ISO 27001

由于各种原因, ISO认证越来越多地被总部位于美国的组织考虑,以向客户和商业伙伴展示他们的信息安全智慧. 在大多数情况下, 这些组织已经取得了一个或多个认证和/或认证,只是希望进一步加强他们的组织证书,并满足任何询问的第三方. 虽然值得称赞, 如果认为ISO只是针对现有策略的另一个安全框架,那么这一努力就会受到阻碍, 程序, 并且可以应用控制. 简单的事实是,如果您认为在其他法规遵循方面的成功提供了ISO认证的一些保证, 那你就得三思了.

对于任何考虑ISO认证的组织, LBMC在这里回答常见问题, 消除常见的神话, 和, 最重要的是, 为读者提供有价值的信息,开启成功的ISO认证之旅.

什么是iso27001?

国际标准组织是一个独立的机构,其目标是为任何组织发布标准, 无论行业, 遵循. 按照他们网站上的定义,标准是“描述做某事的最佳方式的公式”.这些标准包括质量和环境管理标准, 健康和安全标准, 食物安全标准及, 当然, 信息安全标准. 标准以有编号的系列发布,每个系列包含多个单独的文档,这些文档与主题的某个方面有关. 在大多数情况下,每个系列中的“01”文档,e.g. 9001, 14001, 27001,是组织可以认证的标准. 本系列中的所有其他文件都是认证标准的支持性文件.

iso27000系列是信息安全管理系统的既定系列.  管理系统就是政策, 程序, 以及为保密而动用的资源, 完整性, 以及信息的可用性. 27001年的标准, ISO / IEC 27001:2013 在写作的时候,是组织可以被认证的标准. 该ISO认证向有兴趣的各方证明了一个组织致力于有效管理风险和关键信息系统的安全.

顺便说一下, IEC 在文档标题中指的是 国际电工委员会,是一个类似的标准组织,为ISO标准的技术活动作出贡献.

ISO 27001为何重要?

虽然总部位于美国的组织受到一些指导网络安全和合规工作的行业和监管框架的约束, ISO 27001是美国以外事实上的资讯保安标准. 为组织参与客户和其他商业关系以外的美国, ISO认证通常被认为是一个组织对有效风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构,以确保其持续有效. 这种有效性必须得到证明,以获得和保持认证. ISO不是一个“复选框安全”框架.

组织经常利用为ISO认证而建立的信息安全管理系统来管理其他合规举措,如SOC, 一种总线标准, 和HITRUST. 例如, 他们正在进行年度ISO内部审核, 他们利用这个机会验证控制是否仍然满足其他法规遵循标准的要求. 然后, 作为ISO认证管理评审程序的一部分, 他们利用这个机会审查他们的其他合规程序,以确定范围上的变化, 风险或威胁环境的变化, 以及任何相关的内部审计发现. 适用于寻求上级管理部门批准以获得ISO认证的安全经理, 这是一个有效的工具,以证明建立和维护ISO合规程序所需的资源.

ISO 27001的要求是什么?

ISO标准文档遵循一种通用格式,其中内容被划分为编号的子句. 子句定义给定标准的范围, 提供对其他支持或依赖标准的参考, 定义标准中使用的术语和定义, 并建立对标准的要求或期望. 标准通常包括附件或附录,为前面条款中所包含的要求和期望提供支持指南.

iso27001标准由26条条文及114项管制规定组成. 这些条款确立了信息安全管理体系(ISMS)的基本要素,组织必须具备该体系以管理风险和保护信息安全. 这些要求是ISO 27001标准所独有的. 与其他信息安全遵从性框架不同, 这些条款为ISMS的持续指导和监督确立了要求. 这包括组织风险评估等活动 治疗分析,定期执行管理审查ISMS,每年一次 内部 审核ISMS,并持续监控和测量安全控制的有效性.

标准的第二部分,标题为 附件一个,包括iso27001管制要求. 信息安全从业者更熟悉控制需求,因为它们是组织用来处理安全风险和威胁的战术需求. 其中包括访问和身份验证, 日志记录, 加密, 事件响应, 以及组织作为其各种安全性和遵从性计划的一部分来实现的其他控制类别. 与一些网络安全框架不同,ISO控制要求不是规范性的. 换句话说, ISO 27001没有建立最低密码设置, 日志保留时间, 或者加密密钥长度.  相反,ISO建立了必须的控制 被认为是 组织. 然后,组织确定哪些控制适用于环境,并充分处理已识别的风险. 审计师的作用, 因此, 是确定控制是否按照定义实施,以及是否充分解决实施时的风险.

ISO 27001是法律规定吗? ISO 27001本身并不是一项法律规定. 组织可能, 然而, 建立获得和/或维护ISO 27001认证的合同义务,作为他们业务关系的一部分. ISO 27001认证可以被组织利用和/或接受作为一种手段来证明遵守行业和监管信息安全要求.

ISO 27001侧重于哪三个方面的信息?

而一个组织的ISMS解决了该组织硬件的多个方面的安全问题, 软件, 和数据资产, iso27001标准以保密为重点, 完整性, 以及信息的可用性.

  1. 机密性是保护信息不受未经授权的访问.
  2. 完整性是保护信息不受未经授权的修改.
  3. 可用性是信息按需可访问的保证.

获得ISO 27001认证的最终结果是一个组织向其客户保证, 业务合作伙伴, 而其他利益相关方,该组织负责的信息是在最小的风险妥协.

现时的iso27001标准是什么?

ISO / IEC 27001:2013是27000系列信息安全管理系统的众多标准和支持文件之一. 虽然在27000系列中有几个相关的指南和支持文件, 27001是目前该系列中唯一一个组织可以认证的标准.

 

如何获得ISO 27001认证?

组织必须由独立的第三方进行审计. 任何审核员都可以颁发证书,但建议聘请 认证 ISO 27001认证机构进行审核. 认可认证机构本身也接受定期的独立审计,以确认其信誉良好, 主管, 和值得信赖. 这为组织提供了保证, 任何有兴趣的人, 审计已经进行了, 以及根据所有相关ISO标准颁发的证书.

成功通过ISO 27001的初步认证审核, 一个组织必须证明他们的ISMS是完全实施和有效的. 要做到这一点, 组织将需要实施ISO 27001条款和附件A控制中建立的所有要求. 为了证明这种有效性, ISO审核员通常会寻找PDCA (Plan-Do-Check-Act)周期的完整迭代. 适用于已经建立了ISMS组件和控制的成熟组织, 这可能需要4到6个月的时间来准备初始认证. 为他人, 可能需要至少一年的时间来建立ISMS和相关控制,为其初始认证审核做好准备.

由于需要为初始审计做大量的准备工作, 许多组织聘请第三方来协助建立他们的ISMS. 当组织实施ISMS时,第三方可以简单地监督和提供指导, 或者他们可能会完全或部分地参与到工作中. 不管他们有多投入, 提供执行援助的第三方不应该和, 根据一些认证, 也不能进行组织的认证审核. 这有助于避免实现和审计实体之间的利益冲突.

LBMC如何提供帮助?

ISO 27001认证可能是一个重要的任务,但是, 这取决于组织的业务和遵从性义务, 这样做是否值得呢. 而不仅仅是遵循复选框, ISO要求组织建立健全的信息安全管理系统. 它不仅实现了规定的法规遵循目标,而且可以支持组织的整个安全和法规遵循计划. 通过建立ISMS,不仅确保组织免受威胁,而且提供强有力的管理支持系统,确保持续有效, 你不需要认为你已经准备好获得认证, 你就会知道!

ISO / IEC 27001:2013执行协助

ISO / IEC 27001:2013规定了维护组织信息安全管理系统(ISMS)的要求. 这些要求包括编制, 实现, 监控, 审查, 维护, 完善信息安全管控结构. 这允许组织以系统和预测性的方式评估其安全风险.

LBMC信息安全将与HB火博体育app官网的客户合作,帮助他们准备ISO / IEC 27001:2013认证. 要做到这一点, HB火博体育app官网将首先举办一个研讨会式的会议,其中可能包括有限的技术测试, 识别和验证ISMS的技术边界. 下一个, HB火博体育app官网将审查相关文件,并对执行任务的关键人员进行面谈, 管理, 或监督ISMS的IT运营和安全功能. 最后, HB火博体育app官网提供建立和执行所需的ISMS组件的逐步指导,以及ISO / IEC 27001:2013中规定的控制,以确保ISMS为成功的初始认证审核做好准备.

对ISO 27001有问题吗? LBMC可以帮助您遵从ISO. 联系 HB火博体育app官网现在.

连结到Mark iso27001 Assessment

Mark Burnette

信息安全咨询服务组组长,主管股东

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到布莱恩 ISO 27001评估

布莱恩 威利斯

资讯保安高级经理

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔