ISO27001简介
ISO 27001信息安全管理体系,是建立信息安全管理体系(ISMS)的一套需求规范,由国际标准化组织(ISO)正式颁布实施。详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
ISO27001认证标准涵盖了信息安全管理的各个方面,包括信息安全政策、组织、资源管理、安全控制和安全事件管理等。通过实施这一标准,企业可以系统地识别、评估、控制和监控信息安全风险,确保信息资产得到妥善保护,从而为企业创造更大的商业价值。
2022年新版本发布,将原有14个安全控制域合并后总结归纳为组织、人员、物理、技术4个方向,93项控制项。2022版的控制项相比2013版,从114个变为93个,其中新增11个控制项,更新58个控制项,合并24个控制项。
新版本变化新增内容
--组织控制主题中增加了威胁情报、云服务以及业务连续性的控制点。
--技术控制主题主要是增加了关于数据安全、配置管理、信息删除、数据防泄漏、数据屏蔽、监控活动、网站过滤、安全编码等控制点。
--物理控制主题增加了物理安全监控。
ISO27001主要控制项
5.组织控制 |
6.人员控制 |
7.物理控制 |
8.技术控制 |
|||||||
5.1信息安全策略 |
5.11资产归还 |
5.21ICT供应链中的信息安全管 |
5.31法律法规、监管 和合同要求 |
6.1审查 |
7.1物理安全边界 |
7.11支持性设施 |
8.1用户终端设备 |
8.11数据屏蔽 |
8.21网络服务安全 |
8.31开发、测试与生 产环境的隔离 |
5.2信息安全角色与职责 |
5.12信息的分级 |
5.22供应商服务的监 视、评审和变更管理 |
5.32知识产权 |
6.2任用条款及条件 |
7.2物理入口 |
7.12布缆安全 |
8.2特许访问权 |
8.12数据防泄漏 |
8.22网络隔离 |
8.32变更管理 |
5.3职责分离 |
5.13信息的标记 |
5.23使用云服务的信息安全 |
5.33记录保护控制 |
6.3信息安全意识、 教育和培训 |
7.3办公室、房间和 设备的安全保护 |
7.13设备维护 |
8.3信息访问限制 |
8.13信息备份 |
8.23网站过滤 |
8.33测试信息 |
5.4管理职责 |
5.14信息传输 |
5.24信息安全事件管 理的策划和准备 |
5.34隐私和 PII(个 人可识别信息) 的保护 |
6.4违规处理过程 |
7.4物理安全监控 |
7.14设备的安全处置 或再利用 |
8.4对源代码的访问 |
8.14信息处理设施的 冗余 |
8.24密码使用 |
8.34审计测试期间的 信息系统保护 |
5.5与职能机构的联系 |
5.15访问控制 |
5.25信息安全事态的 评估和决策 |
5.35信息安全的独立 评审 |
6.5任用终止或变更 后的责任 |
7.5物理和环境威胁 的安全防护 |
8.5身份验证安全 |
8.15日志管理 |
8.25开发生命周期安 全 |
||
5.6与特定相关方的联系 |
5.16身份管理 |
5.26信息安全事件的 响应 |
5.36符合信息安全的 策略、规则和标 准 |
6.6保密和不泄露协 议 |
7.6在安全区域工作 |
8.6容量管理 |
8.16监控活动 |
8.26应用程序安全要 求 |
||
5.7威胁情报 |
5.17鉴别信息 |
5.27 从信息安全事件中的学习 |
5.37文件化的操作规程 |
6.7远程工作 |
7.7清理桌面和屏幕 |
8.7恶意软件防范 |
8.17时钟同步 |
8.27安全系统架构和 工程原则 |
||
5.8项目管理中的信息安全 |
5.18访问权限 |
5.28证据的收集 |
6.8信息安全事态报 告 |
7.8设备安置和保护 |
8.8技术脆弱性管理 |
8.18特许权实用程序 的应用 |
8.28安全编码 |
|||
5.9信息及其他资产清单 |
5.19供应商关系的信息安全 |
5.29中断期间的信息 安全 |
7.9组织场所外的资 产安全 |
8.9配置管理 |
8.19运行系统的软件 安装 |
8.29开发和验收中的 安全测试 |
||||
5.10信息和其他相关资产的可接受使用 |
5.20在供应商协议中强调信息安全 |
5.30业务连续性的ICT准备 |
7.10存储介质 |
8.10信息删除 |
8.20网络安全 |
8.30外包开发 |
ISO27001与等保
ISO27001是国际上的信息安全合规标准,等保是国内的合规标准。
信息安全管理体系建立过程
1)前期准备
-
项目准备-组建项目组人员
-
确定项目范围:评审主体(是公司整体还是公司某部门;被评估人数,公司整体或部门人数;被评估场所的地理位置)
-
制定项目计划:各关键节点制定,交付节点制定。
2)现状调研与差距分析
-
管理体系访谈及问卷调研,了解业务关注点与现状,并进行总结分析
-
收集已有管理制度文档,进行对比
-
调研完成后对比27001管理细则差距分析
-
对整个过程进行总结
-
输出物:管理体系差距分析报告、27001差距分析表
3)资产识别与风险评估
-
资产识别-根据项目范围进行全量资产的识别,确认重要资产
-
风险评估-选取信息安全管理体系中重要业务系统,识别脆弱性、威胁、可能造成的影响。这个阶段可能会用到渗透测试、漏扫、基线核查等技术手段。
-
风险对应处置-确定风险控制目标,识别已有安全措施,确定风险缓释手段,制定安全加固的方案与计划并实施。
-
输出:资产清单、风险评估报告、风险处置方案
4)体系设计与发布
-
适用性声明-根据风险评估结果,结合27001标准关键控制点,识别实用性范围进行逐条说明
-
总体设计-根据前期分析结果,结合27001标准体系,确定信息安全管理体系的总体架构文件、文件层次、实施重点等内容。
-
安全方针建设-适用范围、整体架构、安全原则等
-
信息安全组织体系建设-建立组织体系架构、安全管理责任制、安全审计队伍、促进安全管理体系的落地与执行
-
信息安全策略体系建设-物理安全、网络安全、访问控制环境、系统安全、应用安全、数据安全、病毒防护、安全教育、应急恢复、账号口令、安全审计、系统开发、风险管理等方面提出规范、不同等级的安全策略要求。
-
信息安全管理制度、规范及流程建设-结合客户各业务信息系统、各种信息技术角色、各个部门的具体情况,从应用和操作的角度对相关安全管理制度、操作规范和流程等进行明确的要求
-
输出:实用性声明、管理体系制度文档、制度表单
类似于下图中的体系
5)体系运行与监控
-
体系文件分发与宣贯-根据文件各部门的使用情况进行下发,并收集意见修订。针对使用人员进行培训宣贯。
-
体系试运行-文件下发后,各部门各角色进行落地执行使用,验证制度文件安全管理的要求、强度、流程的正确与完善。通常需要3个月的时间。
-
内部审核-验证管理体系有效性,是否符合安全要求与内部的安全需求
-
管理审核-对27001的适用、充分、有效进行 评价。
6)外部认证
-
文件审核-现场审核-对不符合项进行纠正改进-通过认证
信息安全管理体系审核认证主要过程
1)选择认证机构
选择一个合适的、经认可的认证机构进行外部审核。
2)外部审核
第一阶段审核(文档审核):认证机构评估组织的ISMS文档,确保准备工作已经完成。
-
审核员会审查组织的ISMS文档,包括信息安全政策、风险评估报告、风险处理计划、声明的适用性、程序、控制措施等。
-
目的是确保组织已经充分地准备文档,并理解并应用了ISO/IEC 27001的要求。
第二阶段审核(实地审核):进行更深入的审核,评估ISMS在实践中的实施和效果。
-
审核员会访问组织的办公地点,进行实地审核。
-
评估ISMS的实际实施情况,包括员工对信息安全政策的理解和遵守情况、控制措施的有效性、风险管理的实施、持续改进过程等。
-
检查ISMS是否全面覆盖了组织的所有业务区域和活动。
3)纠正措施
根据外部审核中发现的问题,实施必要的纠正措施,大概几周-几个月。
4)获得认证
一旦成功通过外部审核,并解决了所有重大问题,组织将获得ISO/IEC 27001认证,大概2-3周。
5)持续改进和监控
定期进行内部审核和管理审查。对ISMS进行持续的监控、评估和改进。
6)监督审核
认证机构通常每年进行监督审核,以确保持续遵从ISO/IEC 27001标准。一般证书有效期是3年,到期后要续证。
7)评审判别依据
-
是否建立了完整且有效的ISMS。
-
是否有足够的证据表明组织遵守了ISO/IEC 27001的要求。
-
组织内部是否存在未解决的重大不符合情况。
-
组织是否展示了对持续改进的承诺和能力。
参考链接
https://zhuanlan.zhihu.com/p/677695439
原文始发于微信公众号(信安路漫漫):ISO27001入门
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论