ISO/IEC27001,其名称是《信息技术-安全技术-信息安全管理系统-要求》是信息安全管理的。此标准一开始是由化组织(ISO)及国际电工委员会(IEC)在2005年联合发布,曾在2013年改版,Zui近一次改版是在2022年。其中有列出有关信息安全管理系统(ISMS)架构、实施、维护以及持续改善上的要求,目的是帮助组织可以使其保管的信息资产更加安全。
一、ISO/IEC 27001
ISO/IEC 27001
ISO27001是信息安全管理体系认证,是由化组织(ISO)采纳英国标准协会BS7799-2标准后实施的管理体系,它涵盖了信息安全管理的各个方面,包括政策制定、组织结构、风险管理、培训与沟通等。
企业建立ISO27001体系能有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保存核心数据和重要信息。
ISO27001框架如下:
ISO 27001 SCOPE OF APPLICATION
信息安全对每个企业或组织来说都是需要的,信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。具体如:
金融行业:银行、保险公司、投资机构和其他金融服务提供商处理大量敏感客户数据和财务信息,信息安全对于这些机构至关重要。
通信行业:电信、网通、移动、联通等,这些公司处理大量的个人信息和通信数据,信息安全对于他们来说也至关重要。
其他公司:外贸、进出口、HR、猎头、会计事务所等,这些公司涉及到大量的信息交流和数据处理,也需要保护信息的安全。
制造业:制造企业可能涉及到机密的研发和设计信息,需要确保知识产权和商业机密的保密性。
医药和精细化工行业:这些行业涉及到大量的研发和实验数据,需要确保数据的机密性和完整性。
研究机构:这些机构涉及到大量的研究数据和知识产权,需要保护数据的安全和保密性。
IT和技术服务提供商:包括软件开发公司、云服务提供商、数据中心和网络服务提供商,这些组织负责管理和保护客户的数据和信息。
零售和电子商务:零售商和电子商务平台处理客户的支付信息、个人身份信息和订单信息,需要保护这些信息的安全。
政府和公共部门:政府机构、市政当局和其他公共部门处理大量的公民信息和敏感数据,包括个人身份信息和税务信息。
教育部门:学校、大学和其他教育机构存储学生和教职员工的个人信息和学术记录,需要确保这些信息的安全和保护。
(1)取得国家、地方市场监督管理部门或有关机构注册登记的法人资格(或其组成部分);
(2)已取得相关法规规定的行政许可(适用时);
(3)未列入严重违法失信名单;
(4)提供的产品或提供的服务符合相关法律、法规、标准和规范的要求;
(5)按照《信息安全、网络安全和隐私保护 信息安全管理体系要求》标准,建立和实施信息安全管理体系,且有效运行3个月以上;
(6)至少完成一次内部审核,并进行了管理评审;
(7)近一年内未受到主管部门的行政处罚。
(一)管理体系相关材料
1. 信息安全管理体系手册
应涵盖信息安全方针、目标、范围、组织结构、各部门职责、信息安全管理流程等方面的内容。详细描述信息安全管理体系的整体架构,包括管理评审、内部审核、纠正和预防措施等管理要素。
2. 信息安全管理程序文件
如风险评估程序,包括风险识别、风险分析、风险评价的方法和步骤。访问控制程序,规定不同用户对信息资产的访问权限设置、变更和撤销流程。安全事件管理程序,明确安全事件的报告、响应、处理和恢复流程。
3. 信息安全管理制度
人员安全管理制度,包含人员招聘、入职、在职、离职各阶段的信息安全管理规定。物理和环境安全制度,涉及机房、数据中心等物理区域的安全管理,如门禁、监控、消防等方面的要求。系统开发与维护制度,规定信息系统从需求分析、设计、开发、测试到上线运行各阶段的信息安全管理要求。
(二)组织架构与人员相关材料
1. 公司组织架构图
清晰展示公司的部门设置、层级关系以及各部门之间的职责划分。
标注出与信息安全管理相关的部门和岗位。
2. 信息安全管理委员会成立文件
包括委员会的成员名单、职责和权限。
明确委员会在信息安全管理体系中的决策、监督和协调职责。
3. 信息安全负责人任命书
任命一名具备信息安全专业知识和管理经验的人员担任信息安全负责人。
明确其在信息安全管理方面的职责、权限和任职期限。
4. 人员资质证明
信息安全管理体系相关人员的专业资质证书,如信息安全工程师、注册信息安全管理师等证书。
从事特殊信息安全管理岗位(如密码管理、网络安全管理等)人员的相关技能培训证书。
(三)信息资产相关材料
1. 信息资产清单
详细列出公司的所有信息资产,包括数据资产(如客户信息、财务数据、业务数据等)、软件资产(如操作系统、应用软件、数据库管理系统等)、硬件资产(如服务器、计算机、网络设备等)。
对每个信息资产进行分类、编号和描述,并注明其所有者、使用者和保管者。
2. 信息资产分类分级标准
制定信息资产分类的依据和方法,如按照业务重要性、数据敏感性等因素进行分类。
明确信息资产分级的标准,如将信息资产分为绝密、机密、秘密和公开四个级别。
3. 信息资产风险评估报告
对信息资产面临的风险进行识别、分析和评价。
报告应包括风险的类型(如物理风险、技术风险、管理风险等)、风险的可能性和影响程度、风险的优先级等方面的内容。
(四)安全控制措施相关材料
1. 访问控制措施材料
用户账号管理记录,包括账号的创建、修改、删除等操作记录。
访问权限审批文件,证明对用户访问权限的设置经过了相关部门或人员的审批。
身份验证机制相关材料,如多因素身份验证系统的配置文件、使用说明等。
2. 加密技术措施材料
加密算法选择依据,说明公司在数据加密和传输加密过程中选择特定加密算法的原因。
加密密钥管理记录,包括密钥的生成、存储、分发、备份、销毁等环节的管理记录。
3. 物理和环境安全措施材料
机房环境安全检测报告,如温度、湿度、尘埃等环境参数的检测记录。
物理访问监控记录,包括门禁系统的出入记录、监控摄像头的录像资料等。
4. 网络安全措施材料
网络拓扑图,清晰展示公司的网络架构、设备连接关系、网络分段情况等。
防火墙、入侵检测系统、网络安全审计系统等网络安全设备的配置文件和运行日志。
(五)运行与监控相关材料
1. 安全事件记录
记录所有发生的信息安全事件,包括事件的类型、发生时间、发现时间、处理过程和结果等。
对安全事件进行分类统计,分析事件发生的趋势和规律。
2. 内部审核报告
内部审核的计划、检查表、审核记录、不符合项报告和审核结论等材料。
证明公司按照规定的周期和程序进行了内部审核,并对发现的问题进行了整改。
3. 管理评审材料
管理评审的计划、会议通知、会议记录、评审报告等材料。
展示公司高层对信息安全管理体系的运行情况进行了全面评审,并对体系的适宜性、充分性和有效性做出了评价。
(六)合规性相关材料
1. 法律法规清单
收集与信息安全相关的国家法律法规、行业标准和监管要求。
对法律法规进行分类整理,并注明其适用范围和实施要求。
2. 合规性评估报告
对公司的信息安全管理体系进行合规性评估,检查是否符合法律法规、行业标准和监管要求。
报告应列出不符合项,并提出整改措施和时间表。
ISO 27001 CERTIFICATION PROCESS
办理周期:45个工作日
1、提高企业信息安全管理能力
预防信息安全事故,保证组织业务的连续性,使组织的重要信息资产受到与其价值相符的保护。
2、节省费用
避免安全事故从而节省费用,能帮助组织合理筹划信息安全费用支出,包括:依据信息资产的风险级别,安排安全控制措施的投资优先级;对于可接受的信息资产的风险,不投资或减少投资。
3、提高企业形象和声誉
保持组织良好的竞争力和成功运作的状态,提高在公众中的形象和声誉,Zui大限度的增加投资回报和商业机会。增强客户、合作伙伴等相关方的信任和信心。
4、满足法律和合规要求
帮助组织满足法律法规和行业要求,降低法律风险。