ISO 27001详解及认证指南

一、信息安全管理体系

1. 信息安全管理体系是什么？

ISO 27001 信息安全管理体系认证是国际标准化组织（ISO）发布的信息安全管理体系（ISMS）标准，它为组织提供了一个框架，帮助其在设计、实施、监控和持续改进信息安全管理体系时遵循一定的要求。

ISO 27001还包括了ISO 27002，ISO 27002作为27001的解释性说明文件，提供相应的管理标准。

该体系也是当前企业开展信息安全管理工作的主要指南，适用于全球范围内的企业安全建设，如公司需要开展建设信息安全工作，可以依据ISO27001管理要求开展。

2. 建立信息安全管理体系有什么注意事项？

一般情况下企业建设信息安全管理体系，会同ISO 27701数据安全管理体系与ISO 29151隐私安全管理体系一同来开展建设，能够更为完善的建设公司的信息安全与数据安全。

由于小公司一般对于信息安全与数据安全以及IT运维的关系十分模糊，一般会将安全部门放在IT部门下管理，这在公司的发展初期而言是可行的，但这也会导致安全失去了其主动性，而是被动的配合IT的工作开展，甚至沦为IT的附属部门。

3. 信息安全管理体系中都有什么内容？

对比2013版本2022版ISO 27001‌，ISO 27001:2022版本将信息安全控制框架结构重新构建为四大主题：人员、物理、技术和组织。‌‌

a. 一级目录没有变化；二、三级目录为了同步高级架构（HLS）有变化。

b. 体系方法保持不变；

c. 控制域变化、控制目标新增：

        2013版本有14个控制域和35个控制目标；2022版本变为4个主题目标。

        27002：2022版本增加了控制属性和控制视图。     

        2013版本有114个控制措施，2022版本有93个（更新了58个，合并了24个，新增11个）

 

 

二、如何建立信息安全管理体系

一般情况下我将建设信息安全管理体系的过程分为以下步骤：

1. 现状了解

可以通过开展风险评估的方式开展和收集资料，主要是了解当前公司的管理状况，所有部门的管理现状，包括制度规范、流程文档、操作指引、工作范围、信息资产（包括硬件、软件、系统、服务、文档、人员），开展业务风险分析，确认与ISO标准的差距，列出下一步工作计划。

2. 制度制定

常规的制度制定过程一般是根据公司业务的开展状况，结合第一阶段的对于业务的影响分析，针对性的开展制度的制定，制度制定的过程安全部门需要与IT运维团队、以及其他业务团队沟通，认可制度的内容，并依据制度的内容开展工作。

ISO管理体系的制度规范一般分为四个层级：

一级文档：一般称为纲领性文档，战略指导性文件，如章程、架构、管理手册、方针、政策等纲领性文件，通过文件指定安全部门的职责，建立安全委员会以及相关支撑机构。

二级文档：一般称为程序性文档，涉及到具体控制域的管理程序，一般是流程性的文件，用于介绍不同控制域如何开展响应的工作，整体的工作流程或程序是如何开展的，阐述了大概的管理要求，有要求，但不够具体，一般而言，在ISO认证审核的过程中拥有第二层级的文件就可以满足审核认证的最低要求，但对于建立较为完整的信息安全管理体系还是不足够的。

三级文档：一般称为操作指引文档，基于二级文档建立的对于每个安全领域如何来进行详细的操作的要求，如对于机房的管理，涉及到机房的消防、防火、防洪、防静电、防虫鼠害等要求，对于业务连续性层面对服务的冗余要求，对主要业务的影响分析，系统架构脉络与应急响应策略。等详细要求。

四级文档：一般称为表单项文档，主要是三级文档中有所提及的一些文档的附件，模版表单，参考附件等，用于支撑体系的正常运作。

3. 体系试运行

在完成管理制度的编写、发布后，业务团队IT团队应当根据体系的制度要求开展工作，安全部门需要进行管理监督，开展安全工作的落地，推动业务管理团队的业务开展与体系要求一致，进行完善管理。

4.技术部署

包括DLP数据防泄漏系统的部署、防病毒软件的部署、服务器主机的安全软件部署、堡垒机部署、防火墙部署等。

5. 风险评估、安全审计、管理评审

开展风险评估、安全审计、了解体系的运行状况，梳理运行过程中产生的风险、存在的问题、并汇总风险清单、问题清单、出具风险评估报告（通常以基于资产的风险评估为佳）、安全审计报告，向安全委员会进行管理评审。

6. 开展体系认证

合适的时间节点，企业可以联系体系认证机构开展信息安全管理体系的认证，以获取资格证书。

7. 持续改进与优化

管理体系建设的后期，持续开展风险评估、安全审计、以及管理制度的落地，持续PDCA，完善体系的管理。