Iso27001办理:主要原则和术语
信息安全对企业越来越重要,因此采用 ISO 27001 也越来越普遍。现在,大多数组织都认识到,问题不在于是否会受到安全漏洞的影响,而在于何时会受到影响。
实施 ISMS 和获得 ISO 27001 认证对大多数组织来说都是一项重大任务。但是,如果能有效地实施,对于那些依赖于保护有价值或敏感信息的组织来说,会有很大的好处。这些好处通常分为三个方面:
商业利益
获得独立第三方对 ISMS 的认可,可以为组织带来
竞争优势,或使其能够 "赶上 "竞争对手。面临重大信息安全风险的客户越来越多地将 ISO 27001 认证作为投标书中的一项要求。
如果客户也通过了 ISO 27001 认证,那么从中期来看,他们将只选择与他们对其信息安全控制措施有信心并有能力遵守合同要求的供应商合作。
对于希望与这类客户合作的组织来说,拥有 ISO 27001 认证的 ISMS 是维持和增加其商业收入的关键要求。
运营
ISO 27001 的整体方法支持发展一种内部文化,这种文化对信息安全风险保持警惕,并采用一致的方法来应对这些风险。这种方法的一致性使控制措施在应对威胁时更加有力。实施和维护这些控制措施的成本也会降到更低,一旦控制措施失效,后果也会降到更低并得到更有效的缓解。
安心
许多组织都拥有对其运营至关重要的信息,这些信息对维持其竞争优势至关重要,或者是其财务价值的固有组成部分。
有了一套健全有效的 ISMS 系统,负责管理风险的企业所有者和管理人员就可以高枕无忧,因为他们知道自己不会面临巨额罚款、重大业务中断或声誉受损的风险。
在当今的知识经济时代,几乎所有组织都依赖于关键信息的安全。实施正式的 ISMS 是提供这种安全性的行之有效的方法。
ISO 27001 是国际公认的更佳 ISMS 框架,其合规性可通过独立验证,从而提升组织形象,增强客户信心。
主要原则和术语
ISMS 的核心目的是保护敏感或有价值的信息。敏感信息通常包括有关员工、客户和供应商的信息。有价值的信息可能包括知识产权、财务数据、法律记录、商业数据和运营数据。
敏感信息和有价值信息所面临的风险类型一般可分为三类:
机密性--一人或多人未经授权获取信息。
完整性--信息内容发生变化,不再准确或完整。
可用性--信息访问丢失或受阻。
这些信息安全风险类型通常被称为 "CIA"。
信息安全风险通常是由于处理、存储、持有、保护或控制信息访问的资产存在威胁和漏洞而引起的。
这里的资产通常是指:人员、设备、系统或基础设施。
信息是组织希望保护的数据集,如员工记录、客户记录、财务记录、设计数据、测试数据等。
事件是指导致机密性丢失(如数据泄露)、完整性丢失(如数据损坏)或可用性丢失(如系统故障)的意外事件。
威胁是导致事件发生的原因,可能是恶意的(如小偷)、意外的(如按键错误)或天灾(如洪水)。
办公室窗户敞开、源代码错误或建筑物紧邻河流等弱点,都会增加威胁发生的可能性,从而导致不必要的、代价高昂的事故。
在信息安全方面,可以通过设计、实施和维护各种控制措施来管理风险,如窗户上锁、软件测试或将易受攻击的设备安装在地面以上。
符合 ISO 27001 标准的 ISMS 有一套相互关联的更佳实践流程,可促进和支持控制措施的适当设计、实施和维护。
构成 ISMS 一部分的流程通常是现有核心业务流程(如招聘、入职、培训、采购、产品设计、设备维护、服务交付)与维护和改进信息安全特定流程(如变更管理、信息备份、访问控制、事故管理、信息分类)的组合。
基于风险的思维/审计
审计是对信息安全管理系统进行评估的一种系统化、以证据为基础的过程方法。审计在内部和外部进行,以验证 ISMS 的有效性。审计是在信息安全管理中采用基于风险的思维方式的范例。
方审计--内部审计
内部审计是组织内部学习的机会。内部审核提供了时间来关注特定流程或部门,以真正评估其绩效。内部审核的目的是确保遵守由组织决定的政策、程序和流程,并确认是否符合 ISO 27001 的要求。
审核计划
制定审计计划听起来似乎很复杂。根据企业运营的规模和复杂程度,您可以安排每月到每年一次的内部审核。有关这方面的更多详情,请参阅第 9 节--绩效评估。
基于风险的思考
考虑审计频率的更佳方法是查看要审计的流程或业务领域所涉及的风险。任何高风险流程,无论是因为它出错的可能性大,还是因为一旦出错后果严重,都应该比低风险流程更频繁地接受审计。
如何评估风险完全取决于您。ISO 27001 并未规定任何特定的风险评估或风险管理方法。
第二方--外部审核
第二方审核通常由客户或他人代表客户执行,或者由您的外部供应商执行。第二方审计也可以由监管机构或任何其他与组织有正式利益关系的外部机构进行。
您可能无法控制这些审核的时间和频率,但建立自己的 ISMS 将确保您为这些审核的到来做好充分准备。
第三方--认证审核
第三方审核由外部机构执行,通常是 UKAS 认可的认证机构,如 NQA。
认证机构将评估是否符合 ISO 27001:2013 标准。这包括认证机构的代表访问组织并评估相关系统及其流程。维护认证还包括定期重新评估。
认证可向客户证明您对质量的承诺。
认证保证
定期评估,以持续监控和改进流程。
系统能够实现预期结果的可信度。
降低风险和不确定性,增加市场机会。
产出的一致性,旨在满足利益相关者的期望。
基于流程的思考/审计
流程是将输入转化为输出的过程,是实现计划目标的一系列步骤或活动。一个流程的产出往往会成为另一个后续流程的输入。很少有流程是孤立运行的。
"流程:一系列相互关联或相互作用的活动,这些活动使用输入来实现预期结果。
ISO 27001:2013 基本原理和词汇表
即使是审核也有流程方法。它从确定范围和标准开始,制定明确的行动方案以实现结果,并有明确的输出(审核报告)。使用过程方法进行审计还能确保为审计分配正确的时间和技能。这样就能对 ISMS 的绩效进行有效评估。
"当各项活动被理解为相互关联的流程并作为一个连贯的系统进行管理时,就能更有效、更高效地实现一致且可预测的结果"。
ISO 27001:2013 基础知识和词汇
了解流程之间如何相互关联并产生结果,有助于识别改进机会,从而优化整体绩效。这同样适用于流程或部分流程被外包的情况。
准确了解这如何影响或可能影响结果,并与业务合作伙伴(提供外包产品或服务)明确沟通,可确保流程的清晰性和责任性。
最后一个流程步骤是审查审核结果,确保所获得的信息得到妥善利用。正式的 "管理评审 "是对 ISMS 的绩效进行反思,并就如何改进以及在哪些方面改进做出决策的机会。第 9 节--绩效评估中将更深入地介绍管理评审流程。
ISO 27001:2013 的 10 个条款
ISO 27001 由 10 个部分组成,称为条款。
与大多数其他 ISO 管理体系标准一样,ISO 27001 需要满足的要求在第 4.0 - 10.0 条中有明确规定。与大多数其他 ISO 管理体系标准不同的是,组织必须遵守条款 4.0 - 10.0 中的所有要求;组织不能声明一个或多个条款对其不适用。
在 ISO 27001 标准中,除了第 4.0 - 10.0 条款外,还有一套要求详列于称为附件 A 的部分,在第 6.0 条款中有所提及。附件 A 包含 114 项更佳实践信息安全控制措施。这 114 项控制措施中的每一项都需要加以考虑。要符合 ISO 27001 标准,组织必须实施这些控制措施,或者为不实施特定控制措施提供可接受的理由。
本指南的以下部分概述了每个条款的目的,强调了审计员希望看到的证据类型,以确认您符合要求,并给出了符合要求的有效方法提示。
第 1 部分:范围
ISO 27001 的 "范围 "部分规定了
标准的目的;
该标准适用于哪些类型的组织;以及
标准中包含要求的部分(称为条款),组织必须遵守这些要求才能获得 "符合 "标准的认证(即合规)。
ISO 27001 的设计适用于任何类型的组织。无论组织的规模、复杂程度、行业领域、目的或成熟度如何,都可以实施和维护符合 ISO 27001 标准的 ISMS。
第 2 部分:规范性引用文件
在 ISO 标准中,"规范性引用文件 "部分列出了与确定组织是否符合相关标准有关的其他标准。在 ISO 27001 中,只列出了一份文件--ISO 27000《信息技术--概述和词汇》。
ISO 27001 中使用的一些术语或详细要求在 ISO 27000 中有进一步解释。参考 ISO 27000 对帮助你更好地理解某项要求或确定遵守该要求的更佳方法非常有用。
提示--外部审核人员希望您在制定和实施 ISMS 时考虑到 ISO 27000 中包含的信息。
第 3 部分:术语和定义
ISO 27001 中没有给出术语和定义。ISO 27001 中没有给出术语和定义,而是参考了最新版本的 ISO 27000《信息安全管理体系--概述和词汇》。本文件的当前版本包含 ISO 27001 中使用的 81 个术语定义。
除了上文 "关键原则和术语 "部分解释的术语外,ISO 27001 中使用的最重要术语包括
访问控制"--确保只有需要访问特定资产的人才能访问该资产的流程,而 "需要 "是根据业务和安全要求确定的。
有效性"--计划活动(如流程、程序)按计划或规定执行并实现计划结果或产出的程度。
风险"--信息安全事件发生的可能性及其后果的组合。
风险评估"--识别风险、分析每种风险造成的风险程度以及评估是否需要采取额外行动将每种风险降低到更可容忍或可接受的程度的过程。
风险处理"--将已识别的风险降低到可容忍或可接受水平的过程或行动。
更高管理层"--组织中更高决策者群体。他们可能负责制定战略方向,确定并实现利益相关者的目标。
在编写信息安全管理系统文档时,您不必使用这些确切的术语。不过,如果能对所使用的术语进行定义,确实有助于明确其含义和意图。在系统文档中提供词汇表可能会有所帮助。
第 4 部分:组织背景
ISMS 的目的是保护组织的信息资产,使组织能够实现其目标。
如何实现这一目标以及具体的优先领域将取决于组织的运营环境,包括
内部--组织有一定控制权的事物;以及
外部--组织无法直接控制的事物。
认真分析贵组织的运营环境是识别信息资产安全固有风险的基础。在此基础上,您才能评估需要考虑增加或加强哪些流程,以建立有效的 ISMS。
内部环境
以下是在评估可能对 ISMS 风险有影响的内部问题时可以考虑的方面:
成熟度:你是一个敏捷的初创企业,需要在一张白纸上开展工作,还是一个有 30 多年历史的机构,拥有完善的流程和安全控制措施?
组织文化:你的组织对员工的工作方式、时间和地点要求宽松,还是极其严格?这种文化是否会抵制信息安全控制措施的实施?
管理:从组织的关键决策者到组织的其他成员,是否有清晰的沟通渠道和流程?
资源规模:您是与信息安全团队合作,还是一个人包揽所有工作?
资源成熟度:可用资源(员工/承包商)是知识渊博、训练有素、可靠稳定的,还是缺乏经验、不断变化的?
信息资产格式:信息资产是主要以硬拷贝(纸质)形式存储,还是以电子形式存储在现场服务器或远程云系统中?
信息资产的敏感性/价值:贵组织是否需要管理高价值或特别敏感的信息资产?
一致性:贵机构是否在整个组织内采用统一的流程,还是采用多种不同的操作方法,几乎没有一致性?
系统:贵组织是否有许多运行在制造商不再支持的软件版本上的遗留系统,或者贵组织是否维护最新、更好的可用技术?
系统复杂性:是使用一个主要系统完成所有繁重的工作,还是使用多个部门系统,但它们之间的信息传输有限?
物理空间:是有专门的安全办公设施,还是与其他组织共用办公空间?
外部环境
在评估可能对 ISMS 风险产生影响的外部问题时,可以考虑以下几个方面:
竞争:你是在一个瞬息万变、不断创新的市场中运营,需要进行多次系统升级才能保持竞争力,还是在一个成熟、稳定的市场中运营,每年几乎没有创新?
业主:升级实体安全系统是否需要获得批准?
监管机构/执法机构:您所在的行业是否要求定期进行法定变更,或者您所在的市场领域是否很少受到监管机构的监督?
经济/政治:货币波动是否会影响您的组织;英国脱欧是否会产生影响?
环境因素:贵机构是否位于洪泛平原,服务器是否位于地下室?是否有一些因素使贵机构的网站可能成为非法入侵或恐怖袭击的目标(例如,位于市中心的显要位置;毗邻可能的目标)?
信息安全攻击的普遍性:贵组织所处的行业是否经常引起黑客(犯罪分子、黑客活动家)的兴趣?
股东:他们是否非常担心组织容易受到数据泄露的影响?他们对组织为改善信息安全而付出的成本有多关注?
相关方
相关方是指任何受到、可能受到或认为自己会受到组织的行为或疏忽影响的人。在对内部和外部问题进行全面分析的过程中,你的利益相关方就会变得清晰起来。
他们可能包括股东、业主、监管者、客户、员工和竞争对手,也可能包括公众和环境,这取决于企业的性质。你不必试图理解或满足他们的每一个要求,但你必须确定他们的哪些需求和期望与你的 ISMS 相关。
管理系统的范围
要符合 ISO 27001 标准,必须记录 ISMS 的范围。记录的范围通常描述
包括(或不包括)的一个或多个物理站点的边界;
包括(或不包括)的物理和逻辑网络的边界;
包括(或不包括)的内部和外部员工群体;
包括(或不包括)的内部和外部流程、活动或服务;以及
范围边界上的关键接口。
如果你想通过建立一个不覆盖整个组织的 ISMS 系统来确定资源的优先级,那么选择一个仅限于管理关键利益相关者利益的范围不失为一种务实的方法。具体做法可以是只包括特定的场所、资产、流程和业务单位或部门。范围声明的一些示例
"IT 部门开展的所有业务
"电子邮件的支持和管理
"组织位于贝辛斯托克的数据中心的所有设备、系统、数据和基础设施"。
提示--记录或保存您在分析组织背景和相关方时整理的所有信息,如
与企业代表(如总经理、首席执行官或首席技术官)的讨论。
会议记录或业务计划。
确定内部/外部问题和相关方及其需求和期望的具体文件,如 SWOT 分析、PESTLE 研究或业务风险评估。
第 5 部分:领导力
领导力的重要性
这里的领导是指积极参与确定 ISMS 的方向、促进其实施并确保提供适当的资源。这包括
确保 ISMS 目标明确并与总体战略保持一致;
明确责任和义务;
基于风险的思维是所有决策的核心;以及
向 ISMS 范围内的所有人明确传达这些信息。
ISO 27001 非常重视高层管理人员对 ISMS 的积极参与,其依据是
更高管理层的参与对于确保广大员工有效实施和维护有效的 ISMS 至关重要。
信息安全政策
领导层的一项重要职责是制定并记录与组织主要目标相一致的信息安全政策。在更高层,信息安全政策必须包括目标或制定目标的框架(准则)。为表明该政策与组织的背景和主要利益相关者的要求相一致,建议该政策提及或概述其旨在管理的主要问题和要求。它还必须包括以下承诺
满足与信息安全有关的适用要求,如法律要求、客户期望和合同承诺;以及
持续改进 ISMS。
信息安全政策可参考或包括涵盖组织 ISMS 关键控制措施的子政策。例如:选择对信息安全至关重要的供应商、招聘和培训员工、清晰的桌面和清晰的屏幕、加密控制、访问控制等。
为显示信息安全政策的重要性,建议由更高管理层的更成员或更高管理层团队的每位成员授权。
提示--为确保信息安全政策得到很好的传达并提供给有关各方,更好能
将其纳入新员工和承包商的入职资料和介绍中;
在内部公告栏、内联网和组织网站上张贴主要声明;以及
将遵守和/或支持关键声明作为员工、承包商和信息安全关键供应商的合同要求。
角色和责任
要使信息安全活动成为组织内大多数人日常活动的一部分,就必须界定并明确传达他们的职责和责任。
虽然标准中没有要求指定信息安全代表,但对于某些组织来说,指定一名信息安全代表来领导信息安全团队,协调培训、监控控制,并向更高管理层报告 ISMS 的执行情况,可能会有所帮助。此人可能已经负责数据保护或 IT 服务。
不过,为有效履行职责,他们更好也是高层管理团队的成员,并具备丰富的信息安全管理技术知识,或能接触到具备相关知识的人员。
向审核员证明领导能力
更高管理层是指为组织或业务领域制定战略方向并批准资源分配的人员群体,其工作范围与 ISMS 有关。根据组织结构的不同,这些人员可能是也可能不是日常管理团队。审计员通常会通过与一名或多名更高管理层成员面谈,评估他们在以下方面的参与程度,从而对领导力进行测试:
评估风险和机遇
制定和传达政策
制定和传达目标
系统绩效的审查和沟通;以及
分配适当的资源、责任和义务。
提示--在外部审计之前,确定更高管理层中哪些人将与外部审计师会面,并对可能提出的问题进行模拟演练,使他们做好面试准备。
第 6 部分:规划
ISO 27001 本质上是一种风险管理工具,引导企业从各种来源识别信息安全风险的驱动因素。因此,ISMS 的根本目的在于
识别具有重要战略意义的、显而易见的和隐蔽但危险的风险;
确保组织的日常活动和操作流程在设计、指导和资源配置上能够从本质上管理这些风险;以及
自动应对和适应变化,以应对新的风险,并不断降低组织的风险敞口。
制定详细的行动计划,并通过定期审查和监测对其进行调整、更新和支持,是至关重要的,也是向审计员提供明确界定的系统规划的更佳证据。
风险评估
风险评估是任何有效的 ISMS 系统的核心。即使是资源最充足的组织,也无法完全消除发生信息安全事故的可能性。对所有组织来说,风险评估都是必不可少的:
通过关键人员的参与,使用系统评估技术,提高识别所有潜在风险的可能性;
分配资源以解决更优先领域的问题;以及
就如何管理重大信息安全风险做出战略决策,从而更有可能实现其目标。
大多数风险评估框架由一个表格组成,其中包含第 1 至第 4 点的结果,以及涵盖第 5 点的补充表格或矩阵。
外部审计员希望看到风险评估记录、每项风险的指定负责人以及所使用的标准。
提示--附件 A(8.1.1)要求保存一份信息资产、与信息相关的资产(如建筑物、文件柜、笔记本电脑)和信息处理设施的清单。如果你在完成风险评估时,系统地评估了该清单上每个项目所面临的风险,那么你就在同一项工作中满足了两项要求。此外,如果您为清单上的每个项目指定了所有者,那么您也就满足了附件 A 中的另一项要求(8.1.2)。由于资产所有者也可能是风险所有者,这有助于防止重复和潜在的混淆。
ISO 27005--信息安全风险管理为贵组织开发风险评估技术提供了指导。无论选择或开发哪种技术,都应包括以下关键要素:
为系统性识别风险(如逐一审查资产、资产组、流程、信息类型)提供提示,检查每个风险是否存在常见威胁和漏洞,并记录当前管理这些风险的控制措施。
提供一个框架,持续评估每种风险发生的可能性(如每月一次、每年一次)。提供一个框架,持续评估每种风险发生的后果(如损失 1,000 英镑、损失 100,000 英镑)。
提供一个框架,根据对可能性和后果的评估,对确定的每项风险进行统一的评分或分类(如 1-10,高/中/低)。
制定成文的标准,针对每项风险评分或类别,具体说明需要采取的行动类型,以及赋予该行动的级别或优先级。
风险处理
对于风险评估中确定的每项风险,您必须采用一致的标准来确定是否应
接受风险;或
处理风险(称为 "风险处理")。
可供选择的风险处理办法通常有以下几种:
避免--停止进行暴露于风险的活动或处理暴露于风险的信息。
消除--消除风险源。
改变可能性--实施控制措施,降低信息安全事件发生的可能性。
改变后果--实施控制措施,降低事故发生时的影响。
转移风险 - 将活动或流程外包给更有能力管理风险的第三方。
接受风险--如果组织没有切实可行的风险处理办法,或风险处理的成本被认为高于影响的成本,则可以做出接受风险的知情决定。这需要得到更高管理层的批准。
外部审计员希望看到一份风险处理计划(如行动清单),详细说明您已实施或计划实施的风险处理行动。该计划必须足够详细,以便核实每项行动的实施情况。还需要有证据证明该计划已得到指定的风险负责人和更高管理层的批准。
附件 A 和适用性声明
所有风险处理方案(接受除外)都涉及实施一项或多项控制措施。ISO 27001 附件 A 列出了 114 种更佳实践信息安全控制措施。在制定风险处理计划时,您需要考虑是否实施其中的每项控制措施。
这 114 项控制措施中的大部分描述都比较模糊,因此强烈建议您查看 ISO 27002,其中包含更多有关实施这些控制措施的更佳实践方法的信息。
作为您已完成此评估的证据,外部审计员会要求您提供一份名为 "适用性声明 "的文件。在此文件中,您必须记录 114 项控制措施中的每一项:
是否适用于贵公司的活动、流程和信息安全风险;
是否已经实施;以及
如果认为不适用,请说明这样做的理由。
对于大多数组织来说,114 项控制措施中的大多数都是适用的,而且他们很可能已经在某种程度上实施了其中的一些措施。
提示--您的适用性声明不需要是一份过于复杂的文件。一个简单的表格,列标题为控制、适用吗、已实施吗和理由就足够了。此外,更好还能记录一些有关如何实施控制的信息(如参考程序或政策),以帮助您更轻松地回答外部审计员提出的任何问题。
信息安全目标和实现目标的计划
在组织内的相关层面,你需要有一套记录在案的信息安全相关目标。这些目标可以是更别的,适用于整个组织(如 "获得 ISO 27001 认证")或部门(如 "在所有新员工入职一周内完成信息安全简报")。
您设定的每个目标必须
可衡量;
与信息安全政策保持一致;
考虑到组织的信息安全要求;以及
考虑到风险评估和风险处理过程的结果。
与信息安全相关的典型目标包括
不超过某些类型的信息安全事故的规定频率。
达到可衡量的信息安全控制合规水平。
提供规定的信息服务可用性。
数据错误不超过可衡量的数量。
通过招聘、培训或采购改善可用资源。
实施新的控制措施。
遵守信息安全相关标准。
每个目标都必须传达给相关人员。必要时必须更新目标,以保持其相关性,并根据目标评估绩效。
对于每个目标,你都需要计划如何实现它们。这包括确定
需要实现哪些目标
分配哪些资源
谁拥有实现目标的所有权或主要责任;
是否有目标完成日期,或只是一个持续性要求;以及
评估目标执行情况的方法(即衡量标准)。
提示--传达信息安全目标的有效方法包括在入职培训中介绍这些目标,将其设定为员工目标或纳入员工考核,在与供应商的服务水平协议中确立这些目标,或在供应商绩效考核中根据这些目标评估绩效。
ISO 27001 附件 A 指南
ISO 27001:2013 是概述信息安全管理系统 (ISMS) 更佳实践的国际标准。如果您熟悉我们之前在这里提供的实施指南,那么您一定已经研究过该标准中包含的条款。您还会了解到,在考虑组织的信息安全时,该标准遵循基于风险的方法。这就要求识别安全风险,然后选择适当的控制措施来降低、消除或管理这些风险。
该标准在附件 A 中列出了满足这些风险要求所需的控制措施,总共有 114 项控制措施,细分为 14 个不同类别。在考虑这些控制措施时,重要的是要注意它们只是可能性或可选方案。
在开展风险流程时,应从附件 A 的列表中选择适当的控制措施来识别风险。例如,如果贵组织没有办公场所,而是远程运营,那么使用实体安全领域的某些控制措施就不合适。
同样,在转向基于云的解决方案时,也需要重新审视操作和通信安全领域中的现有控制措施。
进一步考虑
在认证审核之前,组织必须编制一份适用性声明(SoA)。
ISO 27001 第 6 条概述了这一要求。SoA 必须包含至少 114 个条目,并列出每个类别和控制措施。完成上述工作后,必须选择每项控制并说明理由,或以类似的理由将其排除在外。所有 SoA 文件都必须能够证明对每项控制措施都进行了考虑。这就意味着,SoA 必须包含概述的所有条目,仅仅列出选定的控制措施是不符合要求的。
这些被选中的控制措施很可能构成风险处理证据的一部分,并应记录在案。通常情况下,这将在风险登记册中进行记录,但也可以作为单独的文件进行记录。不同组织采用的方法会有所不同,但证明附件 A 中的控制措施已得到实施是一致的要求。
该标准中的安全规定不是组织的 IT 或安全团队必须单独遵守的。该标准要求在检查风险和处理风险时,要考虑到组织的方方面面。
对风险问题进行补救的更佳人选可能并不总是在 IT 部门;风险处理的确切组成和位置因组织而异。风险所有权对于确保控制措施接受审查至关重要。
最后
附件 A 控制措施只是组织可用的部分选择。附件 A 中没有明确列出的其他安全控制措施也可用于处理已识别的风险。只要标准中的条款和控制措施得到适当处理,ISMS 就能发挥作用,提供良好的信息安全水平。
第 7 节:支持
第 7 条涉及资源。这既适用于人员、基础设施和环境,也适用于物质资源、材料和工具等。知识作为组织内的重要资源,也再次受到重视。在规划质量目标时,一个主要的考虑因素是企业资源的现有容量和能力,以及企业可能需要从外部供应商/合作伙伴处获得的资源。
要实施和维护有效的 ISMS 系统,就必须有相应的支持资源。这些资源必须足够
能力--如果是设备或基础设施;以及
有能力--如果是人员。
在管理评审会议上。
能力
实施有效的信息安全控制措施在很大程度上依赖于员工、供应商和承包商的知识和技能。为确保拥有适当的知识和技能基础,您需要
确定需要哪些知识和技能;
确定谁需要掌握这些知识和技能;以及
规定如何评估或验证合适的人员是否具备合适的知识和技能。
审核员会希望你提供详细说明知识和技能要求的文件。如果您认为已经满足要求,则需要提供培训证书、课程出勤记录或内部能力评估等记录作为支持。
提示--大多数已经使用培训/技能矩阵、考核或供应商评估等工具的组织,可以通过扩大涵盖领域,将信息安全包括在内,来满足对能力记录的要求。
认识
除了确保关键人员具备信息安全方面的特定能力外,还需要让更多员工、供应商和承包商了解 ISMS 的基本要素。这对于在组织内部建立支持性文化至关重要。
所有员工、供应商和承包商都应了解以下内容:
贵公司拥有 ISMS 系统,以及拥有该系统的原因。
贵公司有信息安全政策,其中哪些具体内容与他们相关。
他们如何为贵组织保护其宝贵信息做出贡献,以及他们需要做些什么来帮助组织实现其信息安全目标。
哪些政策、程序和控制措施与他们相关,以及不遵守这些政策、程序和控制措施的后果。
提示--这些信息的沟通通常可以通过现有的流程和文件来完成,例如入职培训、雇佣合同、工具箱讲座、供应商协议、员工简报或更新。
沟通
为使 ISMS 中的流程有效运行,您需要确保对沟通活动进行周密计划和管理。ISO 27001 简要说明了这一点,要求您确定
需要沟通的内容
何时需要传达
需要向谁传达
谁负责沟通;以及
沟通的流程是什么。
提示--如果你的流程、政策和程序中已经明确规定了沟通要求,那么你就不需要再做任何事情来满足这一要求。如果没有,则应考虑以表格或程序的形式记录关键的沟通活动,其中包括上述标题。记住,这些文件的内容也需要传达!
记录的信息
为发挥文档信息的作用,您用于实施和维护 ISMS 的文档信息需要
准确;
对于经常或偶尔使用这些信息的人来说是可以理解的;以及
有助于您遵守法律要求、管理信息安全风险和实现目标。
为了使文档信息始终满足这些要求,你需要制定相应的流程,以确保: 1:
文档信息在公开发布之前,根据需要由相关人员进行审核;
控制对文件信息的访问,以防信息被意外更改、损坏、删除或被不合适的个人访问;
安全删除信息,或在有需要时将信息归还所有者;以及
您可以跟踪信息的更改情况,以确保流程在掌控之中。
文档信息的来源可能是内部的,也可能是外部的,因此你的控制流程需要管理这两种来源的文档信息。
提示 - 具有良好文档控制能力的组织通常具备以下一个或多个条件:
由一个人或一个小团队负责,确保新文件/修改文件在发布前经过审核,存储在正确的位置,在被取代时退出流通,并确保新文件/修改文件在发布前经过审核,存储在正确的位置,在被取代时退出流通。
由一个人或一个小团队负责,确保新文件/修改文件在发布前经过审核,储存在 正确的位置,在被取代时不再分发,并保留一份修改登记册。
包含自动工作流程和控制的电子文件管理系统。
健全的电子数据备份和硬拷贝文件归档/存储流程。
员工对文件控制、记录保存和信息访问/保留要求的强烈意识。
第 8 部分:操作
经过规划和风险评估之后,我们就可以进入 "执行 "阶段了。第 8 条是关于对产品或服务的创建和交付进行适当控制。
要管理信息安全风险并实现目标,就需要将各项活动正规化,形成一套清晰连贯的流程。
其中许多流程可能已经存在(如入职培训),只需加以修改,加入与信息安全相关的元素即可。其他流程可能是临时性的(如供应商审批),而有些流程目前可能根本不存在(如内部审计)。
要实施有效的流程,以下做法至关重要:
通过调整或正式确定组织的 "常规业务 "活动来创建流程。
系统识别与每个流程相关的信息安全风险。
明确定义并传达在事件发生时(如新员工加入公司)管理相关信息安全风险所需的一系列活动。
明确分配开展相关活动的责任。
充分分配资源,确保在需要时开展相关活动。
例行评估每个流程的一致性及其在管理相关信息安全风险方面的有效性。
提示 - 针对每个流程,指定专人负责确保第 2-6 步的实施。此人通常被称为流程负责人。
信息安全风险评估
第 6 条所述的风险评估方法和技术必须适用于组织 ISMS 范围内的所有流程、资产、信息和活动。
由于风险不是一成不变的,因此必须以适当的频率对这些评估结果进行审核。通常至少每年一次,如果评估发现存在一个或多个重大风险,则应更频繁地进行审查。在下列情况下,也应对风险进行审查
完成任何风险处理行动(见下文);
组织的资产、信息或流程发生变化;
发现新的风险;或
经验或新信息表明任何已识别风险的可能性和后果发生了变化。
提示 - 为确保您的风险评估流程涵盖需要审查的事件类型,您还应考虑附件 A 中的技术漏洞管理(A.12.6)、开发和支持流程安全(A.14.2)和供应商服务交付管理(A.15.2)控制措施。
信息安全风险处理
您制定的风险处理计划不能仅仅停留在意向声明上,必须付诸实施。如果需要根据新的风险信息和风险评估标准的变化进行修改,则需要更新计划并重新授权。
还必须对计划的影响进行评估,并记录评估结果。这可以作为管理审核或内部审核流程的一部分,也可以通过网络渗透测试、供应商审核或突击第三方审核等技术评估来完成。
第 9 部分:绩效评估
对 ISMS 的绩效进行评估主要有三种方式。它们是
监控 ISMS 控制措施的有效性;
通过内部审计;以及
管理评审会议。
监控、测量、分析和评估
