信息安全管理要求ISO/IEC27001的前身為英國(guó)的BS7799標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標(biāo)準(zhǔn)。BS7799分為兩個(gè)部分：BS7799-1.信息安全管理實(shí)施規(guī)則;BS7799-2.信息安全管理體系規(guī)范。第一部分對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用;第二部分說(shuō)明了建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求，規(guī)定了根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施安全控制的要求。

ISO27001和ISO20000認(rèn)證已經(jīng)成為企業(yè)核心競(jìng)爭(zhēng)力的重要標(biāo)志。

iso27001信息安全管理體系認(rèn)證標(biāo)準(zhǔn)起源

隨著在世界范圍內(nèi)，信息化水平的不斷發(fā)展，信息安全逐漸成為人們關(guān)注的焦點(diǎn)，世界范圍內(nèi)的各個(gè)機(jī)構(gòu)、組織、個(gè)人都在探尋如何保障信息安全的問(wèn)題。英國(guó)、美國(guó)、挪威、瑞典、芬蘭、澳大利亞等國(guó)均制定了有關(guān)信息安全的本國(guó)標(biāo)準(zhǔn)，國(guó)際標(biāo)準(zhǔn)化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)及技術(shù)報(bào)告。目前，在信息安全管理方面，英國(guó)標(biāo)準(zhǔn)ISO27001:2005已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)，它是在BSI/DISC的BDD/2信息安全管理委員會(huì)指導(dǎo)下制定完成，最新版本為ISO27001:2013.

ISO27001標(biāo)準(zhǔn)于1993年由英國(guó)貿(mào)易工業(yè)部立項(xiàng)，于1995年英國(guó)首次出版BS7799-1：1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的唯一參考基準(zhǔn)，并且適用于大、中、小組織。

1998年英國(guó)公布標(biāo)準(zhǔn)的第二部分《信息安全管理體系規(guī)范》，它規(guī)定信息安全管理體系要求與信息安全控制要求，它是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)，它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過(guò)修訂于1999年重新予以發(fā)布，1999版考慮了信息處理技術(shù)，尤其是在網(wǎng)絡(luò)和通信領(lǐng)域應(yīng)用的近期發(fā)展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息安全及信息安全的責(zé)任。

2000年12月，BS7799-1：1999《信息安全管理實(shí)施細(xì)則》通過(guò)了國(guó)際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn)-----ISO/IEC17799：2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》。2002年9月5日，BS7799-2:2002草案經(jīng)過(guò)廣泛的討論之后，終于發(fā)布成為正式標(biāo)準(zhǔn)，同時(shí)BS7799-2:1999被廢止。2004年9月5日，BS7799-2:2002正式發(fā)布。

2005年，BS7799-2:2002終于被ISO組織所采納，于同年10月推出ISO/IEC27001:2005.

2005年6月，ISO/IEC17799:2000經(jīng)過(guò)改版，形成了新的ISO/IEC17799:2005.新版本較老版本無(wú)論是組織編排還是內(nèi)容完整性上都有了很大增強(qiáng)和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式發(fā)布為ISO/IEC27002:2005.這次更新只是在標(biāo)準(zhǔn)上的號(hào)碼，內(nèi)容并沒(méi)有改變。

現(xiàn)在，ISO27000:2005標(biāo)準(zhǔn)已得到了很多國(guó)家的認(rèn)可，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。目前除英國(guó)之外，還有荷蘭、丹麥、澳大利亞、巴西等國(guó)已同意使用該標(biāo)準(zhǔn);日本、瑞士、盧森堡等國(guó)也表示對(duì)ISO27000:2005標(biāo)準(zhǔn)感興趣，我國(guó)的臺(tái)灣、香港也在推廣該標(biāo)準(zhǔn)。許多國(guó)家的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司已采用了此標(biāo)準(zhǔn)對(duì)自己的信息安全進(jìn)行系統(tǒng)的管理。截至2002年9月，全球共有142家各類(lèi)組織通過(guò)了ISO27000:2005信息安全管理體系認(rèn)證。

iso27001信息安全管理體系認(rèn)證標(biāo)準(zhǔn)發(fā)展

2000年，國(guó)際標(biāo)準(zhǔn)化組織(ISO)在BS7799-1的基礎(chǔ)上制定通過(guò)了ISO17799標(biāo)準(zhǔn)。BS7799-2在2002年也由BSI進(jìn)行了重新的修訂。ISO組織在2005年對(duì)ISO17799再次修訂，BS7799-2也于2005年被采用為ISO27001:2005.

ISO27001認(rèn)證好處

信息安全管理體系標(biāo)準(zhǔn)(ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類(lèi)似于質(zhì)量管理體系認(rèn)證的ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過(guò)了ISO27001的認(rèn)證,就相當(dāng)于通過(guò)ISO9000的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù)ISO27001對(duì)您的信息安全管理體系進(jìn)行認(rèn)證，可以帶來(lái)以下幾個(gè)好處:

引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻，或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理。

通過(guò)進(jìn)行ISO27001信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來(lái)的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過(guò)信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理。同時(shí)，把組織的干擾因素降到最小，創(chuàng)造更大收益。

通過(guò)認(rèn)證能保證和證明組織所有的部門(mén)對(duì)信息安全的承諾。

通過(guò)認(rèn)證可改善全體的業(yè)績(jī)、消除不信任感。

獲得國(guó)際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書(shū)，可得到國(guó)際上的承認(rèn)，拓展您的業(yè)務(wù)。

建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過(guò)第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。

組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系，會(huì)有一定的投入，但是若能通過(guò)認(rèn)證機(jī)關(guān)的審核，獲得認(rèn)證，將會(huì)獲得有價(jià)值的回報(bào)。企業(yè)通過(guò)認(rèn)證將可以向其客戶、競(jìng)爭(zhēng)對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。

通過(guò)認(rèn)證能夠向政府及行業(yè)主管部門(mén)證明組織對(duì)相關(guān)法律法規(guī)的符合性。

iso27001信息安全管理體系認(rèn)證標(biāo)準(zhǔn)新版修訂

自2005年國(guó)際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱(chēng):ISO)將BS7799轉(zhuǎn)化為ISO27001：2005發(fā)布以來(lái)，此標(biāo)準(zhǔn)在國(guó)際上獲得了空前的認(rèn)可，相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證,至2011年底，國(guó)際上頒發(fā)的ISO27001認(rèn)證證書(shū)總數(shù)約為15625張(其中，BSI的市場(chǎng)占有率達(dá)約為45.65%)。在我國(guó)，自從2008年將ISO27001:2005轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T22080:2008以來(lái)，信息安全管理體系認(rèn)證在國(guó)內(nèi)進(jìn)一步獲得了全面推廣，至2011年底，國(guó)內(nèi)頒發(fā)認(rèn)證證書(shū)數(shù)量是1107張。越來(lái)越多的行業(yè)和組織認(rèn)識(shí)到信息安全的重要性，并把它作為基礎(chǔ)管理工作之一開(kāi)展起來(lái)。

然而過(guò)去的幾年中，IT領(lǐng)域和通信行業(yè)發(fā)生了非常大的變革，出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合。移動(dòng)互聯(lián)網(wǎng)蓬勃興起、智能手機(jī)的廣泛采用、云計(jì)算技術(shù)的風(fēng)起云涌，帶來(lái)了全新的網(wǎng)絡(luò)威脅、數(shù)據(jù)泄漏和欺詐的風(fēng)險(xiǎn)。面對(duì)這樣的變化和趨勢(shì)，使得信息安全管理體系標(biāo)準(zhǔn)的更新也變得日益重要。

ISO對(duì)標(biāo)準(zhǔn)的更新，一般是以三年為一個(gè)周期,但因?yàn)镮SO27001：:2005標(biāo)準(zhǔn)發(fā)布后的巨大成功，以及ICT行業(yè)的飛躍發(fā)展，使得這個(gè)標(biāo)準(zhǔn)的更新變得非常謹(jǐn)慎，至今已有7年。從ISO組織發(fā)布的最新信息可以看到，ISO27001標(biāo)準(zhǔn)的更新籌備實(shí)際上已經(jīng)在2008年開(kāi)始，任命了工作組(JTC1/SC27WG1);2009年正式啟動(dòng)更新。目前，處于該標(biāo)準(zhǔn)草案(CommitteeDraft)正在編寫(xiě)委員會(huì)討論層面(30.20：2012-06-20)，預(yù)計(jì)新版發(fā)布時(shí)間會(huì)在2013-10-19.那時(shí)我們就可以一睹它的全新面貌了。

從ISO27001標(biāo)準(zhǔn)新版更新的一些說(shuō)明材料中，可以看出這次ISO27001標(biāo)準(zhǔn)改版將會(huì)具有以下幾個(gè)特征：

采用ISO導(dǎo)則83.ISO導(dǎo)則83.規(guī)范了今后ISO管理體系認(rèn)證標(biāo)準(zhǔn)的基本框架;采用導(dǎo)則83頒布的第一個(gè)標(biāo)準(zhǔn)是2012年5月15日發(fā)布的業(yè)務(wù)連續(xù)管理體系標(biāo)準(zhǔn)——ISO22301:2012.

導(dǎo)則83對(duì)今后的標(biāo)準(zhǔn)提出了新的框架要求，如下圖示，標(biāo)注了ISO27001新版與2005版結(jié)構(gòu)的對(duì)比和差異：

ISO27001

在這個(gè)框架下，明顯的改變有如下幾點(diǎn)：

標(biāo)準(zhǔn)第4-7章，說(shuō)明管理體系的一般要求，包括：組織的情境、領(lǐng)導(dǎo)力、策劃和支持;標(biāo)準(zhǔn)第8章，描述ISMS實(shí)施要求，包括信息安全風(fēng)險(xiǎn)評(píng)估和處置;標(biāo)準(zhǔn)第9章，描述監(jiān)視，測(cè)量和評(píng)審活動(dòng)的要求;標(biāo)準(zhǔn)第10章，描述改善活動(dòng)的要求;其中，取消了預(yù)防措施。信息安全風(fēng)險(xiǎn)管理與ISO31000風(fēng)險(xiǎn)管理保持一致新版的ISO27001標(biāo)準(zhǔn)中信息安全風(fēng)險(xiǎn)管理要求與ISO31000:2009(Riskmanagement——Principlesandguidelines)保持一致，并遵從其中的定義。

在新版標(biāo)準(zhǔn)中明確了以下要求：

信息安全風(fēng)險(xiǎn)評(píng)估：組織應(yīng)確定如何確定其信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程的可靠性。信息安全風(fēng)險(xiǎn)處理：適用時(shí)，組織應(yīng)調(diào)整信息安全風(fēng)險(xiǎn)評(píng)估和處置過(guò)程，以及采用的方法，以改善過(guò)程的可靠性。保留附錄A控制措施與控制目標(biāo)新版ISO27001依然會(huì)保留SOA和附錄A控制目標(biāo)、控制措施的架構(gòu);因此，毫無(wú)疑問(wèn)，ISO27001的新版修訂一定會(huì)與ISO27002的修訂同步進(jìn)行。

事實(shí)上，關(guān)于控制措施和控制目標(biāo)的修訂，也是應(yīng)對(duì)新的變化的信息安全威脅和風(fēng)險(xiǎn)必須的選擇;這部分的更新，在修訂項(xiàng)目中，接受了大量的修改建議，爭(zhēng)論也相當(dāng)大，目前還沒(méi)有最后的結(jié)論。

持續(xù)發(fā)展27系列支持性標(biāo)準(zhǔn)ISO27001從誕生第一天開(kāi)始就不是孤立的，為了支持信息安全管理體系標(biāo)準(zhǔn)，ISO27系列發(fā)布了一系列普遍適用和行業(yè)適用的參考標(biāo)準(zhǔn)。如下圖：

ISO27001

截止目前，一些支持性標(biāo)準(zhǔn)目前的狀態(tài)如下表：

標(biāo)準(zhǔn)	名稱(chēng)	狀態(tài)
ISO27000	Overviewandvocabulary	DIS
ISO27001	Requirements	CD
ISO27002	Codeofpracticeforinformationsecuritymanagement	WD

古希臘哲學(xué)家赫拉克利特因其作為辯證法的奠基人聞名于世，他曾經(jīng)寫(xiě)道“一切皆流，無(wú)物常住”，過(guò)去幾年中，國(guó)際上幾乎所有行業(yè)和組織面臨的信息安全風(fēng)險(xiǎn)的局勢(shì)無(wú)不體現(xiàn)了赫氏的這一學(xué)說(shuō)。變化和發(fā)展是永恒的，信息安全風(fēng)險(xiǎn)總是處在持續(xù)演進(jìn)中，攻擊者的手段依然會(huì)層出不窮。因此信息安全管理的實(shí)踐和標(biāo)準(zhǔn)都在不斷發(fā)展，我們唯一要做的就是保持警惕，隨時(shí)準(zhǔn)備抵御風(fēng)險(xiǎn)。

iso27001信息安全管理體系認(rèn)證標(biāo)準(zhǔn)公司

認(rèn)監(jiān)委批準(zhǔn)的認(rèn)證公司

截止到2011年5月11日，國(guó)家認(rèn)監(jiān)委對(duì)ISO27001認(rèn)證管控非常嚴(yán)格，至今只允許8家認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證，分別是:

中國(guó)信息安全認(rèn)證中心

北京埃爾維質(zhì)量認(rèn)證中心 [1] 

華夏認(rèn)證中心

中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所

上海質(zhì)量體系審核中心

廣州賽寶認(rèn)證中心服務(wù)有限公司

北京新世紀(jì)認(rèn)證有限公司(BCC)

英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)

北京挪華威認(rèn)證有限公司(DNV)

通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司(SGS)

江蘇艾凱艾國(guó)際標(biāo)準(zhǔn)認(rèn)證有限公司

上海英格爾認(rèn)證有限公司(ICAS)

ISO27001認(rèn)證企業(yè)

到2010年3月底，全球已經(jīng)通過(guò)認(rèn)證的公司

NumberofCertificatesPerCountry

Number of Certificates

Japan	3480	SaudiArabia	13	Peru	3
China	766	Singapore	13	Portugal	3
India	495	Slovenia	13	Gibraltar	3
UK	444	Netherlands	12	BosniaHerzegovina	2
Germany	136	Pakistan	11	Belgium	2
Korea	106	Bulgaria	10	Cyprus	2
USA	95	Indonesia	10	IsleofMan	2
CzechRepublic	85	Norway	10	Kazakhstan	2
Hungary	70	RussianFederation	10	Morocco	2
Italy	60	Kuwait	9	Ukraine	2
Poland	56	Sweden	9	Argentina	2
Spain	40	Iran	8	Bangladesh	1
Austria	32	Slovakia	8	Belarus	1
Australia	29	Bahrain	7	Denmark	1
Ireland	29	Colombia	7	DominicanRepublic	1
Thailand	28	Croatia	6	Kyrgyzstan	1
Greece	27	Switzerland	6	Lebanon	1
Malaysia	27	Canada	5	Luxembourg	1
Mexico	26	SouthAfrica	5	Macedonia	1
Romania	26	SriLanka	5	Mauritius	1
Brazil	23	Lithuania	4	Moldova	1
Turkey	21	Oman	4	NewZealand	1
UAE	19	Qatar	4	Sudan	1
Philippines	15	Vietnam	4	Uruguay	1
Iceland	14	Chile	3	Yemen	1
France	13	Egypt	3	Armenia	1
				Total	5785

ThetotalnumberofISO/IEC27001certificatesisnow5785.ThetotalnumberofChinaincludesHongKong/Macau/Taiwan,thenumberofTaiwanis385.thenumberofHongKongis31andthenumberofMacauis3.

認(rèn)證機(jī)構(gòu)

頒發(fā)ISO27001信息安全管理體系證書(shū)的認(rèn)證機(jī)構(gòu)必需是經(jīng)過(guò)CNCA國(guó)家認(rèn)證監(jiān)督委員會(huì)(認(rèn)監(jiān)委)授權(quán)的認(rèn)證機(jī)構(gòu)方可在國(guó)內(nèi)進(jìn)行審核發(fā)證，所有通過(guò)認(rèn)證且合法的證書(shū)均可在CNCA的網(wǎng)站上進(jìn)行查詢。國(guó)外的認(rèn)證機(jī)構(gòu)如果沒(méi)有在國(guó)內(nèi)CNCA備案，即使認(rèn)證機(jī)構(gòu)得到了認(rèn)可單位是UKAS或者ANAB等等的認(rèn)可，也是不符合中國(guó)的法律法規(guī)的，視為違規(guī)操作，被發(fā)現(xiàn)將會(huì)被CNCA處罰并公示證書(shū)在國(guó)內(nèi)無(wú)效。經(jīng)CNCA授權(quán)的認(rèn)證機(jī)構(gòu)可以在CNCA網(wǎng)站上查詢。

關(guān)于認(rèn)證機(jī)構(gòu)與認(rèn)可機(jī)構(gòu)

認(rèn)證，認(rèn)證是指由認(rèn)證機(jī)構(gòu)證明產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強(qiáng)制性要求或者標(biāo)準(zhǔn)的合格評(píng)定活動(dòng)。認(rèn)證機(jī)構(gòu)，是經(jīng)國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)(CNCA)批準(zhǔn)可以在中國(guó)境內(nèi)合法開(kāi)展管理體系認(rèn)證和產(chǎn)品認(rèn)證的專(zhuān)業(yè)機(jī)構(gòu)。就是說(shuō)取得此項(xiàng)認(rèn)證資質(zhì)的企業(yè)或單位才可以進(jìn)行審核活動(dòng)。比如BSI，DNV，北京新世紀(jì)認(rèn)證有限公司，華夏認(rèn)證中心有限公司等等，他們屬于認(rèn)證機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)是經(jīng)CNCA授權(quán)的，認(rèn)可機(jī)構(gòu)管理認(rèn)證機(jī)構(gòu)。

認(rèn)可，是正式表明合格評(píng)定機(jī)構(gòu)具備實(shí)施特定合格評(píng)定工作能力的第三方證明。通俗地講，認(rèn)可是指認(rèn)可機(jī)構(gòu)按照相關(guān)國(guó)際標(biāo)準(zhǔn)或國(guó)家標(biāo)準(zhǔn)，對(duì)從事認(rèn)證、檢測(cè)和檢查等活動(dòng)的合格評(píng)定機(jī)構(gòu)實(shí)施評(píng)審，證實(shí)其滿足相關(guān)標(biāo)準(zhǔn)要求，進(jìn)一步證明其具有從事認(rèn)證、檢測(cè)和檢查等活動(dòng)的技術(shù)能力和管理能力，并頒發(fā)認(rèn)可證書(shū)。中國(guó)的認(rèn)可機(jī)構(gòu)是CNAS，英國(guó)的認(rèn)可機(jī)構(gòu)是UKAS，美國(guó)的認(rèn)可機(jī)構(gòu)是ANAB。

獲得CNAS認(rèn)可的認(rèn)證機(jī)構(gòu)名錄如下：中國(guó)質(zhì)量認(rèn)證中心，上海質(zhì)量體系審核中心，北京賽西認(rèn)證有限責(zé)任公司，廣州賽寶認(rèn)證中心服務(wù)有限公司，北京新世紀(jì)認(rèn)證有限公司，華夏認(rèn)證中心有限公司，中國(guó)信息安全認(rèn)證中心，上海挪華威認(rèn)證有限公司

注：一般說(shuō)來(lái)，證書(shū)是由認(rèn)證機(jī)構(gòu)頒發(fā)，認(rèn)證機(jī)構(gòu)要得到認(rèn)可機(jī)構(gòu)的授權(quán)，認(rèn)可機(jī)構(gòu)要得到認(rèn)監(jiān)委(CNCA)的授權(quán)，因此在中國(guó)的認(rèn)證最高管理單位是CNCA。但是有些認(rèn)證機(jī)構(gòu)經(jīng)CNCA備案授權(quán)，并沒(méi)有獲得CNAS的認(rèn)可，這樣在國(guó)內(nèi)開(kāi)展被授權(quán)的審核業(yè)務(wù)也是可以的。

國(guó)際認(rèn)證

APMGroup(APMG)代表英國(guó)商務(wù)部(OGC)在全球進(jìn)行ISO27001Foundation、PRINCE2、P3O-Portfolio,ProgramandProjectOffices、MSP、M_o_R和ITIL的資質(zhì)認(rèn)證工作。業(yè)務(wù)遍布全球，分別在英國(guó)、美國(guó)、荷蘭、丹麥、澳大利亞和中國(guó)設(shè)有分公司。APMG中國(guó)是英國(guó)APMG公司在中國(guó)的全資機(jī)構(gòu)及唯一代表機(jī)構(gòu)。

主要內(nèi)容

標(biāo)準(zhǔn)的主要內(nèi)容

ISO/IEC17799-2000(BS7799-1)對(duì)信息安全管理給出建議，供負(fù)責(zé)在其組織啟動(dòng)、實(shí)施或維護(hù)安全的人員使用。該標(biāo)準(zhǔn)為開(kāi)發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理做法提供公共基礎(chǔ)，并為組織之間的交往提供信任。

標(biāo)準(zhǔn)指出“象其他重要業(yè)務(wù)資產(chǎn)一樣，信息也是一種資產(chǎn)”。它對(duì)一個(gè)組織具有價(jià)值，因此需要加以合適地保護(hù)。信息安全防止信息受到的各種威脅，以確保業(yè)務(wù)連續(xù)性，使業(yè)務(wù)受到損害的風(fēng)險(xiǎn)減至最小，使投資回報(bào)和業(yè)務(wù)機(jī)會(huì)最大。

內(nèi)容章節(jié)

ISO/IEC17799-2000包含了127個(gè)安全控制措施來(lái)幫助組織識(shí)別在運(yùn)做過(guò)程中對(duì)信息安全有影響的元素，組織可以根據(jù)適用的法律法規(guī)和章程加以選擇和使用，或者增加其他附加控制。國(guó)際標(biāo)準(zhǔn)化組織(ISO)在2005年對(duì)ISO17799進(jìn)行了修訂，修訂后的標(biāo)準(zhǔn)作為ISO27000標(biāo)準(zhǔn)族的第一部分——ISO/IEC27001.新標(biāo)準(zhǔn)去掉9點(diǎn)控制措施，新增17點(diǎn)控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關(guān)聯(lián)性邏輯性更好，更適合應(yīng)用;并修改了部分控制措施措辭。修改后的標(biāo)準(zhǔn)包括11個(gè)章節(jié)：

1、安全策略。指定信息安全方針，為信息安全提供管理指引和支持，并定期評(píng)審。

2、信息安全的組織。建立信息安全管理組織體系，在內(nèi)部開(kāi)展和控制信息安全的實(shí)施。

3、資產(chǎn)管理。核查所有信息資產(chǎn)，做好信息分類(lèi)，確保信息資產(chǎn)受到適當(dāng)程度的保護(hù)。

4、人力資源安全。確保所有員工，合同方和第三方了解信息安全威脅和相關(guān)事宜以及各自的責(zé)任，義務(wù)，以減少人為差錯(cuò)，盜竊，欺詐或誤用設(shè)施的風(fēng)險(xiǎn)。

5、物理和環(huán)境安全。定義安全區(qū)域，防止對(duì)辦公場(chǎng)所和信息的未授權(quán)訪問(wèn)，破壞和干擾;保護(hù)設(shè)備的安全，防止信息資產(chǎn)的丟失，損壞或被盜，以及對(duì)企業(yè)業(yè)務(wù)的干擾;同時(shí)，還要做好一般控制，防止信息和信息處理設(shè)施的損壞和被盜。

6、通信和操作管理。制定操作規(guī)程和職責(zé)，確保信息處理設(shè)施的正確和安全操作;建立系統(tǒng)規(guī)劃和驗(yàn)收準(zhǔn)則，將系統(tǒng)失效的風(fēng)險(xiǎn)降到最低;防范惡意代碼和移動(dòng)代碼，保護(hù)軟件和信息的完整性;做好信息備份和網(wǎng)絡(luò)安全管理，確保信息在網(wǎng)絡(luò)中的安全，確保其支持性基礎(chǔ)設(shè)施得到保護(hù);建立媒體處置和安全的規(guī)程，防止資產(chǎn)損壞和業(yè)務(wù)活動(dòng)的中斷;防止信息和軟件在組織之間交換時(shí)丟失，修改或誤用。

7、訪問(wèn)控制。制定訪問(wèn)控制策略，避免信息系統(tǒng)的非授權(quán)訪問(wèn)，并讓用戶了解其職責(zé)和義務(wù)，包括網(wǎng)絡(luò)訪問(wèn)控制，操作系統(tǒng)訪問(wèn)控制，應(yīng)用系統(tǒng)和信息訪問(wèn)控制，監(jiān)視系統(tǒng)訪問(wèn)和使用，定期檢測(cè)未授權(quán)的活動(dòng);當(dāng)使用移動(dòng)辦公和遠(yuǎn)程控制時(shí)，也要確保信息安全。

8、系統(tǒng)采集、開(kāi)發(fā)和維護(hù)。標(biāo)示系統(tǒng)的安全要求，確保安全成為信息系統(tǒng)的內(nèi)置部分，控制應(yīng)用系統(tǒng)的安全，防止應(yīng)用系統(tǒng)中用戶數(shù)據(jù)的丟失，被修改或誤用;通過(guò)加密手段保護(hù)信息的保密性，真實(shí)性和完整性;控制對(duì)系統(tǒng)文件的訪問(wèn)，確保系統(tǒng)文檔，源程序代碼的安全;嚴(yán)格控制開(kāi)發(fā)和支持過(guò)程，維護(hù)應(yīng)用系統(tǒng)軟件和信息安全。

9、信息安全事故管理。報(bào)告信息安全事件和弱點(diǎn)，及時(shí)采取糾正措施，確保使用持續(xù)有效的方法管理信息安全事故，并確保及時(shí)修復(fù)。

10、業(yè)務(wù)連續(xù)性管理。目的是為減少業(yè)務(wù)活動(dòng)的中斷，是關(guān)鍵業(yè)務(wù)過(guò)程免受主要故障或天災(zāi)的影響，并確保及時(shí)恢復(fù)。

11、符合性。信息系統(tǒng)的設(shè)計(jì)，操作，使用過(guò)程和管理要符合法律法規(guī)的要求，符合組織安全方針和標(biāo)準(zhǔn)，還要控制系統(tǒng)審計(jì)，使信息審核過(guò)程的效力最大化，干擾最小化。

ISO27001的效益

1、通過(guò)定義、評(píng)估和控制風(fēng)險(xiǎn)，確保經(jīng)營(yíng)的持續(xù)性和能力

2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任

3、通過(guò)遵守國(guó)際標(biāo)準(zhǔn)提高企業(yè)競(jìng)爭(zhēng)能力，提升企業(yè)形象

4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失

5、建立安全工具使用方針

6、謹(jǐn)防技術(shù)訣竅的丟失

7、在組織內(nèi)部增強(qiáng)安全意識(shí)

8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)

認(rèn)識(shí)ISO27001國(guó)際標(biāo)準(zhǔn)

ISO27001(BS7799/ISO17799)國(guó)際標(biāo)準(zhǔn)究竟是什么?它如何幫助一個(gè)組織更加有效地管理信息安全?BS7799/ISO27001和ISO9001之間有什么聯(lián)系?初次涉獵信息安全管理領(lǐng)域應(yīng)該掌握哪些內(nèi)容，以便組織發(fā)起信息安全管理項(xiàng)目?如何獲得BS7799國(guó)際標(biāo)準(zhǔn)認(rèn)證?

IT治理和信息安全

近年來(lái)企業(yè)高層對(duì)內(nèi)部治理需求越來(lái)越實(shí)際而具體。隨著信息技術(shù)普遍滲透到企業(yè)組織中的各個(gè)方面，企業(yè)越來(lái)越依賴(lài)IT系統(tǒng)來(lái)處理和儲(chǔ)存各種信息，以保證業(yè)務(wù)正常運(yùn)營(yíng)，由此IT系統(tǒng)在企業(yè)治理中的作z用越來(lái)越明晰，IT治理也逐漸被大多數(shù)企業(yè)認(rèn)可，成為董事會(huì)和企業(yè)內(nèi)部共同關(guān)注的領(lǐng)域。IT治理的基礎(chǔ)部分是信息安全保護(hù)——包括確保信息的可用性、機(jī)密性和完整性——這是其他IT治理環(huán)節(jié)實(shí)施的前提。

與此同時(shí)，和信息安全相關(guān)的國(guó)際標(biāo)準(zhǔn)已經(jīng)出臺(tái)，成為標(biāo)準(zhǔn)IT治理框架中的一大基石。

信息安全和法律法規(guī)

業(yè)內(nèi)人士對(duì)ISO27001認(rèn)證趨之若鶩，這其中有兩個(gè)關(guān)鍵性的驅(qū)動(dòng)因素：一是日益嚴(yán)峻的信息安全威脅，二是不斷增長(zhǎng)的信息保護(hù)相關(guān)法規(guī)的需求。

本質(zhì)上說(shuō)，信息安全威脅是全球化的。一般來(lái)說(shuō)，它將毫無(wú)差別地輻射到每一個(gè)擁有、使用電子信息的機(jī)構(gòu)和個(gè)人。這種威脅在因特網(wǎng)的環(huán)境中自動(dòng)生成并釋放。更嚴(yán)重的問(wèn)題是，其他各種形式的危險(xiǎn)也在整日威脅數(shù)據(jù)安全，包括從外部攻擊行為到內(nèi)部破壞、偷盜等一系列危險(xiǎn)。

過(guò)去的十年內(nèi)，圍繞信息和數(shù)據(jù)安全問(wèn)題建立起來(lái)的法律法規(guī)體系從無(wú)到有、不斷壯大，其中包括專(zhuān)門(mén)針對(duì)個(gè)人數(shù)據(jù)保護(hù)問(wèn)題的，也有針對(duì)企業(yè)財(cái)政、運(yùn)營(yíng)和風(fēng)險(xiǎn)管理體系建立的法規(guī)保障問(wèn)題的。一套正式規(guī)范的信息安全管理體系應(yīng)當(dāng)可以提供最佳實(shí)踐部署指導(dǎo)。目前，建立這樣的管理體系逐漸成為諸多合規(guī)項(xiàng)目的必要條件，與此同時(shí)，針對(duì)該管理體系的認(rèn)證逐漸成為各種組織(包括政府部門(mén))的熱門(mén)需求，這份認(rèn)證可以為他們帶來(lái)重要的潛在商業(yè)合同。

信息安全和技術(shù)

絕大多數(shù)人認(rèn)為信息安全是一個(gè)純粹的有關(guān)技術(shù)的話題，只有那些技術(shù)人員，尤其是計(jì)算機(jī)安全技術(shù)人員，才能夠處理任何保障數(shù)據(jù)和計(jì)算機(jī)安全的相關(guān)事宜。這固然有一定道理。不過(guò)，實(shí)際上，恰恰是計(jì)算機(jī)用戶本身需要考慮這樣的問(wèn)題：避免哪些威脅?在信息安全和信息通暢中如何平衡取舍?的確如此，一旦用戶給出答案，計(jì)算機(jī)安全專(zhuān)家就可以設(shè)計(jì)并執(zhí)行一個(gè)技術(shù)方案以達(dá)成用戶需求。

在組織內(nèi)部，管理層應(yīng)當(dāng)負(fù)責(zé)決策，而不是IT部門(mén)。一個(gè)規(guī)范的信息安全管理體系必須明確指出，組織機(jī)構(gòu)董事會(huì)和管理層應(yīng)當(dāng)負(fù)責(zé)相關(guān)信息安全管理體系的決策，同時(shí)，這個(gè)體系也應(yīng)當(dāng)能夠反映這種決策，并且在運(yùn)行過(guò)程中能夠提供證據(jù)證明其有效性。

所以機(jī)構(gòu)組織內(nèi)部的信息安全管理體系的建立項(xiàng)目不必由一個(gè)技術(shù)專(zhuān)家來(lái)領(lǐng)導(dǎo)。事實(shí)上，技術(shù)專(zhuān)家在很多情況下起到相反的作用，可能會(huì)阻礙項(xiàng)目進(jìn)程。因此，這個(gè)項(xiàng)目應(yīng)該由質(zhì)量管理經(jīng)理、總經(jīng)理或者其他負(fù)責(zé)機(jī)構(gòu)內(nèi)部重大職能的執(zhí)行主管負(fù)責(zé)主持。

信息安全標(biāo)準(zhǔn)

1995年，英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)發(fā)布BS7799標(biāo)準(zhǔn)，即ISMS(信息安全管理體系)，旨在規(guī)范、引導(dǎo)信息安全管理體系的發(fā)展過(guò)程和實(shí)施情況。BS7799標(biāo)準(zhǔn)被外界認(rèn)為是一個(gè)不偏向任何技術(shù)、任何企業(yè)和產(chǎn)品供應(yīng)商的價(jià)值中立的管理體系。只要實(shí)施得當(dāng)，BS7799標(biāo)準(zhǔn)將幫助企業(yè)檢查并確認(rèn)其信息安全管理手段和實(shí)施方案的有效性。

從企業(yè)外部來(lái)看，BS7799關(guān)注信息的可用性、機(jī)密性和完整性，至今這仍然是這項(xiàng)標(biāo)準(zhǔn)致力達(dá)到的目標(biāo)。BS7799集中關(guān)注企業(yè)組織層面上的風(fēng)險(xiǎn)規(guī)避(一定程度上主要是商業(yè)和金融風(fēng)險(xiǎn))，而不包括避免每一個(gè)潛在風(fēng)險(xiǎn)的保護(hù)措施——盡管它們至關(guān)重要。

BS7799最初僅有一份文檔，且具有明顯的實(shí)踐指南性質(zhì)。也就是說(shuō)，它為組織提供信息安全指引，但沒(méi)有形成規(guī)范，不能為外部第三方審計(jì)和認(rèn)證等提供依據(jù)。隨著越來(lái)越多的企業(yè)開(kāi)始認(rèn)識(shí)到來(lái)自信息安全的威脅波及范圍越來(lái)越廣，影響程度越來(lái)越大，并且關(guān)于數(shù)據(jù)和隱私權(quán)保護(hù)的法律法規(guī)不斷出臺(tái)，信息安全標(biāo)準(zhǔn)認(rèn)證的需求開(kāi)始不斷增加。

這種需求的增加最終促成了該項(xiàng)標(biāo)準(zhǔn)第二部分的出臺(tái)，即標(biāo)準(zhǔn)規(guī)范。實(shí)踐指南和標(biāo)準(zhǔn)規(guī)范之間的關(guān)系是這樣的：標(biāo)準(zhǔn)規(guī)范是認(rèn)證方案的基礎(chǔ)，同時(shí)標(biāo)準(zhǔn)規(guī)范要求實(shí)踐者遵從實(shí)踐指南的指引。

這個(gè)實(shí)踐指南最近被修訂為ISO/IEC17799：2005.標(biāo)準(zhǔn)規(guī)范也被修訂為ISO/IEC27001:2005.逐步得到國(guó)際認(rèn)同。

許多國(guó)家也已發(fā)布了自己的相關(guān)標(biāo)準(zhǔn)，比如AS/NZS7799.這些標(biāo)準(zhǔn)的國(guó)際化版本可以在世界任何國(guó)家得到認(rèn)可，這促使了本土化標(biāo)準(zhǔn)的消退(除了基于兩個(gè)標(biāo)準(zhǔn)號(hào)碼基礎(chǔ)上的本土化標(biāo)準(zhǔn)以外)。

認(rèn)證與遵從

一個(gè)組織可以僅遵從ISO17799來(lái)建立和發(fā)展ISMS(信息安全管理體系)，因?yàn)閷?shí)踐指南中的內(nèi)容是普遍適用的。然而，由于ISO17799并非基于認(rèn)證框架，它不具備關(guān)于通過(guò)認(rèn)證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認(rèn)證要求。在技術(shù)層面來(lái)講，這就表明一個(gè)正在獨(dú)立運(yùn)用ISO17799的機(jī)構(gòu)組織，完全符合實(shí)踐指南的要求，但是這并不足以讓外界認(rèn)可其已經(jīng)達(dá)到認(rèn)證框架所制定的認(rèn)證要求。不同的是，一個(gè)正在同時(shí)運(yùn)用ISO27001和ISO17799標(biāo)準(zhǔn)的機(jī)構(gòu)組織，可以建立一個(gè)完全符合認(rèn)證具體要求的ISMS，同時(shí)這個(gè)ISMS體系也符合實(shí)踐指南的要求，于是，這一組織就可以獲得外界的認(rèn)同，即獲得認(rèn)證。

ISO27001認(rèn)證要求

ISO27001標(biāo)準(zhǔn)是為了與其他管理標(biāo)準(zhǔn)，比如ISO9000和ISO14001等相互兼容而設(shè)計(jì)的，這一標(biāo)準(zhǔn)中的編號(hào)系統(tǒng)和文件管理需求的設(shè)計(jì)初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個(gè)組織正在使用的其他任何管理體系。一般來(lái)說(shuō)，組織通常會(huì)使用為其ISO9000認(rèn)證或者其他管理體系認(rèn)證提供認(rèn)證服務(wù)的機(jī)構(gòu)，來(lái)提供ISO27001認(rèn)證服務(wù)。正是因?yàn)檫@個(gè)緣故，在ISMS體系建立的過(guò)程中，質(zhì)量管理的經(jīng)驗(yàn)舉足輕重。

但是有一點(diǎn)需要注意，一個(gè)組織如果沒(méi)有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進(jìn)行ISO27001認(rèn)證。這種情況下，該組織就應(yīng)當(dāng)從經(jīng)濟(jì)利益考慮，選擇一個(gè)合適的管理體系的認(rèn)證機(jī)構(gòu)來(lái)提供認(rèn)證服務(wù)。認(rèn)證機(jī)構(gòu)必須得到一個(gè)國(guó)家鑒定機(jī)構(gòu)的委托授權(quán)，才能為認(rèn)證組織提供認(rèn)證服務(wù)，并發(fā)放認(rèn)證證書(shū)。大多數(shù)國(guó)家都有自己的國(guó)家鑒定機(jī)構(gòu)(比如：英國(guó)UKAS)，任何獲得該機(jī)構(gòu)授權(quán)進(jìn)行ISMS認(rèn)證的機(jī)構(gòu)均記錄在案。

風(fēng)險(xiǎn)評(píng)估應(yīng)對(duì)計(jì)劃

任何一個(gè)ISMS體系的建立和開(kāi)發(fā)都應(yīng)當(dāng)滿足組織獨(dú)特的需求。每個(gè)組織不僅都有自己獨(dú)特的業(yè)務(wù)模式、運(yùn)營(yíng)目標(biāo)、形象特點(diǎn)和內(nèi)部文化，他們對(duì)待風(fēng)險(xiǎn)的態(tài)度傾向也大相徑庭。換句話說(shuō)，同一個(gè)東西，一個(gè)機(jī)構(gòu)組織認(rèn)為是必須提防的威脅，在另一個(gè)組織看來(lái)可能是一個(gè)必須抓住的機(jī)遇。同樣地，各個(gè)機(jī)構(gòu)組織對(duì)于既有風(fēng)險(xiǎn)防護(hù)的投入也參差不齊?；谝陨匣蛘咂渌颍總€(gè)運(yùn)行ISMS的組織，其內(nèi)部成員必須對(duì)風(fēng)險(xiǎn)評(píng)估有一個(gè)共識(shí)，這個(gè)風(fēng)險(xiǎn)評(píng)估的方法論、結(jié)果發(fā)現(xiàn)和推薦解決方式都必須得到董事會(huì)的首肯。

ISMS項(xiàng)目和PDCA流程

ISMS項(xiàng)目很復(fù)雜，可能持續(xù)若干個(gè)月甚至若干年，涉及整個(gè)機(jī)構(gòu)組織以及從管理層到收發(fā)部門(mén)的每個(gè)成員。ISO27001認(rèn)證誕生時(shí)間短，成功的案例比較少。從務(wù)實(shí)的角度考慮，這表明在項(xiàng)目計(jì)劃過(guò)程中，必須盡早對(duì)這些僅有的指導(dǎo)性的書(shū)籍和案例進(jìn)行分析和研究。

ISO27001標(biāo)準(zhǔn)指導(dǎo)一個(gè)企業(yè)如何著手開(kāi)展ISMS項(xiàng)目，并且關(guān)注整個(gè)項(xiàng)目進(jìn)程中的若干重要元素。

1950年W.EdwardsDeming提出PDCA流程，即計(jì)劃(Plan)-執(zhí)行(Do)-檢查(Check)-提升(Act)過(guò)程，意在說(shuō)明業(yè)務(wù)流程應(yīng)當(dāng)是不斷改進(jìn)的，該方法使得職能部門(mén)經(jīng)理可以識(shí)別出那些需要修正的環(huán)節(jié)并進(jìn)行修正。這個(gè)流程以及流程的改進(jìn)，都必須遵循這樣一個(gè)過(guò)程：先計(jì)劃，再執(zhí)行，而后對(duì)其運(yùn)行結(jié)果進(jìn)行評(píng)估，緊接著按照計(jì)劃的具體要求對(duì)該評(píng)估進(jìn)行復(fù)查，而后尋找到任何與計(jì)劃不符的結(jié)果偏差(即潛在改進(jìn)的可能性)，最后向管理層提出如何運(yùn)行的最終報(bào)告。

ISO27001認(rèn)證審核費(fèi)用及周期

除了組織自身投入之外，ISO27001認(rèn)證審核費(fèi)用主要體現(xiàn)在聘請(qǐng)第三方認(rèn)證機(jī)構(gòu)及審核員方面了。在組織向認(rèn)證機(jī)構(gòu)提出申請(qǐng)之后，認(rèn)證機(jī)構(gòu)會(huì)初步了解組織現(xiàn)狀，確定審核范圍，提出審核報(bào)價(jià)。認(rèn)證機(jī)構(gòu)的報(bào)價(jià)通常是根據(jù)其投入的時(shí)間和人員來(lái)確定的，決定因素包括：

1、受審核組織的員工數(shù)量;

2、納入審核范圍的信息量;

3、場(chǎng)所數(shù)量;

4、組織與外界的關(guān)聯(lián);

5、組織IT的復(fù)雜性;

6、組織類(lèi)型和業(yè)務(wù)性質(zhì)等。

除了費(fèi)用問(wèn)題，認(rèn)證審核的周期通常也是組織比較關(guān)心的。一般來(lái)說(shuō)，從組織啟動(dòng)ISMS建設(shè)項(xiàng)目開(kāi)始，到最終通過(guò)審核，至少要有半年時(shí)間(不包括獲取證書(shū)的時(shí)間)。對(duì)于很多因?yàn)橥獠框?qū)動(dòng)力而決心實(shí)施ISO27001認(rèn)證項(xiàng)目的組織來(lái)說(shuō)，提早進(jìn)行規(guī)劃是必要的。

iso27001信息安全管理體系認(rèn)證標(biāo)準(zhǔn)相關(guān)文章

ISO27001為企業(yè)云計(jì)算安全保駕護(hù)航

近幾年來(lái)，IT領(lǐng)域出現(xiàn)了全面的業(yè)務(wù)和技術(shù)的融合，許多全新的技術(shù)名詞開(kāi)始進(jìn)入大眾視野。作為第三次IT浪潮的代表，云計(jì)算技術(shù)的風(fēng)起云涌為人類(lèi)生活、生產(chǎn)方式和商業(yè)模式帶來(lái)了巨大的改變。據(jù)Gartner公司最新一季度的IT支出報(bào)告稱(chēng)，鑒于2011年全球公有云服務(wù)市場(chǎng)規(guī)模突破了910億美元，預(yù)計(jì)2012年底這一數(shù)字將增加19%，達(dá)到1090億美元。來(lái)自Gartner的云計(jì)算領(lǐng)域觀察員EdAnderson認(rèn)為，2016年全球云計(jì)算產(chǎn)業(yè)很可能增長(zhǎng)率將超過(guò)100%，市場(chǎng)規(guī)模達(dá)到2070億美元。

伴隨著云計(jì)算的高速發(fā)展與普及，隨之而來(lái)的全新網(wǎng)絡(luò)威脅、數(shù)據(jù)泄漏和欺詐的風(fēng)險(xiǎn)，在全球范圍內(nèi)引發(fā)了諸多危機(jī)：2011年3月，谷歌Gmail郵箱爆發(fā)大規(guī)模的用戶數(shù)據(jù)泄漏事件，約有15萬(wàn)用戶的使用信息受到不同程度的破壞;無(wú)獨(dú)有偶，2011年4月，全球最大的網(wǎng)絡(luò)零售商亞馬遜也發(fā)生史上最嚴(yán)重的宕機(jī)事件，導(dǎo)致其云服務(wù)中斷持續(xù)了近四天，業(yè)務(wù)損失十分嚴(yán)重。由此可見(jiàn)，想要獲得真正全面的云計(jì)算服務(wù)，安全問(wèn)題是重中之重。如何并有效地避免云計(jì)算所帶來(lái)的安全隱患，國(guó)際上關(guān)于“云”的組織聯(lián)盟都在積極地做出努力，在對(duì)相關(guān)技術(shù)水平提出更高要求的同時(shí)，如何更好的建立企業(yè)自身的信息安全管理標(biāo)準(zhǔn)體系也成為了行業(yè)日益關(guān)注的焦點(diǎn)。

作為目前國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，ISO27001已在世界各地的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營(yíng)商、網(wǎng)絡(luò)公司及許多跨國(guó)公司得到了廣泛應(yīng)用，該標(biāo)準(zhǔn)重新定義了對(duì)信息安全管理體系(ISMS)的要求，旨在幫助企業(yè)確保有足夠并具有針對(duì)性的安全控制選擇。通過(guò)信息安全管理體系的建立、運(yùn)行和改進(jìn)，可以進(jìn)一步規(guī)范企業(yè)相關(guān)的信息管理工作，從而確保企業(yè)云計(jì)算服務(wù)的安全問(wèn)題。

此外，開(kāi)展ISO27001的培訓(xùn)也是十分必要的，而且要從不同的層面開(kāi)展針對(duì)性的培訓(xùn)。首先，需要開(kāi)展管理層的培訓(xùn)，讓管理者對(duì)信息安全管理體系有一個(gè)初步的了解，讓領(lǐng)導(dǎo)們初步了解信息安全管理體系的理念和作用，企業(yè)高層的大力支持，才能順利進(jìn)行，因?yàn)樾畔踩w系架構(gòu)的實(shí)施和運(yùn)行，比如會(huì)跨越不同的部門(mén)，在部門(mén)與部門(mén)的協(xié)調(diào)上，就需要上層領(lǐng)導(dǎo)的協(xié)調(diào)了。此外，讓各部門(mén)主要信息安全專(zhuān)員參與標(biāo)準(zhǔn)的內(nèi)審員培訓(xùn)，從而讓內(nèi)審核員認(rèn)識(shí)信息安全體系應(yīng)該做哪些工作，哪些是重點(diǎn)工作，并且在培訓(xùn)中進(jìn)行討論，形成統(tǒng)一的認(rèn)識(shí)。

通過(guò)實(shí)施ISO27001信息安全管理體系，將為企業(yè)帶來(lái)多方面的益處：包括證明企業(yè)內(nèi)部控制具備獨(dú)立保障，并滿足公司信息管理和業(yè)務(wù)連續(xù)性要求;獨(dú)立證明已遵守各項(xiàng)適用法律法規(guī);通過(guò)滿足合同要求以提供競(jìng)爭(zhēng)優(yōu)勢(shì)，并向客戶展示其云計(jì)算安全已受到保護(hù);在使信息安全流程、程序和文件材料正式化的同時(shí)，能夠獨(dú)立地證明您的云服務(wù)相關(guān)風(fēng)險(xiǎn)已得到妥善識(shí)別、評(píng)估和管理;證明高級(jí)管理層對(duì)其信息安全的承諾;定期的評(píng)估流程有助于不斷監(jiān)控企業(yè)的績(jī)效并最終得到改善。

2013新版變化

現(xiàn)版的信息安全管理系統(tǒng)ISO27001:2005標(biāo)準(zhǔn)已經(jīng)使用了8年，日前ISO組織(國(guó)際標(biāo)準(zhǔn)化組織)終于將新版ISO27001:2013DIS版(國(guó)際標(biāo)準(zhǔn)草案DraftInternationalStandard)草稿向公眾開(kāi)放并征求意見(jiàn)，預(yù)計(jì)在今年6-7月會(huì)發(fā)布DIS最終版。目前ISO組織公布的正式版本的頒布時(shí)間為2013年10月19日，在新版公布后的18至24個(gè)月內(nèi)是轉(zhuǎn)換緩沖期，即原有已取得證書(shū)的企業(yè)最遲需要在2015年10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。

安言咨詢技術(shù)總監(jiān)張威表示，此次改版與舊版相比主要有三大差異：一、管理體系更容易整合;二、融入企業(yè)面臨的新挑戰(zhàn);三、更多指引延伸參考。說(shuō)明如下：

(1)　易整合：以前各管理系統(tǒng)對(duì)管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA(Plan，Do，Check，Act)、政策與高級(jí)支持等管理制度面要求不同。在新版當(dāng)中采取AnnexSL做結(jié)構(gòu)性要求，讓不同管理系統(tǒng)易于接軌、整合。AnnexSL的高級(jí)結(jié)構(gòu)是ISO組織未來(lái)所有管理制度制定時(shí)的重要依據(jù)，目前已經(jīng)有ISO22301(前BS25999營(yíng)運(yùn)持續(xù)管理系統(tǒng))和這次的ISO27001新版都已采此結(jié)構(gòu)進(jìn)行調(diào)整。預(yù)計(jì)已頒布的標(biāo)準(zhǔn)如ISO9000/ISO20000未來(lái)的改版也將以相同的思路進(jìn)行調(diào)整。

(2)　新要求：ISO27001:2005原本有11個(gè)領(lǐng)域(domain)、133項(xiàng)控制措施，新版DIS目前調(diào)整為14個(gè)領(lǐng)域(A.5-A.18)、113個(gè)控制措施(未來(lái)仍可能有改動(dòng))。新增的領(lǐng)域是將原分散在各領(lǐng)域中的部分控制目標(biāo)級(jí)別提升，組成新領(lǐng)域，如加密與供應(yīng)鏈管理因其重要性而被獨(dú)立出來(lái)成為新領(lǐng)域;或是將原有領(lǐng)域分拆，如將通訊與作業(yè)管理分開(kāi)成兩個(gè)獨(dú)立的領(lǐng)域，以反映目前信息安全的發(fā)展趨勢(shì)。而控制措施的減少則是通過(guò)合并重復(fù)的項(xiàng)目來(lái)進(jìn)行，像變更管理在不同的領(lǐng)域中有重復(fù)就予以合并。也有新增的控制項(xiàng)目比如對(duì)智能型裝置的管理、強(qiáng)化ICT供應(yīng)鏈的委外管理、以及系統(tǒng)開(kāi)發(fā)項(xiàng)目管理的信息安全要求等。

(3)　更多參考：此次ISO也新增許多指引供企業(yè)參考，組織可以通過(guò)不同的面以及風(fēng)險(xiǎn)進(jìn)行深度的強(qiáng)化，通過(guò)ISO27001驗(yàn)證只是基本要求。目前ISO27000系列指引編號(hào)已超過(guò)44號(hào)(001-044)，例如金融服務(wù)、數(shù)字鑒識(shí)、供應(yīng)鏈管理(4本)、軟件開(kāi)發(fā)測(cè)試等，主管機(jī)關(guān)可參考這些指引做升級(jí)的要求。

對(duì)于目前正在準(zhǔn)備ISO27001的企業(yè)，建議無(wú)須等待新版，按照原訂進(jìn)度先取得27001:2005驗(yàn)證，在緩沖期結(jié)束前轉(zhuǎn)到新版即可，新版會(huì)向下兼容接軌。

IS027001認(rèn)證將來(lái)的發(fā)展和變化

按照BSI的規(guī)劃(包括ISO的考慮)，未來(lái)兩年里，以ISO/IEC27001為核心的信息安全管理標(biāo)準(zhǔn)將逐漸發(fā)展成為一套完整的標(biāo)準(zhǔn)族，具體包括：

ISO/IEC27000.基礎(chǔ)和術(shù)語(yǔ)。

ISO/IEC27001.信息安全管理體系要求，已于2005年10月15日正式發(fā)布(ISO/IEC27001:2005)。

ISO/IEC27002.信息安全管理體系最佳實(shí)踐，將會(huì)在2007年4月直接由ISO/IEC

17799:2005(已于2005年6月15日正式發(fā)行)轉(zhuǎn)換而來(lái)。

ISO/IEC27003.ISMS實(shí)施指南，正在開(kāi)發(fā)。

ISO/IEC27004.信息安全管理測(cè)量和改進(jìn)，正在開(kāi)發(fā)。

ISO/IEC27005.信息安全風(fēng)險(xiǎn)管理指南，以2005年底剛剛推出的BS7799-3(基于ISO/IEC13335-2)為藍(lán)本;

這些標(biāo)準(zhǔn)或指南，互相支持和參照，共同為組織實(shí)施信息安全最佳實(shí)踐和建立信息安全管理體系而發(fā)揮作用。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專(zhuān)業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專(zhuān)利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專(zhuān)利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專(zhuān)利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專(zhuān)利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202310/ccaa_55496.html