ISO27001入门

admin 2024年10月23日15:42:48评论43 views字数 3251阅读10分50秒阅读模式

ISO27001简介

ISO 27001信息安全管理体系,是建立信息安全管理体系(ISMS)的一套需求规范,由国际标准化组织(ISO)正式颁布实施。详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。

ISO27001认证标准涵盖了信息安全管理的各个方面,包括信息安全政策、组织、资源管理、安全控制和安全事件管理等。通过实施这一标准,企业可以系统地识别、评估、控制和监控信息安全风险,确保信息资产得到妥善保护,从而为企业创造更大的商业价值。

2022年新版本发布,将原有14个安全控制域合并后总结归纳为组织、人员、物理、技术4个方向,93项控制项。2022版的控制项相比2013版,从114个变为93个,其中新增11个控制项,更新58个控制项,合并24个控制项。

新版本变化新增内容

--组织控制主题中增加了威胁情报、云服务以及业务连续性的控制点。

--技术控制主题主要是增加了关于数据安全、配置管理、信息删除、数据防泄漏、数据屏蔽、监控活动、网站过滤、安全编码等控制点。

--物理控制主题增加了物理安全监控。

ISO27001入门

ISO27001主要控制项

5.组织控制

6.人员控制

7.物理控制

8.技术控制

5.1信息安全策略

5.11资产归还

5.21ICT供应链中的信息安全管

5.31法律法规、监管 和合同要求

6.1审查

7.1物理安全边界

7.11支持性设施

8.1用户终端设备

8.11数据屏蔽

8.21网络服务安全

8.31开发、测试与生 产环境的隔离

5.2信息安全角色与职责

5.12信息的分级

5.22供应商服务的监 视、评审和变更管理

5.32知识产权

6.2任用条款及条件

7.2物理入口

7.12布缆安全

8.2特许访问权

8.12数据防泄漏

8.22网络隔离

8.32变更管理

5.3职责分离

5.13信息的标记

5.23使用云服务的信息安全

5.33记录保护控制

6.3信息安全意识、 教育和培训

7.3办公室、房间和 设备的安全保护

7.13设备维护

8.3信息访问限制

8.13信息备份

8.23网站过滤

8.33测试信息

5.4管理职责

5.14信息传输

5.24信息安全事件管 理的策划和准备

5.34隐私和 PII(个  人可识别信息) 的保护

6.4违规处理过程

7.4物理安全监控

7.14设备的安全处置 或再利用

8.4对源代码的访问

8.14信息处理设施的 冗余

8.24密码使用

8.34审计测试期间的 信息系统保护

5.5与职能机构的联系

5.15访问控制

5.25信息安全事态的 评估和决策

5.35信息安全的独立 评审

6.5任用终止或变更 后的责任

7.5物理和环境威胁 的安全防护

8.5身份验证安全

8.15日志管理

8.25开发生命周期安 全

5.6与特定相关方的联系

5.16身份管理

5.26信息安全事件的 响应

5.36符合信息安全的 策略、规则和标 准

6.6保密和不泄露协 议

7.6在安全区域工作

8.6容量管理

8.16监控活动

8.26应用程序安全要 求

5.7威胁情报

5.17鉴别信息

5.27 从信息安全事件中的学习

5.37文件化的操作规程

6.7远程工作

7.7清理桌面和屏幕

8.7恶意软件防范

8.17时钟同步

8.27安全系统架构和 工程原则

5.8项目管理中的信息安全

5.18访问权限

5.28证据的收集

6.8信息安全事态报 告

7.8设备安置和保护

8.8技术脆弱性管理

8.18特许权实用程序 的应用

8.28安全编码

5.9信息及其他资产清单

5.19供应商关系的信息安全

5.29中断期间的信息 安全

7.9组织场所外的资 产安全

8.9配置管理

8.19运行系统的软件 安装

8.29开发和验收中的 安全测试

5.10信息和其他相关资产的可接受使用

5.20在供应商协议中强调信息安全

5.30业务连续性的ICT准备

7.10存储介质

8.10信息删除

8.20网络安全

8.30外包开发

ISO27001与等保

ISO27001是国际上的信息安全合规标准,等保是国内的合规标准。

信息安全管理体系建立过程

1)前期准备

  • 项目准备-组建项目组人员

  • 确定项目范围:评审主体(是公司整体还是公司某部门;被评估人数,公司整体或部门人数;被评估场所的地理位置)

  • 制定项目计划:各关键节点制定,交付节点制定。

2)现状调研与差距分析

  • 管理体系访谈及问卷调研,了解业务关注点与现状,并进行总结分析

  • 收集已有管理制度文档,进行对比

  • 调研完成后对比27001管理细则差距分析

  • 对整个过程进行总结

  • 输出物:管理体系差距分析报告、27001差距分析表

3)资产识别与风险评估

  • 资产识别-根据项目范围进行全量资产的识别,确认重要资产

  • 风险评估-选取信息安全管理体系中重要业务系统,识别脆弱性、威胁、可能造成的影响。这个阶段可能会用到渗透测试、漏扫、基线核查等技术手段。

  • 风险对应处置-确定风险控制目标,识别已有安全措施,确定风险缓释手段,制定安全加固的方案与计划并实施。

  • 输出:资产清单、风险评估报告、风险处置方案

4)体系设计与发布

  • 适用性声明-根据风险评估结果,结合27001标准关键控制点,识别实用性范围进行逐条说明

  • 总体设计-根据前期分析结果,结合27001标准体系,确定信息安全管理体系的总体架构文件、文件层次、实施重点等内容。

  • 安全方针建设-适用范围、整体架构、安全原则等

  • 信息安全组织体系建设-建立组织体系架构、安全管理责任制、安全审计队伍、促进安全管理体系的落地与执行

  • 信息安全策略体系建设-物理安全、网络安全、访问控制环境、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、账号口令、安全审计、系统开发、风险管理等方面提出规范、不同等级的安全策略要求。

  • 信息安全管理制度、规范及流程建设-结合客户各业务信息系统、各种信息技术角色、各个部门的具体情况,从应用和操作的角度对相关安全管理制度、操作规范和流程等进行明确的要求

  • 输出:实用性声明、管理体系制度文档、制度表单

类似于下图中的体系

ISO27001入门

5)体系运行与监控

  • 体系文件分发与宣贯-根据文件各部门的使用情况进行下发,并收集意见修订。针对使用人员进行培训宣贯。

  • 体系试运行-文件下发后,各部门各角色进行落地执行使用,验证制度文件安全管理的要求、强度、流程的正确与完善。通常需要3个月的时间。

  • 内部审核-验证管理体系有效性,是否符合安全要求与内部的安全需求

  • 管理审核-对27001的适用、充分、有效进行 评价。

6)外部认证

  • 文件审核-现场审核-对不符合项进行纠正改进-通过认证

ISO27001入门

信息安全管理体系审核认证主要过程

1)选择认证机构

选择一个合适的、经认可的认证机构进行外部审核。

2)外部审核

第一阶段审核(文档审核):认证机构评估组织的ISMS文档,确保准备工作已经完成。

  • 审核员会审查组织的ISMS文档,包括信息安全政策、风险评估报告、风险处理计划、声明的适用性、程序、控制措施等。

  • 目的是确保组织已经充分地准备文档,并理解并应用了ISO/IEC 27001的要求。

第二阶段审核(实地审核):进行更深入的审核,评估ISMS在实践中的实施和效果。

  • 审核员会访问组织的办公地点,进行实地审核。

  • 评估ISMS的实际实施情况,包括员工对信息安全政策的理解和遵守情况、控制措施的有效性、风险管理的实施、持续改进过程等。

  • 检查ISMS是否全面覆盖了组织的所有业务区域和活动。

3)纠正措施

根据外部审核中发现的问题,实施必要的纠正措施,大概几周-几个月。

4)获得认证

一旦成功通过外部审核,并解决了所有重大问题,组织将获得ISO/IEC 27001认证,大概2-3周。

5)持续改进和监控

定期进行内部审核和管理审查。对ISMS进行持续的监控、评估和改进。

6)监督审核

认证机构通常每年进行监督审核,以确保持续遵从ISO/IEC 27001标准。一般证书有效期是3年,到期后要续证。

7)评审判别依据

  • 是否建立了完整且有效的ISMS。

  • 是否有足够的证据表明组织遵守了ISO/IEC 27001的要求。

  • 组织内部是否存在未解决的重大不符合情况。

  • 组织是否展示了对持续改进的承诺和能力。

参考链接

https://zhuanlan.zhihu.com/p/677695439

原文始发于微信公众号(信安路漫漫):ISO27001入门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月23日15:42:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ISO27001入门https://cn-sec.com/archives/3304029.html

发表评论

匿名网友 填写信息