信息安全体系iso27001认证:什么是ISO 27001?

什么是ISO 27001?

ISO 270001是基于CIA三合会的三个原则建立的。这些都是:

机密性。只有经授权的人员，根据该组织的裁量权，才能访问这些信息。

的完整性。被授权人保管的信息应当准确、一致、可靠。

可用性。当被授权人员需要时，应随时提供信息。

这里需要澄清的是，信息安全(InfoSec)是ISO 27001的重点，而不是更广泛的技术或安全行业。这是因为无论信息以何种形式出现，信息都是至关重要的，无论是技术信息、个人信息还是财务信息。这意味着任何行业的任何组织或公司都可以通过ISO 27001认证。

您会发现，大多数公司都雇佣第三方供应商来为他们处理这个问题(稍后会详细介绍)，或者甚至为公司中的某个人提供学习预算，以获得认证并实现需求。这也是实施需要更长时间的原因——它涵盖了公司处理信息或数据的各个方面，而不仅仅是It部门的活动。

由于本标准也包括系统的变更和更新，自2005年制定以来，其要求已定期更新。最新版本于2022年10月发布:ISO/IEC 27001:2022。这带来了几个主要变化:

更新了附件A版本中的安全控制，较早的2013年版本。

过渡时间设定为3年，这意味着现有证书需要在2025年11月之前过渡到新版本。

ISO 27001是如何运作的?

如果你认为ISO 27001是随机发给组织的文件，或者是他们网站上显示的闪亮标志，那么你对ISO 27001的理解是错误的。尽管我们将其定义为标准，但它更像是组织的剧本。

ISO 27001的工作原理是通过安全措施在贵公司的基础设施中发现并消除风险(风险评估和风险处理)。这些保障措施被称为ISO 27001框架中的控制措施——共有93项控制措施。

因此，由实现标准的组织在称为适用性声明(SoA)的文档中指定他们将实现的控制。

我们可以说ISO 27001不是规定性的，而是指导性的。这就是为什么说它是一个框架。你把你需要的适合你的业务需要的东西应用起来。这就是为什么安全控制是必要的，但不是强制性的。该标准在全球范围内运行，并不是为某个利基市场或特定的商业模式而创建的。

ISO/IEC 27001的重要性和好处

您的ISMS的强度取决于所实施的保护系统的强度，这就是为什么ISO/IEC 27001被誉为全球ISM的黄金标准。

由于ISO/IEC 27001是由国际标准化组织(International Organization for Standardization)处理的，因此它为遵守其要求的组织和利益相关者带来了不同的好处。其中包括……

保证网络弹性

由于大规模数字化，网络攻击有所增加。世界经济论坛的全球网络安全展望报告基于对120多位网络的调查，建议公司建立网络弹性，以表明他们对客户和客户信息安全的承诺。

遵守ISO 27001标准表明了在任何攻击情况下处理ISMS和加强网络安全的承诺。特别是当框架帮助组织:

识别风险。

处理问题。

以更高标准保证ISMS的效率。

检查组织流程和工作文化

由于ISO 27001规定了一个更全面的处理ISMS的框架，它的方法跨越了人员、流程和技术——在保持信息安全架构安全方面没有任何限制。因此，必须审查流程中的漏洞，并确保符合ISO标准。

员工还将接受培训，如何处理送到他们桌上的信息，以保持信息的完整性和保密性。此外，即使是在监管职责中，领导层也不会被排除在外。所有这些将导致:

改善所有人的工作文化。

更好的安全意识将防止与员工相关的网络事故。

管理影响生产力的信息相关问题的工作流清晰度。

确保利益相关者和客户满意

通过实施ISO 27001并坚持其标准，展示您的组织对信息安全的奉献精神，为您的客户和利益相关者减少担心的问题。该框架涵盖了信息安全的各个方面，使客户更有理由相信贵公司有能力处理他们的需求。反过来，这保证:

更好地控制你的业务

优质的服务和产品交付

保持业务合规

违反法规和法律政策会给您的组织带来不好的印象。由于对法律的无知不是借口，你需要保持积极主动，以避免陷入这种混乱。

ISO 27001也通过强调合规方面需要做的事情来涵盖这方面。这样做的好处是，你可以节省本来可以用来摆脱监管危机的资金。

(看看合规作为一种服务是否适合你。)

增加销售和改善市场营销

因为这个框架是如此的受人尊敬，ISO 27001的验证对公司来说是一个重要的营销时刻。首先，它给人以信任，这对于让人们与你达成交易是很重要的。如果您的竞争对手尚未获得认证，那么它也可以作为一种竞争优势。

这样做可以吸引客户到你的企业。例如，您可以发出新闻稿，宣布您的组织通过了ISO 27001认证。看看Splunk自己关于ISO 2700认证的新闻-一直追溯到2016年!

ISO 27001要求

ISO 27001分为两个部分:条款和附件A。

条款

这些条款共11条，但我们的重点是第4-10条，它规定了执行的强制性要求。在那里，我们发现ISO 27001的结构是:

条款4:组织的背景。在这里，你定义了组织结构，以及与公司的市场、政治和经济状况有关的一切。

条款5:领导力。ISO 27001的实施取决于组织的目标。因此，该条款要求您与管理层协商，以确保角色和职责的一致性和澄清

第6条:规划。由于ISO 27001的目标是风险评估，因此必须制定符合上述条款的风险处理计划，并将为组织提供更佳结果。

第7条:支持。ISO 27001在正确的结构中茁壮成长。包括资源、人员和文件。

第8条:操作。以上这些在实际操作中是什么样子的呢?这就是本条款所关注的。当你的计划受到考验时，必须有一些程序来确保它们的成功。

第9条:绩效评估。有了你的想法，工作还在继续。必须进行监测、测量和分析，以防止并将问题扼杀在萌芽状态。

条款10:改进。这是你开始修改行为的时候。

附件一个

在附件A中，我们发现了前面提到的93种不同的安全控制。这些控制进一步分为四个部分:

建立过程和文件的组织控制(37)。

人力资源管理的人员控制(8)。

操作工作设备的物理控制(14)。

IT和通信控制的技术控制(34)。

如何获得ISO/IEC 270001认证?

个人和组织可以选择通过满足ISO要求来获得认证。该认证通常由外部机构处理- ISO全权负责制定标准。

个人ISO 27001认证

想要获得认证的人通常将其作为一种获得职业阶梯的途径，并验证他们处理(审核、管理和保护)ISMS的能力。这项技能将使你在任何信息安全领域都很有价值。有了这个认证，您甚至可以成为ISO/IEC 27001首席实施者或ISO/IEC 27001首席审核员。

(您可能也对其他安全认证感兴趣。)

组织ISO 27001认证

要获得组织级认证，您的组织必须由ISO 27001顾问(他们主要是自由职业者)或独立机构进行审核，然后您才能申请此头衔。关于认证所用语言的说明:

遵循ISO 27001的要求意味着贵公司是合规的。

只有经过独立和认可机构的验证，您的组织才被称为ISO 27001认证。

完成这个过程是资本密集型的，可能需要三个月到一年的时间，这取决于你的组织的规模。贵组织将接受以下方面的审核:

风险评估计划

风险处理计划(RTP)

组织的信息安全政策

适用性声明(SoA)

使用中的技术

加上其他文档。每件事都要考虑周全——小到在公司购买新设备，甚至是领导结构的变动。

认证的挑战

在这个ISO中变得合规或进一步获得认证并不容易。考虑到上述所有要求，再加上其他因素，如:

负责认证的外部机构或顾问的费用。

即使在颁发证书之后，也要进行定期更新和检查。

这也就难怪小公司会羞于进行并购，而那些已经进行了并购的公司却引以为豪了。

ISO/IEC 27001帮助您的组织保持合规

当你的企业试图保持弹性时，跟上行业趋势和技术是完成这一任务的一种方法。ISO 27001可帮助您在全球层面保持相关性，并使您的组织免受合规性和网络问题的影响。

在Splunk，实施ISO 27001帮助我们保证了信息资产的保密性、完整性和可用性。

什么是ISO 27001 ?为什么它很重要?

在剑桥分析公司丑闻之后，谈话自然转向了数据安全，使其成为每个行业组织的热门话题。ISO 27001专注于改进和验证您的网络安全标准，并与GDPR一起确保您的信息和数字保护水平在游戏中处于领先地位。

我们将详细介绍ISO 27001是什么，以及为什么它对每个企业都如此重要。

什么是ISO 27001?

ISO 27001是一项指导您建立超安全数据安全管理体系的国际标准。它详细介绍了您的组织在可操作上下文中的信息安全更佳实践。

虽然你最初可能认为网络安全与你、你的业务或你的客户无关，但它实际上适用于所有组织，无论其规模或复杂程度如何。ISO 27001帮助您遵守数据法和您可能有义务履行的各种合同要求。

通过获得ISO 27001认证，您将在组织的核心实施系统和流程，这将保护您免受全球每天发生的数据滥用和安全漏洞的攻击。与其他ISO认证一样，它也将在您的工作场所启动更佳实践，要求您记录您的日常操作程序，并根据这些系统协助您在越来越依赖技术的世界中工作。

为什么ISO 27001很重要?

毫无疑问，数据是有价值的。现代商业的许多方面都依赖于信息系统，尽管它带来了很多好处，但它也意味着我们面临着更高的威胁风险，比如黑客攻击和数据泄露——我们都看到过这对任何组织或个人造成多大损害的例子。

ISO 27001通过覆盖您的数据(无论是银行详细信息、密码还是敏感信息)，帮助您保护您的客户、员工和供应商。通过获得认证，您允许人们在您的业务中灌输一定程度的信任，因为标准会向组织内外的人传递您正在保护他们的数据安全。

欺诈和盗窃的威胁可以避免，因为这些破坏性行为的影响可能会对您的企业声誉造成长期损害;它甚至可能导致起诉!由于ISO 27001对保持高标准的长期存在感兴趣，因此它会不断评估您的合规性，以便您与最新的技术改进保持同步。

已经拥有ISO 9001?

ISO 9001用户会很高兴地知道，获得此认证将使获得ISO 27001认证的过程更加顺利。这是因为数据安全是质量管理的一个组成部分。由于ISO 27001是个使用附录SL框架开发的标准，因此将网络安全纳入您业务的关键齿轮比以往任何时候都更容易。

ISO 27001认证需要多长时间?

获得ISO 27001认证的传统过程可能相当漫长和复杂，需要数月的准备和多次审核。

合规自动化软件可以将这个时间从几个月缩短到几周。通过自动监控您的ISMS并收集证据，它减少了数百小时的审核准备工作。

无论您选择哪种方法，ISO 27001认证都有四个阶段:预审核准备、阶段1和阶段2认证审核、监督审核和再认证审核。在本文中，我们将概述在使用和不使用自动化的情况下获得ISO 27001认证所需的时间。

ISO 27001认证时间表

审计前阶段:第1个月至第4个月

步骤1:定义ISMS范围

步骤2:执行风险评估和差距分析

步骤3:设计和实现策略和控制

第四步:记录和收集证据

步骤5:必要时进行内部审计和补救

阶段审核:第5个月

步骤6:审核员审核ISMS文件

第二阶段审核:6-8个月

步骤7:审计员评估安全控制和业务流程

第八步:获得ISO 27001认证，有效期为三年

监督和持续改进:9-12个月

步骤9:监控ISMS的运行有效性

步骤10:进行内部审核以确定改进的机会

重新认证:20-44个月

步骤11:在第1年和第2年进行年度监督审计

步骤12:在您的三年认证期限结束时进行重新认证审核。重新认证的有效期为三年。

获得ISO 27001认证需要多长时间?

这取决于公司的规模和所维护数据的复杂程度。

一家中小型企业平均需要4个月就可以准备好接受审计，然后在6个月内通过审计流程。较大的组织可能需要一年或更长时间。

这四个月的审核准备通常包括确定ISMS的范围、进行风险评估和差距分析、设计和实施控制、培训员工、准备文档以及进行内部审核。

认证审核过程可能需要2-3个月，分为两个阶段。在阶段1审核期间，审核员审查ISMS文件，以确保政策和程序设计正确。他们还可能对组织如何改进其ISMS以使其更安全提出建议。

在第二阶段审核期间，审核员审查业务流程和控制，以确保符合ISO 27001的ISMS和附件a要求。

预审计阶段:1-4个月

在此期间，您将定义ISMS的范围，并决定您希望在ISO 27001证书上表示哪些信息资产。

接下来，您需要执行风险评估以识别威胁并决定如何处理每个风险。你们也可以选择聘请外部顾问进行差距分析，并就你们如何满足ISO 27001要求提供指导。

在审计准备阶段，您还需要准备文档，包括编写安全和隐私策略、收集控制证据以及培训员工。

审核阶段:1-6个月

ISO 27001认证审核分为两个阶段。在第1阶段，审核员将审核你们的ISMS文件。他们会检查确保你有适当的政策和程序，并满足ISO 27001的要求

一旦您完成了第1阶段的审核，您将进入第2阶段，审核员将审查您的业务流程和安全实践。

在您完成阶段和第二阶段审核后，审核员将向您颁发ISO 27001认证，有效期为三年。

合规自动化如何简化ISO 27001认证

传统的ISO 27001审核需要大量的准备工作。您必须编写十多个策略，收集和组织数百个证据，查找供应商安全证书，并执行大量其他乏味而耗时的任务。这是一个艰难的过程。

Secureframe使整个过程更加高效。我们帮助公司在很短的时间内获得ISO 27001认证——甚至与其他合规自动化供应商相比也是如此。

方法如下:

自动证据收集

我们的平台会在您的审核窗口自动收集证据。它还通过提醒您技术堆栈中的任何漏洞并告诉您如何修复它们来确保您保持安全。

策略模板

您不必尝试从头开始编写复杂而具体的策略，而是可以从我们的ISO审计就绪策略库中进行选择，并从中进行自定义。它们都经过前审计人员和合规专家的审查和批准。

审计准备仪表盘

将任务分配给团队中的个人，并跟踪审计准备的进度。在引入审核员之前，您将实时了解哪些方面看起来不错，以及您可以做些什么来改进。

我们的客户在几周内就为成功的ISO 27001审核做好了准备。看看他们是怎么说安全框架的。