iso27001信息安全管理认证:ISO/IEC 27001概述
什么是ISMS?
信息安全管理系统(ISMS)是一套策略和程序,用于系统地管理组织的敏感数据。ISMS的目标是通过主动限制安全漏洞的影响来最小化风险并确保业务连续性。
ISMS通常处理员工行为和流程以及数据和技术。它可以针对特定类型的数据,例如客户数据,也可以以一种全面的方式实现,成为公司文化的一部分。
ISMS是如何工作的?
ISMS为管理组织的信息安全提供了系统的方法。信息安全包括控制和管理整个组织的安全风险级别的某些广泛策略。
ISO/IEC 27001是信息安全和建立ISMS的国际标准。该标准由国际标准化组织和国际电工委员会联合发布,不要求采取具体措施,但包括文件、内部审核、持续改进以及纠正和预防措施方面的建议。要获得ISO 27001认证,组织需要一个能够识别组织资产并提供以下评估的ISMS:
信息资产面临的风险;
为保护信息资产所采取的步骤;
发生安全漏洞时的行动计划;和
识别负责信息安全过程每一步的个人。
ISMS的目标不一定是更大化信息安全,而是达到组织所期望的信息安全级别。根据行业的具体需求,这些控制水平可能会有所不同。例如,由于医疗保健是一个高度监管的领域,因此医疗保健组织可以开发一个系统来确保敏感的患者数据得到充分保护。
ISMS的好处
ISMS提供了一种管理组织内信息系统的整体方法。这提供了许多好处,其中一些在下面强调。
保护敏感数据。ISMS保护所有类型的专有信息资产,无论它们是基于纸张的、以数字方式保存的还是驻留在云中的。这些资产可以包括个人数据、知识产权、财务数据、客户数据和通过第三方委托给公司的数据。
满足法规遵从性。ISMS帮助组织满足所有法规遵从性和合同要求,并更好地掌握信息系统的合法性。由于违反法律法规将面临巨额罚款,因此拥有ISMS对于具有关键基础设施的高度监管行业(如金融或医疗保健)尤其有益。
提供业务连续性。当组织投资于ISMS时,他们会自动提高对威胁的防御级别。这减少了网络攻击等安全事件的数量,从而减少了中断和停机时间,这是保持业务连续性的重要因素。
降低成本。ISMS提供了对所有资产的全面风险评估。这使组织能够优先考虑风险更高的资产,以防止在不必要的防御上不分青红皂白地花费,并提供一个集中的方法来保护它们。这种结构化的方法,加上由于安全事件的减少而减少的停机时间,大大降低了组织的总支出。
加强公司文化。ISMS为整个组织的安全和资产管理提供了一种全面的方法,而不仅仅局限于IT安全。这鼓励所有员工了解与信息资产相关的风险,并将安全更佳实践作为日常工作的一部分。
适应新出现的威胁。安全威胁不断演变。ISMS帮助组织准备和适应新的威胁以及不断变化的安全需求。
ISMS更佳实践
ISO 27001和ISO 27002标准为建立ISMS提供了更佳实践指南。以下是投资ISMS之前需要考虑的更佳实践清单:
了解业务需求。在执行ISMS之前,重要的是组织要对业务操作、工具和信息安全管理系统进行鸟瞰,以了解业务和安全需求。它还有助于研究ISO 27001框架如何帮助数据保护和负责执行ISMS的个人。
建立信息安全策略。在建立ISMS之前有一个信息安全策略是有益的,因为它可以帮助组织发现策略的弱点。安全策略通常应该提供组织内当前安全控制的总体概述。
监控数据访问。公司必须监控其访问控制策略,以确保只有经过授权的个人才能访问敏感信息。这种监视应该观察谁在何时何地访问数据。除了监控数据访问,公司还应该跟踪登录和认证,并保留记录,以供进一步调查。
进行安全意识培训。所有员工应定期接受安全意识培训。培训应向用户介绍不断变化的威胁形势、围绕信息系统的常见数据漏洞,以及保护数据不受损害的缓解和预防技术。
安全设备。通过采取安全措施来抵御黑客攻击,保护所有组织设备免受物理损坏和篡改。谷歌Workspace和Office 365等工具应该安装在所有设备上,因为它们提供内置的设备安全性。
加密数据。加密可以防止未经授权的访问,是防御安全威胁的更佳形式。在建立ISMS之前,应该对所有组织数据进行加密,因为这将防止任何未经授权的破坏关键数据的尝试。
备份数据。备份在防止数据丢失方面发挥着关键作用,在建立ISMS之前应该将其作为公司安全策略的一部分。除定期备份外,还应规划备份的位置和频率。组织还应该设计一个计划来保证备份的安全性,这应该适用于本地和云备份。
进行内部安全审计。在执行ISMS之前,应该进行内部安全审核。内部审计是组织获得其安全系统、软件和设备可见性的好方法,因为他们可以在执行ISMS之前识别和修复安全漏洞。
实现主义
建立ISMS的方法有很多种。大多数组织要么遵循计划-执行-检查-行动流程,要么学习ISO 27001国际安全标准,该标准有效地详细说明了ISMS的要求。
以下步骤说明如何实施ISMS:
定义范围和目标。确定哪些资产需要保护,以及保护它们背后的原因。考虑客户、利益相关者和受托人希望保护的内容的偏好。公司管理层还应该为ISMS的应用领域和局限性确定明确的目标。
识别资产。确定要保护的资产。这可以通过使用业务流程图创建业务关键型资产的清单来实现,这些资产包括硬件、软件、服务、信息、数据库和物理位置。
认识到风险。一旦确定了资产,就应该通过评估法律要求或遵从性指导方针对其风险因素进行分析和评分。组织还应该权衡已识别风险的影响。例如,他们可以质疑如果信息资产的机密性、可用性或完整性被破坏会造成多大的影响,或者这种破坏发生的可能性。最终目标应该是得出一个结论,概述哪些风险是可以接受的,哪些风险由于涉及的潜在危害而必须不惜一切代价加以解决。
确定缓解措施。有效的ISMS不仅识别风险因素,而且提供令人满意的措施来有效地减轻和对抗风险因素。缓解措施应制定明确的治疗计划,以全面避免风险。例如,一家公司试图避免丢失带有敏感客户数据的笔记本电脑的风险,应该首先防止将这些数据存储在该笔记本电脑上。一个有效的缓解措施是制定一项政策或规则,不允许员工在笔记本电脑上存储客户数据。
做出改进。所有上述措施的有效性都应进行监督、审核和反复检查。
ISMS是如何工作的?
ISMS的工作原理是为组织提供用于管理和保护其信息资产的结构化框架。
它由政策和过程组成,这些政策和过程定义了如何管理与信息安全相关的过程和活动。
ISMS还概述了参与信息安全管理的人员的角色和职责,并就如何识别、评估和减轻风险提供了指导。
它还可用于监视安全措施的有效性,并提供遵守适用法律法规的证据。
ISMS的好处是什么?
节省成本:ISMS可以通过降低响应数据泄露的成本、确保遵守适用的法律和法规以及降低保险费成本,帮助组织在长期内节省资金。
降低风险:ISMS帮助组织在潜在的安全风险有机会成为问题之前识别和处理它们。这有助于降低数据泄露、财务损失和声誉损害的风险。
增强竞争力:ISMS可以通过展示其对数据安全性和遵从性的承诺来帮助组织获得竞争优势。这可以帮助他们在拥挤的市场中脱颖而出,吸引更多的业务。
实施ISMS
有许多接近ISMS实现的方法。最常用的方法是“计划、执行、检查、行动”流程。
ISO 27001是详细说明ISMS要求的国际安全标准。
ISO 27001和ISO 27002中包含的更佳实践指南是帮助您开始实施ISMS的两个指南。
经过认证和审核的ISMS可以向客户保证,组织已采取措施保护其信息资产免受已识别的风险的影响。
ISMS的强度基于信息安全风险评估的健壮性,这是任何实现的关键。
认识到组织及其数据在未来可能面临的风险对于实施缓解措施(控制)是必要的。
ISO 27001提供了一个建议的控制列表,可以帮助评估是否已经考虑了立法、业务、合同或法规目的的必要控制。
开始使用您的ISMS
有效ISMS的关键是风险评估。毕竟,只有当您知道您所面临的威胁时,您才能实施适当的防御。
这可能是一项劳动密集型的任务,但是您可以使用我们的风险评估工具vsRisk来简化这个过程。
使用此软件包,您将获得一种快速而直接的方法来创建您的风险评估方法,并年复一年地交付可重复的,一致的评估。
它的资产库为每个资产组分配组织角色,默认情况下应用相关的威胁和风险。
同时,其集成的风险、漏洞和威胁数据库消除了编译风险列表的需要,内置的控制集帮助您遵守多个框架
ISO/IEC 27001概述
国际标准化组织(ISO)是一个独立的非政府组织,也是世界上更大的自愿性国际标准制定机构。国际电工委员会(IEC)是编制和出版电气、电子及相关技术国际标准的组织。
ISO/IEC 27000系列标准由ISO/IEC联合小组委员会发布,概述了数百种控制和控制机制,以帮助各种类型和规模的组织保持信息资产的安全。这些全球标准为政策和程序提供了一个框架,其中包括组织信息风险管理过程中涉及的所有法律、物理和技术控制。
ISO/IEC 27001是一项安全标准,它正式规定了信息安全管理体系(ISMS),旨在将信息安全置于明确的管理控制之下。作为正式的规范,它规定了定义如何实现、监视、维护和持续改进ISMS的需求。它还规定了一组更佳实践,其中包括文档需求、职责划分、可用性、访问控制、安全性、审计以及纠正和预防措施。ISO/IEC 27001认证有助于组织遵守与信息安全相关的众多法规和法律要求。
微软和ISO/IEC 27001
ISO/IEC 27001的国际接受度和适用性是该标准认证处于微软实施和管理信息安全方法前沿的关键原因。微软获得ISO/IEC 27001认证表明,它从业务、安全合规的角度出发,致力于兑现对客户的承诺。目前,Azure Public和Azure Germany每年都由第三方认证机构进行一次ISO/IEC 27001合规性审核,提供安全控制到位和有效运行的独立验证。
了解ISO/IEC 27001在微软云上的好处:下载ISO/IEC 27001:2013。
微软范围内的云平台和服务
Azure、Azure政府和Azure德国
Azure DevOps服务
微软云应用程序卫士
Microsoft Defender for Endpoint
Dynamics 365, Dynamics 365政府版和Dynamics 365德国版
微软图
微软医疗保健机器人
Intune
微软管理桌面
Power automation(以前的Microsoft Flow)云服务可以作为独立服务,也可以包含在Office 365或Dynamics 365品牌计划或套件中
Office 365、Office 365美国政府和Office 365美国政府国防
Office 365德国
OMS服务地图
PowerApps云服务可以作为独立服务,也可以包含在Office 365或Dynamics 365品牌计划或套件中
Power BI云服务可以作为独立服务,也可以作为包含在Office 365品牌计划或套件中的服务
Power BI嵌入式
电源虚拟代理
微软专业服务
微软流
微软威胁专家
微软翻译
微软Viva主题
Windows 365
Azure、Dynamics 365和ISO 27001
有关Azure、Dynamics 365和其他在线服务合规性的详细信息,请参阅Azure ISO 27001:2013产品。
Office 365和ISO 27001
Office 365环境
Microsoft Office 365是一个多租户超大规模云平台,可为全球多个地区的客户提供应用程序和服务的集成体验。大多数Office 365服务允许客户指定其客户数据所在的区域。Microsoft可能会将客户数据复制到同一地理区域内的其他区域(例如,美国)以获得数据弹性,但Microsoft不会将客户数据复制到所选地理区域之外。
本节介绍以下Office 365环境:
客户端软件(Client):运行在客户设备上的商用客户端软件。
Office 365(商用):全球通用的商用公共Office 365云服务。
Office 365政府社区云(GCC): Office 365 GCC云服务适用于美国联邦、州、地方和部落政府,以及代表美国政府持有或处理数据的承包商。
Office 365政府社区云-(GCC):Office 365 GCC云服务是根据国防部(DoD)安全要求指南Level 4设计的,控制和支持严格监管的联邦和国防信息。该环境被联邦机构、国防工业基地(dib)和政府承包商所使用。
Office 365 DoD (DoD): Office 365 DoD云服务根据国防部安全要求指南Level 5进行设计,并支持严格的联邦和国防法规。此环境仅供美国国防部使用。
使用本节帮助您在受监管的行业和全球市场中履行合规义务。要了解哪些服务在哪些地区可用,请参阅国际可用性信息和Microsoft 365客户数据存储的位置文章。有关Office 365政府云环境的更多信息,请参阅Office 365政府云文章。
贵组织应全权负责确保遵守所有适用的法律法规。本节提供的信息不构成法律建议,您应咨询法律顾问有关您组织的法规遵从性的任何问题。
Office 365的适用性和范围内服务
使用下表确定Office 365服务和订阅的适用性:
Office 365审计、报告和证书
Office 365云服务至少每年根据ISO 27001:2013标准进行审核。
我可以在我的组织的认证中使用Office 365服务的ISO/IEC 27001合规性吗?
是的。如果您的企业需要对部署在Microsoft服务上的实现进行ISO/IEC 27001认证,您可以在合规性评估中使用适用的认证。然而,你们有责任聘请审核员来评估你们组织内部的控制和流程,以及你们实施的ISO/IEC 27001合规性。
使用Microsoft权限遵从管理器来评估您的风险
Microsoft Purview Compliance Manager是Microsoft Purview遵从性门户中的一个功能,它可以帮助您了解组织的遵从性状态,并采取行动来帮助降低风险。合规管理器为企业E5客户对该法规进行了预构建评估。在Compliance Manager中的评估模板页面中找到构建评估的模板。学习如何在合规管理器中构建评估。
