，于同年10月推出ISO/IEC 27001:2005；

• j）、2013年，繼ISO/IEC 27001:2005版發(fā)布之后，歷經(jīng)漫長的8年，終于迎來ISO/IEC 27001第二版，并于同年10月19日正式發(fā)布。

   

三、ISO/IEC 27001信息安全管理體系建設(shè)意義及目標(biāo)

信息安全管理體系標(biāo)準(zhǔn)（ISO/IEC 27001）可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展, ISO/IEC 27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，當(dāng)您的組織通過了ISO/IEC 27001的認(rèn)證，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障，同時(shí)，把組織的安全風(fēng)險(xiǎn)因素降到最小，創(chuàng)造更大收益。具體體現(xiàn)在以下幾方面：

四、ISO/IEC 27001信息安全管理體系建設(shè)思路

構(gòu)建信息安全管理體系（ISMS）不是一蹴而就的，也不是每個(gè)企業(yè)都使用一個(gè)統(tǒng)一的模板，不同的組織在建立與完善信息安全管理體系時(shí)，可根據(jù)組織信息安全管理現(xiàn)狀和具體的業(yè)務(wù)開展特點(diǎn)，采取不同的步驟和方法。但總體來說，建立信息安全管理體系一般要經(jīng)過以下幾個(gè)主要步驟：　

第一階段：項(xiàng)目啟動(dòng)和差距分析

從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對(duì)企業(yè)信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研，通過培訓(xùn)使企業(yè)相關(guān)人員全面了解信息安全管理的基本知識(shí)。

第二階段：風(fēng)險(xiǎn)評(píng)估

對(duì)企業(yè)信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析，從而評(píng)估信息安全風(fēng)險(xiǎn)，選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。

第三階段：體系策劃與發(fā)布

根據(jù)企業(yè)對(duì)信息安全風(fēng)險(xiǎn)的策略，制定相應(yīng)信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

第四階段：體系運(yùn)行與監(jiān)控

ISMS建立起來（體系文件正式發(fā)布實(shí)施）之后，要通過一定時(shí)間的試運(yùn)行來檢驗(yàn)其有效性和穩(wěn)定性。

第五階段：認(rèn)證及持續(xù)改進(jìn)

經(jīng)過一定時(shí)間運(yùn)行，ISMS達(dá)到一個(gè)穩(wěn)定狀態(tài)，文檔和記錄已經(jīng)建立完備，此時(shí)可以提請(qǐng)進(jìn)行認(rèn)證。

五、ISO/IEC 27001認(rèn)證所需材料

1、組織法律證明文件，如營業(yè)執(zhí)照；

2、其他與申請(qǐng)認(rèn)證的業(yè)務(wù)相關(guān)的必要許可資質(zhì)；

3、申請(qǐng)認(rèn)證組織的信息安全管理體系有效運(yùn)行的證明文件；

4、申請(qǐng)組織的簡介：

（1）組織簡介；

（2）申請(qǐng)組織的主要業(yè)務(wù)流程；

（3）組織機(jī)構(gòu)圖或職能表述文件；

5、申請(qǐng)組織的體系文件：

（1）信息安全管理體系ISMS方針文件；

（2）風(fēng)險(xiǎn)評(píng)估程序；

（3）適用性聲明；

（4）風(fēng)險(xiǎn)處理程序；

（5）文件控制程序；

（6）記錄控制程序；

（7）內(nèi)部審核程序；

（8）管理評(píng)審程序；

（9）糾正措施與預(yù)防措施程序；

（10）控制措施有效性的測(cè)量程序；

（11）職能角色分配表；

（12）整個(gè)體系文件結(jié)構(gòu)與清單等。

6、申請(qǐng)組織內(nèi)部審核和管理評(píng)審的證明資料；

7、申請(qǐng)組織記錄保密性或敏感性聲明；

8、認(rèn)證機(jī)構(gòu)要求申請(qǐng)組織提交的其他補(bǔ)充資料。

六、ISO/IEC 27000標(biāo)準(zhǔn)族的構(gòu)成

ISO/IEC 27000標(biāo)準(zhǔn)族是ISO專門為信息安全管理體系（ISMS）預(yù)留下來的系列相關(guān)國際標(biāo)準(zhǔn)的總稱。ISMS系列標(biāo)準(zhǔn)由已經(jīng)發(fā)布或正在開發(fā)的相關(guān)標(biāo)準(zhǔn)組成，并且包含許多重要的結(jié)構(gòu)組件。這些組件主要集中在以下五個(gè)部分：

1、描述概述和術(shù)語的標(biāo)準(zhǔn)：

1、ISO/IEC 27000《信息技術(shù) 安全技術(shù) 信息安全管理體系概述和術(shù)語》

2、規(guī)范要求的標(biāo)準(zhǔn)：

1、ISO/IEC 27001《信息技術(shù) 安全技術(shù)信息安全管理體系要求》

2、ISO/IEC 27006《信息技術(shù)安全技術(shù)信息安全管理體系審核認(rèn)證機(jī)構(gòu)的要求》

3、ISO/IEC 27009《信息技術(shù)安全技術(shù)ISO/IEC 27001在具體行業(yè)應(yīng)用的要求》

3、給出一般指南的標(biāo)準(zhǔn)：

1、ISO/IEC 27002《信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南》

2、ISO/IEC 27003《信息技術(shù)安全技術(shù)信息安全管理指南》

3、ISO/IEC 27004《信息技術(shù)安全技術(shù)信息安全管理監(jiān)測(cè)、測(cè)量、分析和評(píng)價(jià)》

4、ISO/IEC 27005《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》

5、ISO/IEC 27007《信息技術(shù)安全技術(shù)信息安全管理體系審核指南》

6、ISO/IEC TR 27008《信息技術(shù)安全技術(shù)信息安全控制審核指南》

7、ISO/IEC 27013《信息技術(shù)安全技術(shù) ISO/IEC 27001 和 ISO/IEC 20000-1 整合實(shí)施指南》

8、ISO/IEC 27014《信息技術(shù)安全技術(shù)信息安全治理》

9、ISO/IEC TR 27016《信息技術(shù)安全技術(shù)信息安全管理組織經(jīng)濟(jì)學(xué)》

10、ISO/IEC 27021《信息技術(shù)安全技術(shù)信息安全管理信息安全管理體系專業(yè)人員的能力要求》

4、給出行業(yè)特定指南的標(biāo)準(zhǔn)：

1、ISO/IEC 27010《信息技術(shù)安全技術(shù)行業(yè)間和組織間通信的信息安全管理》

2、ISO/IEC 27011《信息技術(shù)安全技術(shù)電信組織基于ISO/IEC 27002的信息安全控制實(shí)踐規(guī)范》

3、ISO/IEC 27017《信息技術(shù)安全技術(shù)基于ISO/IEC 27002的云服務(wù)信息安全控制措施實(shí)踐指南》

4、ISO/IEC 27018《信息技術(shù)安全技術(shù)可識(shí)別個(gè)人信息(PII)處理者在公有云中保護(hù)刊的實(shí)踐指南》

5、ISO/IEC 27019《信息技術(shù)安全技術(shù)能源公用事業(yè)的信息安全控制》

6、ISO 27799《健康信息學(xué)使用ISO/IEC 27002的健康信息安全管理》

5、給出控制特定指南的標(biāo)準(zhǔn)：（僅列出標(biāo)準(zhǔn)編號(hào)及名稱以為示例）

1、ISO/IEC 2703x系列標(biāo)準(zhǔn)：

• a）、ISO/IEC 27031: 2011《信息技術(shù) 安全技術(shù)用于業(yè)務(wù)連續(xù)性的信息和通信技術(shù)準(zhǔn)備指南》

• b）、ISO/IEC 27032： 2012《信息技術(shù) 安全技術(shù)網(wǎng)絡(luò)安全指南》

• c）、ISO/IEC 27033《信息技術(shù)安全技術(shù)網(wǎng)絡(luò)安全》

• d）、ISO/IEC 27034《信息技術(shù)安全技術(shù)應(yīng)用安全》

• e）、ISO/IEC 27035《信息技術(shù)安全技術(shù)信息安全事件管理》

• f）、ISO/IEC 27036《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系的信息安全》

• g）、ISO/IEC 27037： 2012《信息技術(shù) 安全技術(shù) 數(shù)字證據(jù)的識(shí)別、收集、獲取和保存指南》

• h）、ISO/IEC 27038： 2014《信息技術(shù) 安全技術(shù)數(shù)字編輯規(guī)旳

• i）、ISO/IEC 27039： 2015《信息技術(shù) 安全技術(shù) 入侵檢測(cè)和防御系統(tǒng)（IDP）的選擇、部署和操作》

   

  2、ISO/IEC 2704x系列標(biāo)準(zhǔn)：

• a）、ISO/IEC 27040:2015《信息技術(shù) 安全技術(shù)存儲(chǔ)安全》

• b）、ISO/IEC 27041:2015《信息技術(shù) 安全技術(shù)確保事故調(diào)查方法的適用性和充分性的指南》

• c）、ISO/IEC 27042:2015《信息技術(shù) 安全技術(shù)數(shù)字證據(jù)分析和解釋指南》

• d）、ISO/IEC 27043:2015《信息技術(shù) 安全技術(shù)事故調(diào)查原則與程序》

   

  ISO/IEC 27000標(biāo)準(zhǔn)族的構(gòu)成隨著各個(gè)標(biāo)準(zhǔn)的發(fā)布、修訂、廢止而不斷變化。

   

七、企航顧問ISO/IEC 27001案例

1、企航顧問在ICT（信息與通訊技術(shù)）領(lǐng)域提供的服務(wù)項(xiàng)目有：

1. a）、ISO/IEC 20000 ： 信息技術(shù)服務(wù)管理體系

2. b）、ISO/IEC 27001 ： 信息安全管理體系

3. c）、ISO/IEC 27701 ： 隱私信息管理體系

4. d）、ISO/IEC 27017 ： 云服務(wù)信息安全規(guī)范

5. e）、ISO/IEC 27018 ： 公共云個(gè)人信息（PII）處理者的信息安全控制規(guī)范

6. f）、ISO/IEC 29151 ： 個(gè)人信息保護(hù)的行為準(zhǔn)則

7. g）、ISO 22301 ： 業(yè)務(wù)連續(xù)性管理體系

8. h）、TISAX ：可信信息安全評(píng)估交流機(jī)制

9. i）、ISO/SAE 21434 ： 道路車輛 信息安全工程

10. j）、TL 9000 ： 通訊行業(yè)質(zhì)量管理體系

    ……

2、企航顧問ISO/IEC 27001部分項(xiàng)目現(xiàn)場(chǎng)：

日月光半導(dǎo)體（上海）有限公司

德國SMS西馬克工程（中國）有限公司

 南京雨潤集團(tuán)【股票代碼：01068.HK】食品科技開發(fā)有限公司

浙江德馬科技股份有限公司【股票代碼：688360】

蘇州華锝半導(dǎo)體有限公司

南京雨潤集團(tuán)【股票代碼：01068.HK】馬鞍山百瑞食品有限公司

日本第一精工模塑（上海）有限公司

上海仁庫軟件科技有限公司

上海芯鈦信息科技有限公司

杭州新劍機(jī)器人技術(shù)股份有限公司【股票代碼：871312】

寧波正立企業(yè)咨詢服務(wù)有限公司

……