1. ISO27001總覽

ISO27001描述了如何建立，維護(hù)和持續(xù)改進(jìn)ISMS。 ISO27001是最流行和最常用的信息安全標(biāo)準(zhǔn)之一，許多組織已針對它進(jìn)行認(rèn)證，目的是向客戶，業(yè)務(wù)合作伙伴和監(jiān)管機(jī)構(gòu)展示足夠的安全性。 ISO27001標(biāo)準(zhǔn)的最新版本于2013年發(fā)布（ISO/IEC 27001:2013）。

符合ISO27001要求的組織可以在成功完成針對標(biāo)準(zhǔn)的審核后，由經(jīng)過ISO27001認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行ISO27001認(rèn)證。 根據(jù)ISO的數(shù)據(jù)，2016年，全球有33,000多個(gè)組織持有ISO27001認(rèn)證。

ISMS是組織用于管理和保護(hù)信息的機(jī)密性，完整性和可用性（'CIA'）的系統(tǒng)方法。 更具體地說，ISMS包括為實(shí)現(xiàn)該目標(biāo)而采用的政策，程序，準(zhǔn)則，資源，活動和控制。

例如，如果隱私團(tuán)隊(duì)的目標(biāo)是實(shí)施“設(shè)計(jì)中的隱私”（將隱私主動嵌入到信息技術(shù)，網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)和業(yè)務(wù)實(shí)踐的設(shè)計(jì)規(guī)范中），那么ISMS團(tuán)隊(duì)的目標(biāo)將是實(shí)現(xiàn)相同目標(biāo)事物，但是具有安全性，即實(shí)施“設(shè)計(jì)安全性”。

那么，有效的ISMS自然就需要熟練的決策，成文的政策和程序，意識培訓(xùn)，明確的職責(zé)和資產(chǎn)所有權(quán)，風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理計(jì)劃，事件響應(yīng)，供應(yīng)商管理，內(nèi)部審核等。

2. 安全與預(yù)防

ISO27001信息安全管理體系提供了一個(gè)路線圖，用于構(gòu)建全面的ISMS并僅基于風(fēng)險(xiǎn)評估實(shí)施對組織有意義的那些安全控制。 該路線圖包括確定可能影響安全性的內(nèi)部和外部問題（包括考慮第三方利益）以確定范圍和上下文，然后創(chuàng)建匹配的策略和過程。

具體而言，ISO27001信息安全管理體系的第4條要求您記錄影響ISMS的內(nèi)部和外部因素，以及與ISMS相關(guān)的任何相關(guān)方的需求和期望（包括要求），并考慮到這些因素確定ISMS的范圍（即界限和適用性）時(shí)。 最后，第4章要求將ISMS正式記錄下來并進(jìn)行持續(xù)改進(jìn)。

ISO27001信息安全管理體系的第5條涉及領(lǐng)導(dǎo)力和責(zé)任-確保組織范圍內(nèi)對信息安全的承諾，在整個(gè)組織中傳達(dá)文件化的信息安全政策，并在信息安全方面具有明確的角色和職責(zé)。

ISO27001信息安全管理體系的條款6是關(guān)于計(jì)劃的，包括創(chuàng)建用于識別，評估和處理信息安全風(fēng)險(xiǎn)和改進(jìn)機(jī)會的文檔化程序，以及識別信息安全目標(biāo)并制定有關(guān)實(shí)現(xiàn)這些目標(biāo)的詳細(xì)計(jì)劃的過程。 風(fēng)險(xiǎn)處理計(jì)劃和ISMS目標(biāo)應(yīng)為“ SMART”-特定，可衡量，可實(shí)現(xiàn)，相關(guān)和有時(shí)間限制。

ISO27001信息安全管理體系的第7章是關(guān)于對ISMS的支持。 它要求您分配實(shí)現(xiàn)目標(biāo)并確保ISMS持續(xù)改進(jìn)的必要資源，并確保范圍內(nèi)的人員具有必要水平的信息安全教育，培訓(xùn)和經(jīng)驗(yàn)。 它還要求您確保組織范圍內(nèi)對信息安全策略和過程的意識，以及個(gè)人在安全方面的角色和責(zé)任（例如，信息安全是所有人員的責(zé)任）。 最后，第7條要求提供文件化的政策和程序，以處理有關(guān)ISMS的內(nèi)部和外部通信，以及文件化的政策和程序，以確保對新的或更新的ISMS文件進(jìn)行適當(dāng)?shù)膶彶楹团鷾?zhǔn)，并進(jìn)行適當(dāng)?shù)目刂坪凸芾?。文件處理?/p>

ISO27001信息安全管理體系的第8條主要涉及第6條中規(guī)定的計(jì)劃的實(shí)施。它要求您按計(jì)劃的時(shí)間間隔或計(jì)劃或進(jìn)行重大更改時(shí)進(jìn)行風(fēng)險(xiǎn)評估，并記錄結(jié)果。 隨后，它要求您在風(fēng)險(xiǎn)評估之后創(chuàng)建并執(zhí)行風(fēng)險(xiǎn)處理計(jì)劃，并記錄處理結(jié)果。 最后，第8條要求您創(chuàng)建一個(gè)“適用性聲明”，以記錄被認(rèn)為適用于ISMS的ISO/IEC 27001:2013 Annex A附錄。

ISO27001信息安全管理體系的第9條要求您根據(jù)ISO/IEC 27001:2013標(biāo)準(zhǔn)（包括第4-10條和適用的附件A附錄）對ISMS進(jìn)行內(nèi)部審核，并按計(jì)劃的時(shí)間間隔對ISMS進(jìn)行管理評審。

最后，第10條要求制定成文的糾正措施程序，以解決ISO/IEC 27001:2013標(biāo)準(zhǔn)中的“不符合項(xiàng)”。 通常在審核過程中發(fā)現(xiàn)不符合項(xiàng)。 在外部認(rèn)證或監(jiān)督審核過程中發(fā)現(xiàn)的不合格項(xiàng)通常伴隨有完成糾正措施的期限，在某些情況下，如果無法糾正不合格項(xiàng)，則可能導(dǎo)致認(rèn)證丟失。

2. 問責(zé)制和記錄保存

ISO27001第8條規(guī)定的目標(biāo)是為組織資產(chǎn)制定和維護(hù)適當(dāng)?shù)谋Ｕ洗胧?具體而言，第8.1條要求組織識別并清楚標(biāo)記重要數(shù)據(jù)資產(chǎn)。 此清單協(xié)議包括對所有權(quán)的明確定義和數(shù)據(jù)可接受用途的要求。 條款8.2繼續(xù)要求基于這些敏感度級別的數(shù)據(jù)敏感度分類，標(biāo)簽和訪問控制。 第9條還包含有關(guān)創(chuàng)建和維護(hù)訪問控制策略的相關(guān)指南。

2. 供應(yīng)商管理

ISO27001將供應(yīng)商的監(jiān)督和控制作為適當(dāng)?shù)臄?shù)據(jù)安全協(xié)議的關(guān)鍵組成部分。 第8條要求組織確定外包了哪些處理操作，并確保這些過程是安全程序的受控部分。

ISO27001信息安全管理體系的第9條是第8條的基礎(chǔ)，要求組織審查，記錄和維護(hù)對安全計(jì)劃的監(jiān)督，其中可能包括計(jì)劃的風(fēng)險(xiǎn)評估和審核，以確認(rèn)客戶數(shù)據(jù)是安全的。

ISO27001信息安全管理體系的在控制“供應(yīng)商關(guān)系”的控制A.15和控制遵守合同要求的A.18.1中可以找到其他更具體的指導(dǎo)。 附錄A.15解決了組織容易受到供應(yīng)商（“供應(yīng)商”）對個(gè)人數(shù)據(jù)的訪問的安全問題。 它要求通過限制數(shù)據(jù)訪問和通過訂立協(xié)議來施加安全責(zé)任和分配責(zé)任來減輕風(fēng)險(xiǎn)。

附錄A.18設(shè)想遵守協(xié)議，其中另一只鞋在腳上，組織充當(dāng)供應(yīng)商，要求遵守客戶的安全要求。

2. 事件和違規(guī)

ISO27001要求機(jī)制既可以快速識別安全事件，又可以通過必要的既定渠道進(jìn)行報(bào)告。 此附錄（A.16）旨在確保采用一致有效的方法來管理信息安全事件，包括有關(guān)安全事件和弱點(diǎn)的通信。

符合ISO27001的響應(yīng)計(jì)劃的基本要素是清晰的命令鏈，確定的標(biāo)識和報(bào)告程序以及員工和承包商對任何異?；顒踊蚴录膱?bào)告。 與所有ISO27001要求一樣，文檔和持續(xù)更新是關(guān)鍵。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202008/ccaa_5468.html