ISO27000認(rèn)證

ISO/IEC27000（Informationsecuritymanagementsystemfundamentalsandvocabulary信息安全管理體系基礎(chǔ)和術(shù)語），屬于A類標(biāo)準(zhǔn)。ISO/IEC27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則，是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。ISO27001是ISO27000系列的主標(biāo)準(zhǔn)，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息安全管理體系（ISMS），并通過認(rèn)證。

ISO27001適用范圍

信息安全對(duì)每個(gè)企業(yè)和組織來講都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不收地域、產(chǎn)業(yè)類別和公司規(guī)模限制。從目前的獲得認(rèn)證的企業(yè)情況來看，較多的是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包行業(yè)。

ISO27001體系建設(shè)準(zhǔn)備事宜

信息安全管理體系建設(shè)項(xiàng)目劃分成五個(gè)大的階段，并包含25項(xiàng)關(guān)鍵的活動(dòng)，如果每項(xiàng)前后關(guān)聯(lián)的活動(dòng)都能很好地完成，最終就能建立起有效的ISMS，實(shí)現(xiàn)信息安全建設(shè)整體藍(lán)圖，接受ISO27001審核并獲得認(rèn)證更是水到渠成的事情。

1現(xiàn)狀調(diào)研：從日常運(yùn)維、管理機(jī)制、系統(tǒng)配置等方面對(duì)組織信息安全管理安全現(xiàn)狀進(jìn)行調(diào)研，通過培訓(xùn)使組織相關(guān)人員全面了解信息安全管理的基本知識(shí)。

2風(fēng)險(xiǎn)評(píng)估：對(duì)組織信息資產(chǎn)進(jìn)行資產(chǎn)價(jià)值、威脅因素、脆弱性分析，從而評(píng)估組織信息安全風(fēng)險(xiǎn)，選擇適當(dāng)?shù)拇胧⒎椒▽?shí)現(xiàn)管理風(fēng)險(xiǎn)的目的。

3管理策劃：根據(jù)組織對(duì)信息安全風(fēng)險(xiǎn)的策略，制定相應(yīng)的信息安全整體規(guī)劃、管理規(guī)劃、技術(shù)規(guī)劃等，形成完整的信息安全管理系統(tǒng)。

4體系實(shí)施階段：ISMS建立起來（體系文件正式發(fā)布實(shí)施）之后，要通過一定時(shí)間的試運(yùn)行來檢驗(yàn)其有效性和穩(wěn)定性。

5認(rèn)證審核階段：經(jīng)過一定時(shí)間運(yùn)行，ISMS達(dá)到一個(gè)穩(wěn)定的狀態(tài)，各項(xiàng)文檔和記錄已經(jīng)建立完備，此時(shí)，可以提請(qǐng)進(jìn)行認(rèn)證。

ISO27001認(rèn)證好處

信息安全管理體系標(biāo)準(zhǔn)（ISO27001)可有效保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類似于質(zhì)量管理體系認(rèn)證的ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過了ISO27001的認(rèn)證,就相當(dāng)于通過ISO9000的質(zhì)量認(rèn)證一般，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。根據(jù)ISO27001對(duì)您的信息安全管理體系進(jìn)行認(rèn)證，可以帶來以下幾個(gè)好處:

1.引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。保證信息安全不是僅有一個(gè)防火墻，或找一個(gè)24小時(shí)提供信息安全服務(wù)的公司就可以達(dá)到的。它需要全面的綜合管理。

2.通過進(jìn)行ISO27001信息安全管理體系認(rèn)證，可以增進(jìn)組織間電子電子商務(wù)往來的信用度，能夠建立起網(wǎng)站和貿(mào)易伙伴之間的互相信任，隨著組織間的電子交流的增加通過信息安全管理的記錄可以看到信息安全管理明顯的利益，并為廣大用戶和服務(wù)提供商提供一個(gè)基礎(chǔ)的設(shè)備管理。同時(shí)，把組織的干擾因素降到最小，創(chuàng)造更大收益。

3.通過認(rèn)證能保證和證明組織所有的部門對(duì)信息安全的承諾。

4.通過認(rèn)證可改善全體的業(yè)績、消除不信任感。

5.獲得國際認(rèn)可的機(jī)構(gòu)的認(rèn)證證書，可得到國際上的承認(rèn)，拓展您的業(yè)務(wù)。

6.建立信息安全管理體系能降低這種風(fēng)險(xiǎn)，通過第三方的認(rèn)證能增強(qiáng)投資者及其他利益相關(guān)方的投資信心。

7.組織按照ISO27001標(biāo)準(zhǔn)建立信息安全管理體系，會(huì)有一定的投入，但是若能通過認(rèn)證機(jī)關(guān)的審核，獲得認(rèn)證，將會(huì)獲得有價(jià)值的回報(bào)。企業(yè)通過認(rèn)證將可以向其客戶、競爭對(duì)手、供應(yīng)商、員工和投資方展示其在同行內(nèi)的領(lǐng)導(dǎo)地位;定期的監(jiān)督審核將確保組織的信息系統(tǒng)不斷地被監(jiān)督和改善，并以此作為增強(qiáng)信息安全性的依據(jù),信任、信用及信心,使客戶及利益相關(guān)方感受到組織對(duì)信息安全的承諾。

8.通過認(rèn)證能夠向政府及行業(yè)主管部門證明組織對(duì)相關(guān)法律法規(guī)的符合性。

山東企業(yè)ISO27001信息安全管理體系建設(shè)運(yùn)行的正確方式

信息安全管理體系（ISMS）在國內(nèi)經(jīng)過十多年的應(yīng)用逐漸走向成熟，在這個(gè)過程中，有很多組織在對(duì)其不斷完善強(qiáng)大，也有很多組織逐漸將其邊緣化。同時(shí)，那些堅(jiān)持下來的組織，也有些對(duì)ISMS體系的運(yùn)行逐漸流于形式，僅將其作為商業(yè)競爭的籌碼。這是一個(gè)值得思考的問題，這一問題的妥善解決，將有助于真正提高組織的信息安全管理水平。

ISMS最直接相關(guān)的是ISO/IEC27000標(biāo)準(zhǔn)族，預(yù)留標(biāo)準(zhǔn)號(hào)60個(gè)，目前已有35個(gè)標(biāo)準(zhǔn)號(hào)相關(guān)標(biāo)準(zhǔn)建立發(fā)布，但由于標(biāo)準(zhǔn)轉(zhuǎn)換的限制和標(biāo)準(zhǔn)的專業(yè)性，國內(nèi)建立ISMS的組織一般都僅僅關(guān)注ISO/IEC27001《信息技術(shù)安全技術(shù)信息安全管理體系要求》和ISO/IEC27002《信息技術(shù)安全技術(shù)信息安全管理體系控制實(shí)踐指南》。這兩個(gè)標(biāo)準(zhǔn)，尤其是ISO/IEC27001僅是要求，內(nèi)容簡練，不易理解，從而導(dǎo)致組織對(duì)其理解存在偏差。本文從可能存在的偏差及其原因入手，對(duì)解決方法進(jìn)行簡單討論。

偏差之一是組織對(duì)建立ISMS期望太高，以致對(duì)倉促建立的體系感到失望。ISMS對(duì)應(yīng)的要求類標(biāo)準(zhǔn)ISO/IEC27001來自英標(biāo)BS7799-2，是工業(yè)化國家對(duì)其信息安全最佳實(shí)踐的總結(jié)和提煉，但部分組織會(huì)認(rèn)為它本身就是最佳實(shí)踐。事實(shí)上，標(biāo)準(zhǔn)只是要求，沒有具體實(shí)現(xiàn)的方法，需要組織對(duì)其進(jìn)行理解、建立、實(shí)施和運(yùn)行，并逐步形成自己的最佳實(shí)踐。所以一開始一勞永逸的高期望與實(shí)際建設(shè)和運(yùn)行過程中頻頻出現(xiàn)的問題是組織對(duì)ISMS逐漸失望并產(chǎn)生懷疑的主要原因。

偏差之二是重實(shí)施不重設(shè)計(jì)。好的設(shè)計(jì)可以讓實(shí)施變得事半功倍，且更容易實(shí)現(xiàn)預(yù)期的效果。但現(xiàn)實(shí)是，大部分組織都采用簡單的設(shè)計(jì)，復(fù)雜的實(shí)施。在體系建設(shè)之初，體系的建設(shè)小組通常會(huì)在咨詢方的指導(dǎo)下，開展體系的建設(shè)和實(shí)施。通常情況下，有咨詢方指導(dǎo)，體系的建設(shè)和實(shí)施會(huì)更順利，但實(shí)際上受時(shí)間或能力的限制，咨詢方對(duì)體系建設(shè)方的實(shí)際情況了解不夠充分，體系設(shè)計(jì)形式化，從而導(dǎo)致體系的建設(shè)大而全，不夠深入和細(xì)致，不能貼合組織的實(shí)際情況。這樣簡單粗暴、不考慮實(shí)際的設(shè)計(jì)根本無法將ISMS真正融入組織原有的自成體系的管理里面，這也是組織對(duì)其失望的原因之一。

偏差之三是無法衡量ISMS對(duì)組織業(yè)務(wù)的正面支持和影響。體系的建設(shè)，必須要有管理層的支持和充足的資源保障，如何說服管理層給予支持，需要充足的理由和證據(jù)。然而，很多組織在體系建設(shè)的時(shí)候并未建立良好的評(píng)價(jià)機(jī)制，從而導(dǎo)致無法證明或展現(xiàn)管理體系的效果，再加上前面兩個(gè)原因，更是雪上加霜，一旦管理層不再支持，管理體系有用沒用都無法持續(xù)下去。

當(dāng)然，ISMS無法良好運(yùn)行的原因有很多種，這三個(gè)方面是相對(duì)比較普遍、關(guān)鍵和基礎(chǔ)的，組織如能在這三個(gè)方面做好，則可以為建立ISMS打下了堅(jiān)實(shí)的基礎(chǔ)。

這三方面問題其實(shí)是相輔相成的，需要整體進(jìn)行解決。目前，隨著管理體系類標(biāo)準(zhǔn)的發(fā)展，信息安全管理體系實(shí)際上就是管理體系在信息安全領(lǐng)域的應(yīng)用，因此我們可以先從管理體系談起。

什么是管理體系？簡單說就是組織為了實(shí)現(xiàn)管理目的而建立的一系列相輔相成的管理過程，對(duì)組織的活動(dòng)進(jìn)行指導(dǎo)和控制。管理體系可大可小，可簡單可復(fù)雜，一個(gè)全面的管理體系可以由多個(gè)單獨(dú)的管理體系組成，其最終目的是實(shí)現(xiàn)組織的價(jià)值和戰(zhàn)略目標(biāo)。從這個(gè)角度來看，信息安全管理體系就是為了實(shí)現(xiàn)信息安全目的而建立的管理體系。隨著國際標(biāo)準(zhǔn)化組織導(dǎo)則83的發(fā)布，對(duì)管理體系標(biāo)準(zhǔn)的基本結(jié)構(gòu)提出了明確的要求，依據(jù)導(dǎo)則83編制的管理體系標(biāo)準(zhǔn)從章節(jié)設(shè)置和框架內(nèi)容設(shè)置上都保持了高度一致，每個(gè)管理體系都是建立在同一個(gè)框架下。組織在建立管理體系的同時(shí)，也建立了一個(gè)基本的管理框架，這樣一來，組織無論是建立其他管理體系還是為了實(shí)現(xiàn)某個(gè)管理目的建立管理制度時(shí)，都可以在這個(gè)基本管理框架下進(jìn)行，所以，組織要建立ISMS應(yīng)先從管理框架建起，這樣可以達(dá)到事半功倍的效果。

那么，如何建立管理框架才能避免前面提到的三個(gè)問題呢？首先，從標(biāo)準(zhǔn)結(jié)構(gòu)來看，管理體系的框架分7章節(jié)進(jìn)行描述，分別為：組織環(huán)境、領(lǐng)導(dǎo)力、規(guī)劃、支持、運(yùn)行、績效評(píng)價(jià)和持續(xù)改進(jìn)。每一章節(jié)的內(nèi)容都很簡單，僅僅是提出了要求，卻沒有要求一定要怎樣做，組織必須自己理解或者聘請(qǐng)有能力的人員來幫助完成這些管理過程的設(shè)計(jì)和實(shí)施。框架建立的質(zhì)量將決定一個(gè)具體的管理體系設(shè)計(jì)實(shí)施的效果?，F(xiàn)在，我們來了解一下管理框架的基本內(nèi)容：

組織環(huán)境。組織需要建立組織環(huán)境管理的基本方法并識(shí)別組織的基本環(huán)境信息，其實(shí)所謂的組織環(huán)境也就是我們常說的組織的基本情況，例如組織業(yè)務(wù)及業(yè)務(wù)特點(diǎn)、來自外部的限制條件和約束、內(nèi)部的限制條件和約束、相關(guān)方及其特點(diǎn)等，這些都會(huì)影響體系的設(shè)計(jì)效果，就像設(shè)計(jì)一個(gè)建筑要了解地質(zhì)條件和人文環(huán)境一樣重要。

領(lǐng)導(dǎo)力。沒有管理層的支持就沒有資源，因此要明確管理層的責(zé)任。管理體系要實(shí)現(xiàn)的組織管理目的其實(shí)就是管理層的管理目的，管理層在管理體系里面一個(gè)重要的責(zé)任就是要明確提出管理目的，也就是我們常說的確定方針，如果缺少這個(gè)環(huán)節(jié)，設(shè)計(jì)出的管理體系就不會(huì)得到管理層的支持。除此之外，為了實(shí)現(xiàn)管理目的，還需要管理層提供資源，分配職責(zé)和賦予權(quán)力。

規(guī)劃。有了方針，自然要去實(shí)現(xiàn)它，管理體系的方針實(shí)現(xiàn)過程就是通過建立與方針保持一致的目標(biāo)來實(shí)現(xiàn)，因此在規(guī)劃階段要建立逐級(jí)分解的目標(biāo)，一般目標(biāo)分為上層目標(biāo)和下層目標(biāo)，上層目標(biāo)為下層目標(biāo)提供方向，下層目標(biāo)對(duì)上層目標(biāo)進(jìn)行支撐，分解為多少層與組織的組織架構(gòu)和管理結(jié)構(gòu)有直接關(guān)系，重點(diǎn)是要分解到可以通過活動(dòng)來實(shí)現(xiàn)的層級(jí)。并不是每一個(gè)目標(biāo)分解的層級(jí)都是一樣的，需要根據(jù)實(shí)際情況來確定。在規(guī)劃的環(huán)節(jié)，還應(yīng)充分考慮組織的風(fēng)險(xiǎn)管理，在目標(biāo)實(shí)現(xiàn)過程中，總是會(huì)有各種因素影響目標(biāo)的實(shí)現(xiàn)，這些因素需要進(jìn)行識(shí)別并得到有效控制。但這些因素的識(shí)別不要盲目采用那些所謂放之四海而皆準(zhǔn)的列表，而是要結(jié)合組織自己的情況來針對(duì)性識(shí)別，也就是要充分利用識(shí)別的組織環(huán)境信息?；谏鲜龌顒?dòng)，組織就可以建立起貼合實(shí)際的目標(biāo)實(shí)現(xiàn)計(jì)劃。

組織還需注意的是風(fēng)險(xiǎn)管理是動(dòng)態(tài)的，隨著組織環(huán)境的變化，風(fēng)險(xiǎn)也會(huì)變化，因此組織需要建立有效的風(fēng)險(xiǎn)管理過程和風(fēng)險(xiǎn)評(píng)估方法。

支持。從體系建設(shè)之初，對(duì)資源的需求就開始了，這一章正式提出了建立、運(yùn)行、維護(hù)和持續(xù)改進(jìn)管理體系所需要的支持，因此可以看出，標(biāo)準(zhǔn)的章節(jié)并不是按體系建設(shè)執(zhí)行順序來寫的，不是要等規(guī)劃完成后再考慮支持資源的提供和支持活動(dòng)的建立。管理體系的支持主要從資源管理、人員能力管理、意識(shí)管理、溝通管理和文檔管理等5個(gè)方面提出要求。這些方面，組織根據(jù)實(shí)際情況或者根據(jù)現(xiàn)有的管理情況確定管理過程即可。

運(yùn)行。由于資源和能力限制，運(yùn)行不一定要把規(guī)劃好的活動(dòng)和管理過程全部進(jìn)行實(shí)施和投入運(yùn)行。實(shí)際情況是，管理體系的建立和運(yùn)行在不同規(guī)模的組織內(nèi)需要1年到3年的時(shí)間才能夠相對(duì)完善。因此建設(shè)運(yùn)行計(jì)劃很重要，組織需要根據(jù)組織的管理現(xiàn)狀、資源限制情況、相關(guān)方要求的影響程度等多個(gè)方面，建立可行的建設(shè)運(yùn)行計(jì)劃。對(duì)于那些必須滿足的要求、急需解決的問題、對(duì)組織有重大影響的風(fēng)險(xiǎn)，需要集中資源重點(diǎn)進(jìn)行實(shí)施和運(yùn)行；對(duì)于那些對(duì)業(yè)務(wù)影響比較大，需要反復(fù)論證和測試的，可以單獨(dú)作為項(xiàng)目進(jìn)行管理和實(shí)施；對(duì)于自我實(shí)現(xiàn)成本過高的可以通過外包的形式進(jìn)行實(shí)現(xiàn)；對(duì)于時(shí)間要求不緊迫的方面，可以在時(shí)間表上緩一緩。一個(gè)好的建設(shè)運(yùn)行計(jì)劃，可以保證體系有條不紊地運(yùn)行。

績效評(píng)價(jià)?？冃гu(píng)價(jià)設(shè)計(jì)的好壞，直接影響著管理體系在管理層心目中的形象。這個(gè)環(huán)節(jié)是否能夠很好地進(jìn)行設(shè)計(jì)和實(shí)施取決于規(guī)劃環(huán)節(jié)目標(biāo)對(duì)方針的支持程度和目標(biāo)層級(jí)的設(shè)計(jì)是否合理，因?yàn)楣芾眢w系是否實(shí)現(xiàn)管理層的管理目的要看方針和目標(biāo)是否得到實(shí)現(xiàn)。當(dāng)然這只是一個(gè)方面，有了好的目標(biāo)框架設(shè)計(jì)，還需要好的績效評(píng)價(jià)方法和評(píng)估實(shí)施過程。很多組織會(huì)建立單獨(dú)的績效評(píng)價(jià)方法和過程，但實(shí)際上內(nèi)部審核是非常好的績效評(píng)價(jià)手段。所謂內(nèi)部審核，就是組織對(duì)自己體系運(yùn)行情況的評(píng)價(jià)活動(dòng)，主要用來區(qū)別于第三方審核。組織可以任意設(shè)計(jì)內(nèi)部審核的方式和頻率，不需要每年一次，更不需要由幾個(gè)人員來完成整個(gè)組織的內(nèi)部審核工作。組織可以為每一個(gè)影響管理目標(biāo)的管理過程和管理措施，甚至是活動(dòng)和崗位，設(shè)計(jì)評(píng)價(jià)指標(biāo)、評(píng)價(jià)方法、評(píng)價(jià)頻率并指定評(píng)價(jià)人員。將管理體系的內(nèi)部審核工作分散到各個(gè)部門、各個(gè)團(tuán)隊(duì)，定期或不定期地由相關(guān)人員提供信息和數(shù)據(jù)，然后由專門的部門或崗位對(duì)信息和數(shù)據(jù)進(jìn)行匯總分析，從而實(shí)現(xiàn)績效的評(píng)價(jià)。但需要注意的是，評(píng)價(jià)方法、抽樣方式和頻率、績效計(jì)算公式等方面要進(jìn)行詳細(xì)、科學(xué)、合理的設(shè)計(jì)才會(huì)實(shí)現(xiàn)預(yù)期的目的。

管理評(píng)審也是績效評(píng)價(jià)的一種方式，這種方式比較直接，由管理層直接作出評(píng)價(jià)。當(dāng)然，管理層需要內(nèi)部審核的結(jié)果和體系運(yùn)行的其他信息來進(jìn)行綜合評(píng)價(jià)。管理層的評(píng)價(jià)很重要，直接決定接下來他是否會(huì)更好地支持管理體系的運(yùn)行工作。

持續(xù)改進(jìn)。績效評(píng)價(jià)是持續(xù)改進(jìn)的一個(gè)重要輸入，對(duì)于存在的問題和無法實(shí)現(xiàn)預(yù)期目標(biāo)的方面都要進(jìn)行改進(jìn)，這一方面很容易理解，不再贅述。

ISO27001各模塊認(rèn)證需求理解與應(yīng)用

1.A.8資產(chǎn)管理

組織應(yīng)識(shí)別與生命周期相關(guān)的資產(chǎn)并將資產(chǎn)的重要性形成文件。信息生命周期應(yīng)包括創(chuàng)建、處理、存儲(chǔ)、刪除和銷毀。適當(dāng)時(shí)，應(yīng)將專有或現(xiàn)有的資產(chǎn)清單形成文件并維護(hù)。

對(duì)資產(chǎn)聲明周期具有被認(rèn)可的管理職責(zé)的個(gè)人和其他實(shí)體有資格被指定為資產(chǎn)擁有者。

確保及時(shí)分配資產(chǎn)所屬關(guān)系的過程要經(jīng)常被實(shí)現(xiàn)。資產(chǎn)在創(chuàng)立或轉(zhuǎn)移到組織時(shí)應(yīng)分配起所有權(quán)。資產(chǎn)被創(chuàng)建或轉(zhuǎn)移到組織時(shí)，應(yīng)指定擁有者。資產(chǎn)擁有者應(yīng)對(duì)資產(chǎn)的整個(gè)生命周期負(fù)有適當(dāng)?shù)墓芾碡?zé)任。

資產(chǎn)擁有者應(yīng):

——確保資產(chǎn)登記造冊(cè)

——確保對(duì)資產(chǎn)進(jìn)行了適當(dāng)?shù)姆旨?jí)和保護(hù)

——考慮適用的可用的訪問控制策略，定義并定期評(píng)審對(duì)重要資產(chǎn)的訪問限制和分級(jí)；

——確保資產(chǎn)的刪除或銷毀是進(jìn)行了合適處置。

使用或擁有組織資產(chǎn)的訪問權(quán)的員工和外部方用戶，應(yīng)知曉組織信息的信息安全要求，以及組織與信息、信息處理和資源相關(guān)的其他資產(chǎn)的信息安全要求。

當(dāng)員工或外部方用戶購買了組織的設(shè)備或使用他們自己人員設(shè)備時(shí)，應(yīng)遵循該規(guī)程所有相關(guān)的信息已移交給組織，并且這些信息已從那些設(shè)備中安全地刪除。

2.信息安全意識(shí)、教育和培訓(xùn)

信息安全意識(shí)培訓(xùn)方案旨在使員工，適當(dāng)時(shí)，包括合同方，了解他們的信息安全責(zé)任以及免責(zé)的方法

信息安全意識(shí)方案按照組織的信息安全策略和相關(guān)規(guī)程建立，考慮組織要保護(hù)的信息以及為保護(hù)這些信息所實(shí)現(xiàn)的控制。意識(shí)方案包括一些儀式提升獲得，像組織宣傳活動(dòng)、發(fā)型宣傳冊(cè)或制作簡報(bào)等

考慮組織中的員工角色，相關(guān)時(shí)還需要考慮組織對(duì)合同方意識(shí)的期望來規(guī)劃意識(shí)方案。隨時(shí)間安排，最好定期安全意識(shí)方案中的活動(dòng)，以便活動(dòng)可以重復(fù)并覆蓋新的員工和合同方。意識(shí)方案根據(jù)組織的策略和規(guī)程定期更新，并汲取信息安全事件的經(jīng)驗(yàn)教訓(xùn)。

意識(shí)培訓(xùn)按照組織的信息安全意識(shí)培訓(xùn)方案的要求執(zhí)行。意識(shí)培訓(xùn)可使用不同的交付媒介，包括課堂教學(xué)、遠(yuǎn)程學(xué)習(xí)、網(wǎng)絡(luò)教學(xué)、自學(xué)及其他

信息安全教育和培訓(xùn)應(yīng)覆蓋通常方面：

——在整個(gè)組織范圍內(nèi)說明管理層對(duì)信息安全的承諾；

——熟悉并遵從適用的信息信息安全規(guī)則和義務(wù)的要求；

——對(duì)個(gè)人作為和不作為的問責(zé)制度，以及確?；虮Ｗo(hù)組織的和外部方的信息的安全的一般責(zé)任；

——基本的信息安全規(guī)程和基線控制；

——可得到關(guān)于信息安全問題的更多信息和建議的聯(lián)絡(luò)點(diǎn)和資源，包括進(jìn)一步的信息安全教育和培訓(xùn)材料。

信息安全教育和培訓(xùn)需定期進(jìn)行。初始的教育和培訓(xùn)不僅適用于新員工，也適用于那些調(diào)配到對(duì)信息安全要求完全不同的新崗位或角色的員工，且應(yīng)在其開展工作前進(jìn)行培訓(xùn)。

3.人力資源任用條款及條件

員工或合同方的合同義務(wù)要反映組織的信息安全策略，并澄清和聲明：

——所有訪問保密信息的員工和合同方人員在給予訪問信息處理設(shè)施權(quán)限之前簽署保密或不泄露協(xié)議

——員工、合同方的法律責(zé)任和權(quán)利

——信息分級(jí)的責(zé)任，以及對(duì)與由員工或合同方處理的信息、信息處理設(shè)施和信息服務(wù)有關(guān)的其他資產(chǎn)進(jìn)行管理的責(zé)任

——雇員或合同方處理來自其他公司或外部方的信息的責(zé)任

——雇員或固有方漠視組織的安全要求所要采取的措施

在任用之前，和候選人交流信息安全角色和責(zé)任相關(guān)信息

組織確保員工和合同方同意與信息安全相關(guān)的條款和條件，這些與他們對(duì)信息系統(tǒng)和服務(wù)相關(guān)組織資產(chǎn)進(jìn)行訪問的類型和范圍相適宜。

4.移動(dòng)設(shè)備策略

當(dāng)使用移動(dòng)設(shè)備時(shí)，應(yīng)特別小心確保業(yè)務(wù)信息不被損害。移動(dòng)設(shè)備策略需要考慮道在不受保護(hù)的環(huán)境下使用移動(dòng)設(shè)備工作的風(fēng)險(xiǎn)。

考慮：

——移動(dòng)設(shè)備的注冊(cè)

——物理保護(hù)的要求

——軟件安裝的限制

——移動(dòng)設(shè)備軟件版本和補(bǔ)丁應(yīng)用的要求

——連接信息服務(wù)的限制

——訪問控制

——密碼技術(shù)

——惡意軟件防范

——遠(yuǎn)程禁止、刪除或鎖定

——備份

——Web服務(wù)和Web應(yīng)用程序的使用

當(dāng)在公共場所、會(huì)議室和其他不受保護(hù)的區(qū)域使用移動(dòng)設(shè)備時(shí)需要加以小心。為避免未授權(quán)訪問或泄露這些設(shè)備所存儲(chǔ)和處理的信息，需有適當(dāng)?shù)谋Ｗo(hù)措施。

需對(duì)移動(dòng)設(shè)備進(jìn)行物理保護(hù)，以防被偷竊，特別是遺留在汽車和其他形式的運(yùn)輸工具上、旅館房間、會(huì)議中心和會(huì)議室。

對(duì)于使用移動(dòng)設(shè)備的人員需安排培訓(xùn)，以提高他們對(duì)這種工作方式導(dǎo)致的附件風(fēng)險(xiǎn)的意識(shí)，需要實(shí)施控制措施。

當(dāng)移動(dòng)設(shè)備策略允許使用私人移動(dòng)設(shè)備時(shí)，策略及相關(guān)安全措施需考慮：

——分離設(shè)備的私人使用和業(yè)務(wù)使用，包括使用軟件來支持這種分離并保護(hù)的私人設(shè)備上的業(yè)務(wù)數(shù)據(jù)；

——僅在以下情況提供對(duì)業(yè)務(wù)信息的訪問：用戶簽訂最終用戶協(xié)議知曉其職責(zé)；放棄業(yè)務(wù)數(shù)據(jù)的所有權(quán)；運(yùn)行組織在設(shè)備被盜或丟失時(shí)、或不再授權(quán)使用該服務(wù)時(shí)遠(yuǎn)程擦除數(shù)據(jù)。

5.信息安全控制表結(jié)構(gòu)

6.信息安全管理認(rèn)證體系改進(jìn)方面

改進(jìn)的目的在于讓組織策劃和實(shí)施行動(dòng)以達(dá)成預(yù)期結(jié)果和提高顧客滿意。組織應(yīng)識(shí)別和選擇存在的改進(jìn)機(jī)會(huì)，改進(jìn)產(chǎn)品和服務(wù)，糾正、避免和減少非預(yù)期情況給組織帶來的不利影響，改進(jìn)信息安全管理提醒的績效和有效性，以滿足顧客要求并增強(qiáng)顧客滿意。

改進(jìn)方法可以有多種，例如：

——引導(dǎo)創(chuàng)新、修改和改進(jìn)現(xiàn)有過程或?qū)嵤┬逻^程的突破性的項(xiàng)目

——在現(xiàn)有過程中開展?jié)u進(jìn)、持續(xù)的改進(jìn)活動(dòng)

——糾正所存在不符合的原因

——糾正措施是識(shí)別出問題原因所需的適宜方法，而持續(xù)改進(jìn)則是反復(fù)采取措施來實(shí)施商定的解決措施的過程，這一過程帶來正面的后果

——可以針對(duì)產(chǎn)品、服務(wù)，也可以針對(duì)信息安全管理體系開展改進(jìn)措施。

7.體系管理評(píng)審的理解

管理評(píng)審是最高管理者根據(jù)組織的戰(zhàn)略方向開展的活動(dòng)。管理評(píng)審的目的在于評(píng)審有關(guān)信息安全管理體系績效的信息，以便于信息安全管理體系是否：

——適宜：是否仍適合于其用途？

——充分：是否仍然足夠？

——有效：是否達(dá)成期望的結(jié)果？

組織應(yīng)按照策劃的時(shí)機(jī)開展管理評(píng)審，并不要求一次解決所有的輸入和問題，但策劃應(yīng)體現(xiàn)如何滿足ISO/IEC27001管理評(píng)審的要求。組織可將管理評(píng)審作為單獨(dú)的活動(dòng)來開展，也可與相關(guān)的活動(dòng)一起開展。

管理評(píng)審的時(shí)機(jī)可以和其他業(yè)務(wù)活動(dòng)協(xié)調(diào)安排，以增加價(jià)值、避免管理層冗余參會(huì)或重復(fù)參會(huì)。

8.體系內(nèi)部審核輸入

策劃管理體系內(nèi)部審核時(shí)可考慮的輸入包括但不限于：

——過程重要性

——管理優(yōu)先級(jí)

——過程績效

——影響組織的變更

——以往審核的結(jié)果

——顧客投訴趨勢

——法律法規(guī)問題

9.風(fēng)險(xiǎn)處置階段的工作內(nèi)容

風(fēng)險(xiǎn)處置階段的工作，包含三個(gè)部分內(nèi)容：

——確定風(fēng)險(xiǎn)處置的目標(biāo)，識(shí)別和選用可采用的風(fēng)險(xiǎn)控制措施

——確定風(fēng)險(xiǎn)處置計(jì)劃，就風(fēng)險(xiǎn)處置計(jì)劃對(duì)風(fēng)險(xiǎn)的影響進(jìn)行估算，確定殘余風(fēng)險(xiǎn)水平，批準(zhǔn)殘余風(fēng)險(xiǎn)，或進(jìn)入第二輪風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)處置計(jì)劃的制定

——實(shí)施風(fēng)險(xiǎn)處置計(jì)劃，對(duì)風(fēng)險(xiǎn)處置的結(jié)果進(jìn)行評(píng)價(jià)，確定實(shí)質(zhì)上的殘余風(fēng)險(xiǎn)水平，批準(zhǔn)殘余風(fēng)險(xiǎn)，或進(jìn)入下一輪的風(fēng)險(xiǎn)分析。

10.如何確保控制下工作的人員意識(shí)滿足信息安全管理體系要求

組織確?？刂葡鹿ぷ鞯娜藛T意識(shí)滿足信息安全管理體系要求的方式：

——組織應(yīng)確保在其控制范圍內(nèi)開展工作的人員知曉信息安全方針、相關(guān)的信息安全目標(biāo)、對(duì)信息安全管理體系有效性的貢獻(xiàn)以及不符合信息安全管理體系要求可能引發(fā)的后果

——在組織控制范圍內(nèi)工作的人員可能包括現(xiàn)有的員工、臨時(shí)工、外部供方（如承包商和外包服務(wù)）

——在組織控制范圍內(nèi)開展工作的人員需證實(shí)其對(duì)于信息安全方針和相關(guān)信息安全目標(biāo)以及如何為實(shí)現(xiàn)這些目標(biāo)做出貢獻(xiàn)方面的知識(shí)和意識(shí)

——可通過多種形式來養(yǎng)成這方面的意識(shí)

11.體系信息安全目標(biāo)

ISO27001認(rèn)證體系信息安全目標(biāo)應(yīng)：

——和信息安全方針保持一致

——對(duì)完成情況進(jìn)行監(jiān)控并/或評(píng)審

——考慮了適用的要求并與信息安全提升顧客滿意度相關(guān)

——進(jìn)行適當(dāng)?shù)男抻啞獙?duì)于影響達(dá)成目標(biāo)能力的變動(dòng)，組織需要考慮并采取必要行動(dòng)，以確保新事宜或需求得到處理

——可考慮使用SMART原則來設(shè)立，即設(shè)立具體的、可測量的、可達(dá)到的、相關(guān)的、有時(shí)限的目標(biāo)。

——設(shè)立目標(biāo)時(shí)，可考慮組織目標(biāo)的能力和制約、顧客反饋以及其他市場事宜

——組織應(yīng)保持與信息安全目標(biāo)相關(guān)的形成文件的信息

12.信息安全管理認(rèn)證體系風(fēng)險(xiǎn)準(zhǔn)則建立目標(biāo)

選擇一個(gè)適合于組織業(yè)務(wù)過程和活動(dòng)性質(zhì)與特點(diǎn)的風(fēng)險(xiǎn)評(píng)估工具，是組織建立信息安全管理體系的良好起點(diǎn)，有時(shí)候，可以考慮多種風(fēng)險(xiǎn)評(píng)估方法組合使用，例如，在初始風(fēng)險(xiǎn)識(shí)別階段，可以考慮采用情景分析法、檢查表法等，在后續(xù)分析過程中，再考慮采用FMEA、ETA、風(fēng)險(xiǎn)矩陣法等

風(fēng)險(xiǎn)準(zhǔn)則，即“評(píng)估風(fēng)險(xiǎn)重要程度所依據(jù)的一組條件”

風(fēng)險(xiǎn)準(zhǔn)則的確定，還包括組織對(duì)可接受風(fēng)險(xiǎn)水平的確定和批準(zhǔn)

有了明確的風(fēng)險(xiǎn)準(zhǔn)則，就可以針對(duì)已識(shí)別的信息安全相關(guān)資產(chǎn)的脆弱性和威脅以及資產(chǎn)價(jià)值，進(jìn)行具體的風(fēng)險(xiǎn)分析和計(jì)算，并就計(jì)算結(jié)果將風(fēng)險(xiǎn)按高低排序，從中找出高于可接受風(fēng)險(xiǎn)水平的風(fēng)險(xiǎn)，然后進(jìn)入下一階段，即風(fēng)險(xiǎn)處置階段。

今天通過對(duì)《ISO27000認(rèn)證》的學(xué)習(xí)，相信你對(duì)認(rèn)證有更好的認(rèn)識(shí)。如果要辦理相關(guān)認(rèn)證，請(qǐng)聯(lián)系我們吧。

中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202011/ccaa_13234.html