浅谈ISO/IEC 27001信息安全管理体系

前 言

本文从整体角度对ISO/IEC 27001标准进行简要的介绍，尽量覆盖标准的整体情况，包括方法论和各个域的控制情况，方便大家阅读之后对信息安全管理体系有一个相对整体的认识。本文主要包括四个方面内容，一是标准整体的演变及背景情况；二是标准的主要内容；三是实践方面如何从风险管理角度，基于PDCA的方法论，依托ISO/IEC 27001标准开展信息安全的管理工作；四是新标准的变化和控制。同时2024年也是ISO/IEC 27001:2013版可用的最后一年，未来的体系认证都要基于ISO/IEC 27001:2022版标准。基于风险管理和PDCA的方法论是ISO/IEC 27001的核心，希望大家能够有所收获有所运用。

01

ISO/IEC27001标准概况

目前ISO/IEC 27001最新版本是2022版，标准全称是《ISO/IEC 27001:2022 •Information security, cybersecurity and privacy protection — Information security management systems — Requirements/•信息安全、网络安全和隐私保护 — 信息安全管理体系 — 要求》。

相对旧版，标题中扩展为Information security, cybersecurity and privacy protection/信息安全、网络安全和隐私保护。 

注：ISO：国际标准化组织。IEC：国际电工委员会。

如今ISO/IEC 27001已经是全球认可度最高的安全标准。该标准最早起源于英国《BS 7799 信息安全管理实施规则》，历经多年发展迭代，最终成为我们看到的最新版ISO/IEC 27001:2022标准。

同时也衍生出ISO/IEC 27000标准族及一系列标准，为信息安全管理体系的建设、指导、认证等服务。主要包括：

• ISO/IEC 27000 原理与术语Principles and vocabulary

• ISO/IEC 27001 信息安全管理体系—要求 ISMS Requirements（主标准）

• ISO/IEC 27002 信息安全控制 ISMS Information security controls

• ISO/IEC 27003 实施指南ISMS Implementation guidelines

• ISO/IEC 27004 指标与测量ISMS Metrics and measurement

• ISO/IEC 27005 风险管理ISMS Risk management

• ISO/IEC 27006 认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification

• ISO/IEC 27007 信息安全管理体系审核员指南 Guidelines for information security management systems auditing

02

ISO/IEC27001标准主要内容

国际标准化组织（ISO/IEC）颁布了多个管理体系标准，这些体系包括信息安全、环境、质量、职业健康安全等多个领域。为了解决这些管理体系的成文结构混乱不一的情况，ISO/IEC就提出和规定了相通的核心正文，核心定义的通用术语和相同的章节顺序，即“高阶结构”（HLS）。高阶结构是指十个章节：（1）范围；（2）规范性引用文件；（3）术语和定义；（4）组织环境；（5）领导；（6）规划；（7）支持；（8）运行；（9）绩效评价；（10）改进。高阶结构可以理解为以PDCA为框架的过程方法结构。

ISO/IEC27001:2022标准同样采用该高阶结构。标准主要框架如下：

ISO/IEC 27001:2022
0 引言
1 范围
2 规范性引用文件
3 术语和定义
4 组织环境	4.1 理解组织及其环境
	4.2 理解相关方的需求和期望
	4.3 确定信息安全管理体系范围
	4.4 信息安全管理体系
5 领导	5.1 领导和承诺
	5.2 方针
	5.3 组织的角色、责任和权限
6 规划	6.1 应对风险和机会的措施	6.1.1 总则
		6.1.2 信息安全风险评估
		6.1.3 信息安全风险处置
	6.2 信息安全目标及其实现规划
	6.3 变更规划
7 支持	7.1 资源
	7.2 能力
	7.3 意识
	7.4 沟通
	7.5 文件化信息	7.5.1 总则
		7.5.2 创建和更新
		7.5.3 文件化信息的控制
8 运行	8.1 运行规划和控制
	8.2 信息安全风险评估
	8.3 信息安全风险处置
9 绩效评价	9.1 监视、测量、分析和评价
	9.2 内部审核	9.2.1 总则
		9.2.2 内部审核规程
	9.3 管理评审	9.3.1 总则
		9.3.2 管理评审输入
		9.3.3 管理评审输出
10 改进	10.1 持续改进
	10.2 不符合及纠正措施
附录A

标准定位：

ISO/IEC 27001标准提供建立、实现、维护和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实现受组织的需要和目标、安全要求、组织所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并为相关方树立风险得到充分管理的信心。

重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分分并集成在其中，并且在过程、信息系统和控制的设计中要考虑到信息安全。期望的是，信息安全管理体系的实现程度要与组织的需要相符合。

ISO/IEC 27001标准可被内部和外部各方用于评估组织的能力是否满足自身的信息息安全要求。

ISO/IEC 27001本标准中所表述要求的顺序不反映各要求的重要性或者这些要求要予实现的顺序。条款编号仅为方便引用ISO/IEC/IEC 27000描述了信息安全管理体系的概要和词汇，引用了信息安全管理体系的标准族(包括ISO/IEC27003、ISO/IEC 27004、ISO/IEC 27005)，以及相关术语和定义。

各章节主要内容如下：

1. 范围（Scope）：这一章节描述了标准的应用范围，即建立、实施、维护和持续改进信息安全管理体系（ISMS）。重点是确保标准适用于所有类型和规模的组织。

2. 规范引用（Normative References）：提供了实施ISO/IEC 27001所需的参考文档。重点是确保组织有正确的参考资料来实施和维护ISMS，包括其他相关的ISO标准和指南。

3. 术语和定义（Terms and Definitions）：定义ISO/IEC 27001中使用的特定术语。重点是确保所有使用者对标准中的术语有统一的理解。

4. 组织环境（Context of the Organization）：要求组织确定外部和内部问题，理解利益相关者的需求和期望，以及定义ISMS的范围。重点是确保ISMS与组织的业务目标和环境相适应，包括法律、技术和市场环境。

5. 领导（Leadership）：强调了管理层对于建立、实施和维护ISMS的责任。重点是确保管理层的承诺和领导，以支持ISMS的成功实施。这包括建立信息安全政策，确保资源的分配，以及建立角色和责任。

6. 规划（Planning）：要求组织进行风险评估和风险处理，以及建立信息安全目标。重点是确保组织有明确的计划来管理信息安全风险，包括识别资产、威胁和漏洞，评估风险的可能性和影响，以及选择适当的控制。

7. 支持（Support）：涉及到实施ISMS所需的资源、能力和意识，以及文档化信息。重点是确保组织有足够的资源和能力来实施和维护ISMS，包括人员、技术和财务资源，以及员工的培训和意识提高。

8. 运行（Operation）：要求组织执行风险评估和风险处理计划，以及管理变更。重点是确保ISMS的日常运行符合计划，包括实施选定的控制，管理ISMS的变更，以及应对信息安全事件。

9. 绩效评价（Performance Evaluation）：涉及到监控、测量、分析和评估ISMS的效果，以及内部审计和管理评审。重点是确保ISMS的效果和有效性得到定期评估和审查，以检查其是否符合组织的信息安全政策和目标，以及法律和合同要求。

10. 改进（Improvement）：要求组织根据ISMS的绩效评估结果进行持续改进。重点是确保组织有机制来识别和实施ISMS的改进，包括修正不符合项，以及改进ISMS的绩效和效果。

• 附录A（Annex A）：这一部分提供了一系列建议的控制，组织可以根据自己的风险评估结果选择适当的控制。重点是提供一个全面的控制列表，以帮助组织管理信息安全风险。

03

基于风险的信息安全管理

ISO/IEC 27001为信息安全管理体系（ISMS）提供了框架。其核心是基于风险的信息安全管理，即识别、评估和管理信息安全风险，以保护组织的信息资产免受威胁。

实施ISO/IEC 27001的关键步骤：

1. 建立ISMS：首先，组织需要建立一个信息安全管理体系。这包括定义安全政策，确定风险评估方法，以及定义风险接受准则。

2. 识别资产：组织需要识别其信息资产，以及这些资产的所有者。这可能包括硬件、软件、数据、人员、过程等。

3. 识别威胁：组织需要识别可能对其信息资产构成威胁的因素。这可能包括黑客攻击、员工疏忽、自然灾害等。

4. 评估风险：组织需要评估识别的威胁可能对其信息资产造成的风险。这包括评估威胁的可能性和影响。

5. 选择控制措施：基于风险评估的结果，组织需要选择适当的控制措施来管理风险。ISO/IEC 27001提供了一个建议的控制列表，但组织可以根据自己的具体情况选择适当的控制。

6. 实施和监控：组织需要实施选定的控制，并定期监控其有效性。这可能包括定期审查和更新风险评估，以及进行内部和外部审计。

7. 持续改进：ISO/IEC 27001强调了持续改进的重要性。组织需要定期审查和更新其ISMS，以确保其持续有效，并能够应对新的威胁和风险。

8. 文档化：所有的过程，包括风险评估结果，选择和实施的控制措施，以及审计结果，都需要被适当地记录和文档化。文档化可以帮助组织跟踪其风险管理的效果，也是ISO/IEC 27001体系认证审核的重点之一。

9. 内部审计：组织需要定期进行内部审计，以确保ISMS的运行符合ISO/IEC 27001的要求，以及组织自身的安全政策。

10. 管理层审查：管理层需要定期审查ISMS的效果，以确保其符合组织的业务目标，并决定是否需要进行任何改进。

基于以上方法和过程，组织可以依照ISO/IEC 27001建立一个全面的、基于风险的信息安全管理体系，以保护其信息资产免受威胁。

ISO/IEC 27001中面向过程的管理

ISO/IEC 27001的信息安全管理系统（ISMS）实施过程遵循PDCA（Plan-Do-Check-Act）模型。PDCA是一种迭代的四步管理方法，用于持续改进过程、产品或服务。

1. 计划（Plan）：在ISO/IEC 27001中，这一步涉及到建立ISMS，包括定义政策，识别资产，评估风险，以及选择适当的控制来管理风险。

2. 执行（Do）：实施和操作ISMS，包括实施选定的控制，以及提供必要的培训和资源。

3. 检查（Check）：监控和审查ISMS，包括进行内部审计，以及评估ISMS的效果和有效性。

4. 行动（Act）：根据检查的结果进行必要的改进，包括修正发现的问题，以及改进ISMS的效果。

通过遵循PDCA模型，从而建立一个持续改进的信息安全管理体系。

04

新版标准变化与控制

最新版标准ISO/IEC 27001:2022 标准的行文结构依然按照高阶结构（HLS）展开，整体结构（一级目录）没有变化，从而体系方法保持不变，附录A跟随ISO/IEC 27002：2022版的内容进行了同步更新。

标准正文结构进行了小调整（二、三级目录），有增加、拓展和顺序调整，以同步近年来HLS的变化，对条款文字描述进行部分改动，但它们只是澄清和适当的展开，并没有增加或减少要求。

ISO/IEC 27002：2022的变化中，控制的改变最为彻底，不但控制数量和内容发生了巨大变更，原有的14个控制域和35个控制目标也随之消失，取而代之的是四大控制类别。并且标题改为 “信息安全控制措施参考”，进一步明确了附录A的定位是一个“可供参考的”信息安全控制集合。

信息安全控制

在《ISO/IEC 27002:2022 信息安全控制》中，控制被定义为改变或保持风险的措施。ISO/IEC 27002标准文件中的一些控制措施是改变风险的控制措施，而其他控制措施则保持风险。例如，信息安全策略只能保持风险，而遵守信息安全策略可以改变风险。此外，一些控制表现为在不同的风险语境下相同的通用措施。ISO/IEC 27002标准文件提供了从国际公认的最佳实践中总结出来的组织、人员、物理和技术信息安全控制的通用组合。

在ISO/IEC 27002:2022中控制措施新增控制属性每个控制措施都与5个属性相关联。

根据不同属性，可以更加方便的搭建和使用不同安全框架，如网络安全概念框架（IPDRR）或安全运营能力框架。

结语

ISO 27001:2022不仅是一种标准，更是一种对信息安全管理的全面和系统的理解。通过PDCA循环，我们可以持续改进信息安全管理体系，确保其始终适应组织的需求和环境。信息安全管理体系的建设是实现信息安全目标的关键；而信息安全控制的实施，是保护组织信息资产，防止信息安全事件发生的重要手段。总体来说，ISO 27001:2022为我们提供了一种全面、系统的方法来管理和保护信息资产，各类组织在实施信息安全保护工作都可以进行借鉴。

#LLSRC技术干货

原文始发于微信公众号（货拉拉安全应急响应中心）：浅谈ISO/IEC 27001信息安全管理体系