iso27001信息安全管理体系:ISO/IEC 27001:2013信息安全管理标准

ISO/IEC 27001:2013信息安全管理标准

国际标准化组织(ISO)是一个独立的非政府组织，也是世界上更大的自愿性国际标准制定机构。国际电工委员会(IEC)是编制和出版电气、电子及相关技术国际标准的组织。

ISO/IEC 27000系列标准由ISO/IEC联合小组委员会发布，概述了数百种控制和控制机制，以帮助各种类型和规模的组织保持信息资产的安全。这些全球标准为政策和程序提供了一个框架，其中包括组织信息风险管理过程中涉及的所有法律、物理和技术控制。

ISO/IEC 27001是一项安全标准，它正式规定了信息安全管理体系(ISMS)，旨在将信息安全置于明确的管理控制之下。作为正式的规范，它规定了定义如何实现、监视、维护和持续改进ISMS的需求。它还规定了一组更佳实践，其中包括文档需求、职责划分、可用性、访问控制、安全性、审计以及纠正和预防措施。ISO/IEC 27001认证有助于组织遵守与信息安全相关的众多法规和法律要求。

微软和ISO/IEC 27001

ISO/IEC 27001的国际接受度和适用性是该标准认证处于微软实施和管理信息安全方法前沿的关键原因。微软获得ISO/IEC 27001认证表明，它从业务、安全合规的角度出发，致力于兑现对客户的承诺。目前，Azure Public和Azure Germany每年都由第三方认证机构进行一次ISO/IEC 27001合规性审核，提供安全控制到位和有效运行的独立验证。

了解ISO/IEC 27001在微软云上的好处:下载ISO/IEC 27001:2013。

微软范围内的云平台和服务

Azure、Azure政府和Azure德国

Azure DevOps服务

微软云应用程序卫士

Microsoft Defender for Endpoint

Dynamics 365, Dynamics 365政府版和Dynamics 365德国版

微软图

微软医疗保健机器人

Intune

微软管理桌面

Power automation(以前的Microsoft Flow)云服务可以作为独立服务，也可以包含在Office 365或Dynamics 365品牌计划或套件中

Office 365、Office 365美国政府和Office 365美国政府国防

Office 365德国

OMS服务地图

PowerApps云服务可以作为独立服务，也可以包含在Office 365或Dynamics 365品牌计划或套件中

Power BI云服务可以作为独立服务，也可以作为包含在Office 365品牌计划或套件中的服务

Power BI嵌入式

电源虚拟代理

微软专业服务

微软流

微软威胁专家

微软翻译

微软Viva主题

Windows 365

Azure、Dynamics 365和ISO 27001

有关Azure、Dynamics 365和其他在线服务合规性的详细信息，请参阅Azure ISO 27001:2013产品。

Office 365和ISO 27001

Office 365环境

Microsoft Office 365是一个多租户超大规模云平台，可为全球多个地区的客户提供应用程序和服务的集成体验。大多数Office 365服务允许客户指定其客户数据所在的区域。Microsoft可能会将客户数据复制到同一地理区域内的其他区域(例如，美国)以获得数据弹性，但Microsoft不会将客户数据复制到所选地理区域之外。

本节介绍以下Office 365环境:

客户端软件(Client):运行在客户设备上的商用客户端软件。

Office 365(商用):全球通用的商用公共Office 365云服务。

Office 365政府社区云(GCC): Office 365 GCC云服务适用于美国联邦、州、地方和部落政府，以及代表美国政府持有或处理数据的承包商。

Office 365政府社区云-(GCC):Office 365 GCC云服务是根据国防部(DoD)安全要求指南Level 4设计的，控制和支持严格监管的联邦和国防信息。该环境被联邦机构、国防工业基地(dib)和政府承包商所使用。

Office 365 DoD (DoD): Office 365 DoD云服务根据国防部安全要求指南Level 5进行设计，并支持严格的联邦和国防法规。此环境仅供美国国防部使用。

使用本节帮助您在受监管的行业和全球市场中履行合规义务。要了解哪些服务在哪些地区可用，请参阅国际可用性信息和Microsoft 365客户数据存储的位置文章。有关Office 365政府云环境的更多信息，请参阅Office 365政府云文章。

贵组织应全权负责确保遵守所有适用的法律法规。本节提供的信息不构成法律建议，您应咨询法律顾问有关您组织的法规遵从性的任何问题。

Office 365的适用性和范围内服务

使用下表确定Office 365服务和订阅的适用性:

Office 365审计、报告和证书

Office 365云服务至少每年根据ISO 27001:2013标准进行审核。

我可以在我的组织的认证中使用Office 365服务的ISO/IEC 27001合规性吗?

是的。如果您的企业需要对部署在Microsoft服务上的实现进行ISO/IEC 27001认证，您可以在合规性评估中使用适用的认证。然而，你们有责任聘请审核员来评估你们组织内部的控制和流程，以及你们实施的ISO/IEC 27001合规性。

使用Microsoft权限遵从管理器来评估您的风险

Microsoft Purview Compliance Manager是Microsoft Purview遵从性门户中的一个功能，它可以帮助您了解组织的遵从性状态，并采取行动来帮助降低风险。合规管理器为企业E5客户对该法规进行了预构建评估。在Compliance Manager中的评估模板页面中找到构建评估的模板。学习如何在合规管理器中构建评估。

获得ISO 27001认证需要多长时间?

有许多因素可以决定它需要多长时间。关键因素是认证的范围，它本身包括以下内容:组织的规模、流程的数量和复杂性、地点的数量和员工的数量。然后是组织内部信息安全能力和知识的成熟度。通常，随着规模和复杂性的增加，需要花费更多的时间和精力。如果组织已经有管理体系标准的经验，比如ISO 9001质量管理体系，这个过程可能会更快。

我们始终建议将获得ISO 27001认证视为项目并进行相应的管理。这既可以在内部完成，也可以在ISO 27001顾问的支持下完成——我们的销售团队可以帮助组织决定并推荐我们高度信任的顾问。

拥有经验丰富的人员的良好项目可能需要2到3个月，尽管超过6个月的情况并不罕见。在理想的情况下，组织在审核前将有一个功能完备的管理体系。在项目即将结束时，组织将经历一个短暂的阶段审计——这本质上是一个准备检查。然后进行阶段2审核，通常需要几天的时间，这是对标准和组织的信息安全控制的每个要求进行审查的地方。

谁可以颁发ISO 27001认证?

只有通过ISO 27001:2013认证的认证机构(CBs)才能颁发ISO 27001:2013证书。您可以通过搜索UKAS认可CB目录来检查CB是否被认可为特定标准。

为了更好地理解cb如何能够颁发证书，有必要解释一下全球认证结构。

cb是被授权向组织颁发证书的组织。在一些有许多cb，由于国际认可制度，由认可cb颁发的所有证书都是全球相互认可的。

为了使认证机构获得特定ISO标准的认可，认证机构必须经过经批准的认可机构(NAB)的认可审核。英国的NAB是英国认可服务(UKAS)。

UKAS是欧洲合作认证(EA)多边协议(MLA)的签署国。

EA MLA由国际认可论坛在全球范围内认可，这意味着由英国认可的CB颁发的证书在全球范围内得到认可。同样，例如，由美国CB颁发的由ANSI认可委员会认可的证书在英国具有相互地位。

ISO 27001的14个领域是什么?

ISO 27001:2013的附件A列出了14个“控制目标”，每个目标都包含一组安全控制(总共114个，在ISO 27002:2017中有详细描述)。这些控制目标是:

A.5信息安全策略

A.6信息安全组织

A.7人力资源保障

A.8资产管理

A.9访问控制

A.10密码学

A.11物质和环境安全

A.12操作安全

A.13通信安全

A.14系统获取、开发和维护

A.15供应商关系

A.16信息安全事件管理

A.17业务连续性管理的信息安全方面

A.18合规

ISO 27001是否涵盖网络安全?

什么是网络安全?有各种各样的定义，但总的来说，它是指计算机系统和服务的安全，特别是在网络环境中。这意味着它是一个非常广泛的领域，包括许多技术和技巧。

而ISO 27001通常被称为信息安全标准，它实际上是一个管理体系。但仔细看看BSI标题页的封面:

信息技术。安全技术

信息安全管理系统。要求

很难把信息技术和网络技术分开。在几乎所有的网络环境中，它都是为了提供网络服务而被底层技术处理的信息。因此，信息安全和网络安全这两个术语经常互换使用。这一事实进一步加强了基础的安全原则是共同的。

ISO27001:2013被认为是信息安全的行业标准，被全球各个部门的组织使用，以改进和展示其安全实践。看看主要的网络服务供应商，如微软和b谷歌，他们都有各种ISO 27001认证。

所以ISO 27001确实涵盖了网络安全，它提供了一个管理网络安全风险和信息安全风险的框架。

ISO 27001涵盖了什么

如何检查一家公司是否通过了ISO 27001认证?

没有公开注册的认证公司。但是获得认证的公司会被他们的认证机构颁发证书，所以你可以要求看一份副本。你应检查该公司的ISO 27001证书上的下列项目:

ISO 27001的当前版本是ISO 2001:2013。任何旧版本都不再有效。当发布新版本时，会有一个过渡期，在此期间组织采用新版本，因此只有在此期间才会有不同的版本号(ISO 27001:2013目前没有过渡)。

截止日期。

证明是给公司的。在多集团公司中，通常情况是只有一个特定的成员公司获得了认证——除非在证书上注明，否则该认证不会覆盖集团的其他成员。

证书所涵盖的物理站点。这只有在您知道服务是从哪里交付的情况下才真正有用。

认证的范围。认证的范围是否涵盖组织提供给你的产品?仅仅因为一个组织声称它通过了ISO 27001认证并不总是意味着它与您相关。

颁发证书的认可机构。在英国，这可能是UKAS，但由于全球相互承认计划，它可能是一个非英国的认证机构。重要的是要检查认证机构是否订阅了IAF。

你可以索取适用性声明的副本。检查它，以确认他们没有排除任何可能需要的控制，以确保他们提供的服务。

ISO 27001和ISO 27002有什么不同?

ISO 27001规定了信息安全管理体系的要求。这包括要求考虑114个行业标准的安全控制，这些标准在ISO 27001附件A中有详细规定。

ISO 27002为ISO 27001附录a中的每一项控制提供了实施指南。它们是对附录a控制要求的真正有益的扩展，并为组织提供了安全的行业更佳实践指导。

这意味着在术语上有一个重要的区别。在附录A中，控制的措辞是“组织应……”，而在ISO 27002中，同样的控制是“组织应……”。“应当”是强制性要求，“应当”是指导性要求。

组织可以通过ISO 27001认证，但不能通过ISO 27002认证。

如何使用ISO 27701管理个人资料?

这是一个宏大的课题。但是个人数据是一种信息资产，因此应该像其他有价值的信息资产一样进行安全管理。但GDPR(或任何其他地区隐私立法)规定了组织和个人必须遵守的额外要求。在NQA看来，管理个人数据的更佳框架是ISO 27701。它为组织必须遵守的所有GDPR条款提供了控制要求和指导。它并不是特定于GDPR的(尽管在附件中有一个GDPR映射表)，但它可以应用于大多数其他隐私立法。

这是法国相当于ICO的CNIL在2020年4月发布的一份新闻稿中的一段话:“该标准是在国际层面起草的，来自各大洲的专家做出了贡献，并有几个数据保护当局参与。在欧洲数据保护委员会的支持下，来自CNIL的专家积极为该标准做出了贡献。它代表了隐私保护方面的最新技术，将允许采用它的组织提高其成熟度，并展示一种积极的数据保护方法。”

什么是私隐资料管理系统(PIMS)?

个人资料管理制度是一个持续改进的框架，用于管理个人资料和支持遵守有关的私隐法例。PIMS通常与信息安全管理系统相关联，实际上，要实现ISO 27701 PIMS，组织还必须具有ISO 27001 ISMS。这意味着ISO 27001中的条款为所有与隐私相关的活动提供了基础。

为什么要开发ISO 27701 ?

ISO 27001规定了ISMS，这是一个管理框架，通过它您可以识别、分析和解决信息安全风险。需要注意的重要一点是，它确保安全安排对您的业务进行了微调——它不是驱动业务，而是使业务能够跟上安全威胁、漏洞和业务影响的变化。

无论现有ISMS的成熟度如何，都不能保证数据保护需求得到充分考虑，特别是在引入具有隐私要求的立法之后——GDPR就是一个很好的例子。现有的ISO 27001证书可确保组织证明信息安全

ISO27001信息安全管理体系实施的4个阶段

越来越多的公司看到了获得ISO27001证书的价值。毕竟，不断有新的网络威胁和攻击，越来越多的立法和某些行业要求公司实施特定的安全标准。因此，安全证书正在成为关键的业务启用器。

东丰的数字安全教练支持您在组织中实施ISO27001信息安全管理体系(ISMS)。这个过程包括4个阶段。

阶段1:塑造您的ISMS

在我们顾问的帮助下，我们将起草必要的文档(安全策略、流程、说明)，以便将标准的要求转化为适合您组织的“安全操作模型”。

这在实践中分为两个步骤。

顾问根据安全风险评估结果和Toreon文件数据库起草文件的版。该数据库包含许多详细的ISMS文档示例，教练可以使用这些文档为您创建高效且定性的文档。

然后处理来自涉众的反馈，然后教练建立一个ISMS，并为您的公司量身定制文档。80/20法则适用于此。80%的文档是特定于部门的，因为相同的度量经常重复出现，20%是特定于组织的。

阶段2:实施ISO27001

在阶段2中，您的顾问指导您在技术上和操作上实现在阶段中确定的技术控制。

在此阶段，您负责ISO27001实施过程，应用所有的过程和控制。Toreon的高科技安全专家随时为您提供支持。目标是使您的安全人员能够自力更生，这样他就可以自己维护系统。在这个阶段，东瀛还提供“安全意识”课程，向所有员工传达所有新的安全要求。

阶段3:监视和控制您的ISMS

Toreon执行次内部审核，检查您是否准备好获得ISO27001证书。这样的内审也是获得证书的硬性条件。本次审核由没有参与你们ISMS实施的顾问完成，以确保足够的客观性和中立性。

顾问采用与外部审核员相同的方法，符合ISO19011的要求。这样，您的组织就为外部认证审核做好了更佳准备。

建立ISMS

了解我们如何帮助Teal Partners

阶段4:改进和认证

在组织获得认证之前，必须消除内部审核中发现的不符合项。Toreon在这方面指导您，同时帮助您管理认证计划。在外部审核期间，你们的顾问也在场，与审核员交谈。东瀛的顾问具有外部审计经验，非常了解外部审计人员的期望，并能将他们的期望转化为组织实施的措施。