iso27001信息安全体系是什么:信息安全管理系统(ISMS)

更新时间：2024-05-09 浏览次数：195次

信息安全管理系统(ISMS)

什么是ISMS?

信息安全管理系统(ISMS)是一套策略和程序，用于系统地管理组织的敏感数据。ISMS的目标是通过主动限制安全漏洞的影响来最小化风险并确保业务连续性。

ISMS通常处理员工行为和流程以及数据和技术。它可以针对特定类型的数据，例如客户数据，也可以以一种全面的方式实现，成为公司文化的一部分。

ISMS是如何工作的?

ISMS为管理组织的信息安全提供了系统的方法。信息安全包括控制和管理整个组织的安全风险级别的某些广泛策略。

ISO/IEC 27001是信息安全和建立ISMS的国际标准。该标准由国际标准化组织和国际电工委员会联合发布，不要求采取具体措施，但包括文件、内部审核、持续改进以及纠正和预防措施方面的建议。要获得ISO 27001认证，组织需要一个能够识别组织资产并提供以下评估的ISMS:

信息资产面临的风险;

为保护信息资产所采取的步骤;

发生安全漏洞时的行动计划;和

识别负责信息安全过程每一步的个人。

ISMS的目标不一定是更大化信息安全，而是达到组织所期望的信息安全级别。根据行业的具体需求，这些控制水平可能会有所不同。例如，由于医疗保健是一个高度监管的领域，因此医疗保健组织可以开发一个系统来确保敏感的患者数据得到充分保护。

ISMS的好处

ISMS提供了一种管理组织内信息系统的整体方法。这提供了许多好处，其中一些在下面强调。

保护敏感数据。ISMS保护所有类型的专有信息资产，无论它们是基于纸张的、以数字方式保存的还是驻留在云中的。这些资产可以包括个人数据、知识产权、财务数据、客户数据和通过第三方委托给公司的数据。

满足法规遵从性。ISMS帮助组织满足所有法规遵从性和合同要求，并更好地掌握信息系统的合法性。由于违反法律法规将面临巨额罚款，因此拥有ISMS对于具有关键基础设施的高度监管行业(如金融或医疗保健)尤其有益。

提供业务连续性。当组织投资于ISMS时，他们会自动提高对威胁的防御级别。这减少了网络攻击等安全事件的数量，从而减少了中断和停机时间，这是保持业务连续性的重要因素。

降低成本。ISMS提供了对所有资产的全面风险评估。这使组织能够优先考虑风险更高的资产，以防止在不必要的防御上不分青红皂白地花费，并提供一个集中的方法来保护它们。这种结构化的方法，加上由于安全事件的减少而减少的停机时间，大大降低了组织的总支出。

加强公司文化。ISMS为整个组织的安全和资产管理提供了一种全面的方法，而不仅仅局限于IT安全。这鼓励所有员工了解与信息资产相关的风险，并将安全更佳实践作为日常工作的一部分。

适应新出现的威胁。安全威胁不断演变。ISMS帮助组织准备和适应新的威胁以及不断变化的安全需求。

ISMS更佳实践

ISO 27001和ISO 27002标准为建立ISMS提供了更佳实践指南。以下是投资ISMS之前需要考虑的更佳实践清单:

了解业务需求。在执行ISMS之前，重要的是组织要对业务操作、工具和信息安全管理系统进行鸟瞰，以了解业务和安全需求。它还有助于研究ISO 27001框架如何帮助数据保护和负责执行ISMS的个人。

建立信息安全策略。在建立ISMS之前有一个信息安全策略是有益的，因为它可以帮助组织发现策略的弱点。安全策略通常应该提供组织内当前安全控制的总体概述。

监控数据访问。公司必须监控其访问控制策略，以确保只有经过授权的个人才能访问敏感信息。这种监视应该观察谁在何时何地访问数据。除了监控数据访问，公司还应该跟踪登录和认证，并保留记录，以供进一步调查。

进行安全意识培训。所有员工应定期接受安全意识培训。培训应向用户介绍不断变化的威胁形势、围绕信息系统的常见数据漏洞，以及保护数据不受损害的缓解和预防技术。

安全设备。通过采取安全措施来抵御黑客攻击，保护所有组织设备免受物理损坏和篡改。谷歌Workspace和Office 365等工具应该安装在所有设备上，因为它们提供内置的设备安全性。

加密数据。加密可以防止未经授权的访问，是防御安全威胁的更佳形式。在建立ISMS之前，应该对所有组织数据进行加密，因为这将防止任何未经授权的破坏关键数据的尝试。

备份数据。备份在防止数据丢失方面发挥着关键作用，在建立ISMS之前应该将其作为公司安全策略的一部分。除定期备份外，还应规划备份的位置和频率。组织还应该设计一个计划来保证备份的安全性，这应该适用于本地和云备份。

进行内部安全审计。在执行ISMS之前，应该进行内部安全审核。内部审计是组织获得其安全系统、软件和设备可见性的好方法，因为他们可以在执行ISMS之前识别和修复安全漏洞。

实现主义

建立ISMS的方法有很多种。大多数组织要么遵循计划-执行-检查-行动流程，要么学习ISO 27001国际安全标准，该标准有效地详细说明了ISMS的要求。

以下步骤说明如何实施ISMS:

定义范围和目标。确定哪些资产需要保护，以及保护它们背后的原因。考虑客户、利益相关者和受托人希望保护的内容的偏好。公司管理层还应该为ISMS的应用领域和局限性确定明确的目标。

识别资产。确定要保护的资产。这可以通过使用业务流程图创建业务关键型资产的清单来实现，这些资产包括硬件、软件、服务、信息、数据库和物理位置。

认识到风险。一旦确定了资产，就应该通过评估法律要求或遵从性指导方针对其风险因素进行分析和评分。组织还应该权衡已识别风险的影响。例如，他们可以质疑如果信息资产的机密性、可用性或完整性被破坏会造成多大的影响，或者这种破坏发生的可能性。最终目标应该是得出一个结论，概述哪些风险是可以接受的，哪些风险由于涉及的潜在危害而必须不惜一切代价加以解决。

确定缓解措施。有效的ISMS不仅识别风险因素，而且提供令人满意的措施来有效地减轻和对抗风险因素。缓解措施应制定明确的治疗计划，以全面避免风险。例如，一家公司试图避免丢失带有敏感客户数据的笔记本电脑的风险，应该首先防止将这些数据存储在该笔记本电脑上。一个有效的缓解措施是制定一项政策或规则，不允许员工在笔记本电脑上存储客户数据。

做出改进。所有上述措施的有效性都应进行监督、审核和反复检查。

信息安全管理系统(ISMS)是用于系统地管理组织敏感数据的策略和程序框架。

它包括流程、人员、技术和程序，旨在防止未经授权的访问、使用、披露、中断、修改或破坏信息。

ISMS是如何工作的?

ISMS的工作原理是为组织提供用于管理和保护其信息资产的结构化框架。

它由政策和过程组成，这些政策和过程定义了如何管理与信息安全相关的过程和活动。

ISMS还概述了参与信息安全管理的人员的角色和职责，并就如何识别、评估和减轻风险提供了指导。

它还可用于监视安全措施的有效性，并提供遵守适用法律法规的证据。

ISMS的好处是什么?

节省成本:ISMS可以通过降低响应数据泄露的成本、确保遵守适用的法律和法规以及降低保险费成本，帮助组织在长期内节省资金。

降低风险:ISMS帮助组织在潜在的安全风险有机会成为问题之前识别和处理它们。这有助于降低数据泄露、财务损失和声誉损害的风险。

增强竞争力:ISMS可以通过展示其对数据安全性和遵从性的承诺来帮助组织获得竞争优势。这可以帮助他们在拥挤的市场中脱颖而出，吸引更多的业务。

实施ISMS

有许多接近ISMS实现的方法。最常用的方法是“计划、执行、检查、行动”流程。

ISO 27001是详细说明ISMS要求的国际安全标准。

ISO 27001和ISO 27002中包含的更佳实践指南是帮助您开始实施ISMS的两个指南。

经过认证和审核的ISMS可以向客户保证，组织已采取措施保护其信息资产免受已识别的风险的影响。

ISMS的强度基于信息安全风险评估的健壮性，这是任何实现的关键。

认识到组织及其数据在未来可能面临的风险对于实施缓解措施(控制)是必要的。

ISO 27001提供了一个建议的控制列表，可以帮助评估是否已经考虑了立法、业务、合同或法规目的的必要控制。

开始使用您的ISMS

有效ISMS的关键是风险评估。毕竟，只有当您知道您所面临的威胁时，您才能实施适当的防御。

这可能是一项劳动密集型的任务，但是您可以使用我们的风险评估工具vsRisk来简化这个过程。

使用此软件包，您将获得一种快速而直接的方法来创建您的风险评估方法，并年复一年地交付可重复的，一致的评估。

它的资产库为每个资产组分配组织角色，默认情况下应用相关的威胁和风险。

同时，其集成的风险、漏洞和威胁数据库消除了编译风险列表的需要，内置的控制集帮助您遵守多个框架。

什么是ISO 27001第5.1条领导和承诺?

ISO 27001模板可以在许多方面提供帮助，并且确实有许多ISO 27001强制性文件。领导力和承诺是一个你既需要模板又需要得到管理层和领导层认可的领域。这是一种自上而下的方法。它必须被视为一种自上而下的方法。

这一特定的ISO 27001条款有相当多的元素，所以我们将通过它们进行研究。

ISO 27001条款5.1目的

第5.1条的目的是确保信息安全是自上而下的驱动。没有这一层次的承诺和驱动，信息安全管理注定要失败。把这个问题交给IT部门来解决，或者把它下放给较低的级别，人们会因为优先级冲突而不去做他们应该做的事情。

ISO 27001条款5.1定义

ISO 27001标准将ISO 27001条款5.1定义为:

更高管理者应通过以下方式证明对信息安全管理体系的领导作用和承诺:

A)确保建立了信息安全方针和信息安全目标，并与组织的战略方向相适应;

B)确保将信息安全管理体系要求融入组织的过程;

C)确保信息安全管理体系所需的资源可用;

D)沟通有效的信息安全管理和符合信息安全管理体系要求的重要性;

E)确保信息安全管理体系实现其预期结果;

F)指导和支持人员为信息安全的有效性做出贡献

G)促进持续改进

H)支持其他相关的管理角色，以证明他们的领导能力，因为这适用于他们的

ISO 27001:2022条款5.1领导和承诺

ISO 27001条款5.1要求

关于领导力和承诺，有8个具体的要求。这证明了标准对它的重视程度。阅读下面的实现指南，了解它们究竟是什么，如何快速而简单地满足需求。但首先……

ISO 27001模板

ISO 27001模板的优势在于，它可以大大节省时间和金钱，所以在我们进入实施指南之前，我们考虑一下这些预先编写的模板，它们将使您的实施迅速发展。对ISO 27001模板不感兴趣，那么您可以跳到下一节。

ISO 27001工具包包括您展示领导力和承诺所需的一切，并满足本条款的要求。

ISO 27001条款5.1实施指南

让我们依次查看每个需求。它看起来令人生畏，因为有很多单词，但实际上它真的很容易和直接做。

ISO 27001条款5.1 a—确保信息安全方针和信息安全目标的建立，并与组织的战略方向相一致

您将根据业务需求和业务面临的风险编写您的信息安全策略和相关的信息安全策略。这些被定义为构建信息安全管理系统(ISMS)过程的一部分。

我们确保我们的资讯保安目标是具体、可衡量、可实现、切合实际及适时的，并就每项目标清楚列出措施。在信息安全方针中记录和传达信息安全目标，并在管理评审小组会议上作为结构化议程的一部分进行报告和监督。

我们公司的使命和价值观以及我们是谁都记录在组织概述中。

当我们审视可能影响信息安全管理体系(ISMS)的相关方、他们的需求、内部和外部问题时，组织背景文件在创建我们的目标时起着关键作用。

ISO 27001条款5.1 b——确保将信息安全管理体系要求整合到组织的过程中

“如果没有写下来，它就不存在”的概念贯穿于ISO 27001认证。组织流程将需要用适当的文档标记和版本控制来记录和格式化文档。陈述我们做了什么，而不是我们认为审计人员想听到什么，这是关键，因为我们将根据我们所说的做了什么进行审计。如果我们不做我们说过要做的事，我们就会失败。

您将简单地记录您的流程，并注意至少有一个异常步骤。一个例外步骤迎合了“如果”流程不能工作或不能按计划进行的情况。如果更改失败了怎么办?如果软件更新失败怎么办?如果病毒没有被隔离怎么办?你懂的。审计人员总是会找出这个问题并提出问题。这是一个常见的审计失败，它没有被考虑和记录。

通过制定信息安全策略来满足这一点，然后编写实际流程并使其与这些策略保持一致。不要忘记记录范围内产品和服务的流程。政策是关于我们做什么而不是如何做的陈述。我们如何做到这一点在这些流程文档中有介绍。记录的过程步骤非常具体，以便任何人，甚至以前从未在该领域工作过的人，都可以遵循它们并获得相同且一致的结果。

ISO 27001条款5.1 c—确保信息安全管理体系所需的资源可用

ISO 27001实施的成功和ISO 27001认证的成功取决于是否有合适的资源可用、分配和使用。

要领导这项工作，你真的应该考虑引入一些专家的帮助。以前做过很多次的人的知识和经验会给你带来好处，让你不再犯代价高昂的错误和浪费大量的时间。如果这不是您的选择，那么让您的团队成员接受ISO 27001首席实施者或ISO 27001首席审核员的培训可能是一个可行的选择。这些课程需要注意的是，它们主要是基于预订的，本质上是通用的。他们不会分享你如何在你的组织中实际实现的现实世界的考验和磨难。

无论您走哪条路，都需要有一个资源来领导实现和认证。

然后是理解ISO 27001标准和ISO 27001附件a控制(称为ISO 27002)并将团队成员分配到这些控制的情况。为此，您可以将其记录在ISMS附件A控制-责任矩阵中，该矩阵为每个ISO 27002 /附件A控制分配责任。

这项工作由第三方公司执行是可以的，但你仍然必须分配内部责任来管理它并确保它完成。

确定您的信息安全领导团队是很简单的，您将实施一个管理评审小组，负责监督信息安全管理系统(ISMS)。确定谁会参加这个会议的更好方法是，从业务部门的每个部门派一名代表(如果还没有涉及到的话)和领导团队的成员。

ISO 27001条款5.1 d——沟通有效的信息安全管理和符合信息安全管理体系要求的重要性

所有层次、所有媒介都需要沟通，并且有一些非常具体的要求。它可以很容易地实现和证明。

它可以有多种形式。例如，它将成为你与供应商、客户以及员工签订的任何法律合同的一部分。

你们将实施信息安全意识和培训政策，规定公司的培训和意识，并部署培训工具，允许你们安排沟通，并包括可用于证明合规性的测试或测验等理解确认。您将根据业务需求和业务风险计划培训，但您将至少每年进行一次基本信息安全意识培训和基本数据保护培训。您可以根据特定群体和子群体的特定需求定制您的培训和沟通。

你们将执行一项传播计划，列出本年度通过媒体和方法进行的传播。它将是一份记录和计划，记录了沟通的内容，沟通的对象，沟通的内容以及沟通的方式，它将包括沟通发生的证据。

可能还有其他涉及沟通的过程，你会证明的。在这里，我们考虑当员工离开或因终止合同而离开时，我们希望再次沟通他们在信息安全合同下的要求以及我们对他们的期望。

ISO 27001条款5.1 e -确保信息安全管理体系实现其预期结果

资讯保安管理系统(ISMS)订明各项目标。这些都在管理评审小组会议上进行管理和评审，并记录在文件中:分配的信息安全角色和责任。

议程模板载列该标准的规定，包括定期汇报和监察我们为实现资讯保安目标而推行的资讯保安措施。获得正确的度量，然后记录和报告它们是确保预期结果的主要方法。

此外，我们还有一个正在进行的内部审计项目，我们的审计计划列出了本年度的审计计划。内部审核是持续改进的一部分，是ISO 27001的基本原则，您将实施持续改进政策和相关流程。此过程利用事件和纠正措施日志来捕获和管理纠正措施和改进。

ISO 27001条款5.1 -指导和支持人员为信息安全管理体系的有效性做出贡献

我们希望人们有效地做出贡献，而我们做到这一点的方式是通过沟通和支持他们。如果我们不告诉人们应该做什么，我们就不能指望他们去做。您将拥有包含信息安全要求的雇佣合同和第三方合同。

你会有一份能力矩阵，列出员工在资讯保安方面的核心能力和培训要求。

你们的信息安全意识和培训政策规定了培训和意识，你们的培训工具和包用于管理流程和合规性。

《传播计划》规定了本年度通过媒体进行的传播和上述讨论的方法。

ISO 27001条款5.1促进持续改进

如前所述，持续改进是一个核心原则。这不是一劳永逸的。外部审计将每年进行，内部审计也将进行。需要管理的事件会发生。政策和程序的偏离将会发生。新的工作方式和新的工具将被确定。

你们的持续改进政策规定了持续改进政策，事件和纠正措施日志记录并管理纠正措施和改进。

沟通计划规定了本年度在媒体和方法上的沟通，你的管理评审小组负责监督整个持续改进过程。

ISO 27001条款5.1 h -支持其他相关管理角色在其职责范围内展示其领导能力

您开始看到一种模式，即一小部分文档可以满足大量需求。这是因为它们有意以这种方式编写，以提供最有效的ISO 27001实施方法。为了提高效率，整个ISO 27001工具包经过了精简。对于本款，“分配的信息安全角色和责任”规定了角色和责任以及分配的资源。应该建立一个管理评审小组，由来自整个企业的代表组成。胜任力矩阵列出员工在资讯保安方面的核心胜任力和培训要求。《传播计划》规定了本年度通过媒体和方法进行的传播。

我如何通过ISO 27001条款5.1的审核?

为了通过ISO 27001条款5.1的审核，你们将确保你们遵循了上述实施指南中的步骤。

然后你们将按照《如何实施ISO 27001内部审核指南》进行内部审核。

审计将检查什么?

审核将检查若干领域是否符合第5.1条。我们来看看

1. 高层领导的面试

审计过程的一部分将是一系列访谈，其中至少有一次是与高层领导进行的访谈。在这里，他们会询问有关信息安全管理系统的问题。他们将询问信息安全的目标，他们上次进行管理审查的时间，政策在哪里，过去12个月是否发生过事件。这是一个一般性的面试，但如果你的高层领导没有真正参与其中，你就会暴露出来。

2. 您的文档

这很简单，但他们会检查与领导和承诺有关的信息安全管理体系所需的文件和过程。这通常意味着沟通计划和发送的沟通，管理评审已经发生，你可以证明它们。所有文件和流程都已签署并沟通。通读上面的实现指南，并确保完成它。

3.你有资源

领导和展示承诺的一部分是拥有足够的资源来运行ISMS。在这里，他们关注的是角色和职责，能力矩阵，培训计划。人们是否被分配到不同的角色，他们是否具备执行任务的技能。

人们在ISO 27001条款5.1中最常犯的3个错误