ISO/IEC27001信息安全管理体系

信息是组织的血液，存在的方式各异。可以是打印，手写，也可以是电子，演示和口述的。当今商业竞争日趋激烈，来源于不同渠道的信息，威胁到信息的一致性。它们来自内部，外部，意外的，还可能是恶意的。随着信息储存，发送新技术的广泛使用，我们面临的各种风险也在增高。信息安全越来越重要！

信息安全不是有一个终端防火墙，或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入，可以协调各个方面信息管理，使管理为有效。信息安全管理体系是系统的对组织敏感信息及信息资产进行管理，涉及到人，程序和信息科技(IT)系统。需要建立广泛的信息安全方针。保证安全性，公正性。适用组织内部和客户。信息安全管理体系ISMS正成为世界上管理体系标准销售增长量较大的产品。

信息安全管理体系（Information security management systems，简称ISMS）（即ISO/IEC 27000系列）是目前国际信息安全管理标准研究的重点。

27000系列共包括10个标准，当前已经发布和在研究的有6个，分别为：

1、ISO/IEC 27000:2009《信息安全管理体系基础和词汇》；

2、ISO/IEC 27001:2013《信息安全管理体系要求》；

3、ISO/IEC 27002:2013《信息安全管理实用规则》；

4、ISO/IEC 27003:2010《信息安全管理体系实施指南》；

5、ISO/IEC 27004:2009《信息安全管理测量》；

6、ISO/IEC 27005:2008《信息安全风险管理》；

7、ISO/IEC 27006:2007《认证机构要求》；

8、ISO/IEC 27007《信息安全管理体系审核指南》；

9、ISO/IEC 27008《控制审核员指南》；


一、什么是信息安全？

像其他重要业务资产一样，信息也是对组织业务至关重要的一种资产，因此需要加以适当地保护。在业务环境互连日益增加的情况下这一点显得尤为重要。这种互连性的增加导致信息暴露于日益增多的、范围越来越广的威胁和脆弱性当中（也可参考关于信息系统和网络的安全的OECD指南）。信息可以以多种形式存在。它可以打印或写在纸上、以电子方式存储、用邮寄或电子手段传送、呈现在胶片上或用语言表达。无论信息以什么形式存在，用哪种方法存储或共享，都应对它进行适当地保护。信息安全是保护信息免受各种威胁的损害，以确保业务连续性，业务风险较小化，**和商业机遇较大化。信息安全是通过实施一组合适的控制措施而达到的，包括策略、过程、规程、组织结构以及软件和硬件功能。在需要时需建立、实施、监视、评审和改进这些控制措施，以确保满足该组织的特定安全和业务目标。这个过程应与其他业务管理过程联合进行。


二、如何建立安全要求?

组织识别出其安全要求是非常重要的，安全要求有三个主要来源：

1、一个来源是在考虑组织整体业务战略和目标的情况下，评估该组织的风险所获得的。通过风险评估，识别资产受到的威胁，评价易受威胁利用的脆弱性和威胁发生的可能性，估计潜在的影响。

2、另一个来源是组织、贸易伙伴、合同方和服务提供者必须满足的法律、法规、规章和合同要求，以及他们的社会文化环境。

3、三个来源是组织开发的支持其运行的信息处理的原则、目标和业务要求的特定集合。


三、评估安全风险

安全要求是通过对安全风险的系统评估予以识别的。用于控制措施的支出需要针对可能由安全故障导致的业务损害加以平衡。

风险评估的结果将帮助指导和决定适当的管理行动、管理信息安全风险的**级以及实现所选择的用以防范这些风险的控制措施。风险评估应定期进行，以应对可能影响风险评估结果的任何变化。


四、选择控制措施

一旦安全要求和风险已被识别并已做出风险处理决定，则应选择并实现合适的控制措施，以确保风险降低到可接受的级别。控制措施可以从《信息安全管理实用规则》或其他控制措施集合中选择，或者当合适时设计新的控制措施以满足特定需求。安全控制措施的选择依赖于组织所做出的决定，该决定是基于组织所应用的风险接受准则、风险处理选项和通用的风险管理方法，同时还要遵守所有相关的国家和国际法律法规。《信息安全管理实用规则》中的某些控制措施可被当作信息安全管理的指导原则，并且可用于大多数组织。


五、信息安全起点

许多控制措施被认为是实现信息安全的良好起点。它们或者是基于重要的法律要求，或者被认为是信息安全的常用惯例。从法律的观点看，根据适用的法律，对某个组织重要的控制措施包括：

a)数据保护和个人信息的隐私；

b)保护组织的记录；

c)知识产权。

被认为是信息安全的常用惯例的控制措施包括：

a)信息安全方针文件；

b)信息安全职责的分配；

c)信息安全意识、教育和培训；

d)应用中的正确处理；

e)技术脆弱性管理；

f)业务连续性管理；

g)信息安全事故和改进管理。

这些控制措施适用于大多数组织和环境。应注意，虽然《信息安全管理实用规则》中的所有控制措施都是重要的并且是应被考虑的，但是应根据某个组织所面临的特定风险来确定任何一种控制措施是否是合适的。因此，虽然上述方法被认为是一种良好的起点，但它并不能取代基于风险评估而选择的控制措施。


六、关键的成功因素

经验表明，下列因素通常对一个组织成功地实现信息安全来说，十分关键：

a)反映业务目标的信息安全方针、目标以及活动；

b)和组织文化保持一致的实现、保持、监视和改进信息安全的方法和框架；

c)来自所有级别管理者的可视化的支持和承诺；

d)正确理解信息安全要求、风险评估和风险管理；

e)向所有管理人员、员工和其它方传达有效的信息安全知识以使他们具备安全意识；

f)向所有管理人员、员工和其它方分发关于信息安全方针和标准的指导意见；

g)提供资金以支持信息安全管理活动；

h)提供适当的意识、培训和教育；

i)建立一个有效的信息安全事故管理过程；

j)实现一个测量系统，它可用来评价信息安全管理的执行情况和反馈的改进建议。


七、为什么需要信息安全？

信息及其支持过程、系统和网络都是重要的业务资产。定义、实现、保持和改进信息安全对保持竞争优势、现金周转、赢利、守法和商业形象可能是至关重要的。各组织及其信息系统和网络面临来自各个方面的安全威胁，包括计算机辅助欺诈、间谍活动、恶意破坏、毁坏行为、火灾或洪水。诸如恶意代码、计算机黑客捣乱和拒绝服务攻击等导致破坏的安全威胁，已经变得加普遍、有野心和日益复杂。信息安全对于公共和**两部分的业务以及保护关键基础设施是非常重要的。在这两部分中信息安全都将作为一个使动者，例如实现电子政务或电子商务，避免或减少相关风险。公共网络和**网络的互连、信息资源的共享都增加了实现访问控制的难度。分布式计算的趋势也削弱了集中的、专门控制的有效性。许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的，应该通过适当的管理和规程给予支持。确定哪些控制措施要实施到位需要仔细规划并注意细节。信息安全管理至少需要该组织内的所有员工参与，还可能要求利益相关人、供应商、三方、顾客或其他外部团体的参与。外部组织的顾问、*建议可能也是需要的。


很多企业是基于以下原因或要求来实施ISO 27001信息安全管理体系的：

1.客户要求：绝大部分跨国公司或大型企业为了专注于核心业务，会将其部分不占优势的商业流程外包给专业公司来做（或自己成立独立于核心业务的专业公司来做，属于内部供方的概念，业务、财务等独立核算），其首先关心的是质量和成本，然后就是外包方（供方）如何保证其信息和信息资产的安全，会明示或隐含要求其外包方建立和实施信息安全管理体系，甚至通过三方的认证，目前这仍然是企业通过ISO 27001三方认证的主要原因！

2.监管要求：很多企业由于是上市公司或准备上市，各国上市监管机构都有内控及合规性的要求，信息安全是内控的主要要求之一，尤其是美国、日本和欧洲，虽然没有明确要求通过ISO 27001的三方认证，但是作为上市机构的相关组织通过三方的认证有说服力！

3.企业只身要求：

保护企业的知识产权、商标、商业流程、竞争优势；

维护企业的声誉、品牌和客户信任；

减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；

强化员工的信息安全意识，规范组织信息安全行为；

在信息系统受到侵袭时，确保业务持续开展并将损失降到较低程度；

业务连续性（BCM）的要求。