ISO27001信息安全管理实用规则
完整版ISO27001信息安全管理手册
信息安全管理手册iso27001信息安全管理手册V1.0 版本号:信息安全管理手册iso27001录目1 ................................................................ 颁布令 012 ...................................................... 管理者代表授权书 023 ............................................................. 企业概况 033 .................................................. 信息安全管理方针目标 046 ............................................................ 手册的管理057 ......................................................... 信息安全管理手册7 (1)范围7 ............................................................. 1.1 总则7 .............................................................1.2 应用8 (2)规范性引用文件8 ........................................................... 3 术语和定义.8 ........................................................... 3.1 本公司8 ......................................................... 3.2 信息系统8 ....................................................... 3.3 计算机病毒8 ..................................................... 信息安全事件3.48 ........................................................... 相关方3.59. ..................................................... 4 信息安全管理体系9 .............................................................4.1 概述9 ....................................... 4.2 建立和管理信息安全管理体系15 ........................................................ 4.3 文件要求18 ............................................................ 管理职责 .518 ........................................................ 管理承诺5.118 ........................................................ 资源管理5.219 ............................................. 6 内部信息安全管理体系审核19 ............................................................ 6.1 总则19 ........................................................ 内审策划6.219 ........................................................ 6.3 内审实施21 ............................................................ .管理评审7iso27001信息安全管理手册7.1 总则 ............................................................217.2 评审输入 ........................................................217.3 评审输出 ........................................................217.4 评审程序 ........................................................228 信息安全管理体系改进 (23)8.1 持续改进 ........................................................238.2 纠正措施 ........................................................238.3 预防措施 ........................................................23iso27001信息安全管理手册01 颁布令为提高我公司的信息安全管理水平,保障公司业务活动的正常进行,防止由于信息安全事件(信息系统的中断、数据的丢失、敏感信息的泄密)导致的公司和客户的损失,我公司信息安全管理体系要求》-GB/T22080-2008idtISO27001:2005《信息技术-安全技术开展贯彻国际标准工作,建立、实施和持续改进文件化的信息安全管理体系,制定了《信息安全管理。
27001 信息安全管理体系标准
27001 信息安全管理体系标准27001 信息安全管理体系标准一、引言信息安全管理体系标准是指国际标准化组织(ISO)发布的ISO/IEC 27001标准,它是全球范围内被广泛采用的信息安全管理标准之一,是组织建立、实施、运行、监控、审查、维护和改进信息安全管理体系的基础。
二、信息安全管理体系概述1. 定义信息安全管理体系是指为满足信息资产保护需求而制定、实施、运行、监控、审查、维护和不断改进的组织或团体的整体信息安全相关安排和措施。
2. 核心理念ISO/IEC 27001标准的核心理念是基于风险管理,强调了建立信息安全管理体系的持续改进和适应性。
通过风险评估和处理等方法,能够帮助组织准确识别信息安全风险,采取相应的控制措施,并实现信息资产的保护。
三、ISO/IEC 27001标准要求1. 综述ISO/IEC 27001标准要求组织根据自身的信息安全风险情况确定适当的信息安全目标,并制定相应的政策、程序和流程来实现这些目标。
2. 风险管理在确定信息安全目标的过程中,组织需要进行风险评估和风险处理,确保对现有和潜在的信息安全风险进行有效应对。
3. 控制措施ISO/IEC 27001标准要求组织根据风险评估结果,确定并实施适当的控制措施,包括技术、管理和物理措施等,以保护信息资产的安全。
4. 管理体系信息安全管理体系的建立和运行需要进行持续监控和审查,确保其有效性和适应性,并不断进行改进。
四、ISO/IEC 27001标准的价值1. 对组织的价值建立、实施和认证ISO/IEC 27001标准的信息安全管理体系,能够帮助组织提高信息资产的安全性和保护能力,增强对信息安全风险的管理和控制,提升组织的整体竞争力和信誉度。
2. 对个人的价值ISO/IEC 27001标准不仅对组织有着重要的意义,对个人信息的保护也具有积极的促进作用,能够加强对个人信息的保护和隐私权的尊重。
五、个人观点和理解作为一项全球范围内广泛采用的信息安全管理标准,ISO/IEC 27001标准的重要性不言而喻。
ISO27001信息安全惩戒管理规定
ISO27001信息安全惩戒管理规定1 目的为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩,并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑,强化全体员工的信息安全意识,有效防止信息安全事故的发生,特制定本规定。
2 范围本程序适用于DXC对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。
3 相关文件4 职责4.1 各副总经理负责自己区域内的奖惩。
4.2 管理者代表负责对IT方面信息安全事故的奖惩管理。
4.3 信息安全管理委员会负责决定重大信息安全和事故的处罚。
4.4 综合管理员负责DXC内部泄密或信息泄漏的调查。
5 程序5.1 计算机信息系统的安保5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人,由市行、市行所辖各单位或公安机关给予表彰、奖励。
5.1.2 存在计算机信息系统安全隐患的市行所辖单位,由市行或公安机关发出整改通知,限期整改。
因不及时整改而发生重大事故和案件的,由市行对该单位的主管负责人和直接负责人予以行政处分;构成违反治安管理或者违反计算机管理监察行为的,由公安机关依法予以处罚;构成犯罪的,由司法机关依法追究刑事责任。
注:以上条款由DXC计算机信息系统安全保护小组负责解释。
5.2 计算机应用与管理违规行为处罚规定5.2.1 计算机应用、维护及操作人员违反规定对账务、信息进行处理的,给予经济处罚或者警告至降级处分;造成严重后果的,给予撤职至开除处分。
5.2.2 违反规定,擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的,给予主管人员和其他责任人员记过至撤职处分;造成严重后果的,给予主管人员和其他责任人员留用察看至开除处分。
5.2.3 利用计算机进行违法违规活动或者为违法违规活动提供条件的,给予主管人员和其他责任人员记过撤职处分;造成严重后果的,给予留用至开除处分。
5.2.4 违反规定,有下列危害网络安全行为之一的,给予有关责任人员经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分:(a)在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的(含从的一个业务系统进入另一个业务系统,从以外的系统和设备侵入业务网络系统,以及从的业务网络系统进入以外的网络系统);(b)未经审批,私自使用内部网络上的计算机拨号上国际互联网的;(c)将非计算机设备接入网络系统的;(d)私自卸载或屏蔽计算机安全软件的;(e)私自修改计算机操作系统、网络系统安全设置的;(f)未经审批,私自在网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络服务的;(g)利用邮件系统传播损害形象的邮件的。
ISO27001服务器安全管理规范.doc
服务器安全管理规范目录1.目的 (3)2.适用范围 (3)3.责任人 (3)4.安全管理规范 (3)4.1名词定义 (3)4.2服务器权限管理规范 (3)4.3服务器管理权限和应用系统权限移交工作规范 (4)4.3.1交接前的准备工作 (4)4.3.2交接的基本程序 (5)4.4操作系统口令和登陆管理规范 (5)4.4.1帐户口令创建更改 (5)4.4.2登录生产机 (5)4.4.3创建口令 (6)4.4.4口令长度和复杂度 (6)4.4.5口令传送方式 (6)4.4.6口令保存方式 (6)4.4.7口令实效 (6)4.4.8跳板机设置 (7)4.6密码修改流程 (7)4.7安全事件的定义 (7)4.7.1定义为一般性安全事件 (7)4.7.2定义为重大安全事件 (7)4.8安全事件的处理及通报 (8)4.8.1安全事件的处理: (8)5.帐户密码安全管理规范 (8)5.1规范内容 (8)5.2密码管理级别 (9)5.3密码审核制度: (9)5.4密码使用制度 (10)5.5核心系统密码管理 (11)5.6帐户密码制定方案 (11)5.6.1密码创建策略 (11)5.6.2密码组合策略 (11)5.6.3定制口令 (11)5.6.4密码规则 (12)5.7帐户密码保存方案 (12)1. 目的防止非法操作、正确管理用户、保证生产系统的可用性、完整性、保密性,以及规范服务器的访问和维护工作2. 适用范围服务部以及其他系统权限的管理部门3. 责任人所有拥有登陆服务器和应用系统权限的相关人员4. 安全管理规范4.1 名词定义➢非安全服务器:正在由运营、开发进行安装生产服务过程的服务器。
➢安全服务器:开发完成生产服务的安装,并通过安全审核的服务器。
➢密码安全规定:生产服务器登陆密码是由大于10位的字母(区分大小写)、数字、特殊字符组合而成。
4.2 服务器权限管理规范➢新上线服务器后,需开远程登陆的维护访问权限,按照密码安全规定,建立帐户如:lilm_bj等(账户名用每个人名字的拼音字母)同时限制访问ip范围为:运维跳板机IP,备份跳板机IP。
ISO27001:2013信息系统安全管理规范
信息系统安全管理规范1、目标此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下:确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。
对用户权限进行合理规划,使系统在安全状态下满足工作的需求。
2、机房访问控制机房做为设备的集中地,对于进入有严格的要求。
只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。
系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。
严格遵守机房管理制度。
3、操作系统访问控制保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的用户进入到公司网络中。
第二道防线就是要控制存放数据及应用文件的主机系统不能被未经许可的用户直接访问。
为防止主机系统被不安全访问,采取以下措施:操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员保密。
在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商;调试一结束系统管理员马上更改口令。
对口令设定必需满足以下规范:5、数据库访问控制为有效的保障业务数据的安全,采取以下措施:数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。
口令必须1个月做一次修改。
业务系统后台数据库对象创建用户的口令由数据库管理员设定,由技术研发部审核。
不能向其他人开放。
口令必须1个月做一次修改。
对口令设定必需满足以下规范:根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。
不同的操作需求开放不同权限的用户。
除技术研发部的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作对于业务必须的后台job或批处理,必须由技术研发部人员执行。
6、应用系统访问控制应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范:所有应用级的操作用户及初始口令统一由技术研发部设定,以个人邮件的形式分别发给各部门的操作人员。
ISO27001文件-信息安全管理体系规范
信息安全管理体系规范(Part I)(信息安全管理实施细则)目录前言一、信息安全范围二、术语与定义三、安全政策3.1 信息安全政策四、安全组织4.1信息安全基础架构4.2外部存取的安全管理4.3委外资源管理五、资产分类与管理5.1资产管理权责5.2信息分类六、个人信息安全守则6.1工作执掌及资源的安全管理6.2教育培训6.3易发事件及故障处理七、使用环境的信息安全管理7.1信息安全区7.2设备安全7.3日常管制八、通讯和操作过程管理8.1操作程序书及权责8.2系统规划及可行性8.3侵略性软件防护8.4储存管理8.5网络管理8.6媒体存取及安全性8.7信息及软件交换九、存取管理9.1存取管制的工作要求9.2使用者存取管理9.3使用者权责9.4网络存取管制9.5操作系统存取管理9.6应用软件存取管理9.7监控系统的存取及使用9.8移动计算机及拨接服务管理十、信息系统的开发和维护10.1信息系统的安全要求10.2应用软件的安全要求10.3资料加密技术管制10.4系统档案的安全性10.5开发和支持系统的安全性十一、维持运营管理11.1持续运营的方面十二、合法性12.1合乎法律要求12.2对信息安全政策和技术应用的审查12.3系统稽核的考虑前言何谓信息安全?对一个单位或组织来说,信息和其它商业资产一样有价值,因此要加以适当的保护。
信息安全就是保护信息免受来自各方面的众多威胁,从而使单位能够进行持续经营,使其对经营的危害降至最小程度,并将投资和商业机会得以最大化。
信息可以许多形式存在-可以印在或写在纸上,以电子方式进行储存,通过邮寄或电子方式传播,用影片显示或通过口头转述。
无论信息以何种方式存在,或以何种形式分享或储存,都要对其进行恰当保护。
信息安全的主要特征在于保护其-保密性:确保只有那些经过授权的人员可以接触信息-完整性:保护信息和信息处理办法的准确性和完整性-可得性:确保在需要时,经过授权的使用者可接触信息和相关的资产信息安全可通过一套管制手段得以实现;此管制手段可为政策、行为规范、流程、组织结构和软件功能。
ISO27001信息安全管理手册
1) 将实施行动整合到信息安全管理体系流程中;
2) 评价行动的有效性。
6.1.2信息安全风险评估
公司制定《信息安全风险评估控制程序》,建立识别适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并识别风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。
b)确保在内部传达满足客户、法律法规和公司信息安全管理要求的重要性。
c)为信息安全管理体系配备必要的资源。
各部门负责人为本部门信息安全管理责任者,全体员工都应按保密承诺的要求自觉履行信息安全保密义务;
各部门有关信息安全职责分配见《信息安全管理职能分配表》。
各部门应按照《信息安全适用性声明》中规定的安全目标、控制措施(包括安全运行的各种控制程序)的要求实施信息安全控制措施。
2) 识别风险的属主;
d) 分析信息安全风险:
1) 评估在信息安全风险评估中识别的风险产生的潜在后果;
2) 评估在信息安全风险评估中识别的风险转化为事件的可能性;
3) 确定风险的等级;
e) 评价信息安全风险:
1) 将风险分析结果与在信息安全风险评估中所定义的风险标准进行比较;
2) 根据风险等级确定风险处置的优先级。
a)确定承担信息安全管理体系各工作岗位的职工所必要的能力;
b)提供职业技术教育和技能培训或采取其他的措施来满足这些需求;
c)评价所采取措施的有效性;
d)保留教育、培训、技能、经验和资历的记录。
本公司还确保所有相关人员意识到其所从事的信息安全活动的相关性和重要性,以及如何为实现信息安全管理体系目标做出贡献。
GB/T 22081-2016/ISO/IEC 27001:2013《信息技术-安全技术-信息安全控制实用规则》
安全管理体系(ISO27001)信息安全事件管理策略
信息安全事件管理策略1目的 (1)2范围 (1)3职责 (1)4策略内容 (1)4.1信息安全事件 (1)4.2信息安全事件分类 (2)4.3信息安全事件分级 (3)4.4报告信息安全事件和弱点 (4)4.5信息安全违法事件 (4)4.6信息安全事件上报 (4)4.7信息安全事件的响应、处置及取证 (5)4.8信息安全事件回顾 (6)5相关文件 (6)6相关记录 (7)附件:信息安全事件处理流程 (8)1 目的为规范公司信息安全事件的报告、处理、回顾和改进机制,明确信息安全事件的管理职责和管理流程,确保信息安全事件发生后能得到及时处置,特制定本策略。
2 范围本策略适用于公司信息安全事件的处置活动。
3 职责4 策略内容4.1 信息安全事件信息安全事件是指由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件,详见《信息安全事件说明细则》。
信息安全事件的分类分级主要参照《GB/Z 20986—2007 信息安全事件分类分级指南》的要求进行。
一体化质量管理体系的《事件管理程序》中所描述的事件包含信息安全事件。
根据信息安全事件发生的原因、表现形式等,将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施安全故障、灾害性事件、其它事件,具体如下表所示:表1 信息安全事件分类说明根据各种信息安全事件对公司经营管理的影响范围、程度,以及可能造成的后果和损失,将信息安全事件划分为一般信息安全事件、较大信息安全事件、重大信息安全事件和特别重大信息安全事件四个级别,如下表所示:表2 信息安全事件分级描述按照信息安全事件的影响范围、程度可以确定信息安全事件级别,满足多个定级条件时按照最高级别定义,级别定义矩阵如下:表3 信息安全事件影响范围和影响程度矩阵4.4 报告信息安全事件和弱点1) 各部门可通过网络系统监控、日志审核、安全扫描、杀毒软件、风险评估等手段发现信息安全事件及系统和设备的安全弱点;2) 所有员工和第三方人员应接受培训,使之认识到有责任和义务发现并及时报告信息安全事件和弱点;3) 所有员工和第三方人员发现疑似信息安全事件和弱点后,应根据信息安全事件分类、分级的定义进行初步判断,按照本策略定义的信息安全事件上报流程进行报告和配合处理;4) 事件报告时应尽可能将事件描述清晰,报告内容应包括但不限于事件的性质、发生的时间、现象、影响范围、严重程度以及已经采取的措施和下一步计划;5) 任何企图或实施阻拦、干扰、报复事件报告者的行为都视为违反本策略,将给予相应的处罚;6) 所有员工不得以任何原因或借口延误信息安全事件的上报,更不能隐瞒不报,由于报告不及时而产生的一切后果由责任部门或个人承担;7) 重大级及以上信息安全事件处置策略需由管理者代表批准,若造成重要信息系统中断,则需由信息安全领导小组批准。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO27001标准的起源和发展信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。
1999年BSI重新修改了该标准。
BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。
第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
2000年,国际标准化组织(ISO)在BS7799-1的基础上制定通过了ISO 1779 9标准。
BS7799-2在2002年也由BSI进行了重新的修订。
ISO组织在2005年对I SO 17799再次修订,BS7799-2也于2005年被采用为ISO27001:2005。
标准的主要内容ISO/IEC17799-2000(BS7799-1)对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用。
该标准为开发组织的安全标准和有效的安全管理做法提供公共基础,并为组织之间的交往提供信任。
标准指出“象其他重要业务资产一样,信息也是一种资产”。
它对一个组织具有价值,因此需要加以合适地保护。
信息安全防止信息受到的各种威胁,以确保业务连续性,使业务受到损害的风险减至最小,使投资回报和业务机会最大。
信息安全是通过实现一组合适控制获得的。
控制可以是策略、惯例、规程、组织结构和软件功能。
需要建立这些控制,以确保满足该组织的特定安全目标。
ISO/IEC17799-2000包含了127个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。
国际标准化组织(ISO)在2005年对ISO 17799进行了修订,修订后的标准作为ISO 27000标准族的第一部分——ISO/IEC 27001,新标准去掉9点控制措施,新增17点控制措施,并重组部分控制措施而新增一章,重组部分控制措施,关联性逻辑性更好,更适合应用;并修改了部分控制措施措辞。
修改后的标准包括11个章节:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性ISO27001的效益1、通过定义、评估和控制风险,确保经营的持续性和能力2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任3、通过遵守国际标准提高企业竞争能力,提升企业形象4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失5、建立安全工具使用方针6、谨防技术诀窍的丢失7、在组织内部增强安全意识8、可作为公共会计审计的证据认识ISO27001国际标准关键字: 信息安全安全认证法律法规ISO27001作者:亚远景科技有限公司转载请注明出处ISO27001(BS7799/ISO17799)国际标准究竟是什么?它如何帮助一个组织更加有效地管理信息安全?BS7799/ISO27001和ISO9001之间有什么联系?初次涉猎信息安全管理领域应该掌握哪些内容,以便组织发起信息安全管理项目?如何获得B S7799国际标准认证?IT治理和信息安全近年来企业高层对内部治理需求越来越实际而具体。
随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处理和储存各种信息,以保证业务正常运营,由此IT系统在企业治理中的作z用越来越明晰,IT治理也逐渐被大多数企业认可,成为董事会和企业内部共同关注的领域。
IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。
与此同时,和信息安全相关的国际标准已经出台,成为标准IT治理框架中的一大基石。
信息安全和法律法规业内人士对ISO27001认证趋之若鹜,这其中有两个关键性的驱动因素:一是日益严峻的信息安全威胁,二是不断增长的信息保护相关法规的需求。
本质上说,信息安全威胁是全球化的。
一般来说,它将毫无差别地辐射到每一个拥有、使用电子信息的机构和个人。
这种威胁在因特网的环境中自动生成并释放。
更严重的问题是,其他各种形式的危险也在整日威胁数据安全,包括从外部攻击行为到内部破坏、偷盗等一系列危险。
过去的十年内,围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大,其中包括专门针对个人数据保护问题的,也有针对企业财政、运营和风险管理体系建立的法规保障问题的。
一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。
目前,建立这样的管理体系逐渐成为诸多合规项目的必要条件,与此同时,针对该管理体系的认证逐渐成为各种组织(包括政府部门)的热门需求,这份认证可以为他们带来重要的潜在商业合同。
信息安全和技术绝大多数人认为信息安全是一个纯粹的有关技术的话题,只有那些技术人员,尤其是计算机安全技术人员,才能够处理任何保障数据和计算机安全的相关事宜。
这固然有一定道理。
不过,实际上,恰恰是计算机用户本身需要考虑这样的问题:避免哪些威胁?在信息安全和信息通畅中如何平衡取舍?的确如此,一旦用户给出答案,计算机安全专家就可以设计并执行一个技术方案以达成用户需求。
在组织内部,管理层应当负责决策,而不是IT部门。
一个规范的信息安全管理体系必须明确指出,组织机构董事会和管理层应当负责相关信息安全管理体系的决策,同时,这个体系也应当能够反映这种决策,并且在运行过程中能够提供证据证明其有效性。
所以机构组织内部的信息安全管理体系的建立项目不必由一个技术专家来领导。
事实上,技术专家在很多情况下起到相反的作用,可能会阻碍项目进程。
因此,这个项目应该由质量管理经理、总经理或者其他负责机构内部重大职能的执行主管负责主持。
信息安全标准1995年,英国标准机构(BSI)发布BS7799标准,即ISMS(信息安全管理体系),旨在规范、引导信息安全管理体系的发展过程和实施情况。
BS7799标准被外界认为是一个不偏向任何技术、任何企业和产品供应商的价值中立的管理体系。
只要实施得当,BS7799标准将帮助企业检查并确认其信息安全管理手段和实施方案的有效性。
从企业外部来看,BS7799关注信息的可用性、机密性和完整性,至今这仍然是这项标准致力达到的目标。
BS7799集中关注企业组织层面上的风险规避(一定程度上主要是商业和金融风险),而不包括避免每一个潜在风险的保护措施——尽管它们至关重要。
BS7799最初仅有一份文档,且具有明显的实践指南性质。
也就是说,它为组织提供信息安全指引,但没有形成规范,不能为外部第三方审计和认证等提供依据。
随着越来越多的企业开始认识到来自信息安全的威胁波及范围越来越广,影响程度越来越大,并且关于数据和隐私权保护的法律法规不断出台,信息安全标准认证的需求开始不断增加。
这种需求的增加最终促成了该项标准第二部分的出台,即标准规范。
实践指南和标准规范之间的关系是这样的:标准规范是认证方案的基础,同时标准规范要求实践者遵从实践指南的指引。
这个实践指南最近被修订为ISO/IEC 17799:2005,标准规范也被修订为ISO/ IEC 27001:2005,逐步得到国际认同。
许多国家也已发布了自己的相关标准,比如AS/NZS7799。
这些标准的国际化版本可以在世界任何国家得到认可,这促使了本土化标准的消退(除了基于两个标准号码基础上的本土化标准以外)。
认证与遵从一个组织可以仅遵从ISO17799来建立和发展ISMS(信息安全管理体系),因为实践指南中的内容是普遍适用的。
然而,由于ISO17799并非基于认证框架,它不具备关于通过认证所必需的信息安全管理体系的要求。
而ISO/EC27001则包含这些具体详尽的管理体系认证要求。
在技术层面来讲,这就表明一个正在独立运用ISO1 7799的机构组织,完全符合实践指南的要求,但是这并不足以让外界认可其已经达到认证框架所制定的认证要求。
不同的是,一个正在同时运用ISO27001和ISO177 99标准的机构组织,可以建立一个完全符合认证具体要求的ISMS,同时这个ISMS 体系也符合实践指南的要求,于是,这一组织就可以获得外界的认同,即获得认证。
ISO27001认证要求与其他管理标准ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。
一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。
正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。
这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。
认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。
大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISM S认证的机构均记录在案。
风险评估和风险应对计划任何一个ISMS体系的建立和开发都应当满足组织独特的需求。
每个组织不仅都有自己独特的业务模式、运营目标、形象特点和内部文化,他们对待风险的态度倾向也大相径庭。
换句话说,同一个东西,一个机构组织认为是必须提防的威胁,在另一个组织看来可能是一个必须抓住的机遇。
同样地,各个机构组织对于既有风险防护的投入也参差不齐。
基于以上或者其他原因,每个运行ISMS的组织,其内部成员必须对风险评估有一个共识,这个风险评估的方法论、结果发现和推荐解决方式都必须得到董事会的首肯。
着手准备ISMS项目和PDCA流程ISMS项目很复杂,可能持续若干个月甚至若干年,涉及整个机构组织以及从管理层到收发部门的每个成员。
ISO27001认证诞生时间短,成功的案例比较少。
从务实的角度考虑,这表明在项目计划过程中,必须尽早对这些仅有的指导性的书籍和案例进行分析和研究。
ISO27001标准指导一个企业如何着手开展ISMS项目,并且关注整个项目进程中的若干重要元素。
1950年W. Edwards Deming提出PDCA流程,即计划(Plan)-执行(Do)-检查(Check)-提升(Act)过程,意在说明业务流程应当是不断改进的,该方法使得职能部门经理可以识别出那些需要修正的环节并进行修正。