張敏
點(diǎn)擊圖片查看原圖
ISO 27001信息安全管理體系標(biāo)準(zhǔn)的前身為英國(guó)的BS 7799標(biāo)準(zhǔn),該標(biāo)準(zhǔn)由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)于1995年2月提出,并于1995年5月修訂而成的。2005年,BS 7799-2:2002被國(guó)際標(biāo)準(zhǔn)化組織(ISO)組織所采納,于同年10月推出ISO/IEC 27001:2005。目前現(xiàn)行的ISO27001:2013標(biāo)準(zhǔn)于2013年10月19日由國(guó)際標(biāo)準(zhǔn)化組織(ISO)正式頒布實(shí)施,新的版本近期會(huì)更新發(fā)布。
ISO 27001信息安全管理體系標(biāo)準(zhǔn)規(guī)定了建立、實(shí)施和文件化信息安全管理體系的要求,根據(jù)獨(dú)立組織的需要應(yīng)實(shí)施信息安全控制的要求,全面或部分信息安全管理體系評(píng)估的基礎(chǔ)。目前,在信息安全管理方面,ISO27001已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。
自2005年國(guó)際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱:ISO)將BS 7799轉(zhuǎn)化為ISO 27001發(fā)布以來(lái),此標(biāo)準(zhǔn)在國(guó)際上獲得了空前的認(rèn)可,相當(dāng)數(shù)量的組織采納并進(jìn)行了信息安全管理體系的認(rèn)證, 至2011年底,國(guó)際上頒發(fā)的ISO 27001認(rèn)證證書總數(shù)約為15625張,截止2022年9月30日,全國(guó)有效信息安全管理體系認(rèn)證證書量已達(dá)到32542張,同時(shí),最近五年,ISO27001證書量同比增幅遠(yuǎn)超其他體系。越來(lái)越多的行業(yè)和組織認(rèn)識(shí)到信息安全的重要性,并把它作為基礎(chǔ)管理工作之一開展起來(lái),成為企業(yè)核心競(jìng)爭(zhēng)力的重要標(biāo)志。
首先是確立管理體系適用的范圍 需要覆蓋公司的各個(gè)職能部門,也可以覆蓋公司信息系統(tǒng)相連的外部機(jī)構(gòu),如供應(yīng)商、合作伙伴等。同時(shí)從系統(tǒng)層次考慮覆蓋網(wǎng)絡(luò)系統(tǒng)、服務(wù)器平臺(tái)系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)、安全管理以及支撐信息系統(tǒng)的場(chǎng)所和所處的周邊環(huán)境及場(chǎng)所內(nèi)保障計(jì)算機(jī)系統(tǒng)正常運(yùn)行的設(shè)施設(shè)備等。 企業(yè)安全管理類的風(fēng)險(xiǎn)評(píng)估 安全管理類風(fēng)險(xiǎn)評(píng)估的內(nèi)容包括ISO27001信息安全管理體系相關(guān)的11個(gè)方面,包括信息安全策略、安全組織、資產(chǎn)分類與控制、人員安全、物理和環(huán)境安全、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。 企業(yè)安全技術(shù)類的風(fēng)險(xiǎn)評(píng)估 安全技術(shù)類評(píng)估是基于資產(chǎn)安全等級(jí)的分類,通過對(duì)信息設(shè)備進(jìn)行的安全掃描、安全設(shè)備的配置,檢查分析現(xiàn)有網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)安全架構(gòu)的安全現(xiàn)狀和存在的弱點(diǎn),為安全加固提供依據(jù)。 規(guī)劃體系建設(shè)方案 規(guī)劃體系建設(shè)方案是在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,對(duì)企業(yè)中存在的安全風(fēng)險(xiǎn)提出安全建議,增強(qiáng)系統(tǒng)的安全性和抗攻擊性。 信息安全體系的建設(shè)與運(yùn)行 信息安全體系是在信息安全模型與企業(yè)信息化的基礎(chǔ)上建立的,體系應(yīng)該兼顧內(nèi)外安全的功能。規(guī)劃信息安全技術(shù)可以從安全基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等四個(gè)方面進(jìn)行規(guī)劃。 持續(xù)性改進(jìn) ISO27001認(rèn)證標(biāo)準(zhǔn)的信息安全管理體系文件編制完成以后,按照文件控制的要求進(jìn)行審核批準(zhǔn),向各部門發(fā)放先行有效的體系文件,保留體系運(yùn)行過程中的記錄,并定期進(jìn)行內(nèi)審和管理評(píng)審,對(duì)不符合或潛在不符合項(xiàng)進(jìn)行糾正和預(yù)防措施,不斷改進(jìn)信息安全管理體系。 組織實(shí)施信息安全管理體系,通過ISO27001標(biāo)準(zhǔn)認(rèn)證,表示企業(yè)已經(jīng)建立了一套科學(xué)有效的體系作為保障,為企業(yè)帶來(lái)全面的價(jià)值提升,包括但不限于以下五個(gè)方面: 提升企業(yè)品牌形象 企業(yè)實(shí)施信息安全管理體系并通過第三方認(rèn)證機(jī)構(gòu)相關(guān)認(rèn)證,能向公眾和外部客戶展示自身的管理水平,能向外部證明自身管理能力符合相關(guān)信息安全標(biāo)準(zhǔn)及相關(guān)法律法規(guī)的要求,體現(xiàn)企業(yè)較于同業(yè)企業(yè)的競(jìng)爭(zhēng)優(yōu)勢(shì)。 其他資質(zhì)前置條件 目前有許多IT行業(yè)內(nèi)通用的證書如業(yè)務(wù)連續(xù)性管理體系(ISO22301)、 云服務(wù)信息安全管理體系、(ISO27017)云隱私保護(hù)體系、(ISO27018)隱私信息安全管理體系(ISO27701)、個(gè)人身份信息保護(hù)管理體系(ISO21951)、國(guó)際云安全認(rèn)證(C-STAR)等,在申報(bào)這些認(rèn)證證書時(shí),申報(bào)企業(yè)需要提前建立ISO27001管理體系并通過第三方認(rèn)證。 提高企業(yè)信息安全管理能力 通過實(shí)施ISO27001,按照PDCA模型建立信息安全管理自我約束機(jī)制,有助于企業(yè)識(shí)別信息安全風(fēng)險(xiǎn)并加改進(jìn)規(guī)避,減少可能存在的安全隱患,降低潛在安全事件發(fā)生給企業(yè)帶來(lái)的損失,規(guī)范企業(yè)各個(gè)部門各個(gè)崗位的職責(zé),提升員工信息安全意識(shí),不斷改善,有效預(yù)防,最終實(shí)現(xiàn)組織的良性發(fā)展。 滿足市場(chǎng)準(zhǔn)入需求 各類體系認(rèn)證證書是IT行業(yè)招投標(biāo)的敲門磚,不同證書在不同的投標(biāo)標(biāo)的會(huì)有不同的分?jǐn)?shù)占比。部分項(xiàng)目標(biāo)的甚至明確要求ISO27001認(rèn)證證書作為準(zhǔn)入門檻。 獲取政府財(cái)務(wù)支持 為相應(yīng)國(guó)家相關(guān)行業(yè)政策,推進(jìn)區(qū)域企業(yè)高質(zhì)量發(fā)展,鼓勵(lì)企業(yè)提升自身信息安全管理能力,各地主管部門對(duì)本地區(qū)通過第三方認(rèn)證的企業(yè)有不同的財(cái)務(wù)補(bǔ)貼政策。 2022年ISO27001全國(guó)補(bǔ)貼政策如下: 地區(qū) 部門 獎(jiǎng)勵(lì)方案 上海青浦 區(qū)政府 首次獲得ISO27001信息安全管理體系一次性獎(jiǎng)勵(lì)10萬(wàn)元 蘇州相城 經(jīng)信局 對(duì)通過ISO27001信息安全管理體系一次性獎(jiǎng)勵(lì)5萬(wàn)元 揚(yáng)州經(jīng)開 管委會(huì) 對(duì)新通過ISO27001信息安全管理體系的企業(yè)2萬(wàn)元獎(jiǎng)勵(lì) 宿遷沭陽(yáng) 縣政府 通過信息安全管理體系認(rèn)證的企業(yè)獎(jiǎng)勵(lì)5萬(wàn)元 深圳市 商務(wù)局 服務(wù)外包企業(yè)在規(guī)定年度內(nèi)取得信息安全管理體系認(rèn)證及其維護(hù)升級(jí)給予實(shí)際發(fā)生額的50%,總額不超過50萬(wàn)的補(bǔ)助 杭州臨平 區(qū)政府 對(duì)通過信息安全管理體系權(quán)威機(jī)構(gòu)認(rèn)證的企業(yè)獎(jiǎng)勵(lì)5萬(wàn)元 寧波市 區(qū)政府 軟件企業(yè)首次通過ISO27001信息安全管理體系一次性獎(jiǎng)勵(lì)10萬(wàn)元 溫州市 市政府 首次通過ISO27001信息安全管理體系認(rèn)證的企業(yè)給予實(shí)際認(rèn)證費(fèi)用的50%總額不超過15萬(wàn)元獎(jiǎng)勵(lì) 金華市 商務(wù)局 對(duì)首次獲得ISO27001信息安全管理體系認(rèn)證的企業(yè),給予認(rèn)證費(fèi)80%的補(bǔ)助,總額不超過10萬(wàn)元;獲證后連續(xù)五年每年給予證書維護(hù)費(fèi)50%補(bǔ)助 臺(tái)州臨海 區(qū)政府 通過信息安全管理體系認(rèn)證,一次性獎(jiǎng)勵(lì)10萬(wàn)元 湖州吳興 區(qū)政府 通過信息安全管理體系認(rèn)證,一次性獎(jiǎng)勵(lì)5萬(wàn)元 湖州長(zhǎng)興 縣政府 對(duì)首次通過信息安全管理體系認(rèn)證的企業(yè),獎(jiǎng)勵(lì)首次認(rèn)證費(fèi)用的50%,最高不超過10萬(wàn)元 武漢武昌 區(qū)政府 對(duì)通過ISO27001信息安全管理體系企業(yè)一次性獎(jiǎng)勵(lì)10萬(wàn)元 武漢江漢 區(qū)政府 對(duì)通過ISO27001信息安全管理體系企業(yè)一次性獎(jiǎng)勵(lì)10萬(wàn)元 珠海市 商務(wù)局 對(duì)首次獲得ISO27001信息安全管理體系認(rèn)證的企業(yè),給予認(rèn)證費(fèi)80%的補(bǔ)助,總額不超過10萬(wàn)元;獲證后連續(xù)五年每年給予證書維護(hù)費(fèi)50%補(bǔ)助 濟(jì)南市 工信局 鼓勵(lì)企業(yè)開展資質(zhì)認(rèn)證,對(duì)首次通過ISO27001信息安全管理體系認(rèn)證的企業(yè)予以認(rèn)證咨詢費(fèi)用50%獎(jiǎng)勵(lì) 青島西海岸區(qū) 工信局 對(duì)新通過信息安全管理體系認(rèn)證的企業(yè),以同期同類別所有申報(bào)企業(yè)的平均認(rèn)定成本為獎(jiǎng)勵(lì)標(biāo)準(zhǔn),給予最高10萬(wàn)元一次性獎(jiǎng)勵(lì) 日照市 工信局 對(duì)新通過信息安全管理體系認(rèn)證的企業(yè)給予不超過10萬(wàn)元一次性獎(jiǎng)勵(lì) 西安高新 區(qū)政府 軟件企業(yè)首次通過ISO27001信息安全管理體系的企業(yè)一次性給予認(rèn)證咨詢費(fèi)用50%獎(jiǎng)勵(lì) 重慶南岸 區(qū)政府 對(duì)通過ISO27001信息安全管理體系認(rèn)證的企業(yè),給予一次性20萬(wàn)元獎(jiǎng)勵(lì) 長(zhǎng)沙開福 商務(wù)局 對(duì)首次通過信息安全管理體系認(rèn)證的企業(yè),獎(jiǎng)勵(lì)首次認(rèn)證費(fèi)用的25%,最高不超過10萬(wàn)元 馬鞍山市 經(jīng)信局 對(duì)通過ISO27001信息安全管理體系認(rèn)證的企業(yè)給予實(shí)際認(rèn)證費(fèi)用的50%,總額不超過50萬(wàn)元獎(jiǎng)勵(lì) 柳州柳東新區(qū) 管委會(huì) 對(duì)通過ISO27001信息安全管理體系認(rèn)證的企業(yè)給予實(shí)際認(rèn)證費(fèi)用的100%總額不超過10萬(wàn)元獎(jiǎng)勵(lì)