ISO27001認證業(yè)務常見問題

ISO27001認證業(yè)務常見問題

Q：ISO什么是27001認證？

A：ISO27001是國際標準，全名是IEC/ISO27001信息安全管理體系規(guī)范ISO27000標準系列中的一個標準包含許多其他標準；另一個常說的標準ISO1779:2005-信息安全實施細則也是與信息安全管理相關的，這個標準當前已經(jīng)改名為ISO27002:2008。ISO27001還是ISO27002，都是I S標準系列（I S Family of Standards）之一，I S標準系列如下圖所示：常說ISO27001認證是指符合企業(yè)聲稱的認證范圍ISO27001標準文本中的所有要求都有選擇地滿足ISO27001標準附錄A內(nèi)容A內(nèi)容對應標準ISO27002:2008第5章至第15章，企業(yè)可根據(jù)自身實際情況選擇適用的控制措施，即本標準中的133個控制項目不需要通過認證的用戶強制滿足，通常通過適用性聲明SOA》這種應用通常是通過文件來表達的ISO27001證書包括所選適用性聲明SOA》文件的。

Q：與BS7799認證有區(qū)別嗎？

A：ISO27001認證和BS7799認證的區(qū)別取決于ISO談到27001標準發(fā)展的歷史，ISO27001的發(fā)展過程如下圖所示：BS7799認證是指符合英國國家標準的企業(yè)信息安全管理體系BS7799-2，由于BS7799在國際上得到了廣泛的認可BS7799-2成為國際標準ISO在27001之前，全球企業(yè)將選擇信息安全管理體系認證BS7799。

Q：到目前為止，國內(nèi)ISO27001認證發(fā)展如何？

A：目前在中國通過ISO27001認證的企業(yè)數(shù)量已達199家(截至200906)。雖然絕對數(shù)量不大，但增長非?？臁南聢D可以看出:這里頒發(fā)的199張證書中有數(shù)字DNV和BSI頒發(fā)的證書統(tǒng)計表(截至2009年6月):有中國信息安全認證中心（簡寫為ISCCC，09年5月份CNAS認可)（UKAS經(jīng)批準，國內(nèi)試點證書)、廣州賽寶(國內(nèi)試點證書)、中國電子技術(shù)標準化研究所(國內(nèi)試點證書)四家，截至2009年7月20日，只有中國信息安全認證中心頒發(fā)了19份證書，其他國內(nèi)認證機構(gòu)尚未頒發(fā)證書。

Q：獲得ISO27001認證有什么好處？

增強意識，轉(zhuǎn)變觀念

ü ISO27001認證是證明其信息安全水平和能力符合國際標準要求的有效手段，有助于組織節(jié)約信息安全成本；

ü 信息安全風險管理的目的是確保企業(yè)依賴經(jīng)營IT系統(tǒng)的持續(xù)、穩(wěn)定、安全運行，保證企業(yè)業(yè)務的持續(xù)發(fā)展，而不是為企業(yè)業(yè)務的發(fā)展增添枷鎖，強調(diào)以業(yè)務為中心的安全**；

ü 信息安全工作應該是IT以部門為主導，全活動，強調(diào)人人負責；

ü 信息安全管理應遵循風險管理的理念，強調(diào)預防、控制和總結(jié)的工作理念，而不是問題驅(qū)動的消防理念；

ü 信息安全問題的解決不應是頭痛醫(yī)頭、腳痛醫(yī)腳的局部問題解決方案，而應強調(diào)整體系統(tǒng)的分析和解決；

規(guī)范操作，有法可依

ü 按照PDCA企業(yè)信息安全風險安全風險，信息安全管理從無序、分散、被動問題補救行為轉(zhuǎn)變?yōu)橄到y(tǒng)、科學、一致、主動的風險控制狀態(tài)；

ü 完善各種安全管理制度，規(guī)范與信息系統(tǒng)、信息保密等相關的各種操作行為和方法；

良好的形象，合規(guī)要求

ü 獲得國際認證的企業(yè)可以提高客戶、業(yè)務伙重要性和敏感信息保護能力的信心，提高組織的公眾形象和競爭力；

ü 滿足監(jiān)管機構(gòu)的合規(guī)要求和合作伙伴的信息安全審計要求；

Q：如何首次開展企業(yè)？ISO27001認證（I S建設項目？企業(yè)開展ISO27001認證時，一般是由IT部門牽頭，業(yè)務部門配合參與。但對，IT該部門的實力非常有限，通常由質(zhì)量管理部門領導，通常實施了管理體系認證（ISO9001或者CMMI）或者項目經(jīng)驗，信息安全管理體系與質(zhì)量管理體系有很大的相似性。

的參與有助于引導領導部門甚至企業(yè)領導正確認識信息安全、信息安全管理和ISO27001認證就本項目對信息安全的理解與目標達成一致。這是非常關鍵的，因為它與項目實施過程的順利性和項目目標的實現(xiàn)有關。

項目范圍的確定項目范圍的確定，這里不再累贅。ISO27001項目的招標同其他項目沒有區(qū)別，一般按照企業(yè)既定的招標流程走。I S這里不多說系統(tǒng)建設的實施，也有專門的問題。

I S系統(tǒng)認證工作一般分為兩個階段，第一階段是文件審核，審核員只關注管理系統(tǒng)文件，檢查系統(tǒng)文件是否齊全，I S施工方法是否合理，文件查看的重點一般是風險評估方法、業(yè)務連續(xù)性和管理系統(tǒng)測量。第二階段是現(xiàn)場審計，審計員將根據(jù)ISO27001年標準的要求和企業(yè)自身信息安全戰(zhàn)略的要求，在認證范圍內(nèi)，現(xiàn)場驗證制度的實施和運行記錄的檢查是一種重要的審計手段?，F(xiàn)場審計將以最后一次會議的形式結(jié)束整個審計工作。如果審計人員沒有發(fā)現(xiàn)重大不一致的項目，審計人員將在最后一次會議上宣布企業(yè)通過現(xiàn)場審計。

Q：企業(yè)ISO27001認證的范圍如何來確定？

A：認證范圍的選擇將影響滿足認證要求的難度和成本。另一方面，難度和成本是選擇認證范圍的重要參考。難度一般由企業(yè)自身當前的信息安全管理水平?jīng)Q定，成本與企業(yè)預算有關。在考慮難度和成本的基礎上，企業(yè)一般支持核心業(yè)務部門和核心業(yè)務IT認證范圍內(nèi)包括部門和人力資源部門。認證范圍的描述一般采用業(yè)務活動范圍、區(qū)域場所、信息資產(chǎn)和技術(shù)來表達。到目前為止，比如著名的認證機構(gòu)，比如BSI，DNV國內(nèi)頒發(fā)的證書一般只使用業(yè)務活動和區(qū)域場所來描述認證管理體系的范圍。

Q：企業(yè)建立符合要求ISO27001標準的I S這個過程么？

A：ISO實施27001認證的做法也不同，但基本上會遵循標準內(nèi)容，從I S規(guī)劃(信息安全管理系統(tǒng))I S實施和運維，I S監(jiān)測與回顧，I S改進和改進四個階段。詳細說明如下圖所示。

××公司的ISO27001認證咨詢的實施方法是基于ISO基于對27001標準的深刻理解和過去實踐積累的總結(jié)。ISO27001信息安全管理體系的核心是基于PDCA流程方法。利益合作伙伴、客戶、股東是企業(yè)信息安全管理體系的起點，在企業(yè)內(nèi)部業(yè)務活動中，需要各種資源，包括人力資源投資，也必須遵守各種安全體系，良好的信息安全管理體系較終給利益合作伙伴、客戶和股東帶來價值。PDCA這是一個循環(huán)活動，發(fā)現(xiàn)問題，制定問題處理計劃，實施計劃，檢查和審查實施情況，監(jiān)控和評估實施效果，及時改進不足。PDCA在思路的指導下，大循環(huán)套小循環(huán)，不斷提高企業(yè)信息安全管理水平，始終使企業(yè)信息安全風險處于可控狀態(tài)?！痢猎趯嵺`中，公司總結(jié)了一套輔導企業(yè)ISO27001認證方法。整個實施方法分為差距分析、資產(chǎn)風險評估、系統(tǒng)規(guī)劃與實施、系統(tǒng)發(fā)布與試運行、協(xié)助外部審計五個階段。每個階段都有關鍵輸出。詳情請參閱圖片-實施方法概述。

五個階段活動都包含相應的子活動以及階段主要成果，詳細見下表：Q：企業(yè)在項目實施過程中需要投入多少資源？

A：企業(yè)在實施I S在施工過程中，項目實施者管理層除了向咨詢師支付費用外，還特別關心I S企業(yè)人員在施工過程中還需要投入多少人。一般來說，企業(yè)每天的投資在不同的階段是不同的，參與者也會不同。從管理層到普通員工都將參與實施項目。以下是一家200I S以建設為例，從I S在不同項目階段，不同角色參與項目的單位時間解釋了項目實施的五個階段。其中：h表示小時,d表示天

Q：？

的選擇大致可大致。如果企業(yè)涉及出口、離岸外包等國際業(yè)務，建議選擇國際；如果企業(yè)業(yè)務僅限于國內(nèi)客戶，企業(yè)國內(nèi)監(jiān)管機構(gòu)的信息安全監(jiān)管要求，建議選擇國內(nèi)。國內(nèi)正在進行中ISO27001認證業(yè)務起步比國際晚幾年，客戶認可度略差于國際。

國內(nèi)企業(yè)一般選擇國際的時間BSI和DNV目前，國內(nèi)只有中國信息安全認證中心正式得到國家認證**（以下簡稱認證**）的正式認可，其他三家（賽寶認證中心、中國認證中心、中國電子技術(shù)標準化研究所）（截至2009年6月）仍頒發(fā)試點證書。

Q：企業(yè)獲得ISO27001認證后，應對審核還需要做哪些工作？

A：ISO27001證書一般有效期為3年。3年后，必須經(jīng)過綜合審查，應重新頒發(fā)證書。認證注冊資格后，乙方將在三年有效期內(nèi)接受3 定期監(jiān)督審查和必要的不定期審查。其中，自認證之日起6個月內(nèi)安排第一次監(jiān)督審查，監(jiān)督審查間隔不得超過12個月，異常情況下增加監(jiān)督審查頻率。因此，企業(yè)仍必須遵守標準PDCA不斷發(fā)現(xiàn)或回顧信息安全風險。

Q：如何保證一個I S這些成功因素主要包括哪些？

a) 項目范圍內(nèi)有關部門和各級領導對項目目標有一致的了解。

b) 信息安全戰(zhàn)略必須反映企業(yè)的業(yè)務目標。制定的安全戰(zhàn)略是規(guī)范員工行為，更好地為企業(yè)服務，為企業(yè)業(yè)務目標的實現(xiàn)提供信息安全**。安全戰(zhàn)略不能違反業(yè)務目標，更不用說成為業(yè)務發(fā)展的絆腳石了。

c) 實施過程和方法應與企業(yè)文化保持一致。在項目實施過程中，顧問需要不斷與企業(yè)人員溝通，這應與企業(yè)當前的企業(yè)文化相一致。

d) 來自管理層的支持和承諾。管理層需要參加項目里程碑等關鍵節(jié)點的會議，公開表達態(tài)度，確保必要的人力和財政支持。

e) 為員工提供適當?shù)呐嘤柡徒逃?/p>

f) 易于理解和一致的測量系統(tǒng)，以評估信息安全的效率。管理到普通員工的所有成員來衡量安全控制的效果。就像人體的質(zhì)量可以通過血壓、脈搏等指標來知道一樣。

g) 使用自動安全策略管理工具。當前的安全策略需要一個工具自動管理，員工可以通過這個工具快速找到他需要的安全系統(tǒng)。

Q：I S確定范圍后，如何解決范圍外的一些信息安全問題？

A：當企業(yè)面臨信息安全問題時，雖然它不是一勞永逸地解決一切問題的想法，但大多數(shù)企業(yè)希望盡可能多地解決問題，這是可以理解的。

I S在施工過程中，將確定明確的實施范圍，如IT研發(fā)部或財務部正在實施I S在此過程中，范圍外的部門或組織一般不深入?yún)⑴c，重點在已確定的范圍內(nèi)，在咨詢顧問的幫助下，建立合理的信息安全組織框架，培安全組織框架，培養(yǎng)能夠勝任安全管理體系運行的相關人員，如掌握風險評估方法的人員、內(nèi)部審計師等，提高人員的安全技能和安全意識，提高信息安全運行水平，降低相關安全風險。然后作為示范，逐步擴大I S并按PDCA該模型不斷提高了企業(yè)的信息安全水平，范圍內(nèi)得到了推廣和實施。事實上，這也是企業(yè)在信息安全體系建設過程中，在一定的投資條件下，一步一步，堅持關鍵部門和高安全風險優(yōu)先控制的原則，避免一步一步。

Q：哪些問題是信息安全風險，哪些問題不是信息安全風險？

A：信息安全風險是指利用信息系統(tǒng)漏洞（技術(shù)漏洞）、管理（或漏洞（技術(shù)漏洞）、管理（或自然（環(huán)境）因素或人為因素的潛在事件。包括信息系統(tǒng)的開發(fā)、部署、運行（使用）、監(jiān)控、維護和退出IT操作流程缺陷、系統(tǒng)業(yè)務流程控制缺陷、信息系統(tǒng)脆弱性、操作人員故意/故意錯誤、外部事務件等因素直接影響信息系統(tǒng)的安全、可靠、平穩(wěn)運行，并可能導致業(yè)務運營中斷乃至欺詐事件等業(yè)務操作風險，并間接導致信用、市場、法律、聲譽等企業(yè)。

信息系統(tǒng)開發(fā)時的業(yè)務需求分析風險、信息系統(tǒng)項目管理風險等等則不屬于信息安全風險。Q：信息安全風險管理的定義及其范圍？

A：信息安全風險管理是指通過建立有效的機制，實現(xiàn)對信息安全風險的識別、計量、評估、預警和控制，確保信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運行，規(guī)避因為信息技術(shù)應用而引起的各種風險。一般包括風險評估、風險處理、風險接受、風險通報、風險監(jiān)控、風險回顧。

應用系統(tǒng)中的業(yè)務流程可能存在因流程控制缺陷而引起的操作風險。此類風險與信息技術(shù)應用的關系密切，并且極有可能因為自動化、網(wǎng)絡化的實現(xiàn)方式而被放大，因此必須將其納入全面信息安全風險管理的范圍：

n 應用系統(tǒng)中業(yè)務流程操作風險本質(zhì)上仍屬于業(yè)務操作風險，此類操作風險的識別、評估以及提出流程控制要求等職責原則上屬于業(yè)務流程主管條線；

n 但是通過系統(tǒng)實現(xiàn)的業(yè)務流程與傳統(tǒng)手工方式有較大的區(qū)別，信息技術(shù)的應用使業(yè)務流程的風險情況發(fā)生了較大的變化，因此此類風險的管理課題橫跨IT技術(shù)與業(yè)務運營兩個領域；

n 所以從實現(xiàn)全面風險管理的角度出發(fā)，應將協(xié)助管理此類風險的職責納入信息安全風險管理的范圍，由IT部門采取適當?shù)姆绞椒e極參與其管理工作；Q：怎樣算是實現(xiàn)了有效的信息安全風險管理？

A：明確職責與分工，建立良好的互動機制，由信息安全風險管理團隊進行協(xié)調(diào)、檢查、督促并提供專業(yè)支持，實現(xiàn)共同協(xié)作、分散控制的信息安全風險管理環(huán)境，全面掌控直接、間接的隱藏風險，將所有影響信息系統(tǒng)高效、可靠、安全、平穩(wěn)、持續(xù)運行的隱患控制在可接受的范圍內(nèi)。

Q：企業(yè)里誰應該承擔信息安全風險管理的哪些職責？n 信息安全風險專業(yè)性強、涉及領域廣，適宜在IT條線內(nèi)部進行管理，IT部門承擔信息安全風險的管理職責，具體落實在部門內(nèi)的信息安全風險條線；

n 業(yè)務部門承擔系統(tǒng)中業(yè)務流程自身的操作風險；

n 企業(yè)風險管理部門對信息安全風險管理提供指導；

n 信息安全風險管理職能應向企業(yè)風險管理部門提供信息安全風險管理報告，以匯總到企業(yè)整體風險管理報告中；

其中：

R = Responsible誰負責,負責執(zhí)行任務的角色，具體負責操控項目、解決問題。 A = Accountable誰批準，對任務負全責的角色，只有經(jīng)其同意或簽署之后，項目才能得以進行。 C = Consulted咨詢誰，在任務實施前或中提供*性意見的人員。 I = Informed告知誰，及時被通知結(jié)果的人員，不必向其咨詢、征求意見。

Q：IT部門內(nèi)誰應該承擔信息安全風險管理的哪些職責？

A：IT條線內(nèi)部的信息安全風險遵循“責任到位、任務明確、各司其職”的原則，定位如下：

n IT條線管理層整體負責，并向董事會進行年度信息安全風險報告；

n 建設開發(fā)、運行維護等IT職能為IT風險的第一責任人，承擔識別風險、實施信息安全風險等職責；

n 信息安全風險管理職能承擔著制定風險計量標準、開發(fā)評估工具、建議控制方案、督促控制執(zhí)行、監(jiān)測風險情況、應急響應、編制風險管理報告等職責。Q：需要組建怎樣的隊伍來管理信息安全風險，隊伍中各角色的職責是什么？

A：在IT治理組織結(jié)構(gòu)成果的基礎上（沒有的話，則從頭建立），建立垂直專業(yè)管理的信息安全風險管理條線；建立常設的風險評估、監(jiān)控掃描等專業(yè)團隊，并以虛擬團隊的方式覆蓋整個企業(yè)；設立安全信息監(jiān)控中心（運維中心）等實體化的信息安全支撐中心。組織結(jié)構(gòu)如下圖所示：信息安全風險主管

? 協(xié)助管理層確定信息安全風險管理目標、風險偏好

? 確定信息安全風險管理策略；

? 協(xié)調(diào)相關信息安全風險相關主要資源；

? 向管理層匯報整體風險管理狀況；

? 協(xié)調(diào)信息安全風險管理相關方工作；

? 組織制定信息安全風險管理政策。

總部信息安全安全風險管理：

? 組信息安全風險管理工作

? 組織制定信息安全風險管理規(guī)劃

? 組則整體信息安全風險管理組織建設

? 負責信息安全風險管理團隊、專業(yè)團隊與內(nèi)外部的協(xié)調(diào)工作；

? 組織信息安全風險管理意識的宣傳培訓及信息安全風險管理專業(yè)培訓；

? 對專業(yè)團隊及分行風險管理團隊進行業(yè)務指導。

? 風險管理信息，撰寫風險管理報告；

? 執(zhí)行合規(guī)性檢查；

? 對所有信息安全項目的信息安全需求進行評審，確保安全需求，控制項目風險。

? 綜合管理（后勤/人力）。

總部信息安全風險咨詢團隊：

? 分析風險管理現(xiàn)狀與風險管理技術(shù)趨勢；

? 起草風險管理政策；

? 制定相關技術(shù)標準、操作規(guī)程。

信息安全風險項目管理與專業(yè)建設：

? 負責信息安全相關項目的項目管理，協(xié)調(diào)負責安全開發(fā)與部署的開發(fā)中心/數(shù)據(jù)中心；

? 負責加密技術(shù)等小部分核心信息安全技術(shù)的專業(yè)建設與開發(fā)。

信息安全風險管理專業(yè)團隊

? 研究信息安全風險管理發(fā)展趨勢，協(xié)助管理層制定信息安全風險管理政策，判斷風險管理現(xiàn)狀；

? 提供信息安全風險管理專業(yè)服務支持，為分行及數(shù)據(jù)、開發(fā)中心提供信息安全風險管理技術(shù)支撐與指導。

? 負責應急響應的管理與執(zhí)行。

Q：采用怎么樣的方式來管理信息安全風險，需要開展哪些工作？

A：在業(yè)務需求及流程操作風險評估、項目風險自評估、技術(shù)風險（信息安全風險）評估的基礎上完善系統(tǒng)建設開發(fā)方案審批及風險管理機制，并建立正式的IT內(nèi)控與安全檢查評估、漏洞掃描與滲透性等流程，將這些工作制度化、日?；?，并與需求確定、驗收、上線審批、績效管理等相關工作進行結(jié)合。

Q：需要哪些信息安全風險管理制度，怎樣加強這些制度的執(zhí)行？

A：包括IT 風險管理制度體系與信息安全制度體系，并明確相關政策管理流程以加強規(guī)范化管理、提高執(zhí)行力度；同時應將信息安全風險控制措施融入各IT工作的相應制度中以提高其執(zhí)行力度，并更新IT內(nèi)控手冊對這些控制措施進行匯總與映射。

Q：需要哪些技術(shù)能力支撐信息安全風險管理？

A：在信息安全管理方面需要建立預防、檢測、響應、恢復的技術(shù)能力；在IT流程風險管理方面需要建立流程控制固化、績效與關鍵風險指標監(jiān)控等技術(shù)能力；同時還需要針對全面的信息安全風險實現(xiàn)政策管理、控制點管理、風險敞口跟蹤等綜合管理能力。

Q：有哪些技術(shù)方案能夠提供信息安全風險管理需要的技術(shù)能力？

A：技術(shù)方案主要集中在較為成熟的信息安全技術(shù)領域。信息安全技術(shù)架構(gòu)在信息安全基礎設施上定義了信息安全服務、網(wǎng)絡安全、應用安全、安全管理與安全工具體系，其中主要的技術(shù)方案包括安全信息與事件管理服務、身份與訪問管理服務、威脅與脆弱性管理服務、數(shù)據(jù)安全服務、網(wǎng)絡準入控制等。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構(gòu)，儀器設備、耗材、配件、試劑、標準品供應商，法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202407/ccaa_64091.html