企航顧問ISO/IEC27001信息安全管理體系服務

2022/04/04

信息作為一種寶貴的資產，可以為您的企業帶來成功，也可能帶來毀滅。當管理得當時，信息可讓您充滿信心地投入工作。信息安全管理讓您確信所有的保密信息都可保證安全，從而讓您自由地發展、創新和擴大您的客戶群。

一、ISO/IEC 27001概述

為確保運營流暢和數據安全，組織必須持續地對重要信息系統及重要業務信息進行管理。ISO/IEC 27001信息安全管理體系助您憑借強大的信息安全手段從競爭中脫穎而出。

ISO/IEC27001標準基于CIA三大原則——保密性（Confidentiality）、完整性（Integrity）和實用性（Availability），內容覆蓋以下方面：

ISO/IEC 27001是一部針對信息技術、安全技術、信息安全管理體系（ISMS）的國際標準，該標準可用于組織的信息安全管理體系的建設和實施，提供了從規劃（P）、實施（D）、檢查（C）、改進（A）的信息安全管理持續改進過程方法。

企航顧問作為專業的信息安全管理咨詢機構，以風險管理為驅動、以預防為核心，幫助客戶規劃、建設信息安全管理體系，從ISO/IEC 27001標準的14個信息安全管理域入手，將114個信息安全控制措施與客戶管理流程有機結合，實現以預防為主的信息安全管理機制，全面系統地持續提高客戶的信息安全管理水平，達到最大程度的降低信息安全管理風險和損失的目的。

二、ISO/IEC 27001的起源及發展

• a）、1993年由英國貿易工業部立項；

• b）、1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，并且適用于大、中、小組織；

• c）、1998年英國公布標準的第二部分《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據；

• d）、BS 7799-1與BS 7799-2經過修訂于1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網絡和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任；

• e）、2000年12月，BS 7799-1:1999《信息安全管理實施細則》通過了國際標準化組織ISO的認可，正式成為國際標準-----ISO/IEC 17799:2000《信息技術-信息安全管理實施細則》；

• f）、2002年9月5日，BS 7799-2:2002草案經過廣泛的討論之后，終于發布成為正式標準，同時BS 7799-2:1999被廢止；

• g）、2004年9月5日，BS 7799-2:2002正式發布；

• h）、2005年6月，ISO/IEC 17799:2000經過改版，形成了新的ISO/IEC 17799:2005；

• i）、在2007年7月1日正式發布為ISO/IEC 27001:2005 ，于同年10月推出ISO/IEC 27001:2005；

• j）、2013年，繼ISO/IEC 27001:2005版發布之后，歷經漫長的8年，終于迎來ISO/IEC 27001第二版，并于同年10月19日正式發布。

   

三、ISO/IEC 27001信息安全管理體系建設意義及目標

信息安全管理體系標準（ISO/IEC 27001）可有效保護信息資源,保護信息化進程健康、有序、可持續發展, ISO/IEC 27001是信息安全領域的管理體系標準，當您的組織通過了ISO/IEC 27001的認證，表示您的組織信息安全管理已建立了一套科學有效的管理體系作為保障，同時，把組織的安全風險因素降到最小，創造更大收益。具體體現在以下幾方面：

四、ISO/IEC 27001信息安全管理體系建設思路

構建信息安全管理體系（ISMS）不是一蹴而就的，也不是每個企業都使用一個統一的模板，不同的組織在建立與完善信息安全管理體系時，可根據組織信息安全管理現狀和具體的業務開展特點，采取不同的步驟和方法。但總體來說，建立信息安全管理體系一般要經過以下幾個主要步驟：　

第一階段：項目啟動和差距分析

從日常運維、管理機制、系統配置等方面對企業信息安全管理安全現狀進行調研，通過培訓使企業相關人員全面了解信息安全管理的基本知識。

第二階段：風險評估

對企業信息資產進行資產價值、威脅因素、脆弱性分析，從而評估信息安全風險，選擇適當的措施、方法實現管理風險的目的。

第三階段：體系策劃與發布

根據企業對信息安全風險的策略，制定相應信息安全整體規劃、管理規劃、技術規劃等，形成完整的信息安全管理系統。

第四階段：體系運行與監控

ISMS建立起來（體系文件正式發布實施）之后，要通過一定時間的試運行來檢驗其有效性和穩定性。

第五階段：認證及持續改進

經過一定時間運行，ISMS達到一個穩定狀態，文檔和記錄已經建立完備，此時可以提請進行認證。

五、ISO/IEC 27001認證所需材料

1、組織法律證明文件，如營業執照；

2、其他與申請認證的業務相關的必要許可資質；

3、申請認證組織的信息安全管理體系有效運行的證明文件；

4、申請組織的簡介：

（1）組織簡介；

（2）申請組織的主要業務流程；

（3）組織機構圖或職能表述文件；

5、申請組織的體系文件：

（1）信息安全管理體系ISMS方針文件；

（2）風險評估程序；

（3）適用性聲明；

（4）風險處理程序；

（5）文件控制程序；

（6）記錄控制程序；

（7）內部審核程序；

（8）管理評審程序；

（9）糾正措施與預防措施程序；

（10）控制措施有效性的測量程序；

（11）職能角色分配表；

（12）整個體系文件結構與清單等。

6、申請組織內部審核和管理評審的證明資料；

7、申請組織記錄保密性或敏感性聲明；

8、認證機構要求申請組織提交的其他補充資料。

六、ISO/IEC 27000標準族的構成

ISO/IEC 27000標準族是ISO專門為信息安全管理體系（ISMS）預留下來的系列相關國際標準的總稱。ISMS系列標準由已經發布或正在開發的相關標準組成，并且包含許多重要的結構組件。這些組件主要集中在以下五個部分：

1、描述概述和術語的標準：

1、ISO/IEC 27000《信息技術 安全技術 信息安全管理體系概述和術語》

2、規范要求的標準：

1、ISO/IEC 27001《信息技術 安全技術信息安全管理體系要求》

2、ISO/IEC 27006《信息技術安全技術信息安全管理體系審核認證機構的要求》

3、ISO/IEC 27009《信息技術安全技術ISO/IEC 27001在具體行業應用的要求》

3、給出一般指南的標準：

1、ISO/IEC 27002《信息技術安全技術信息安全控制實踐指南》

2、ISO/IEC 27003《信息技術安全技術信息安全管理指南》

3、ISO/IEC 27004《信息技術安全技術信息安全管理監測、測量、分析和評價》

4、ISO/IEC 27005《信息技術安全技術信息安全風險管理》

5、ISO/IEC 27007《信息技術安全技術信息安全管理體系審核指南》

6、ISO/IEC TR 27008《信息技術安全技術信息安全控制審核指南》

7、ISO/IEC 27013《信息技術安全技術 ISO/IEC 27001 和 ISO/IEC 20000-1 整合實施指南》

8、ISO/IEC 27014《信息技術安全技術信息安全治理》

9、ISO/IEC TR 27016《信息技術安全技術信息安全管理組織經濟學》

10、ISO/IEC 27021《信息技術安全技術信息安全管理信息安全管理體系專業人員的能力要求》

4、給出行業特定指南的標準：

1、ISO/IEC 27010《信息技術安全技術行業間和組織間通信的信息安全管理》

2、ISO/IEC 27011《信息技術安全技術電信組織基于ISO/IEC 27002的信息安全控制實踐規范》

3、ISO/IEC 27017《信息技術安全技術基于ISO/IEC 27002的云服務信息安全控制措施實踐指南》

4、ISO/IEC 27018《信息技術安全技術可識別個人信息(PII)處理者在公有云中保護刊的實踐指南》

5、ISO/IEC 27019《信息技術安全技術能源公用事業的信息安全控制》

6、ISO 27799《健康信息學使用ISO/IEC 27002的健康信息安全管理》

5、給出控制特定指南的標準：（僅列出標準編號及名稱以為示例）

1、ISO/IEC 2703x系列標準：

• a）、ISO/IEC 27031: 2011《信息技術 安全技術用于業務連續性的信息和通信技術準備指南》

• b）、ISO/IEC 27032： 2012《信息技術 安全技術網絡安全指南》

• c）、ISO/IEC 27033《信息技術安全技術網絡安全》

• d）、ISO/IEC 27034《信息技術安全技術應用安全》

• e）、ISO/IEC 27035《信息技術安全技術信息安全事件管理》

• f）、ISO/IEC 27036《信息技術安全技術供應商關系的信息安全》

• g）、ISO/IEC 27037： 2012《信息技術 安全技術 數字證據的識別、收集、獲取和保存指南》

• h）、ISO/IEC 27038： 2014《信息技術 安全技術數字編輯規旳

• i）、ISO/IEC 27039： 2015《信息技術 安全技術 入侵檢測和防御系統（IDP）的選擇、部署和操作》

   

  2、ISO/IEC 2704x系列標準：

• a）、ISO/IEC 27040:2015《信息技術 安全技術存儲安全》

• b）、ISO/IEC 27041:2015《信息技術 安全技術確保事故調查方法的適用性和充分性的指南》

• c）、ISO/IEC 27042:2015《信息技術 安全技術數字證據分析和解釋指南》

• d）、ISO/IEC 27043:2015《信息技術 安全技術事故調查原則與程序》

   

  ISO/IEC 27000標準族的構成隨著各個標準的發布、修訂、廢止而不斷變化。

   

七、企航顧問ISO/IEC 27001案例

1、企航顧問在ICT（信息與通訊技術）領域提供的服務項目有：

1. a）、ISO/IEC 20000 ： 信息技術服務管理體系

2. b）、ISO/IEC 27001 ： 信息安全管理體系

3. c）、ISO/IEC 27701 ： 隱私信息管理體系

4. d）、ISO/IEC 27017 ： 云服務信息安全規范

5. e）、ISO/IEC 27018 ： 公共云個人信息（PII）處理者的信息安全控制規范

6. f）、ISO/IEC 29151 ： 個人信息保護的行為準則

7. g）、ISO 22301 ： 業務連續性管理體系

8. h）、TISAX ：可信信息安全評估交流機制

9. i）、ISO/SAE 21434 ： 道路車輛 信息安全工程

10. j）、TL 9000 ： 通訊行業質量管理體系

    ……

2、企航顧問ISO/IEC 27001部分項目現場：

日月光半導體（上海）有限公司

德國SMS西馬克工程（中國）有限公司

 南京雨潤集團【股票代碼：01068.HK】食品科技開發有限公司

浙江德馬科技股份有限公司【股票代碼：688360】

蘇州華锝半導體有限公司

南京雨潤集團【股票代碼：01068.HK】馬鞍山百瑞食品有限公司

日本第一精工模塑（上海）有限公司

上海仁庫軟件科技有限公司

上海芯鈦信息科技有限公司

杭州新劍機器人技術股份有限公司【股票代碼：871312】

寧波正立企業咨詢服務有限公司

……