ISO27001資訊保安管理體系
0x00 前言
初入甲方,剛開始接觸的應該就是ISO27001資訊保安管理體系,你拿到的應該就是一整套安全管理類的文件。在甲方,稍微有點規模的公司很注重制度和流程,崗位職責分工明細,那麼這些安全管理制度,就是你所能掌控的遊戲規則,幾個人的資訊保安部生存之道。
0x01 ISO27001簡介
ISO/IEC27001 資訊保安管理體系(ISMS——information security management system)是資訊保安管理的國際標準。最初源於英國標準BS7799,經過十年的不斷改版,最終再2005年被國際標準化組織(ISO)轉化為正式的國際標準,目前國際採用進一步更新的ISO/IEC27001:2013作為企業建立資訊保安管理的最新要求。該標準可用於組織的資訊保安管理建設和實施,通過管理體系保障組織全方面的資訊保安,採用PDCA過程方法,基於風險評估的風險管理理念,全面系統地持續改進組織的資訊保安管理。
目前國際上普遍採用ISO/IEC27001:2013作為企業建立資訊保安管理體系的最新要求,體系包括14個控制域、35個控制目標、114項控制措施。體系控制域內容如下:
ISO/IEC27001 資訊保安管理體系,即Information Security Management System,簡稱ISMS。概念最初源於英國標準BS7799,經過十年的不斷改版,最終再2005年被國際標準化組織(ISO)轉化為正式的國際標準,目前國際採用進一步更新的ISO/IEC27001:2013作為企業建立資訊保安管理的最新要求。該標準可用於組織的資訊保安管理建設和實施,通過管理體系保障組織全方面的資訊保安,採用PDCA過程方法,基於風險評估的風險管理理念,全面系統地持續改進組織的資訊保安管理。
Plan規劃:資訊保安現狀調研與診斷、定義ISMS的範圍和方針、定義風險評估的系統性方針、資產識別與風險評估方法、評價風險處置的方法、明確控制目標並採取控制措施、輸出合理的適用性宣告(SOA);
DO:實施控制的管理程式、實施所選擇的控制措施、管理執行、資源提供、人員意識和能力培訓;
Check:執行監視和測量管理程式、實施檢查措施並定期評價其有效性、評估殘餘風險和可接受風險的等級、ISMS內部稽核、ISMS管理評審、記錄並報告所有活動和事態事件;
Act:測量ISMS業績、收集相關的改進建議並處置、採取適當的糾正和預防措施、保持並改進ISMS確保持續執行。
0x02 企業需求與認證收益
企業的需求:
符合政府法律法規及相關部門稽核標準
實現公司可持續發展
進一步樹立和完善企業內部資訊保安管理
加強客戶資訊保安保護
提升客戶管理服務滿意度
認證的收益:
提升客戶對於公司產品和服務信任度和滿意度
展示公司服務的安全性,極大提升行業競爭力
與國際資訊保安標準接軌,樹立行業標杆,有利於在世界範圍內開展與其他企業的合作與交流
顯著提高企業內部的IT資訊保安管理規範,改善員工對於資訊保安服務及IT管理認知
提升自身品牌形象,進一步貼近客戶需求,為客戶提供優質可靠的IT服務
0x03 ISO27001認證
ISO27001作為資訊保安管理標準,為資訊保安管理體系(ISMS)的建立、實施、執行、監視、評審、保持和持續改進提供了模型和必要的控制目標和措施,是ISMS順利實施的最佳指南。
沒有經歷過文件編寫、內審、外審,未免有點遺憾,抱著對ISO27001體系建設的好奇,在先知找到了兩篇文章,分享了作者在ISO27001體系建設從無到有的過程。
從無到有通過ISO27001認證-建設篇
從無到有通過ISO27001認證-稽核篇
0x04 END
ISO27001是資訊保安領域的管理體系標準,使用範圍廣,它面向的物件是組織,通過了ISO27001的認證,表示您的組織資訊保安管理已建立了一套科學有效的管理體系作為保障。企業將以此為起點持續改進和深化體系的執行,在公司軟體資產受控的前提下持續為客戶提供安全可靠的軟體產品和服務。
在學習,也一直在路上,加油!
本文由Bypass整理總結,部分詞條摘自網路。
最後
歡迎關注個人微信公眾號:Bypass--,每週原創一篇技術乾貨。
參考連結:
http://www.byiso.com.cn/category/view?id=20
https://www.bsigroup.com/zh-CN/iso-27001-information-security/