信息安全管理体系(InformationSecurityManagementSystem)简称ISMS,起源于英国,2005年10月正式被国际标准化组织(ISO)认可并向全球发布了ISO27001:2005《信息安全管理体系要求》标准,自从ISO27001被全球大多数国家认可并引用。截止到2021年4月底,我国获得ISO27001认证的企业已经达到了20704家(目前证书保持有效),可见,ISO27001已经成为了国内IT企业必备的认证之一了,下面我们就对ISO27001信息安全管理体系认证做一个基础知识普及。
一、ISO27001信息安全管理体系发展历程
ISO27001信息安全管理体系发展历程
- ISO27001信息安全管理体系标准是1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准。2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO17799标准。
- 2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准ISO17799:2000《信息技术—信息安全管理实施细则》。
- 2002年,BSI对BS7799-2:2000《信息安全管理体系规范》进行了改版,发布了BS7799-2:2002《信息安全管理体系规范》。
- 2005年10月,BS7799-2:2002通过了国际标准化组织(ISO)的认可,正式成为国际标准ISO27001:2005《信息安全管理体系要求》,这套标准被众多大型跨国企业及多国政府信息安全管理机构所推崇。至此,ISO27001信息安全管理体系在世界范围内开始了大量实践应用。
- 2013年10月,国际标准化组织(ISO)公布ISO27001:,2013版信息安全管理体系标准。
二、ISO27000信息安全管理体系标准的构成
ISO2700信息安全管理体系标准构成
1、和ISO其他标准一样,ISO27000也是一个标准族群,这个族群中包括了ISO27001、ISO27002以及ISO27011等共9个标准及实施指南。在ISO27000信息安全管理体系族群中ISO27001标准与ISO27002这两个标准是必不可少的,这两个标准是不可分割的有机组合。
2、ISO27001标准用于认证,它可帮助组织建立和维护ISO27001信息安全管理体系,ISO2700标准是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的最佳实践。标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便组织更好的实施ISO27001信息安全管理体系。
三、ISO27001信息安全管理体系认证的特点及实施步骤
1、ISO27001信息安全管理体系(ISMS)的特点在于定义了包括风险评估、风险处理和管理决策的风险管理方法持续改进的模型,有效性的衡量以及内部和外部可审计的规范。
2、ISO27001定义了“6步过程”并使用了“PDCA方法”。
1)其中的6步过程为:
- 定义信息安全策略;
- 定义信息安全管理体系的范围;
- 进行信息安全风险评估;
- 管理标识出的风险;
- 选择控制措施以供实施和应用;
- 准备-份适用性声明。
2)PDCA过程的方法
PDCA方法就是(Plan-Do-Check-Act)循环,源自20世纪50年代的W.EdwardsDeming故又称做“戴明环”。它说明应将业务过程看作连续的反馈循环,以便管理者能够标识和变更过程那些需要改进的部分–过程或对过程的改进,首先应计划,接下来就是实施并衡量效果,然后应根据计划的具体细节检查衡量结果并标识和向管理者报告所有偏离和潜在的需改进点。以使管理者可以做出采取什么行动的决策。
在ISO27001信息安全管理体系(ISMS)实施过程应用PDCA循环的情况如下图所示。
ISO27001信息安全管理体系实施和改进路线图
ISMS体系标准第4章是信息安全管理体系的建立、实施和运行、监视和评审以及维护和改进过程,从具体实施方面体现了PDCA循环。第5、6、7、8章是整个信息安全管理体系更高视角的PDCA循环,包括管理者职责、内审和管理评审以及ISMS的改进。在ISO 27001中的信息安全管理体系可以看作-个嵌套的PDCA循环。
四、ISO27001信息安全管理体系认证的好处
2万多家IT企业通过了ISO27001认证就已经足够说明市场对ISMS的认可,我虽然不认为这些企业全部都是因为想要提高自身管理水平才申请的ISMS认证,但是,这么多的企业申请ISMS认证至少说明了ISMS认证对企业是有用的!
下面,我就列举一些IT企业通过ISMS认证给企业带来的好处,您可以对号入座并欢迎大家对此进行讨论。
- 建立完善的信息安全管理体系,对组织的信息资产进行全面的防护;
- 开展信息安全风险评估,管理和控制组织信息安全风险;
- 强化员工的信息安全意识,规范组织信息安全行为;
- 实现以预防为主的信息安全管理方式,减少信息安全风险发生的可能性;
- 在信息系统受到侵害时,降低信息安全事件带来的损失,确保业务持续开展并将损失降到最低程度;
- 使组织的伙伴和客户对组织信赖并充满信心;
- 增强客户及合作伙伴对组织信息安全性的信赖;
- 获得ISO27001认证证书,可得到客户的认可,获得部份项目的投标资格;
- 获取当地政府部门的认证补贴;
- 被市场环境“胁迫”来做ISMS认证,通过了ISMS认证没有什么竞争优势,但是没有ISO27001认证证书就是劣势。
