ISO/IEC 27001体系标准是一种广泛应用的、通用及可证明的信息安全管理框架,旨在通过采取一系列信息安全管理制度、流程和控制措施,确保组织能够最大限度地保护其信息资产和利益。以下是对ISO/IEC 27001体系标准的详细解读:
ISO/IEC 27001信息安全管理体系由引言、正文以及附录三个部分组成。该标准的前身是英国的BS7799标准,由英国标准协会(BSI)于1995年提出,并于1999年重新修订。ISO/IEC 27001标准于2005年被国际标准化组织(ISO)采纳并发布,成为国际标准。目前,其最新版本为ISO/IEC 27001:2022,于2022年10月发布。
引言部分包括三个部分:0.1总则、0.2过程方法、0.3与其他管理体系的兼容性。
0.1总则:描述了制定ISO/IEC 27001信息安全管理体系的用途和应用对象,为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供了模型。
0.2过程方法:对过程、过程方法以及该标准所采用的PDCA(计划-执行-检查-行动)模型进行了描述,强调采用过程方法来建立、实施、运行、监督、评审、保持和改进组织的ISMS。
0.3与其他管理体系的兼容性:指出ISO/IEC 27001可以与其他管理体系(如ISO9001质量管理体系、OHSAS18001职业健康安全管理体系、ISO14001环境管理体系)进行整合。
正文分为8章,分别规定了信息安全管理体系的建立、实施、监视、评审、保持和改进的详细要求。
范围:说明了标准的应用范围和目的。
规范性引用文件:列出了标准中引用的其他文件。
术语和定义:对标准中使用的术语进行了定义。
信息安全管理体系:详细描述了信息安全管理体系的建立、实施和运行要求。
管理职责:规定了组织在管理信息安全方面的职责和权限。
内部信息安全管理体系审核:要求组织进行内部审核,以验证信息安全管理体系的符合性和有效性。
信息安全管理体系的管理评审:要求组织定期进行管理评审,以评估信息安全管理体系的持续适宜性、充分性和有效性。
信息安全管理体系的改进:基于审核和评审的结果,对信息安全管理体系进行持续改进。
附录A中包含了信息安全控制框架结构,对控制措施进行了分类和详细描述。在ISO/IEC 27001:2022版本中,附录A的控制框架结构进行了重新构建,将原来的14个安全控制域合并为人员、物理、技术、组织四大主题,控制项从114个减少到93个,并新增了11个控制项。
标题变更:由《信息技术-安全技术-信息安全管理体系要求》改为《信息安全-网络安全-隐私保护-信息安全管理体系要求》。
内容调整:增加了6.3变更计划,对9.2内部审计和9.3管理评审进行了调整,对第10章两个子条款的顺序进行了互换,其他个别条款进行了微调。
控制框架结构重构:将原来的14个安全控制域合并为人员、物理、技术、组织四大主题,控制项从114个减少到93个。
新增控制项:主要集中在组织控制和技术控制两个主题,如威胁情报、云服务、业务连续性、数据安全、配置管理、信息删除、数据防泄漏等。
增加控制措施属性:对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域。
企业申请ISO/IEC 27001认证需要满足以下条件:
持有工商行政管理部门颁发的《企业法人营业执照》或等效文件。
信息安全管理体系已按ISO/IEC 27001标准的要求建立,并实施运行3个月以上。
在信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
此外,还需要提交一系列申请资料,包括组织机构代码证书复印件、税务登记证复印件、信息安全管理体系有效运行的证明文件、体系文件等。
ISO/IEC 27001认证对组织信息安全管理来说具有重要意义和价值,但是目前除了少数跨地域的大企业外,很多企业都是流于表面,有文档不实施。很多做这块工作的人感觉推不下去(毕竟需要高层推动),从而觉得这是个鸡肋。
但是,不妨碍我们在个人学习和成长上精进,通过这块内容可以帮我们熟悉信息安全管理和内部审计的工作流程,熟悉ISO/IEC27001体系标准,对信息安全管理体系的建立和推动实施有一定的了解,等有机会来的时候可以稍作施展。
后续,我可能会慢慢输出一些ISO制度文章,希望对你有用。
THE END