深圳罗以智识IT资质专题七：ISO27001-信息安全管理体系简介

1.1 背景简介

随着信息技术的高速发展， 特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现： 系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写、客户资料的流失及公司内部资料的泄露等等。ISO/IEC27001:2013正为我们建立这样一个管理体系提供有力的帮助，它可以 帮助组织识别、管理和减少信息所面临的各种风险，保障组织的信息安全。

1.2 为什么要实施基于ISO27001标准的IT服务管理 随着在世界范围内， 信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成，最新版本为：ISO27001:2013。

ISO27001新版与2005版结构的对比和差异

二、ISO/IEC27001简介

2.1 ISO/IEC27001发展史

信息安全管理实用规则ISO/IEC27001的 前身为英国的BS7799标准 ，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。 现在，ISO27000:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准 。 2000年，国际标准化组织（ISO）在BS7799-1的基础上制定通过了ISO 17799标准。 BS7799-2在2002年也由BSI进行了重新的修订。 ISO组织在2005年对ISO 17799再次修订，BS7799-2也于2005年被采用为ISO27001:2005。

2.2 ISO/IEC27001的主要控制过程

ISO/IEC27001:2013标准包括 11大控制方面、39个控制目标和133项控制措施，为企业提供全方位的信息安全保障。

图1-1 信息安全管理体系框架

安全方针 ――管理层应对信息安全提出明确目标，并制定出可操作的安全管理策略，为信息安全提供管理指导和支持。

安全组织 ――在组织内建立信息安全组织、管理与第三方有关、及外包管理安全问题。

资 产分类与管理 ――对与信息技术有关的资产进行分类，加强与信息技术有关的资产分类管理，并对这些资产就价值和重要性进行分类标识，实施不同安全措施对这些资产进行保护。

人力资源安全 ――明确工作人员在招聘、雇佣、解聘过程中所涉及的信息保密等安全问题，加强对工作人员信息安全培训与教育，提高工作人员安全防范意识，减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。

物理和环境安全 ――分析安全威胁来源，划分物理安全区域，加强对后台计算机服务器与用户桌面计算机的保护，防止因水、火、盗窃、雷电、电力供应、化学腐蚀等因素带来的安全威胁，并制定计算机设备引进、日常运行、销毁处理程序和办法。

通信与操作管理 ――覆盖应用系统日常运营和维护程序、服务水平管理、网络管理、存储介质管理、防恶意软件攻击保护、系统和数据备份与恢复管理、信息交换管理等，确保信息处理设施正确和安全运行。

访问控制 ――定义用户存取控制策略，管理用户存取过程，包括对网络存取控制、操作系统、应用系统及移动设备和远程工作设备进行存取控制。

系统的获取、开发和维护 ――明确应用系统安全需求，包括输入数据校验、输出数据校验、业务处理过程校验、传输数据认证等;确定加密控制办法，包括加密、数字签名、不可否认服务、密钥管理等管控办法;确定系统文件的安全保护办法，以及开发和支持过程的安全管理办法。确保将安全纳入信息系统的整个生命周期。

信息安全事件管理 ――确保安全事件发生后有正确的处理流程和报告方式。

业务持续性管理 ――定义业务持续性管理过程，业务持续性和影响过程分析，制定和执行切实可行的业务持续性计划，定期测试、维护、演练、重新评估业务持续性计划。防止业务活动的中断，并保护关键的业务过程免受重大故障或灾难的影响。

符合性 ――识别现有适用的法律法规，保护个人信息的隐私;使用合法的、正版的系统软件与应用软件;加强计算机安全审计，保障技术和安全策略的合规性的合规性。避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。

三、贯彻标准流程介绍

3.1 服务管理体系介绍

3.2 具体活动介绍

四、申报流程介绍

4.1 书面材料审 核时 限及要求

审核机构收到申请材料后， 应当在五日内完成申请材料书面审查。申请材料齐全且符合法定形式的，应当受理并发出受理通知书；申请材料不齐全或者不符合法定形式的，应当一次告知申请单位十五日内补正。 逾期未告知申请单位补正的，自收到申请材料之日起即为受理。申请单位十五日内不予补正的，视为放弃本次行政许可申请。

4.2 现场审核时限及要求

对书面审查合格的单位，审核机构应当指派两名以上工作人员，并可以结合工作实际指派一名以上审查专家，依据标准文件和评分标准，对制度、工作机构、监督管理、IT人员管理、技术防护以及从事IT业务的专业能力等情况进行现场审查。

五、对企业的重要性

（一）增加企业自身的管理能力

建立IT部门一整套行之有效的持续改善机制和内控机制；明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务战略和IT战略目标；通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价。加强公司信息资产的安全性，保障业务持续开展与紧急恢复。

（二）增加信任度、提高竞争力

通过业界普遍认同的国际标准认证；达到相关利益方均满意的IT服务管理目标；提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；持续优化服务流程，提升服务水平，提高业务满意度；提高项目的可提供性并确保如期交付。从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力 。

（三）业务规范化

降低IT运营的管理成本和风险；易于整合服务管理流程和其它管理系统，如：信息技术服务管理体系 ITSMS 、质量管理体系ISO9001等。规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；强化员工的信息安全意识，规范组织信息安全行为；提升IT部门整体运作及部门间沟通的能力，满足客户和法律法规要求。

（四）促进公司IT业务健康发展

从 1995年开始，到迄今为止，此标准在全球IT类型企业中被广泛推广接受，涵盖几乎所有全球信息化领域的知名大中型企业，从根本上提高组织/企业的综合竞争力。

特别提醒深圳罗以智识科技为企业提供：军工资质、涉密信息系统集成资质、国家秘密载体印制资质、智能制造能力成熟度评估、两化融合管理 体 系 贯 标、I P M S、I S O 体 系 标 准 族（ISO20000/ 27001/ 22301/ 50430 / 37001 /9001/ 14001/45001 等）、 I T资质（CCRC 信息安全服务资质、信息系统建设和服务能力评估 CS 1/2/3/4/5、信息技术服务标准 I T S S 4/3/2/1、CMMI 3/4/5 等 ），建筑资质等标准化服务；同时对专项、项目申报进行专业辅导。