iso27000认证流程

2024-08-03

iso27000认证流程（精选3篇）

篇1：iso27000认证流程

信息安全管理体系ISO27000认证基本知识

一、什么是信息安全管理体系？

信息安全管理体系是在组织内部建立信息安全管理目标，以及完成这些目标所用方法的体系。

ISO/LEC27001是建立、实施和维持信息安全管理体系的标准，通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础，选择控制目标与控制方式等活动建立信息安全管理体系。

二、信息安全的必要性和好处

我国信息安全管理专家沈昌祥介绍，对于我国软件行业，病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生，80%信息泄露都是由内或内外勾结造成，所以建立信息安全管理体系很有必要。

1、识别信息安全风险，增强安全防范意识；

2、明确安全管理职责，强化风险控制责任；

3、明确安全管理要求，规范从业人员行为；

4、保护关键信息资产，保持业务稳定运营；

5、防止外来病毒侵袭，减小最低损失程度；

6、树立公司对外形象，增加客户合作信心；

7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局等政府机构的补贴，补贴额度不少于企业建立ISO27001体系的投入费用（包含咨询认证过程）。

（信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点，39个控制措施，11个控制域。其中11个控制域包括：1）安全策略2）信息安全的组织3）资产管理4）人力资源安全5）物理和环境安全6）通信和操作管理

7）访问控制8）系统采集、开发和维护9）信息安全事故管理10）业务连续性管理11）符合性）

三、建立信息安全体系的主要程序

建立信息安全管理体系一般要经过下列四个基本步骤

① 信息安全管理体系的策划与准备；

② 信息安全管理体系文件的编制；

③ 信息安全管理体系运行；

④ 信息安全管理体系审核、评审和持续改进。

篇2：iso27000认证流程

1 信息安全等级保护制度和ISO 27000系列标准的概念

1.1 信息安全等级保护制度

我国于1999年发布了国家标准GB17859《计算机信息安全保护等级划分准则》,成为建立安全等级保护制度、实施安全等级管理的重要基础性标准。目前已发布GB/T22239、GB/T22240、GB/T20270、GB/T 20271、GB/T 20272等配套标准10余个,涵盖了定级指南、基本要求、实施指南、测评要求等方面。GB17859的核心思想是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全[2]。

1.2 ISO 27000系列标准

ISO 27000起源于英国的BS 7799标准系列,其中ISO 27001是“信息安全管理体系要求”(Specification for Information Security Management Systems),是在组织内部建立信息安全管理体系(ISMS)的一套规范,其中详细说明了建立、实施、运行、监视、评审、保持和改进信息安全管理体系的模型和要求,可用来指导相关人员应用ISO 27002,其最终目的,通过规范的过程,建立适合组织实际要求的信息安全管理体系[3]。ISO 27002提出了在组织内部启动、实施、保持和改进信息安全管理的指南和一般原则,包括11个要素,39个控制目标和133种控制措施[4];

2 等级保护系列标准与ISO/IEC27000系列标准的对比分析

从信息安全等级保护制度和ISO 27001系列标准的内容来看,两者既有相同的地方又有不同之处,下面就分别分析两者之间的差异性及共性。

2.1 两者的差异性

2.1.1 两者的出发点不同

信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点,从宏观上指导全国的信息安全工作,目的是构建国家整体的信息安全保障体系,ISO 27000系列标准是以保证组织业务的连续性,缩减业务风险,最大化投资收益为目的,目的是保证组织的业务安全。

2.1.2 两者的分级标准的差异

等级保护实施首先是定级问题,针对不同的级别,提出了不同的等级安全要求;ISO 27000系列标准的第一步是风险评估,根据资产的价值和所面临的风险进行分类,然后针对不同的风险选择相应的风险处置措施。虽然都是从分级或分类入手,但是两者的分级标准不同。等级保护的分级主要考虑四个方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,等级保护的分级以组织外部影响为依据。而ISO 27000系列标准的分级是根据资产、威胁、脆弱点、影响、风险等各个因素之间的关系,采取定量或者定性的方法进行分级分类,采取何种风险处置措施,也是组织根据自己对风险的接受程度而决定。ISO 27000标准以组织内部业务影响为依据。

2.1.3 两者的安全分类的差异

等级保护和ISO 27000系列标准都从技术和管理两个方面提出了信息安全的要求。等级保护有10个方面的要求,技术方面有:物理安全、网络安全、主机系统安全、应用安全、数据安全,管理方面有:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理;而ISO 27001标准有11个方面,分别是:安全策略、组织信息安全、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取开发和维护、信息安全事件管理、业务连续性管理、符合性。而且两者在各个大分类下面又规定了若干的小项目。

2.1.4 两者实施流程的差异

等级保护首先对信息系统进行定级,定级之后再结合不同等级的安全要求进行安全需求分析。在定级之前,首先要对信息系统进行描述,主要包括系统边界、网络拓补、设备部署等,对于大型的信息系统要在综合分析的基础上进行划分,确定可作为定级对象的信息系统个数。信息系统的定级由受侵害客体和对客体的侵害程度两个因素决定,通过综合判定客体的受侵害程度来确定系统的安全保护等级。安全等级确定之后,从信息系统安全等级保护基本要求中选择相应的等级评价指标,通过现场观察、询问、检查、测试等方式进行评估,确定信息系统安全保护的基本需求。对于有特殊保护要求的信息系统重要资产,其安全需求分析则采用风险评估的方法来进行。

ISO27000系列标准通过风险评估来识别风险和威胁,进而确定组织的信息安全需求,选择风险控制措施。在风险评估之前首先根据组织业务特征、资产和技术来确定ISMS范围和ISMS方针,然后选择使用于组织的风险评估方法,识别ISMS范围内的资产、资产所有者、资产的威胁、可能被资产利用的脆弱点、资产损失可能造成的影响,对风险进行分析和评价,评估安全失效可能造成的影响及后果、威胁和脆弱性发生的可能性,进而确定风险的等级。整个风险评估的过程就是对组织信息安全需求分析的过程。

2.2 两者的共性

尽管两者在很多内容上都存在着差异,但是两者也有很多共同之处。

2.2.1 两者风险处理思想相同

信息安全没有百分之百的安全,所以无论是等级保护还是ISO 27001标准都在实施之前强调分级分类,只有找出信息安全保护的重点,才能把有限的资源投入到信息安全的关键部位,做到统筹安排,而不是“眉毛胡子一把抓”。

2.2.2 两者在安全分类上的共同点

虽然等级保护和ISO 27001标准在安全措施分类上存在差别,但是很多项目都是共通的,如等级保护对“网络安全”的要求,就分别体现在ISO 27001标准的“访问控制”、“通信和操作管理”、“信息安全事件管理”等各个项目中。无论是技术还是管理上的安全措施,两者都或多或少的存在共性。

2.2.3 两者是宏观与微观,相辅相成的关系

信息系统都是分布于各个组织内部,组织内部的信息安全是国家整体信息安全的基础,网络的互联和信息的共享,一个组织内部的信息系统遇到风险业务中断,就可能导致一系列的信息安全连锁反应,国家整体的信息安全水平体现在每个组织的信息安全能力上。同样组织的信息安全也受到整体外部信息网络环境的影响,组织的风险来自内部也来自外部,一个组织要和外界互联共享就必然面临风险,很难想象一个组织能够在一个不安全的信息网络环境中安然无恙。

3 结论

该文通过等级保护与ISO27000系列标准两个信息安全标准体系的对比,详细描述了两者在出发点、分级标准、安全分类标准、实施流程及风险处理思想方面的共性与差异。笔者在长期的信息安全工作实践中根据该文的思路进行相关机构单位的信息安全体系建设工作,并取得良好的效果。

参考文献

[1]郭启全.我国信息安全等级保护工作全面开展[J].信息技术与标准化,2007.9:4-7.

[2]GB17859-1999,计算机信息系统安全保护等级划分准则[S].

[3]International Organization for Standardization.Information technology Security techniques Information security management systems-Re quirements ISO/IEC27001[S].2005.10.