甜橙安全头条第27期｜从零开始建设 ISO27001

    ISO27001是当今国际上最权威、最严格，也是最被广泛接受和应用的信息安全领域的体系认证标准。它对信息安全管理体系的建立、实施、运行、监视、评审、保持和持续改进均作出了科学、系统的要求，能够帮助企业构筑制度化、动态化、全员参与和预防为主的信息安全管理体系。它的前身是英国的BS7799标准，由英国标准协会（BSI）于1995年提出，经过几次修订，针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护，制定了ISO 27001标准。

信息安全对每个企业或组织来说都是需要的，作为信息领域最权威的国际标准。ISO27001认证具有普遍的适用性，不受地域、产业类别和公司规模限制。但从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

这些企业对ISO27001认证也有两种需求，一个是商务需求，获取认证来满足招标需求；第二个是业务需求，企业发展到一定阶段需要把安全作为一个体系融合到日常工作和业务中。针对第一种需求比较好实现，找一家咨询服务商、进行服务外包，企业只需要做好项目外包和验收就可以了。第二种需求比较困难，需要结合企业的实际业务，思考制度文件的合理性、可行性以及跟业务效率的平衡性。ISO27001体系作为信息安全体系的重要标准，也是多数企业信息安全建设的依据，甚至是许多大企业服务商选型的基本需求。

建设ISO27001，它能给我们带来什么呢？首先最直观的因素是他能协调各方面的信息管理，使管理更加有效；改善业绩、增加可信度；防止外来病毒入侵，减少降低损失程度。除此之外获得ISO27001认证可以树立公司对外形象，增加客户合作信心，建立网站和贸易伙伴之间的互相信任；向政府及行业主管部门证明组织对法律法规的符合性；获得国际上的承认，消除不信任感。看完上述内容不知道你能不能在上述信息中对ISO27001有进一步的了解呢？下面我们具体看看ISO27001具体有哪些内容吧。

ISO27001是建立信息安全管理体系（ISMS）的一套需求规范，其中详细说明了建设、实施、维护信息安全体系的要求。指出企业应该遵循的风险评估标准。其中分为14个域。当我们为企业制定ISMS制度时，休要依照ISO27001的14个域制定对应的制度来管理公司，具体14个域的内容请参考下图：

ISO27001定义了14个域，提供我们参考，具体的ISO27001体系建设还是需要结合公司的实际情况做出合理的安排。建立信息安全管理体系一般要经过以下几个步骤：

1. 准备材料

公司简介、公司营业执照、其他相关的行业许可资质、组织结构图、公司网络拓扑图、公司现有的IT硬件清单（包括办公电脑设备清单、网络设备/服务器设备清单）、公司现有IT方面的管理制度。

2.  如何确定信息安全目标

以建立、实施、运行、监视、评审、保持和改进信息安全管理体系的建设，将其纳入组织整体经营战略的一部分为目标。通过信息安全体系的有效运行来支撑组织经营战略的实现。

3.  识别组织内外部环境

识别与组织总体目标相关的内部和外部因素，主要需要做风险评估工作。确保在建立风险准则时外部利益方的关注点和需求予以考虑，理解外部环境是重要的，我们应在法律法规的具体细则下、外部组织的观点上确立风险管理过程的范围以及其它因素。

对于组织内部环境我们需要与内部利益相关者进行有效的沟通和协商，确定其实施风险管理过程的职责，以及体系建设中的需求和渴望。

4. 必须确定体系范围

通常范围的确定有两种情况，一种是整个组织纳入到认证范围，另外一种是只针对个别单位和部门。前者好处是界限分明，统一管理，利于长期发展，也利于与其他管理体系融合，最终形成统一文化，但必须得到管理层的充分授权，并且需要一个权威机构来协调各个部门之间的事务。后者范围小，可控性强，易于操作和实施。但容易造成部门之间关系不紧密，组织整体发展不均衡等问题。所以在考虑范围时应考虑实际的物理场所和对象信息，部门的资产、信息系统和事务等因素。

5.获得最高管理层的支持

高层管理者的支持是项目成功的一个关键因素，项目策划阶段应获得高层管理者的承诺确保建立组织战略目标一致的信息安全方针和信息安全目标，促进实施的持续性。

6.建立ISMS方针

方针内容主要反应组织对信息安全的需求以及阐述管理层的目标和责任，以及组织中的责任分配。提供建立信息安全目标的框架，形成可用的文档，并且需要用于外部相关方

7.  建立ISMS组织

建立具有适当管理权的信息安全管理委员会来批准信息安全方针、组织内部信息安全的实施。监督信息资产面临重大威胁时所暴露出的重大变化，有权利批准加强信息安全的主动行为。成立由各部门代表组成的跨部门的安全责任小组，主要负责执行委员会派发的任务，落实各项安全策略的管控措施。建立联系部门，对各部门工作进行审核评价，部门人员应掌握审计相应的技术和经验。

制定ISMS实施计划，科学安排和确定合理的活动顺序和时间、体系建设实施所需的资源等。建设一套完善的风险识别流程、识别风险的评判机制和风险处置策略都是必要的。除此之外，我们还需要注重体系文件的编写和日常培训及宣贯。

1.  风险识别

风险是对预期的不确定影响，风险一旦发生，会对组织目标产生消极影响的不确定事件。其中常见的信息安全风险类型为：人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。

2.  风险分析

识别风险的过程就是识别影响组织目标达成的事件的过程，从信息安全你的角度来看，风险识别就是识别信息丧失机密性、完整性、可用性的事件的过程。为实现组织持续性运营，需要识别出风险、对风险发生后潜在影响的资产、潜在的影响、现实可能性等因素综合考量，确立明确有效的措施。

3.  对风险进行评价

面对已识别的风险需要有区分，组织对风险进行评价，确定风险值的计算方法，比对风险接受准则、确定带处置风险、确立风险处置优先级。

风险值=风险被利用的严重性*风险的可能性

4.  确立风险处置策略

制定基本的安全措施，明确自己的风险处置测策略，也就是应对各种风险的途径和决策方式。我们可以从一下几个方面考虑：

降低风险：对风险进行有效控制，减小风险带来的影响。

规避风险：可以选择放弃某些可能存在的业务和资产，一次规避风险。

转嫁风险：将风险转移到其他责任方，比如购买商业保险。

接受风险：在实施了风险控制措施之后，对于残留的风险选择接受。

各组织根据现实状况的不同，安全目标也存在差异，也就决定了选择风险处置策略的多样性。采取合适的方式处理风险才能达到更好的效果。

5.  体系文件的编写

强制性的文件是指ISO/IEC 27001:2013标准明确规定的，必须要有的ISMS文件。如：

ISMS方针

ISMS范围

风险评估的过程文档

风险处置的过程文档

信息安全目标

适用性声明

控制措施有效性的测量程序

自主决定的文件编写主要取决于组织业务活动及其风险控制的要求、企业的大小及其复杂程度、企业对安全要求的重视程度。

6.  培训与宣贯

对于信息安全体系建设方面考虑，每个阶段的工作，相关人员都需要接受培训和意思宣贯。在组织上面我们需注意分层次、分阶段、循序渐进的进行，培训的目的是提升组织整体的信息安全管理水平。借助的方式可以将安全意识整合到入职培训、赛制度、寻找“二班长”等方式。

持续和改进是ISMS管理体系的重要原则，缺少这个原则如同考试没有评卷。首先我们需要保证“监督和评审”阶段在数据输入阶段展开有效的执行。依照规划要求去实施，并按照PDCA的模式运行。实行中识别不符合项，及时纠正和预防，使安全体系形成一个闭环。

监测和评审

管理层对于信息安全过程的评价或评审必须定期进行。对于当前环境发生重大变化、出现紧急安全事件，都需要临时启动评审，并对所有结果和决定做清晰的记录。对安全管理情况的评价采用定性评价，对无法量化的制度建设、流程控制、日常操作等操作方面进行一个较为客观的评价。对于无法评价结果只能人为对评价结果进行大致分级，但因为评价者自身的不足影响评价的客观性和准确性。解决办法是内控度量，通过大量可量化的、具有代表性的指标对信息安全管理情况进行量化和分析，发现各类潜在问题、量化评价安全管理绩效、确保安全管理持续进行。

识别不符合项、纠正和预防措施

 例行的检查可能发现有些信息安全控制措施未能实施，或者虽然实施却没有达到预期的效果。如果这些弱点在例行的检查中被发现，不应该仅仅只是去除这些现象，更重要的是要找到这些问题的原因，并且找到解决的办法。如果在内审、外审核管理评审中发现了不符合项，组织应采取措施，以消除与ISMS要求不符合的原因，以防止再发生。

纠正措施的必要要求

识别不符合项；确定不符合的原因；评价确保不符合不再发生的措施需求；确定和实施所需要的纠正措施；记录所采取措施的结果；评审所采取的纠正措施。

预防措施的必要要求

 识别潜在的不符合及原因；评价防止不符合发生的措施需求；确定和实施所需要的预防措施；记录所采取措施的结果；评审所采取的预防措施。