ISO 270001 信息安全管理体系标准业务.doc

业务介绍业务流程赛宝能力服务指南意见反馈一、信息安全管理体系标准业务介绍1、背景介绍信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：直接损失：丢失订单，减少直接收入，损失生产率；间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。2、标准发展目前，在信息安全管理体系方面，ISO27001:2005信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织，如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。2008年6月，ISO27001同等转换成国内标准GB/T22080-2008，并在2008年11月1日正式实施。经过多年的发展，信息安全管理体系国际标准已经出版了一系列的标准，其中ISO/IEC27001是可用于认证的标准，其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1：表1 ISO27000标准族现行状态序号标准编号标准名称现行状态1ISO27000信息技术 安全技术 - 信息安全管理体系 - 概论及术语2009年出版2ISO27001信息技术 安全技术 - 信息安全管理体系 - 要求2005年出版3ISO/IEC 27002信息技术 安全技术 - 信息安全管理 - 为规范2005年出版4ISO/IEC 27003信息技术 安全技术 - 信息安全管理体系 - 实施指南2010年出版5ISO/IEC 27004信息技术 安全技术 - 信息安全管理- 测量2009年出版6ISO/IEC 27005信息技术 安全技术 - 信息安全风险管理2008年出版7ISO/IEC 27006信息技术 安全技术 - 认证机构要求2007年出版8ISO/IEC 27007信息技术 安全技术 - 信息安全管理体系审核指南委员会草案9ISO/IEC 27008控制审核员指南委员会草案10ISO/IEC 27010行业间交流的信息安全管理工作组草案11ISO/IEC 27011信息技术 安全技术 - 基于ISO/IEC 27002通讯行业信息安全管理体系2008年出版12ISO/IEC 27013信息技术 安全技术 -? ISO/IEC 20000-1及 ISO/IEC 27001一体化实施指南工作组草案13ISO/IEC 27014信息安全治理框架工作组草案14ISO/IEC 27015金融及保险行业信息安全管理体系批准的项目15ISO/IEC 27031信息技术 安全技术 业务连续性的ICT准备能力指南最终委员会草案16ISO/IEC 27032信息技术 安全技术 网络空间安全指南委员会草案17ISO/IEC 27033-1信息技术 安全技术 网络安全 第1部分：概述和概念2009年出版18ISO/IEC 27033-2信息技术 安全技术 网络安全 第2部分：设计和实施网络安全指南最终委员会草案19ISO/IEC 27033-3信息技术 安全技术 网络安全 第3部分：参考网络情境 威胁、设计技术和控制活动最终委员会草案20ISO/IEC 27033-4信息技术 安全技术 网络安全 第4部分：使用安全网关确保网络间的通信安全 威胁、设计技术和控制活动工作组草案21ISO/IEC 27034-1应用安全 第1部分：概述和概念最终委员会草案22ISO/IEC 27034-2应用安全 第2部分：组织规范性框架批准的新项目23ISO/IEC 27034-3应用安全 第3部分：应用安全管理过程批准的新项目24ISO/IEC 27034-4应用安全 第4部分：应用安全确认批准的新项目25ISO/IEC 27034-5应用安全 第5部分：协议和应用安全控制的数据结构批准的新项目26ISO/IEC 27035信息技术 安全技术 信息安全事件管理最终委员会草案27ISO/IEC 27036信息技术 安全技术 外包安全指南批准的新项目28ISO/IEC 27037识别、收集、获取和保存数字证据指南工作组草案29ISO/IEC 27038信息技术 安全技术 数字化修订详述批准的新项目3、ISO27001标准内容简介ISO27001：2005标准包括11大控制领域（见图1）、39个控制目标和133项控制措施，为组织提供全方位的信息安全保障。4、标准特点 注重体系的完整性，是一套科学的信息安全管理体系 强调对法律法规的符合性 以风险评估为基础，采用PDCA的过程方法 适用于各种类型、不同规模和业务性质的组织 与其他管理体系兼容（例如ISO9000标准等）二、认证的价值和适用范围1. ISMS认证的价值有以下几点：1）符合法律法规要求：证书的获得，可以向权威机构表明，组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。2）维护企业的声誉、品牌和客户信任：证书的获得，可以向合作伙伴、股东和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到加强。同样的，证书的获得，有助于确定组织在同行业内的竞争优势，提升其市场地位。事实上，现在很多国际或国内的投标项目已经开始要求ISO27001的符合性了。3）履行信息安全管理责任：证书的获得，本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。4）增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。5）保持业务持续发展和竞争优势：全面的信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。6）实现风险管理：有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。7）减少损失，降低成本：ISMS的实施，能降低因为潜在安全事件发生而给组