办理iso27001:ISO 27001:2013 基本原理和词汇表

更新时间：2024-05-09 浏览次数：169次

什么是 ISO 27001？

ISO 27001:2013 是一项国际标准，它为信息安全管理系统（ISMS）提供了一个框架，以确保信息的持续保密性、完整性和可用性以及法律合规性。ISO 27001 认证对于保护员工和客户信息、品牌形象和其他私人信息等最重要的资产至关重要。ISO 标准包括一种基于流程的方法，用于启动、实施、运行和维护 ISMS。

ISO 27001 的实施是对客户和法律要求（如 GDPR）以及潜在安全威胁（包括网络犯罪、个人数据泄露、破坏/恐怖主义、火灾/损坏、滥用、盗窃和病毒攻击）的理想回应。

2019 年迄今为止，约有 32% 的企业在过去 12 个月中发现了网络安全漏洞或攻击。ISO 27001 标准在结构上也与 ISO 9001 等其他管理体系标准兼容，并且是技术和供应商中立的，这意味着它完全独立于任何 IT 平台。因此，公司的所有成员都应了解该标准的含义以及它如何适用于整个组织。

获得认可的 ISO 27001 认证表明贵公司致力于遵循信息安全的更佳实践。此外，ISO 27001 认证还能为您提供专家评估，以确定贵组织的信息是否得到了充分保护。请继续阅读，了解 ISO 27001 认证的更多益处。

2020 年，ISO 27001 的全球认证数量增长了 24.7%，这表明 UKAS 认可的认证在近期的增长和重要性。统计数据直接来自最新的 ISO 调查。

实施的好处

信息安全对企业越来越重要，因此采用 ISO 27001 也越来越普遍。现在，大多数组织都认识到，问题不在于是否会受到安全漏洞的影响，而在于何时会受到影响。

实施 ISMS 和获得 ISO 27001 认证对大多数组织来说都是一项重大任务。但是，如果能有效地实施，对于那些依赖于保护有价值或敏感信息的组织来说，会有很大的好处。这些好处通常分为三个方面：

商业利益

获得独立第三方对 ISMS 的认可，可以为组织带来

竞争优势，或使其能够 "赶上 "竞争对手。面临重大信息安全风险的客户越来越多地将 ISO 27001 认证作为投标书中的一项要求。

如果客户也通过了 ISO 27001 认证，那么从中期来看，他们将只选择与他们对其信息安全控制措施有信心并有能力遵守合同要求的供应商合作。

对于希望与这类客户合作的组织来说，拥有 ISO 27001 认证的 ISMS 是维持和增加其商业收入的关键要求。

运营

ISO 27001 的整体方法支持发展一种内部文化，这种文化对信息安全风险保持警惕，并采用一致的方法来应对这些风险。这种方法的一致性使控制措施在应对威胁时更加有力。实施和维护这些控制措施的成本也会降到更低，一旦控制措施失效，后果也会降到更低并得到更有效的缓解。

安心

许多组织都拥有对其运营至关重要的信息，这些信息对维持其竞争优势至关重要，或者是其财务价值的固有组成部分。

有了一套健全有效的 ISMS 系统，负责管理风险的企业所有者和管理人员就可以高枕无忧，因为他们知道自己不会面临巨额罚款、重大业务中断或声誉受损的风险。

在当今的知识经济时代，几乎所有组织都依赖于关键信息的安全。实施正式的 ISMS 是提供这种安全性的行之有效的方法。

ISO 27001 是国际公认的更佳 ISMS 框架，其合规性可通过独立验证，从而提升组织形象，增强客户信心。

主要原则和术语

ISMS 的核心目的是保护敏感或有价值的信息。敏感信息通常包括有关员工、客户和供应商的信息。有价值的信息可能包括知识产权、财务数据、法律记录、商业数据和运营数据。

敏感信息和有价值信息所面临的风险类型一般可分为三类：

机密性--一人或多人未经授权获取信息。

完整性--信息内容发生变化，不再准确或完整。

可用性--信息访问丢失或受阻。

这些信息安全风险类型通常被称为 "CIA"。

信息安全风险通常是由于处理、存储、持有、保护或控制信息访问的资产存在威胁和漏洞而引起的。

这里的资产通常是指：人员、设备、系统或基础设施。

信息是组织希望保护的数据集，如员工记录、客户记录、财务记录、设计数据、测试数据等。

事件是指导致机密性丢失（如数据泄露）、完整性丢失（如数据损坏）或可用性丢失（如系统故障）的意外事件。

威胁是导致事件发生的原因，可能是恶意的（如小偷）、意外的（如按键错误）或天灾（如洪水）。

办公室窗户敞开、源代码错误或建筑物紧邻河流等弱点，都会增加威胁发生的可能性，从而导致不必要的、代价高昂的事故。

在信息安全方面，可以通过设计、实施和维护各种控制措施来管理风险，如窗户上锁、软件测试或将易受攻击的设备安装在地面以上。

符合 ISO 27001 标准的 ISMS 有一套相互关联的更佳实践流程，可促进和支持控制措施的适当设计、实施和维护。

构成 ISMS 一部分的流程通常是现有核心业务流程（如招聘、入职、培训、采购、产品设计、设备维护、服务交付）与维护和改进信息安全特定流程（如变更管理、信息备份、访问控制、事故管理、信息分类）的组合。

基于风险的思维/审计

审计是对信息安全管理系统进行评估的一种系统化、以证据为基础的过程方法。审计在内部和外部进行，以验证 ISMS 的有效性。审计是在信息安全管理中采用基于风险的思维方式的范例。

方审计--内部审计

内部审计是组织内部学习的机会。内部审核提供了时间来关注特定流程或部门，以真正评估其绩效。内部审核的目的是确保遵守由组织决定的政策、程序和流程，并确认是否符合 ISO 27001 的要求。

审核计划

制定审计计划听起来似乎很复杂。根据企业运营的规模和复杂程度，您可以安排每月到每年一次的内部审核。有关这方面的更多详情，请参阅第 9 节--绩效评估。

基于风险的思考

考虑审计频率的更佳方法是查看要审计的流程或业务领域所涉及的风险。任何高风险流程，无论是因为它出错的可能性大，还是因为一旦出错后果严重，都应该比低风险流程更频繁地接受审计。

如何评估风险完全取决于您。ISO 27001 并未规定任何特定的风险评估或风险管理方法。

第二方--外部审核

第二方审核通常由客户或他人代表客户执行，或者由您的外部供应商执行。第二方审计也可以由监管机构或任何其他与组织有正式利益关系的外部机构进行。

您可能无法控制这些审核的时间和频率，但建立自己的 ISMS 将确保您为这些审核的到来做好充分准备。

第三方--认证审核

第三方审核由外部机构执行，通常是 UKAS 认可的认证机构，如 NQA。

认证机构将评估是否符合 ISO 27001:2013 标准。这包括认证机构的代表访问组织并评估相关系统及其流程。维护认证还包括定期重新评估。

认证可向客户证明您对质量的承诺。

认证保证

定期评估，以持续监控和改进流程。

系统能够实现预期结果的可信度。

降低风险和不确定性，增加市场机会。

产出的一致性，旨在满足利益相关者的期望。

基于流程的思考/审计

流程是将输入转化为输出的过程，是实现计划目标的一系列步骤或活动。一个流程的产出往往会成为另一个后续流程的输入。很少有流程是孤立运行的。

"流程：一系列相互关联或相互作用的活动，这些活动使用输入来实现预期结果。

ISO 27001:2013 基本原理和词汇表

即使是审核也有流程方法。它从确定范围和标准开始，制定明确的行动方案以实现结果，并有明确的输出（审核报告）。使用过程方法进行审计还能确保为审计分配正确的时间和技能。这样就能对 ISMS 的绩效进行有效评估。

"当各项活动被理解为相互关联的流程并作为一个连贯的系统进行管理时，就能更有效、更高效地实现一致且可预测的结果"。

ISO 27001:2013 基础知识和词汇

了解流程之间如何相互关联并产生结果，有助于识别改进机会，从而优化整体绩效。这同样适用于流程或部分流程被外包的情况。

准确了解这如何影响或可能影响结果，并与业务合作伙伴（提供外包产品或服务）明确沟通，可确保流程的清晰性和责任性。

最后一个流程步骤是审查审核结果，确保所获得的信息得到妥善利用。正式的 "管理评审 "是对 ISMS 的绩效进行反思，并就如何改进以及在哪些方面改进做出决策的机会。第 9 节--绩效评估中将更深入地介绍管理评审流程。

ISO 27001:2013 的 10 个条款

ISO 27001 由 10 个部分组成，称为条款。

与大多数其他 ISO 管理体系标准一样，ISO 27001 需要满足的要求在第 4.0 - 10.0 条中有明确规定。与大多数其他 ISO 管理体系标准不同的是，组织必须遵守条款 4.0 - 10.0 中的所有要求；组织不能声明一个或多个条款对其不适用。

在 ISO 27001 标准中，除了第 4.0 - 10.0 条款外，还有一套要求详列于称为附件 A 的部分，在第 6.0 条款中有所提及。附件 A 包含 114 项更佳实践信息安全控制措施。这 114 项控制措施中的每一项都需要加以考虑。要符合 ISO 27001 标准，组织必须实施这些控制措施，或者为不实施特定控制措施提供可接受的理由。

本指南的以下部分概述了每个条款的目的，强调了审计员希望看到的证据类型，以确认您符合要求，并给出了符合要求的有效方法提示。

第 1 部分：范围

ISO 27001 的 "范围 "部分规定了

标准的目的；

该标准适用于哪些类型的组织；以及

标准中包含要求的部分（称为条款），组织必须遵守这些要求才能获得 "符合 "标准的认证（即合规）。

ISO 27001 的设计适用于任何类型的组织。无论组织的规模、复杂程度、行业领域、目的或成熟度如何，都可以实施和维护符合 ISO 27001 标准的 ISMS。

第 2 部分：规范性引用文件

在 ISO 标准中，"规范性引用文件 "部分列出了与确定组织是否符合相关标准有关的其他标准。在 ISO 27001 中，只列出了一份文件--ISO 27000《信息技术--概述和词汇》。

ISO 27001 中使用的一些术语或详细要求在 ISO 27000 中有进一步解释。参考 ISO 27000 对帮助你更好地理解某项要求或确定遵守该要求的更佳方法非常有用。

提示--外部审核人员希望您在制定和实施 ISMS 时考虑到 ISO 27000 中包含的信息。

第 3 部分：术语和定义

ISO 27001 中没有给出术语和定义。ISO 27001 中没有给出术语和定义，而是参考了最新版本的 ISO 27000《信息安全管理体系--概述和词汇》。本文件的当前版本包含 ISO 27001 中使用的 81 个术语定义。

除了上文 "关键原则和术语 "部分解释的术语外，ISO 27001 中使用的最重要术语包括

访问控制"--确保只有需要访问特定资产的人才能访问该资产的流程，而 "需要 "是根据业务和安全要求确定的。

有效性"--计划活动（如流程、程序）按计划或规定执行并实现计划结果或产出的程度。

风险"--信息安全事件发生的可能性及其后果的组合。

风险评估"--识别风险、分析每种风险造成的风险程度以及评估是否需要采取额外行动将每种风险降低到更可容忍或可接受的程度的过程。

风险处理"--将已识别的风险降低到可容忍或可接受水平的过程或行动。

更高管理层"--组织中更高决策者群体。他们可能负责制定战略方向，确定并实现利益相关者的目标。

在编写信息安全管理系统文档时，您不必使用这些确切的术语。不过，如果能对所使用的术语进行定义，确实有助于明确其含义和意图。在系统文档中提供词汇表可能会有所帮助。

第 4 部分：组织背景

ISMS 的目的是保护组织的信息资产，使组织能够实现其目标。

如何实现这一目标以及具体的优先领域将取决于组织的运营环境，包括

内部--组织有一定控制权的事物；以及

外部--组织无法直接控制的事物。

认真分析贵组织的运营环境是识别信息资产安全固有风险的基础。在此基础上，您才能评估需要考虑增加或加强哪些流程，以建立有效的 ISMS。

内部环境

以下是在评估可能对 ISMS 风险有影响的内部问题时可以考虑的方面：

成熟度：你是一个敏捷的初创企业，需要在一张白纸上开展工作，还是一个有 30 多年历史的机构，拥有完善的流程和安全控制措施？

组织文化：你的组织对员工的工作方式、时间和地点要求宽松，还是极其严格？这种文化是否会抵制信息安全控制措施的实施？

管理：从组织的关键决策者到组织的其他成员，是否有清晰的沟通渠道和流程？

资源规模：您是与信息安全团队合作，还是一个人包揽所有工作？

资源成熟度：可用资源（员工/承包商）是知识渊博、训练有素、可靠稳定的，还是缺乏经验、不断变化的？

信息资产格式：信息资产是主要以硬拷贝（纸质）形式存储，还是以电子形式存储在现场服务器或远程云系统中？

信息资产的敏感性/价值：贵组织是否需要管理高价值或特别敏感的信息资产？

一致性：贵机构是否在整个组织内采用统一的流程，还是采用多种不同的操作方法，几乎没有一致性？

系统：贵组织是否有许多运行在制造商不再支持的软件版本上的遗留系统，或者贵组织是否维护最新、更好的可用技术？

系统复杂性：是使用一个主要系统完成所有繁重的工作，还是使用多个部门系统，但它们之间的信息传输有限？

物理空间：是有专门的安全办公设施，还是与其他组织共用办公空间？

外部环境

在评估可能对 ISMS 风险产生影响的外部问题时，可以考虑以下几个方面：

竞争：你是在一个瞬息万变、不断创新的市场中运营，需要进行多次系统升级才能保持竞争力，还是在一个成熟、稳定的市场中运营，每年几乎没有创新？

业主：升级实体安全系统是否需要获得批准？

监管机构/执法机构：您所在的行业是否要求定期进行法定变更，或者您所在的市场领域是否很少受到监管机构的监督？

经济/政治：货币波动是否会影响您的组织；英国脱欧是否会产生影响？

环境因素：贵机构是否位于洪泛平原，服务器是否位于地下室？是否有一些因素使贵机构的网站可能成为非法入侵或恐怖袭击的目标（例如，位于市中心的显要位置；毗邻可能的目标）？

信息安全攻击的普遍性：贵组织所处的行业是否经常引起黑客（犯罪分子、黑客活动家）的兴趣？

股东：他们是否非常担心组织容易受到数据泄露的影响？他们对组织为改善信息安全而付出的成本有多关注？