iso27001信息安全体系认证机构:ISO 27001资讯保安政策常见问题解答

什么是ISO 27001资讯保安政策?

资讯保安政策是一项高层次的政策，规定了机构的管理方法。它包括一些关键因素，如管理和领导购买。作为一份独立的文件，它可以与员工分享，解释他们应该做什么，也可以与客户和潜在客户分享，向他们保证你在做正确的事情。

它是如何工作的?

您将有一套符合ISO 27001要求的政策。这对治理框架有很好的实际意义。这些都可以放在一个文件中，但有单独的政策有实际的好处。通过使用单独的政策文件，它们是:

易于与他们相关的人沟通和分享

很容易分配一个所有者谁将保持它的最新和实现它

易于审查和签署

ISO 27001资讯安全策略模板

ISO 27001资讯安全策略模板旨在节省数小时的工作时间，并预先编写和完整填充，符合ISO 27001和其他领先框架的要求。

ISO 27001资讯安全策略示例PDF

作为ISO 27001信息安全策略示例的摘录

为什么信息安全政策很重要?

信息安全策略非常重要，因为您的组织处理、存储和传输有价值的数据和信息。为了理解信息安全策略的价值，让我们将所保护的数据分成三个部分。

客户数据:无论你的产品或服务是什么，你都要处理一些描述的客户数据。可以是客户个人信息、订单信息、技术信息。最根本的是你的客户非常关心这些信息。他们也关心你如何照顾和保护它。

员工数据:你有员工，你有他们最私人和个人的信息。你很可能有姓名、地址、银行信息、社会保障和税务信息、疾病信息、业绩数据、养老金信息等等。你的员工非常关心保护他们最私人的信息。

公司数据:你有与你的业绩有关的财务数据，你有客户数据库和CRM，你可能有知识产权或关于你开展业务的秘密。你的老板非常关心保护这一点，以保护他们的利润。

如何实施资讯保安策略?

信息安全策略是由组织创建的文件。通常在Microsoft Word中创建，最终版本保存为PDF。它将以更佳实践为基础，例如国际资讯保安标准ISO 27001。它将包含关键的公共元素，这些元素是每个组织的标准。信息安全政策将由管理层批准，然后与员工分享，让他们知道对他们的期望。这可能是年度员工培训的一部分。这些政策将至少每年进行审查、更新和重新发布。作为大多数客户招标和投标的一部分，您将被要求提供您的信息安全政策的副本，并将与他们共享。

如何创建信息安全策略?

建立资讯保安策略的最简单方法是下载资讯保安策略范本，并为你的机构量身订造。通过下载一个受信任的模板，大多数艰苦的工作已经为您完成了。

这个关于如何创建信息安全策略的视频已经被观看了8000多次。如果您正在自己做，请观看并一步一步地学习如何在5分钟内创建信息安全策略。

ISO 27001资讯保安政策常见问题解答

资讯保安政策的目的是什么?

该政策的目的是制定适用于公司的信息安全政策，以保护数据的机密性、完整性和可用性。

资讯保安政策的范围是什么?

该策略适用于所有员工和第三方用户。这包括长期员工、承包商、顾问和为您的企业工作的第三方供应商员工。

资讯保安政策的原则是什么?

信息安全的管理基于风险、法律法规要求和业务需求。

信息安全政策是否包括领导承诺?

是的。在政策中加入行政长官的声明，是记录领导承诺的好方法。

什么是资讯保安政策?

资讯保安政策规定了你为资讯保安所做的工作。它涵盖了你做什么，而不是你怎么做。如何做到这一点在过程、程序和操作文件中都有说明。它为组织设定了明确的方向。

ISO 27001是否要求资讯安全策略?

是的。资讯保安政策是ISO 27001的主要要求，是ISO 27001和ISO 27002 /附件a的一部分。

从哪里可以获得信息安全策略模板和更佳实践?

信息安全策略模板和更佳实践的副本可以在这里找到:https://hightable.io/product/information-security-policy-template/

保密的定义是什么?

只有拥有适当权限的人才能获取信息。

合适的人，有合适的渠道。

诚信的定义是什么?

信息完整、准确

合适的人有合适的权限访问合适的数据。

可用性的定义是什么?

信息在需要的时候是可用的

合适的人在合适的时间获得合适的数据。

CIA代表什么?

CIA代表数据的保密性、完整性和可用性。

ISO 27001认证是否需要信息安全策略?

是的，这是ISO 27001认证的必要元素。

资讯保安政策包括什么?

信息安全管理政策至少包括以下内容:

文档版本控制

文档目录

目的

范围

资讯保安政策

原则

行政总裁承诺声明

介绍

资讯保安的定义

资讯保安目标

资讯保安政策架构

信息安全的角色和责任

监控

法律和监管义务

政策合规

遵从性测量

异常

不符合

持续改进

如何编写信息安全策略

所需时间:4小时30分钟

如何编写信息安全策略

创建版本控制和文档标记

ISO 27001文件要求对作者、变更、日期和版本进行版本控制，以及文档标记等文档分类。

撰写文档的目的

写出文件的目的。此策略的目的是防止数据丢失。

写出政策的范围

考虑信息安全策略的范围。它应该真正适用于为你公司工作的所有员工和第三方员工。

写出策略所依据的原则

该政策的原则是数据的保密性、完整性和可用性。它是关于机密数据的安全和保护。

写一份首席执行官的承诺声明

由机构内最人士撰写一份声明，说明该机构对资讯保安的承诺。提供报价的日期。

定义资讯保安

提供了信息安全以及术语保密性、完整性和可用性的定义。

描述政策框架

提供策略框架及其组成部分的策略的描述。

列出角色和职责

创建信息安全的每个角色的定义以及他们的职责。

描述你将如何监控信息安全的有效性

布局您将用于验证信息安全是否有效的度量和监视器。

记录你的法律和法规义务

与法律顾问合作，制定组织遵守的法律法规

定义策略遵从性

规定如何实现对政策的遵守。

获得独立第三方对 ISMS 的认可，可以为组织带来

竞争优势，或使其能够 "赶上 "竞争对手。面临重大信息安全风险的客户越来越多地将 ISO 27001 认证作为投标书中的一项要求。

如果客户也通过了 ISO 27001 认证，那么从中期来看，他们将只选择与他们对其信息安全控制措施有信心并有能力遵守合同要求的供应商合作。

对于希望与这类客户合作的组织来说，拥有 ISO 27001 认证的 ISMS 是维持和增加其商业收入的关键要求。

运营

ISO 27001 的整体方法支持发展一种内部文化，这种文化对信息安全风险保持警惕，并采用一致的方法来应对这些风险。这种方法的一致性使控制措施在应对威胁时更加有力。实施和维护这些控制措施的成本也会降到更低，一旦控制措施失效，后果也会降到更低并得到更有效的缓解。

安心

许多组织都拥有对其运营至关重要的信息，这些信息对维持其竞争优势至关重要，或者是其财务价值的固有组成部分。

有了一套健全有效的 ISMS 系统，负责管理风险的企业所有者和管理人员就可以高枕无忧，因为他们知道自己不会面临巨额罚款、重大业务中断或声誉受损的风险。

在当今的知识经济时代，几乎所有组织都依赖于关键信息的安全。实施正式的 ISMS 是提供这种安全性的行之有效的方法。

ISO 27001 是国际公认的更佳 ISMS 框架，其合规性可通过独立验证，从而提升组织形象，增强客户信心。

主要原则和术语 

ISMS 的核心目的是保护敏感或有价值的信息。敏感信息通常包括有关员工、客户和供应商的信息。有价值的信息可能包括知识产权、财务数据、法律记录、商业数据和运营数据。

敏感信息和有价值信息所面临的风险类型一般可分为三类：

机密性--一人或多人未经授权获取信息。

完整性--信息内容发生变化，不再准确或完整。

可用性--信息访问丢失或受阻。

这些信息安全风险类型通常被称为 "CIA"。

信息安全风险通常是由于处理、存储、持有、保护或控制信息访问的资产存在威胁和漏洞而引起的。

这里的资产通常是指：人员、设备、系统或基础设施。

信息是组织希望保护的数据集，如员工记录、客户记录、财务记录、设计数据、测试数据等。

事件是指导致机密性丢失（如数据泄露）、完整性丢失（如数据损坏）或可用性丢失（如系统故障）的意外事件。

威胁是导致事件发生的原因，可能是恶意的（如小偷）、意外的（如按键错误）或天灾（如洪水）。

办公室窗户敞开、源代码错误或建筑物紧邻河流等弱点，都会增加威胁发生的可能性，从而导致不必要的、代价高昂的事故。

在信息安全方面，可以通过设计、实施和维护各种控制措施来管理风险，如窗户上锁、软件测试或将易受攻击的设备安装在地面以上。

符合 ISO 27001 标准的 ISMS 有一套相互关联的更佳实践流程，可促进和支持控制措施的适当设计、实施和维护。

构成 ISMS 一部分的流程通常是现有核心业务流程（如招聘、入职、培训、采购、产品设计、设备维护、服务交付）与维护和改进信息安全特定流程（如变更管理、信息备份、访问控制、事故管理、信息分类）的组合。

基于风险的思维/审计

审计是对信息安全管理系统进行评估的一种系统化、以证据为基础的过程方法。审计在内部和外部进行，以验证 ISMS 的有效性。审计是在信息安全管理中采用基于风险的思维方式的范例。

方审计--内部审计

内部审计是组织内部学习的机会。内部审核提供了时间来关注特定流程或部门，以真正评估其绩效。内部审核的目的是确保遵守由组织决定的政策、程序和流程，并确认是否符合 ISO 27001 的要求。

审核计划

制定审计计划听起来似乎很复杂。根据企业运营的规模和复杂程度，您可以安排每月到每年一次的内部审核。有关这方面的更多详情，请参阅第 9 节--绩效评估。

基于风险的思考

考虑审计频率的更佳方法是查看要审计的流程或业务领域所涉及的风险。任何高风险流程，无论是因为它出错的可能性大，还是因为一旦出错后果严重，都应该比低风险流程更频繁地接受审计。

如何评估风险完全取决于您。ISO 27001 并未规定任何特定的风险评估或风险管理方法。

第二方--外部审核

第二方审核通常由客户或他人代表客户执行，或者由您的外部供应商执行。第二方审计也可以由监管机构或任何其他与组织有正式利益关系的外部机构进行。

您可能无法控制这些审核的时间和频率，但建立自己的 ISMS 将确保您为这些审核的到来做好充分准备。

第三方--认证审核

第三方审核由外部机构执行，通常是 UKAS 认可的认证机构，如 NQA。

认证机构将评估是否符合 ISO 27001:2013 标准。这包括认证机构的代表访问组织并评估相关系统及其流程。维护认证还包括定期重新评估。

认证可向客户证明您对质量的承诺。

认证保证

定期评估，以持续监控和改进流程。

系统能够实现预期结果的可信度。

降低风险和不确定性，增加市场机会。

产出的一致性，旨在满足利益相关者的期望。

基于流程的思考/审计

流程是将输入转化为输出的过程，是实现计划目标的一系列步骤或活动。一个流程的产出往往会成为另一个后续流程的输入。很少有流程是孤立运行的。

"流程：一系列相互关联或相互作用的活动，这些活动使用输入来实现预期结果。

ISO 27001:2013 基本原理和词汇表

即使是审核也有流程方法。它从确定范围和标准开始，制定明确的行动方案以实现结果，并有明确的输出（审核报告）。使用过程方法进行审计还能确保为审计分配正确的时间和技能。这样就能对 ISMS 的绩效进行有效评估。

"当各项活动被理解为相互关联的流程并作为一个连贯的系统进行管理时，就能更有效、更高效地实现一致且可预测的结果"。

了解流程之间如何相互关联并产生结果，有助于识别改进机会，从而优化整体绩效。这同样适用于流程或部分流程被外包的情况。

准确了解这如何影响或可能影响结果，并与业务合作伙伴（提供外包产品或服务）明确沟通，可确保流程的清晰性和责任性。

最后一个流程步骤是审查审核结果，确保所获得的信息得到妥善利用。正式的 "管理评审 "是对 ISMS 的绩效进行反思，并就如何改进以及在哪些方面改进做出决策的机会。第 9 节--绩效评估中将更深入地介绍管理评审流程。

ISO 27001:2013 的 10 个条款

ISO 27001 由 10 个部分组成，称为条款。

与大多数其他 ISO 管理体系标准一样，ISO 27001 需要满足的要求在第 4.0 - 10.0 条中有明确规定。与大多数其他 ISO 管理体系标准不同的是，组织必须遵守条款 4.0 - 10.0 中的所有要求；组织不能声明一个或多个条款对其不适用。

在 ISO 27001 标准中，除了第 4.0 - 10.0 条款外，还有一套要求详列于称为附件 A 的部分，在第 6.0 条款中有所提及。附件 A 包含 114 项更佳实践信息安全控制措施。这 114 项控制措施中的每一项都需要加以考虑。要符合 ISO 27001 标准，组织必须实施这些控制措施，或者为不实施特定控制措施提供可接受的理由。

本指南的以下部分概述了每个条款的目的，强调了审计员希望看到的证据类型，以确认您符合要求，并给出了符合要求的有效方法提示。

第 1 部分：范围

ISO 27001 的 "范围 "部分规定了

标准的目的；

该标准适用于哪些类型的组织；以及

标准中包含要求的部分（称为条款），组织必须遵守这些要求才能获得 "符合 "标准的认证（即合规）。

ISO 27001 的设计适用于任何类型的组织。无论组织的规模、复杂程度、行业领域、目的或成熟度如何，都可以实施和维护符合 ISO 27001 标准的 ISMS。

第 2 部分：规范性引用文件

在 ISO 标准中，"规范性引用文件 "部分列出了与确定组织是否符合相关标准有关的其他标准。在 ISO 27001 中，只列出了一份文件--ISO 27000《信息技术--概述和词汇》。

ISO 27001 中使用的一些术语或详细要求在 ISO 27000 中有进一步解释。参考 ISO 27000 对帮助你更好地理解某项要求或确定遵守该要求的更佳方法非常有用。

提示--外部审核人员希望您在制定和实施 ISMS 时考虑到 ISO 27000 中包含的信息。

第 3 部分：术语和定义

ISO 27001 中没有给出术语和定义。ISO 27001 中没有给出术语和定义，而是参考了最新版本的 ISO 27000《信息安全管理体系--概述和词汇》。本文件的当前版本包含 ISO 27001 中使用的 81 个术语定义。

除了上文 "关键原则和术语 "部分解释的术语外，ISO 27001 中使用的最重要术语包括

访问控制"--确保只有需要访问特定资产的人才能访问该资产的流程，而 "需要 "是根据业务和安全要求确定的。

有效性"--计划活动（如流程、程序）按计划或规定执行并实现计划结果或产出的程度。

风险"--信息安全事件发生的可能性及其后果的组合。

风险评估"--识别风险、分析每种风险造成的风险程度以及评估是否需要采取额外行动将每种风险降低到更可容忍或可接受的程度的过程。

风险处理"--将已识别的风险降低到可容忍或可接受水平的过程或行动。

更高管理层"--组织中更高决策者群体。他们可能负责制定战略方向，确定并实现利益相关者的目标。

在编写信息安全管理系统文档时，您不必使用这些确切的术语。不过，如果能对所使用的术语进行定义，确实有助于明确其含义和意图。在系统文档中提供词汇表可能会有所帮助。

第 4 部分：组织背景

ISMS 的目的是保护组织的信息资产，使组织能够实现其目标。

如何实现这一目标以及具体的优先领域将取决于组织的运营环境，包括

内部--组织有一定控制权的事物；以及

外部--组织无法直接控制的事物。

认真分析贵组织的运营环境是识别信息资产安全固有风险的基础。在此基础上，您才能评估需要考虑增加或加强哪些流程，以建立有效的 ISMS。

内部环境

以下是在评估可能对 ISMS 风险有影响的内部问题时可以考虑的方面：

成熟度：你是一个敏捷的初创企业，需要在一张白纸上开展工作，还是一个有 30 多年历史的机构，拥有完善的流程和安全控制措施？

组织文化：你的组织对员工的工作方式、时间和地点要求宽松，还是极其严格？这种文化是否会抵制信息安全控制措施的实施？

管理：从组织的关键决策者到组织的其他成员，是否有清晰的沟通渠道和流程？

资源规模：您是与信息安全团队合作，还是一个人包揽所有工作？

资源成熟度：可用资源（员工/承包商）是知识渊博、训练有素、可靠稳定的，还是缺乏经验、不断变化的？

信息资产格式：信息资产是主要以硬拷贝（纸质）形式存储，还是以电子形式存储在现场服务器或远程云系统中？

信息资产的敏感性/价值：贵组织是否需要管理高价值或特别敏感的信息资产？

一致性：贵机构是否在整个组织内采用统一的流程，还是采用多种不同的操作方法，几乎没有一致性？

系统：贵组织是否有许多运行在制造商不再支持的软件版本上的遗留系统，或者贵组织是否维护最新、更好的可用技术？

系统复杂性：是使用一个主要系统完成所有繁重的工作，还是使用多个部门系统，但它们之间的信息传输有限？

物理空间：是有专门的安全办公设施，还是与其他组织共用办公空间？

外部环境

在评估可能对 ISMS 风险产生影响的外部问题时，可以考虑以下几个方面：

竞争：你是在一个瞬息万变、不断创新的市场中运营，需要进行多次系统升级才能保持竞争力，还是在一个成熟、稳定的市场中运营，每年几乎没有创新？

业主：升级实体安全系统是否需要获得批准？

监管机构/执法机构：您所在的行业是否要求定期进行法定变更，或者您所在的市场领域是否很少受到监管机构的监督？

经济/政治：货币波动是否会影响您的组织；英国脱欧是否会产生影响？

环境因素：贵机构是否位于洪泛平原，服务器是否位于地下室？是否有一些因素使贵机构的网站可能成为非法入侵或恐怖袭击的目标（例如，位于市中心的显要位置；毗邻可能的目标）？

信息安全攻击的普遍性：贵组织所处的行业是否经常引起黑客（犯罪分子、黑客活动家）的兴趣？

股东：他们是否非常担心组织容易受到数据泄露的影响？他们对组织为改善信息安全而付出的成本有多关注？

相关方

相关方是指任何受到、可能受到或认为自己会受到组织的行为或疏忽影响的人。在对内部和外部问题进行全面分析的过程中，你的利益相关方就会变得清晰起来。

他们可能包括股东、业主、监管者、客户、员工和竞争对手，也可能包括公众和环境，这取决于企业的性质。你不必试图理解或满足他们的每一个要求，但你必须确定他们的哪些需求和期望与你的 ISMS 相关。

管理系统的范围

要符合 ISO 27001 标准，必须记录 ISMS 的范围。记录的范围通常描述

包括（或不包括）的一个或多个物理站点的边界；

包括（或不包括）的物理和逻辑网络的边界；

包括（或不包括）的内部和外部员工群体；

包括（或不包括）的内部和外部流程、活动或服务；以及

范围边界上的关键接口。

如果你想通过建立一个不覆盖整个组织的 ISMS 系统来确定资源的优先级，那么选择一个仅限于管理关键利益相关者利益的范围不失为一种务实的方法。具体做法可以是只包括特定的场所、资产、流程和业务单位或部门。范围声明的一些示例

"IT 部门开展的所有业务

"电子邮件的支持和管理

"组织位于贝辛斯托克的数据中心的所有设备、系统、数据和基础设施"。

提示--记录或保存您在分析组织背景和相关方时整理的所有信息，如

与企业代表（如总经理、首席执行官或首席技术官）的讨论。

会议记录或业务计划。

确定内部/外部问题和相关方及其需求和期望的具体文件，如 SWOT 分析、PESTLE 研究或业务风险评估。

第 5 部分：领导力

领导力的重要性

这里的领导是指积极参与确定 ISMS 的方向、促进其实施并确保提供适当的资源。这包括

确保 ISMS 目标明确并与总体战略保持一致；

明确责任和义务；

基于风险的思维是所有决策的核心；以及

向 ISMS 范围内的所有人明确传达这些信息。

ISO 27001 非常重视高层管理人员对 ISMS 的积极参与，其依据是

更高管理层的参与对于确保广大员工有效实施和维护有效的 ISMS 至关重要。

信息安全政策

领导层的一项重要职责是制定并记录与组织主要目标相一致的信息安全政策。在更高层，信息安全政策必须包括目标或制定目标的框架（准则）。为表明该政策与组织的背景和主要利益相关者的要求相一致，建议该政策提及或概述其旨在管理的主要问题和要求。它还必须包括以下承诺

满足与信息安全有关的适用要求，如法律要求、客户期望和合同承诺；以及

持续改进 ISMS。

信息安全政策可参考或包括涵盖组织 ISMS 关键控制措施的子政策。例如：选择对信息安全至关重要的供应商、招聘和培训员工、清晰的桌面和清晰的屏幕、加密控制、访问控制等。

为显示信息安全政策的重要性，建议由更高管理层的更成员或更高管理层团队的每位成员授权。

提示--为确保信息安全政策得到很好的传达并提供给有关各方，更好能

将其纳入新员工和承包商的入职资料和介绍中；

在内部公告栏、内联网和组织网站上张贴主要声明；以及

将遵守和/或支持关键声明作为员工、承包商和信息安全关键供应商的合同要求。

角色和责任

要使信息安全活动成为组织内大多数人日常活动的一部分，就必须界定并明确传达他们的职责和责任。

虽然标准中没有要求指定信息安全代表，但对于某些组织来说，指定一名信息安全代表来领导信息安全团队，协调培训、监控控制，并向更高管理层报告 ISMS 的执行情况，可能会有所帮助。此人可能已经负责数据保护或 IT 服务。

不过，为有效履行职责，他们更好也是高层管理团队的成员，并具备丰富的信息安全管理技术知识，或能接触到具备相关知识的人员。

向审核员证明领导能力

更高管理层是指为组织或业务领域制定战略方向并批准资源分配的人员群体，其工作范围与 ISMS 有关。根据组织结构的不同，这些人员可能是也可能不是日常管理团队。审计员通常会通过与一名或多名更高管理层成员面谈，评估他们在以下方面的参与程度，从而对领导力进行测试：

评估风险和机遇

制定和传达政策

制定和传达目标

系统绩效的审查和沟通；以及

分配适当的资源、责任和义务。

提示--在外部审计之前，确定更高管理层中哪些人将与外部审计师会面，并对可能提出的问题进行模拟演练，使他们做好面试准备。