iso27000认证介绍
作者: 日期:2017-02-09 来源: 关注:417
目 录
1 概述
2 准备
2.1 确定 isms 范围
2.2 确定信息安全总体方针政策
2.3 定义风险评估与管理方法
2.4 项目准备
3 风险评估
3.1 现状分析
3.2 风险评价
3.3 风险处置
4 安全体系规划与设计
4.1 安全体系规划
4.2 编写安全体系文档
5 安全体系实施、调整、评审
5.1 体系实施
5.2 体系调整
5.3 体系评审
1 1 概述
实践证明,按照 bs7799/iso27000 的要求在组织内部建立并运行信息安全管理体系
(isms),强化信息安全管理体系的运行审核和管理评审,不断改进优化组织的信息安全管
理体系,是处理组织信息安全问题有效手段之一。
根据 bs7799/iso27000 要求,在建立、实施、运行、监控、评审、保持与改进组织 isms
时采用 pdca 的过程模型,即首先依据组织的信息安全总体方针政策,通过对 isms 涉及范围
内的所有信息资产进行风险评估,选取合适的安全控制措施,建立包括安全策略、控制程序、
操作指南/手册在内的文件化的信息安全管理体系,然后在组织内部实施并运行 isms 信息安
全策略、控制程序及措施,并通过 isms 运行监控、内部审计及管理评审,发现 isms 存在的
问题及弱点,及时采取适当的纠正或预防措施,实现 isms 的持续改进。
信息安全管理体系咨询服务的目的就是根据 iso27001 标准的要求,采用 pdca 的过程模
型,通过基于资产的风险评估,帮助客户建立文件化的信息安全管理体系,辅导客户在其组
织范围内实施、运行、评审信息安全管理体系,从而确保客户信息系统的正常运行,提高服
务竞争力,最终促进客户业务的开展。
如上图所示,信息安全管理体系建设咨询服务包括准备、风险评估、安全体系规划与设
计、安全体系实施/调整/评审四个阶段,各个阶段说明如下:
第一阶段:准备
准备阶段主要完成信息安全管理体系建设项目的前期准备工作。包括四个工作任务,分
别是:
1) 确定 isms 范围
根据组织业务需要确定 isms 涵盖的范围,包括地理位置、部门或信息系统等。
2) 确定信息安全总体方针政策
分析 isms 范围内的业务及系统安全需求,确定 isms 的总体方针政策。
3) 定义风险评估与管理方法
确定风险评估模型,确定风险评估指标,定义风险评估及管理程序。
4) 项目准备
制定实施计划、成立项目组、整理开发相关工具模板、召开启动会,进行项目背景
知识培训等。
第 二 阶段:风险评估
分析 isms 范围内的信息安全现状,针对 isms 范围内的所有信息资产,识别并评价其面
临的安全风险,提出对应的控制措施。包括三大工作任务,分别为:
1) 现状分析
通过访谈、检查及测试了解 isms 范围内的信息安全现状,形成现状报告,并将获
取的安全现状与 iso27002 中的安全控制措施进行差距分析。
2) 风险评价
按照确定的风险评估模型,评价现状分析阶段识别的资产、威胁及弱点,确定资产
风险等级。
3) 风险处置
确定风险处置方式,选择安全控制措施,制定风险处置计划,进行残余风险分析。
第 三 阶段: 安全 体系规划与设计
根据差距分析和风险评估结果规划安全体系建设任务,落实本期建设规划。包括两大工
作任务,分别为:
1) 安全体系规划
规划信息安全体系建设项目、任务、计划等。
2) 编写安全体系文档
设计信息安全体系管理文档或技术方案。
第 四 阶段: 安全 体系实施 、调整、评审
落实信息安全管理措施,部署信息安全技术措施,运行信息安全管理体系,改进信息安
全管理体系不足,按照 iso27001 要求进行信息安全管理体系内部审核和管理评审。包括三
大工作任务,分别为:
1) 体系实施
落实或部署信息安全管理体系的相关管理及技术措施,运行信息安全管理体系。
2) 体系调整
针对实施和运行中存在的问题,对信息安全管理体系进行调整改进。
3) 体系评审
按照 iso27001 要求进行信息安全管理体系内部审核和管理评审。
2 2 准备 准备
2.1 2.1 确定 确定 s isms 范围
根据组织的业务特征、组织结构、地理位置、资产和技术定义 isms 范围和边界。
主要工作任务及内容(活动)
1) 信息安全与业务战略及规划一致性分析
针对组织内部安全状况与组织业务战略及规划一致性的分析,主要从客户、合作方等外
部角度考虑 isms 需要涵盖的范围。
2) 信息安全与相关法规/制度符合性分析
针对组织内部安全状况与法律/法规/制度符合性的分析,主要从合规性方面考虑 isms
范围需要涵盖的范围。
3) 信息安全与业务运营影响分析
针对组织内部安全状况对业务运营影响的分析,主要从内部风险管理角度考虑 isms 需
要涵盖范围
4) 确定 isms 范围
根据上述分析结果确定 isms 范围(包括涉及的物理位置、业务[流程]、部门、系统等)。
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
isms 范围描述
确定 isms 范围
信息安全管理体系是为保障组织信息系统而建立的,而信息系统建设与运行的目标是确
保组织业务目标的实现,因此信息安全管理体系建设的最终目的是确保组织业务目标的实
现。所以确定 isms 范围时需要从内部业务需求和外部合规性要求出发,对信息安全与组织
业务发展战略及规划的一致性、信息安全与与相关法规/制度的符合性、信息安全对业务运
营的影响进行综合分析形成与业务目标相一致的 isms 范围。
应该对确定的 isms 范围进行书面说明(可以放在信息安全管理手册或总体方针文件
中),对 isms 涉及的部门,位置、业务以及主要资产(主要信息系统或设备)进行描述。
2.2 2.2 确定 确定 信息安全 总体方针政策
分析 isms 范围内的业务及系统安全需求,确定 isms 的总体方针政策。
主要工作任务及内容(活动)
1) 业务及系统初步安全需求分析
根据组织业务及系统特点进行初步安全需求分析,形成总体安全需求。
2) 确定 isms 总体方针政策
在初步安全需求分析结果基础上,确定组织信息安全的总体方针政策,包括 isms 范围、
总体目标、安全组织结构、安全管理框架、
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
在进行信息安全管理体系建设前,应该制定组织的信息安全总体方针政策,设定信息安
全的总体目标,明确信息安全管理职责,建立信息安全总体框架,为相关活动指明总的方向
和原则。信息安全总体方针政策是建立、实施、运作、监视、评审、保持并持续信息安全管
理体系的基础,需要获得最高管理者的批准。
制定组织信息安全总体方针政策时可以首先针对组织业务及系统特点进行初步的安全
需求分析,考虑包括业务及法规制度合同要求在内的安全需求,形成安全需求框架。
确定信息安全总体方针政策的过程如下:
确定的信息安全总体方针政策应该文件化,并由最高管理者签发。信息安全总体方针政
策文件需要包含如下内容:
组织信息安全的定义、总体目标、范围等;
组织信息安全的重要性(如何保障业务目标实现);
管理层承诺与支持;
信息安全体系框架(如何实现组织信息安全);
对组织尤其重要的特殊方针、原则、标准及符合性要求简短说明,如:法律法规要
求、业务持续性管理、教育与培训以及违反策略的后果等;
信息安全管理组织架构、职责、安全管理方法等;
引用的支撑策略或管理制度。
2.3 2.3 定义风险评估 定义风险评估 与管理 方法
确定信息安全风险评估模型,定义风险评估程序、建立风险评估指标及风险接受准则。
主要工作任务及内容(活动)
1) 确定风险评估模型及相关指标准则
定义组织风险评估方法及风险接受准则等。
2) 制定风险评估与管理程序
按照确定的风险评估方法及风险接受准则,形成文件化的风险评估与管理程序。
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
在确定了 isms 的范围和总体方针之后,需要确定一种适合组织的风险评估模型,建立
风险评估指标及风险接受准则。并且需要按照确定的风险评估方法及风险接受准则,形成文
件化的风险评估及管理程序。具体内容包括:
定义风险评估模型;
定义资产类别;
定义威胁类别;
定义弱点类别;
定义风险处置方式;
确定风险接受准则;
确定风险计算方式;
各种指标值及描述。
2.4 2.4 项目 项目 准备
按照 isms 建设范围及进度要求,制定有关实施计划,组建项目组,落实人员安排,整
理或开发 isms 建设所需的表格/工具/模板,召开启动会,并按照实际需要对相关人员进行
项目背景知识培训,完成 isms 建设项目的前期准备工作。
主要工作任务及内容(活动)
1) 制定实施计划
制定项目实施计划,主要是下一阶段的风险评估计划。
2) 组建项目组
落实项目人员安排及其职责。
3) 整理开发工具/模板
开发或定制各种表格、工具及模板,包括各种问卷,表格,检查及测试程序与模板等。
4) 项目启动会
正式启动项目。
5) 培训
按照需要进行项目背景知识培训,包括 bs7799/iso27000 知识培训,项目实施过程/方
法/工具培训等。
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
项目准备主要包括制定项目(下一阶段)实施计划,组建项目组,整理开发工具模板,
召开启动会,实施项目培训等。
项目准备过程如下:
开发整理工具/模板是项目准备阶段最重要的工作任务之一,isms 建设的工具模板包
括:
1) 1) 调查问卷 调查问卷
调查问卷是为了大范围收集了解情况(所谓全面撒网)而由甲方相关人员填写由咨询人
员收集分析的问卷表,由于问卷调查可以在大范围并行开展,因此可以节约信息收集时间。
但调查问卷获取信息的可靠性较差,因此问卷涉及的调查内容应该包括在面对面访谈中。
isms 建设调查问卷包括:
威胁调查问卷
用于收集了解体系建设范围内信息安全威胁及事件的相关信息。
信息安全管理调查问卷
初步了解体系建设范围内信息安全管理的相关情况,同时了解调查被调查人员关于
信息安全管理的意识以及关于 isms 体系建设迫切需要解决的问题。
2) 2) 现场访谈表 现场访谈表
现场访谈表是由咨询人员使用的用于面对面访谈甲方相关人员的工作表格。现场访谈表
主要用于收集体系建设范围内组织及 it 系统的基本信息和安全状况。
isms 建设现场访谈表包括:
it 组织情况调查表
主要调查体系建设范围内 it 组织的基本情况。
信息系统调查表(系列)
主要调查体系建设范围内信息系统的基本情况,包括物理、网络、主机、数据库以
及应用系统的部署使用、安全措施等。
安全管理访谈表
按照 bs7799-1 或者 iso27002 要求,进行安全管理措施及弱点访谈。
4) 形成项目执行决议
项目背景知识培训主要涉及 bs7799/iso27000 知识培训,项目实施过程/方法/工具培训
等。可以在培训后根据甲方的意愿进行培训考试。
3 3 风险评估 风险评估
3.1 3.1 现状分析 现状分析
通过问卷调查、访谈、检查及测试等多种方式尽可能多的收集信息系统及安全管理相关
信息,对收集到的信息进行综合分析和整理,形成差距分析报告和现状报告。
主要工作任务及内容(活动)
1) 问卷调查
对 isms 范围内的相关人员进行问卷调查,了解组织人员的安全管理意识、组织面临的
主要威胁情况以及发生的主要安全事件。
2) 现场访谈
面对面访谈信息系统架构、部署以及安全弱点、管理及技术措施等。
3) 手工检测
人工检查或测试系统的安全管理落实情况。
4) 安全扫描
使用自动化工具进行网络、操作系统、数据库或应用系统扫描。
5) 渗透测试
对网络、操作系统、数据库或应用系统实施渗透测试,可选。
6) 综合分析
对问卷调查、现场访谈、手工检测、安全扫描收集的信息进行综合分析。
7) 撰写报告
撰写差距分析报告和现状报告。
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
现状分析的目的是收集信息系统及安全管理的相关信息,所采用的手段包括:问卷调查、
现场访谈、检查与测试等,在进行现状分析前需要准备完成相关的现状调研及分析工具模板。
具体包括:
调查问卷
现场访谈表
人工检测表
自动扫描工具等
其中调查问卷需要根据 isms 范围内的人员岗位分别定制,现场访谈表、人工检测表需
要根据网络及系统平台类别分别定制。
各种主要手段功用及工作底稿描述如下:
问卷调查主要用于信息安全管理意识、安全威胁及相关安全事件了解。问卷调查的
工作底稿主要是问卷答卷。
现场访谈主要了解物理、网络、操作系统、数据库系统、应用系统的基本信息以及
其安全管理设计情况。现场访谈工作底稿包括:访谈计划、访谈结果记录等。
人工检测表主要用于核查安全管理的落实情况,检查或测试各类网络设备、操作系
统、数据库系统、应用系统的安全实现情况。工作底稿主要是检测结果记录。
自动扫描主要用于对网络设备、操作系统、数据库系统或应用系统的进行自动化扫
描。工作底稿包括:扫描计划、扫描原始记录、扫描报告等。
渗透测试主要对网络设备、操作系统、数据库系统或应用系统的实施渗透。工作底
稿包括:渗透测试计划、渗透测试记录、渗透测试报告等。
3.2 3.2 风险评价 风险评价
依据确定的风险评估模型与方法,对现状分析阶段识别出的资产、威胁、弱点以及由此
而形成的资产综合风险进行分析评价,形成风险评估报告。
主要工作任务及内容(活动)
1) 资产评价
评估资产价值。
2) 威胁评价
评估威胁发生可能性。
3) 弱点评价
评估弱点严重程度。
4) 风险评价
综合资产评价、威胁评价、弱点评价结果评估资产面临的风险。
5) 风险评估报告
形成风险评估报告。
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
风险评价充分利用了现状分析阶段收集的资产、威胁、弱点以及安全控制的相关信息,
按照确定风险评估模型及方法,评估资产面临的风险。
3.3 3.3 风险处置 风险处置
根据风险处置标准,确定风险处置方式。对于那些需要控制的风险,需要选择安全控制
措施,制定风险处置计划,进行残余风险分析。
主要工作任务及内容(活动)
1) 选择风险处置方式
根据确定的风险接受准则,选择风险处置方式,如:接受、控制、转移、规避等。
2) 选择安全控制措施
对于确定为控制的风险,选择 iso27002 中的或其它的安全控制措施。
3) 制定风险处置计划
对确定为控制的风险,制定相应的风险处理计划,包括任务、人员、时间安排
4) 残余风险分析
分析控制实施后的残余风险。
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
风险处置方法一般包括风险接受、风险控制、风险转移、风险规避四种。
风险接受:包括低于一定的风险水平本身就可接受的风险,或者那些不可避免,而
且技术上、资源上不可能采取对策来降低,或者降低对组织来说不经济的风险。
风险控制:采用适当的控制以降低风险:包括降低安全事件发生的可能性或者降低
安全事件影响两个方面,这时风险处置的重点。
风险转移:将风险和其他的利益方分担,避免自己承担全部损失。例如保险和其他
的风险分担合同。
风险规避:通过避免开展某项业务、活动或使用某项不成熟的产品技术等来回避可
能产生的风险,通常这些业务、活动不是组织的核心内容。
对于选择为接受的风险,根据 iso27001 要求,需要获得管理者的批准,并对这些风险
进行监视,一旦风险状态或者控制条件发生变化需要重新评估风险并识别和评价风险处理的
方法。
对于选择为控制的风险,可以从 iso27002 中选择降低风险的控制措施,包括信息安全
方针、安全组织、资产分类和控制、人员安全、物理和环境安全、通信和操作管理、访问控
制、信息系统的获取及开发和维护、安全事件管理、业务连续性管理、符合性十一大方面。
这些控制可以从降低安全事件发生的可能性或者降低安全事件影响两个方面来降低风险。在
选取控制措施后,还需要针对这些风险制定风险处置计划,风险处置计划是针对风险评估所
识别的不可接受风险而制定的风险处理办法和进度表, 风险处置计划中应详细的列出:1)
所选择的处理方法;2)当前已有控制;3)建议实施的控制;4)实施时间及人员安排等。
最后针对实施处置计划后的资产残余风险进行分析,要么由管理层批准接受残余风险,要么
继续选择控制措施,制定处置计划,直到管理层批准接受残余风险。
此外组织在采取“风险规避”或者“风险转移”的处理方法时,应该注意其局限性,而
且可能因此而引入新的风险。
4 4 安全体系规划 安全体系规划 与设计
4.1 4.1 安全体系规划 安全体系规划
对于大型组织而言,由于 isms 涉及范围广,建立完善的信息安全管理体系将是一个长
期的过程,因此需要规划信息安全管理体系建设的任务及过程,形成信息安全管理体系建设
规划报告,分阶段分步骤建设信息安全管理体系。对于 isms 范围较小的组织,在风险评估
后可以跳过本阶段而直接进入安全体系文档设计阶段。
主要工作任务及内容(活动)
1) isms 建设任务或项目分解
将资产风险处置结果转换为任务或项目。
2) 安全任务或项目实施规划
规划任务或项目的实施计划。
3) 撰写规划报告
综合前面分析形成规划报告
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
在进行信息安全管理体系建设规划时首先要分析上一阶段得出的资产风险处置结果,将
需要增加或改进的措施分解成一项项任务或项目,明确每个任务或项目的目标、工作内容及
实施优先级,然后根据任务或项目的实施优先级规划这些任务或项目的实施时间、实施范围
及参与人员。
在确定任务或项目的实施优先级时需要使用规划方法模型指标。
4.2 4.2 编写安全体系文档 编写安全体系文档
按照风险评估或安全体系规划结果,编写信息安全管理体系文档,包括 1、2、3、4 级
文档、技术方案等。
主要工作任务及内容(活动)
1) 确定 isms 文件清单
根据风险评估及规划结果确定需要的 isms 文件清单。
2) 制定 isms 文件编写计划
3) 编写 isms 文件
按计划编写 1、2、3、4 级文档、技术方案等。
4) isms 文件评审
讨论评审 isms 文件或技术方案。
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
isms 文档包括与安全相关的管理制度/流程/标准/指南/操作手册/模板以及相关技术
方案等。一般分为四级文件,分别是:
一级文件:isms 总体文件,包括:
总体安全方针政策
安全管理手册
适用性声明(soa)
二级文件:isms 通用程序,主要包括:
文件控制程序
记录控制程序
内部审核管理程序
管理评审管理程序
预防及不符合纠正控制程序
信息安全风险评估与管理程序
三级文件:专项安全处理程序、操作指南、操作手册等。
各种专项信息安全策略(含管理规定、办法、制度等)
各种信息安全处理流程/程序
各种信息安全标准/指南/操作手册
四级文件:运行 isms 所用到的记录、模板等。
5 5 安全体系实施、 安全体系实施、 调整 、评审
5.1 5.1 体系实施 体系实施
按照 isms 文件,落实安全管理组织,部署安全控制措施,运行安全控制程序。
主要工作任务及内容(活动)
1) 体系批准
2) 制定实施计划
3) 建立安全管理组织
4) 体系培训
5) 体系实施
6) 实施总结
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
在实施和运行 isms 前,需要获得最高管理者批准授权。最高管理者需要任命 isms 管理
者代表、签署 isms 文档。此外还必须按照 isms 体系要求建立安全管理组织,进行 isms 培
训。
对于大型组织,isms 实施可以采用先试点、后推广分阶段进行。
实施过程如下:
isms 文档
体系培训
建立安全管理组织
培训记录及材料(系列)
体系实施 实施记录(系列)
实施报告
体系批准
isms 实施工作计划
实施总结
制定实施计划
isms 批准及授权书
5.2 5.2 体系调整 体系调整
根据 isms 的实施、运行及评审情况,调整 isms 的设计与部署。
主要工作任务及内容(活动)
1) 制定调整计划
2) 实施体系调整
主要工作方式/ / 方法(工作方式、职责划分、工 作方法)
在 isms 实施或者评审完成后,可以根据实施情况或者评审报告,对实施及运行过程中
发现的 isms 设计与部署问题进行整改。
5.3 5.3 体系评审 体系评审
对 isms 的实施及运行情况进行评审,包括 isms 内部审核和 isms 管理评审。
主要工作任务及内容(活动)
1) 内部审核
2) 管理层评审
体系调整
制定调整计划 isms 调整计划
调整结果及记录
体系实施报告 体系评审报告
主要工作方式/ / 方法(工作方式、职责划分、工作方法)
在 isms 实施并运行一段时间后应该按照 iso27001 要求,对 isms 进行内部审核和管理
评审,为 isms 的外部认证审核做好准备。
isms 内部审核的目的是确定已经实施并运行的 isms 的控制目标、控制措施、过程和程
序是否:
符合 iso27001 的要求和相关法律法规的要求;
符合已识别的信息安全要求;
得到有效地实施和维护;
按预期执行。
内部审核一般有六个主要步骤,即确定任务、审核准备、审核的实施、编写不符合报告、
纠正措施的跟踪、全面审核报告的编写和纠正措施完成情况的汇总分析(具体过程参见 isms
内部审核服务)。
管理评审的目的是确保 isms 的适宜性、充分性和有效性。评审应包括评价 isms 改进的
机会和变更的需要,包括安全方针和安全目标,评审的结果应清晰地形成文件,记录应加以
保持。
内部审核需要将 isms 文件、体系实施报告及体系运行记录作为输入。管理评审则以内
部审核报告结果作为主要输入。