ISO27001简介

ISO/IEC 27001 简介,冯真凯,目录,背景介绍27001新版解析27001新版内容建立ISMS27001认证介绍,一、背景介绍,ISO27001 发展历史,对应国内标准,2005年6月15日，我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。2008年6月19日， GB/T 19716-2005作废，改为GB/T 22081-2008 。GB/T 22080-2008 信息安全管理体系要求 对应 ISO/IEC 27001:2005,ISO27000 标准家族,与其他标准的兼容性,本标准与GB/T 19001-2000及GB/T 24001-1996相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO14001:2004）的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。（引用自ISO/IEC 27001:2005中 “0.3与其它管理体系的兼容性” ）注：ISO 14001:2004环境管理体系规范及使用指南 ISO 9001:2000国际性质量管理标准,与其他标准的兼容性(续),二、27001新版解析,新标准特点,新标准架构变化,新标准内容构成,核心内容变化,附录A变化,附录A控制领域结构,附录A控制领域的变化,附录A控制项的增删调整,三、27001新版内容,前言 引言1 范围2 规范性引用文件3 术语和定义4 组织环境5 领导6 规划7 支持8 运行9 绩效评价10 改进附录A (规范性附录)参考控制目标和控制措施参考文献,本标准的重点章节是410章。,ISO27001 新版的内容,第四章 组织的背景,4.1 了解组织现状及背景 组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题，以达到信息安全管理体系的预期效果。4.2 理解相关方的需求和期望 a)信息安全管理体系的相关方； b)这些相关方信息安全相关要求；4. 3 确定ISMS的范围 组织应确定信息安全管理体系的边界和适用性，以确定其范围。4. 4 建立ISMS 组织应按照本国际标准的要求建立，实施，保持和持续改进信息安全管理体系。,P,D,C,A,某银行实施信息安全管理，先期所确定的范围为：因特网银行服务。具体识别为：,提供网上银行服务的人员人员使用的流程 系统操作手册 安全手册 网银规程使用的信息 顾客的详细信息 内部的银行数据 来自其它银行的外部数据,用以提供在线交易的网络服务顾客接入与其它银行的连接和接口（内部和外部）便利在线服务的技术桌面计算机和其它ICT设备电话,范围说明实例,第五章 领导力,5.1 领导和承诺高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺： a)确保建立信息安全方针和信息安全目标，并与组织的战略方向保持一致； b)确保将信息安全管理体系要求整合到组织的业务过程中； c)确保信息安全管理体系所需资源可用； d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性； e)确保信息安全管理体系实现其预期结果； f)指挥并支持人员为信息安全管理体系的有效实施作出贡献； g)促进持续改进； h)支持其他相关管理角色在其职责范围内展示他们的领导力；,第五章 领导力,5.2 方针高层管理者应建立信息安全方针，以：a)适于组织的目标；b)包含信息安全目标（见6.2）或设置信息安全目标提供框架；c)包含满足适用的信息安全相关要求的承诺；d)包含信息安全管理体系持续改进的承诺。 信息安全方针应：e)文件化并保持可用性；f)在组织内部进行传达；g)适当时，对相关方可用。,第五章 领导力,5.3 组织角色，职责和权限 高层管理者应确保分配并传达了信息安全相关角色的职责和权限。高层管理者应分配下列职责和权限：a)确保信息安全管理体系符合本标准的要求；b)将信息安全管理体系的绩效报告给高层管理者。注：高层管理者可能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。,第六章 规划,6.1 应对风险和机会的措施6.1.1总则当规划信息安全管理体系时，组织应考虑4.1中提及的问题和4.2中提及的要求，确定需要应对的风险和机会，以：a)确保信息安全管理体系能实现其预期结果；b)防止或减少意外的影响；c)实现持续改进。组织应规划：d)应对这些风险和机会的措施；e)如何 1)整合和实施这些措施并将其纳入信息安全管理体系过程； 2)评价这些措施的有效性。,第六章 规划,6.1.2 信息安全风险评估组织应定义并应用风险评估过程，以：a)建立并保持信息安全风险准则，包括： 1)风险接受准则； 2)执行信息安全风险评估的准则；b)确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果；c)识别信息安全风险： 1)应用信息安全风险评估过程来识别信息安全管理体系范围内的信息丧失保密性、完整性和可用性的相关风险； 2)识别风险负责人；,第六章 规划,6.1.2 信息安全风险评估d)分析信息安全风险： 1)评估所识别风险发生后将导致的潜在影响； 2)评估所识别风险发生的现实可能性； 3)确定风险级别；e)评价信息安全风险； 1)将风险分析结果同建立的风险准则进行比较； 2)为实施风险处置确定已分析风险的优先级。 组织应保留信息安全风险评估过程的文件记录信息。,第六章 规划,6.1.3 信息安全风险处置组织应定义并应用信息安全风险处置过程，以：a)在考虑风险评估结果的前提下，选择适当的信息安全风险处置选项：b)为实施所选择的信息安全风险处置选项，确定所有必需的控制措施；注：组织可按要求设计控制措施，或从其他来源识别控制措施。c)将所确定的控制措施与附录A的控制措施进行比较，以核实没有遗漏必要的控制措施；d)产生适用性声明。适用性声明要包含必要的控制措施、对包含的合理性说明以及对附录A控制措施删减的合理性说明；e)制定信息安全风险处置计划；f)获得风险负责人对信息安全风险处置计划以及接受信息安全残余风险的批准。组织应保留信息安全风险处置过程的文件记录信息。,第六章 规划,6.2 信息安全目标和规划实现组织应在相关职能和层次上建立信息安全目标。组织应保留关于信息安全目标的文件记录信息。当规划如何实现其信息安全目标时，组织应确定：f)要做什么；g)需要什么资源；h)由谁负责；i)什么时候完成；j)如何评价结果。,第七章 支持,7.1 资源组织应确定并提供建立、实施、保持和持续改进信息安全管理体系所需的资源。 7.2 能力组织应：a)确定从事影响信息安全执行工作的人员在组织的控制下从事其工作的必要能力；b)确保人员在适当教育，培训和经验的基础上能够胜任工作；c)适用时，采取措施来获得必要的能力，并评价所采取措施的有效性；d)保留适当的文件记录信息作为能力方面的证据。注：例如适当措施可能包括为现有员工提供培训、对其进行指导或重新分配工作；雇用或签约有能力的人员。,第七章 支持,7.3 意识人员在组织的控制下从事其工作时应意识到：a)信息安全方针；b)他们对有效实施信息安全管理体系的贡献，包括信息安全绩效改进后的益处；c)不符合信息安全管理体系要求可能的影响。7.4 沟通组织应确定有关信息安全管理体系在内部和外部进行沟通的需求，包括：a)什么需要沟通；b)什么时候沟通；c)跟谁进行沟通；d)由谁负责沟通；e)影响沟通的过程。7.5 文件记录信息,第八章 运行,8.1 运行的规划和控制组织应规划、实施和控制满足信息安全要求所需的过程，并实施6.1中确定的措施。组织还应实施这些规划来实现6.2中所确定的信息安全目标。8.2 信息安全风险评估6.1.2a）中建立的风险评估执行准则，组织应按计划的时间间隔执行信息安全风险评估，当重大变更被提出或发生时也应执行信息安全风险评估。8.1 信息安全风险处置组织应实施信息安全风险处置计划。注：在运行活动中都应保留相关文件记录。,第九章 绩效评价,9.1 监视、测量、分析、评价组织应评价信息安全绩效和信息安全管理体系的有效性。组织应确定：a)什么需要监视和测量，包括信息安全过程和控制措施；b)监视、测量、分析和评价的方法，适用时，确保结果有效；注：选择的方法最好产生可比较和可再现的结果，这样才能被认为是有效的。c)什么时候应执行监视和测量；d)谁应实施监视和测量；e)什么时候应对监视和测量的结果进行分析和评价；f)谁应分析和评价这些结果。组织应保留适当的文件记录信息作为监视和测量结果的证据。,第九章 绩效评价,9.2 内部审核组织应按计划的时间间隔进行内部审核，以提供信息确定信息安全管理体系是否：a)符合 1)组织自身信息安全管理体系的要求； 2)本标准的要求；b)得到有效的实施和保持。9.3 管理评审管理者应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。,第十章 改进,10.1 不符合和纠正措施当发生不符合时，组织应：a)对不符合作出反应b)为确保不符合不再发生或不在其他地方发生，评价消除不符合原因的措施需求：c)实施所需的措施；d)评审所采取纠正措施的有效性；e)必要时，对信息安全管理体系实施变更。f)不符合的性质以及所采取的所有后续措施；g)所有纠正措施的结果。10.2持续改进组织应持续改进信息安全管理体系的适宜性、充分性和有效性。,四、建立ISMS,ISMS(信息安全管理系统),ISO/IEC 27001通篇就在讲一件事，ISMS(信息安全管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurity Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。,PDCA（戴明环）,PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming）采纳、宣传并运用于持续改善产品质量的过程当中。1、P（Plan）-计划，确定方针和目标，确定活动计划；2、D（Do）-执行，实地去做，实现计划中的内容；3、C（Check）-检查，总结执行计划的结果，注意效果，找出问题；4、A（Action）-行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个PDCA循环。,PDCA特点,大环套小环，小环保大环，推动大循环 PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。,PDCA特点,不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。,P,D,C,A,质量水平,螺旋上升的PDCA,PDCA和ISMS的结合,确定ISMS方针,根据业务、组织、位置、资产和技术等方面的特性，,确定ISMS方针。,ISMS方针应：,1）包括设定目标的框架和建立信息安全工作的总方向和原则；,2）考虑业务和法律法规的要求，及合同中的安全义务；,3）在组织的战略性风险管理环境下，建立和保持ISMS；,4）建立风险评价的准则（见4.2.1c）；,5）获得管理者批准。,建立 ISMS,信息安全风险管理,标准引用的有关风险管理的术语和定义 风险管理(risk management),指导和控制一个组织相关风险的协调活动。风险评估(risk assessment) 风险分析和风险评价的整个过程。风险分析(risk analysis) 系统地使用信息来识别风险来源和估计风险。风险评价(risk evaluation) 将估计的风险与给定的风险准则加以比较以确定风险 严重性的过程。,建立 ISMS,风险管理的术语和定义,风险处置(risk treatment),选择并且执行措施来更改风险的过程。风险接受(risk acceptance) 接受风险的决定。残余风险(residual risk) 经过风险处置后遗留的风险。,识别风险(risk identification),发现、列出并描述风险要素的过程活动。,建立 ISMS,c)确定组织的风险评估方法,1）识别适合ISMS、已识别的业务信息安全和法律法 规要求的风险评估方法。2）制定接受风险的准则，识别可接受的风险级别。 选择的风险评估方法应确保风险评估产生可比较的 和可再现的结果。,注：风险评估具有不同的方法。在ISO/IEC TR 13335-3中描述了风险评估方法的例子。,建立 ISMS,风险评估方法,ISO/IEC TR 13335-3给出的风险评估方法：,基准法(Baseline Approach) 组织通过选择标准的防护为系统各部分的安全保护设立 统一的基准详细的风险分析(Detailed Risk Analysis) 包括资产的深度鉴定和估价，对这些资产的威胁评估和脆 弱性评估。结果用于评估风险及选择合理的安全控制措施。非正式的方法(Informal Approach) 依据个人知识和经验的简化风险分析综合的方法(Combined Approach) 先对系统进行宏观风险分析，确定出高风险或重要的业务 领域，再按优先顺序分别进行详细的风险分析。,建立 ISMS,接受风险,接受风险的准则,判别风险造成的损失或后果为可容忍程度或量 级的尺度描述了组织愿意接受风险的情形可以针对某类风险而具体规定，或制定为通用 的判定依据,建立 ISMS,d) 识别风险,1）识别ISMS范围内的资产及其责任人；,2）识别资产所面临的威胁；,3）识别可能被威胁利用的脆弱性；,4）识别丧失保密性、完整性和可用性可能对资产造成的影响。,建立 ISMS,识别风险的主要活动,识别资产,资产(asset),对组织有价值的任何东西。ISO/IEC 13335-1:2004确定资产类别 资产应按组织的需要划分类别。例如，可分类如下： 信息、业务和管理过程、人员、方针和规程、服务、 ICT系统、场所、以及公司的品牌和声誉等。列出资产清单,建立 ISMS,识别风险的主要活动,识别资产的脆弱性、威胁和风险,威胁 可能对系统或组织产生损害的不期望事件的潜在原因。脆弱性 可能被某个威胁所利用的资产或控制措施的弱点。 风险 意味着可能发生安全事件 威胁+ 脆弱性安全事件,建立 ISMS,e) 分析和评价风险,1）在考虑丧失资产的保密性、完整性和可用性所造成的 后果的情况下，评估安全失效可能造成的对组织的影响。 2）根据主要的威胁和脆弱性、对资产的影响以及当前所 实施的控制措施，评估安全失效发生的现实可能性。 3）估计风险的级别。 4）确定风险是否可接受，或者是否需要使用建立的接受风险的准则进行处理。,建立 ISMS,风险估计与评价,风险估计对业务的影响信息安全突破的后果资产的价值可能性 脆弱性被利用的难易程度 威胁源的动机和能力风险级别风险评价排列风险的优先级，关注重大风险剔除低风险项或可接受的风险项,建立 ISMS,f) 识别和评价风险处理的可选措施,可能的措施包括：1）采用适当的控制措施；2）在明显满足组织方针策略和接受风险的准则的条件下， 有意识地、客观地接受风险3）避免风险；4）将相关业务风险转移到其他方，如：保险，供应商等。,建立 ISMS,风险的应对策略,风险降低(risk reduction),采取行动降低风险发生的可能性或减轻负面后果，或同时降低风险发生的可能性和减轻负面后果,风险避免(risk avoidance),决定不卷入风险处境或从风险处境中撤出,风险保持(risk retention),接受特定风险带来的损失或收益,风险转移(risk transfer),与其它组织分担风险的损失或收益,注：在安全风险范畴内，转移风险只考虑负面后果（损失）。,建立 ISMS,建立 ISMS,风险降低,风险保持,管理者在某种情形下可有意、客观地接受风险例如：,控制措施不能使风险降低到可接受的水平受资金或技术的限制风险无法避免或转移,风险保持并非放弃管理，风险仍需进行跟踪监督：,定期评估风险状况的改变和趋势如风险状况持续恶化，必要时应启动应急措施,建立 ISMS,g) 为处理风险选择控制目标和控制措施,控制目标和控制措施应加以选择和实施，以满足风险 评估和风险处置过程中所识别的要求。这种选择应考 虑接受风险的准则以及法律法规和合同要求。从附录A中选择控制目标和控制措施应成为此过程的 一部分，该过程适合于满足这些已识别的要求。附录A所列的控制目标和控制措施并不是所有的控制 目标和控制措施，组织也可能需要选择另外的控制目 标和控制措施。,建立 ISMS,h) 获得管理者对建议的残余风险的批准,建议的残余风险：,是对选择的风险控制措施实施后的效果所作出的预测；,对控制措施的预期结果由管理层作出决策.,43,建立 ISMS,建立 ISMS,风险管理活动及输出,i) 获得管理者对实施和运行ISMS的授权j) 准备适用性声明（SoA）,应从以下几方面准备适用性声明：1）所选择的控制目标和控制措施，以及选择的理由；2）当前实施的控制目标和控制措施；3）对附录A中任何控制目标和控制措施的删减，以及删减的合理性说明。,注：适用性声明提供了一份关于风险处理决定的综述。删减的合理性说明提供交叉检查，以证明不会因疏忽而遗漏控制措施。,建立 ISMS,建立 ISMS,适用性声明（SoA）,建立 ISMS,ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。,ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的：信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）：信息安全方针风险评估报告适用性声明（SoA）二级文件：各类程序文件。至少包括（可能不限于此）：风险评估流程风险管理流程风险处理计划管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定文件及材料控制程序安全事件处理流程三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部门自行维护。,ISMS 文件体系,建设 ISMS,第一步工作是建设ISMS系统，这部分工作可以由组织或者公司自己进行，前提是该组织拥有专业的人才。大部分的公司不具备这样的能力，这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。建设ISMS的工作不是一个纯粹的IT建设，而是建立一个循序渐进的体系，需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负责这项工作。,建设ISMS,文件化很重要，各个层次的文件和记录都需要编写完备，这些工作也可以由第三方来协助进行。风险评估，培训等工作的进行也需要在咨询公司的协助下进行。ISMS初步建立之后，需要运行一段时间，针对出现的问题进行修正。,五、27001认证介绍,提出申请,待ISMS稳定运行一段时间之后，可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社) 等。,认证审核预审,预审核（Pre-assessment Audit）也称预审，是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。 预审是审核员通过使用“差距分析”方法，分析和检查组织的ISMS与ISO/IEC 2