欢迎光临 佛山市沃博企业管理服务有限公司 官方网站

网站地图

佛山市沃博企业管理服务有限公司

Foshan Wobo Management Services CO.,Ltd.

158-0008-7775 0757-22177500
对于ISO27001认证标准的定义

发布者: 沃博    时间:2022-11-12 15:05:49


ISO27001是ISO27000系列的主标准,类似于ISO9000系列中的ISO9001,各类组织可以按照ISO27001的要求建立自己的信息安全管理体系(ISMS),并通过认证。


规划的ISO27000系列包含下列标准


ISO 27000 原理与术语Principles and vocabulary


ISO 27001 信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)


ISO 27002 信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)


ISO 27003 信息安全管理体系—实施指南ISMS Implementation guidelines


ISO 27004 信息安全管理体系—指标与测量ISMS Metrics and measurement


ISO 27005 信息安全管理体系—风险管理ISMS Risk management


ISO 27006 信息安全管理体系—认证机构的认可要求ISMS Requirements for the accreditation of bodies providing certification


ISO 27007 信息技术-安全技术-信息安全管理体系审核员指南


Information technology_Security techniques_ISMS auditor guidelines


其中ISO27001:2005 的最终标准草案(FDIS)已经在2005年7月发布,预计在2005年底或2006年初作为正式国际标准发布。



image.png


引言 -该标准描述了系统管理信息风险的过程。

1、范围 -它指定适用于任何类型,规模或性质的组织的通用ISMS要求。

2、规范性引用文件 -仅 ISO / IEC 27000被视为对'27001'的用户绝对必要:其余的ISO27k标准是可选的。

3、术语和定义 -参见 ISO / IEC 27000。

4、组织的上下文-了解组织的上下文,“利益相关方”的需求和期望并定义ISMS的范围。第4.4节非常明确地指出“组织应建立,实施,维护和持续改进” ISMS。

5、领导力 -最高管理者必须表现出对ISMS,授权政策的领导力和承诺,并分配信息安全角色,职责和权限。

6、计划 -概述识别,分析和计划处理信息风险的过程,并阐明信息安全的目标。

7、支持 -必须分配足够的主管资源,提高意识,准备并控制文档。

8、操作 -有关评估和处理信息风险,管理变更以及记录事物的更多详细信息(部分以便可以由认证审核员进行审核)。

9、绩效评估 -监视,衡量,分析和评估/审核/审查信息安全控制,流程和管理系统,并在必要时进行系统改进。

10、改进 -解决审核和评审的结果(例如,不合格和纠正措施),对ISMS进行持续改进。

附件A参考控制目标和控件 -实际上只不过是 ISO / IEC 27002中控制部分标题的列表而已。该附件是“规范性的”,这意味着希望认证的组织使用该附件,但主体表示,它们可以偏离或补充该附件,以解决其特定的信息风险。仅附件A很难解释。请参阅ISO / IEC 27002,以获得有关控件的更有用的详细信息,包括实施指南。

介绍五个相关标准,以及ISO / IEC指令的第1部分,以获取更多信息。此外,在标准主体中将 ISO 27000标识为规范性(即必不可少的)标准,并且在风险管理方面有多个对ISO 31000的引用。

认证的强制性要求
ISO27001是ISMS的正式规范,具有两个不同的目的:

它列出了ISMS的设计,在相当高的层次上描述了重要部分。
可以(可选)将其用作经认证的审核员进行正式合规性评估的基础,以认证组织合规性。

认证明确需要以下强制性文件:


ISMS范围


信息安全政策


信息风险评估程序


信息风险处理流程


信息安全目标


从事信息安全工作的人员的能力证明


组织认为必要的其他与ISMS相关的文件


运作计划和控制文件


的结果的[信息]风险评估


关于[信息]风险处理的决定


监视和衡量信息安全的证据


ISMS内部审核计划和审核结果


ISMS最高管理层审查的证据


识别出不合格的证据,并采取纠正措施


其他各种: 附件A提及但未充分说明进一步的文档,包括可接受的资产使用规则,访问控制策略,操作程序,机密性或保密协议,安全系统工程原理,供应商关系的信息安全策略,信息安全事件响应程序,相关法律,法规和合同义务以及相关的合规性程序和信息安全连续性程序。但是,尽管附件A是规范性的,但组织并没有正式要求采用和遵守附件A:它们可以使用其他结构和方法来处理其信息风险。


认证审核员几乎可以肯定会检查以下十五种文件是否存在:(a)是否存在,以及(b)是否适合目的。






Copyright© 佛山市沃博企业管理服务有限公司 版权所有 粤ICP备11088590号

技术支持:万迪网络