- 產品
- 供應
- 公司
- 新聞
|
|
||||||||||||||||||||||||||||
聯系人:158-0757-2139 黃小姐(微信同號) QQ:2353147342
ISO27001用于為建立、實施、運行、監視、評審、保持和改進信息安全管理體系(Information Security Management System,簡稱ISMS)提供模型。采用ISMS應當是一個組織的一項戰略性決策。一個組織的ISMS的設計和實施受業務需求和目標、安全需求、所采用的過程以及組織的規模和結構的影響。上述因素及其支持過程會不斷發生變化。期望信息安全管理體系可以根據組織的需求而測量,例如簡單的情形可采用簡單的ISMS解決方案。
ISO27001標準可以作為評估組織滿足顧客、組織本身及法律法規的信息安全要求的能力的依據,無論是組織自我評估還是評估供方能力,都可以采用,也可以用作獨立第三方認證的依據。
范圍和界線
在執行信息安全管理體系的時候,組織所要做的第一件事就是定義ISMS的范圍。現在國際標準要求組織定義ISMS的范圍和界線[4.2.1 a],包括被排除在范圍外的詳細說明及理由。盡管富有經驗的BSI審核員在評估過程中也會尋找這些東西,但是現在把這個要求加到標準中了,如果組織打算超越根據2002版標準取得的認證而達到新標準的要求,就必須把這個要求考慮在內。
評估風險
該國際標準的基礎是:信息的保護是基于業務信息的風險,該風險能促使組織運用合適的措施來保護業務的安全。很少有業務信息會暴露在多種風險之下,因此太多的安全措施可能使公司花費過多的成本。
標準的一個重大改變是組織現在需要詳細說明(并文件化)風險評估的步驟[4.2.1 c],這也意味著挑選并文件化風險評估方法將會使風險評估“產生可比較、可重復的結果” [4.2.1 c 和 4.3.1 d]。目前已通過BS 7799-2:2002認證的組織不會把這點看成一個比較大的變化,因為在評估過程中已經考慮過它了。打算通過BS 7799-2:2002認證的組織可能會把它看成該國際標準的新要求。
風險評估按照計劃的時間間隔[4.2.3 d]進行復查,對風險評估和風險處理計劃[7.3 b]的更新進行復查管理已經是標準的要求。這個要求必須作為組織信息安全管理體系的管理復查的一部分[7.1],至少一年完成一次。
在對BS 7799-2:2002版標準進行審核的過程中,審核員應該根據ISMS的方針和目標[4.3.1],尋找所選擇的控制措施與風險評估結果和風險處理程序之間的關系。盡管BS 7799-2:2002標準提到過這點,但現在已經在國際標準中闡明了。想獲得BS 7799-2:2002認證的組織可以把它看作國際標準的新要求。
合同責任
除了法律法規的要求,該國際標準還特別強調在所有ISMS所有過程中的合同責任,包括風險評估、風險處理、控制選擇、記錄控制、資源、ISMS的監視和復查、以及文件要求。
通過BS 7799-2認證的組織現在需要做什么?
需要特別注意的是:新的國際標準是雙重的,既可以是ISO/IEC 27001:2005,又可以是 BS 7799-2:2005。這種情況會持續一段時間(預期2年左右),這就意味著BS 7799-2:2005認證和ISO/IEC 27001:2005認證沒有什么不同。然而,目前所有通過現行的BS 7799-2:2002認證的組織必須考慮2005版本的變化,及時更新他們信息安全管理體系。
通過BS 7799-2:2002認證的組織會逐步轉換到ISO/IEC 27001認證。轉換期限多久現在還不得而知,要等待國際認可論壇(IAF),或國家認可機構(如UKAS)發表正式聲明來公布。實際上,在以后的監督審核中,會把這些不同點考慮在內;如果合適的話,建議客戶取得ISO/IEC 27001:2005標準的認證。
如果在轉換期內客戶不及時轉換到新標準,一直停留在舊標準,審核員可以把與ISO的不一致作為“注釋/觀察項”記錄在案。一旦轉換期結束,觀察項就上升為不符合項,證書的注冊就存在了風險。
新標準發布后,就可以依據ISO/IEC 27001:2005進行認證了。
