24.ISO27001认证审核指南

ISO标准——IEC 27001:2005信息安全管理体系——规范与使用指南Reference numberISO/IEC 27001:2005(E)0简介0.1总则本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系（ISMS）的模型。

采用ISMS应是一个组织的战略决定。

组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。

上述因素和他们的支持系统预计会随事件而变化。

希望根据组织的需要去扩充ISMS的实施，如，简单的环境是用简单的ISMS解决方案。

本国际标准可以用于内部、外部评估其符合性。

0.2过程方法本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。

一个组织必须识别和管理许多活动使其有效地运行。

通过利用资源和管理，将输入转换为输出的活动，可以被认为是一个过程。

通常，一个过程的输出直接形成了下一个过程的输入。

组织内过程体系的应用，连同这些过程的识别和相互作用及管理，可以称之这“过程的方法”。

在本国际标准中，信息安全管理的过程方法鼓励用户强调以下方面的重要性：a)了解组织信息安全需求和建立信息安全策略和目标的需求；b)在组织的整体业务风险框架下，通过实施及运作控制措施管理组织的信息安全风险；c)监控和评审ISMS的执行和有效性；d)基于客观测量的持续改进。

本国际标准采用了“计划-实施-检查-改进”（PDCA）模型去构架全部ISMS流程。

图1显示ISMS如何输入相关方的信息安全需求和期望，经过必要的处理，产生满足需求和期望的产品信息安全输出，图1阐明与条款4、5、6、7、8相关。

采用PDCA模型将影响OECD《信息系统和网络的安全治理》（2002）中陈述的原则，0 Introduction0.1 GeneralThis International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution.This International Standard can be used in order to assess conformance by interested internal and external parties.0.2 Process approachThis International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS.An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process.The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”.The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security;b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks;c) monitoring and reviewing the performance and effectiveness of the ISMS; andd) continual improvement based on objective measurement.This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8.The adoption of the PDCA model will also reflect the principles as set out in the本国际标准提供一个健壮的模型去实施指南中的控制风险评估、安全设计和实施、安全管理和再评估的原则。

ISO27001:2013新版信息安全管理体系标准变化精解•关于标准——基本情况•关于新版——内容精解•关于换证——解决方案ISO27001:2005改版ISO27001:2013现版的信息安全管理体系ISO27001:2005标准已经使用了8年，日前ISO组织（国际标准化组织）终于将新版ISO27001:2013DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见，预计在今年6-7月会发布DIS最终版。

ISO 组织公布的正式版本的颁布时间为2013年10月19日。

改版背景改版影响在新版公布后的18至24个月内是认证转换缓冲期，即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。

ISO27001的历史发展1992年在英国首次作为行业标准发布，为信息安全管理提供了一个依据。

BS7799标准最早是由英国工贸部、英国标准化协会（BSI）组织的相关专家共同开发制定的BS7799BS7799-1 BS7799-2在1998年、1999年经过两次修订之后出版BS7799-1：1999和BS7799-2：1999。

ISO27002ISO270012000年4月，将BS7799-1：1999提交ISO，同年10月获得通过成为ISO/IEC17799：2000版。

2005年对ISO/IEC17799：2000版进行了修订，于6月15日发布了ISO/IEC17799：2005版。

2007年上半年正式更名为ISO27002:2007。

2013年与ISO27001:2013版同步更新为ISO27002:2013.2001年修订BS7799-2：1999，同年BS7799-2：2000发布。

2002年对BS7799-2：2000进行了修订发布了BS7799-2：2002版。

ISO于2005年10月15采用BS7799-2：2002版本成为国际标准-ISO/IEC27001：2005版。

目录前言 (30 引言 (40.1 总则 (40.2 与其他管理系统标准的兼容性 (41. 范围 (52 规范性引用文件 (53 术语和定义 (54 组织景况 (54.1 了解组织及其景况 (54.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (64.4 信息安全管理体系 (65 领导 (65.1 领导和承诺 (65.2 方针 (65.3 组织的角色,职责和权限 (76. 计划 (76.1 应对风险和机遇的行为 (76.2 信息安全目标及达成目标的计划 (97 支持 (97.1 资源 (97.2 权限 (97.3 意识 (107.4 沟通 (107.5 记录信息 (108 操作 (118.1 操作的计划和控制措施 (118.2 信息安全风险评估 (118.3 信息安全风险处置 (119 性能评价 (129.1监测、测量、分析和评价 (129.2 内部审核 (129.3 管理评审 (1210 改进 (1310.1 不符合和纠正措施 (1310.2 持续改进 (14附录A(规范参考控制目标和控制措施 (15参考文献 (28前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。

重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

本标准中表述要求的顺序不反映各要求的重要性或实施顺序。

ISMS有效性测量方法指南（版本号：V1.0）ISMS有效性测量管理规定更改控制页目录1目的 (1)2范围 (1)3内容 (1)3.1测量数据的收集 (1)3.2体系有效性测量 (2)3.3测量结果的分析与总结 (2)4相关文件 (3)5相关记录 (3)6附录： (4)6.1附录1：《ISMS控制目标和检查内容列表》 (4)6.2附录2：《信息安全目标测量信息一览表》 (4)1目的为信息安全管理体系的测量和分析工作提供指导。

2范围适用于公司信息安全管理体系有效性测量和分析活动。

3内容3.1测量数据的收集通常采用以下几种方法收集用于测量的基础数据：日常检查、审计监控系统的回顾、信息安全事件的统计等。

1)日常检查内容要求：信息安全管理体系标准要求的11项控制目标和133项控制措施；公司制定的信息安全管理体系文件的各项管理规定。

日常检查的内容参考附录1《ISMS控制目标和检查内容列表》，每次检查的具体内容由信息安全经理根据某一控制目标发生的信息安全事件多少或者潜在的信息安全隐患程度决定。

具体检查情况应填写《日常检查记录表》。

频度要求：每月至少进行1次抽样日常检查。

2)审计监控系统回顾内容要求：系统管理员对各种日志系统、审计系统、监控系统等做抽样检查或定期回顾，要特别关注各种告警信息和错误日志等，以期发现违反和潜在违反信息安全策略的行为与事件。

审计监控系统时应填写《错误日志审核记录表》。

频度要求：每季度每个信息系统至少检查一次。

3)信息安全事件统计内容要求：接受来自公司内、外等各种渠道的信息安全事件报告，由信息安全经理负责根据实际情况填写《信息安全事件报告与处理单》，定期对各种信息安全事故进行分类统计。

频度要求：每季度进行一次。

4）信息安全意识活动内容要求：信息安全意识活动主要有：信息安全培训、信息安全调查问卷、信息安全考试等。

正式员工应积极参加公司组织的各种信息安全意识活动。

新员工在试用期内必须接受信息安全的相关文件培训。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

信息安全管理体系审核指南27007引言：信息安全管理体系审核指南（ISO/IEC 27007）是一项重要的国际标准，它为组织提供了在信息安全管理体系（ISMS）下进行审核的指导和要求。

本文将介绍ISO/IEC 27007标准的背景、目的、适用范围以及审核的关键要素。

一、背景随着信息技术的迅猛发展，信息安全问题日益凸显。

为了保护组织的信息资产免受各种威胁，国际标准化组织（ISO）和国际电工委员会（IEC）联合制定了ISO/IEC 27001信息安全管理体系标准。

为了确保ISMS的有效实施和持续改进，ISO/IEC 27007标准应运而生。

二、目的ISO/IEC 27007标准的目的是为ISMS的审核提供指南，帮助审核员进行专业、合规的审核。

通过审核，组织能够评估自身ISMS的有效性，并采取必要的措施加以改进。

同时，ISO/IEC 27007标准也有助于提高组织的信息安全水平，建立信任和合作关系。

三、适用范围ISO/IEC 27007标准适用于任何规模和类型的组织，无论其信息资产的特点和所处的行业。

无论是公共机构、私营企业还是非盈利组织，都可以通过ISO/IEC 27007标准来进行ISMS的审核。

四、审核的关键要素1. 审核目标：审核目标应明确，与组织的战略目标和ISMS的目的一致。

审核员应了解组织的特点和需求，以便制定合适的审核计划。

2. 审核范围：审核的范围应明确界定，包括审核的过程、部门、活动和技术。

审核员需要与组织的管理层和相关人员密切合作，以确保范围的准确性和全面性。

3. 审核计划：审核计划应详细列出审核的时间表、地点、人员和资源等。

审核员应根据ISO/IEC 27007标准的要求，制定合理的审核计划，并与组织的管理层协商确定。

4. 审核准备：审核员应在实施审核之前进行充分的准备工作，包括熟悉ISO/IEC 27001和ISO/IEC 27007标准，收集组织的相关文件和记录，并与组织的管理层进行沟通。