ISO 27001
出于各种原因,寻求向客户和业务合作伙伴展示其信息安全敏锐度的美国组织越来越多地考虑 ISO 认证。在大多数情况下,这些组织已经获得了一项或多项认证和/或证明,并且只是希望进一步加强其组织资质并满足任何询问的第三方。尽管值得称道,但认为 ISO 只是另一个安全框架,可以应用现有的策略、程序和控制措施,这可能会阻碍这一努力。一个简单的事实是,如果您认为其他合规努力的成功为 ISO 认证提供了一定的保证,那么您需要三思。
对于任何考虑进行 ISO 认证的组织,LBMC 在这里回答常见问题,消除常见神话,最重要的是,为读者提供有价值的信息,以启动成功的 ISO 认证之旅。
什么是 ISO 27001?
国际标准组织是一个独立机构,其目标是为任何组织发布标准,无论其属于哪个行业,都可以遵循。正如他们网站上所定义的那样,标准是“描述做某事的最佳方式的公式”。其中包括质量和环境管理标准、健康和安全标准、食品安全标准,当然还有信息安全标准。标准以编号的系列出版,每个系列都包含多个单独的文件,这些文件与主题的某些方面有关。在大多数情况下,每个系列中的“01”文档,例如9001、14001、27001 是认证组织所依据的标准。该系列中的所有其他文件都是认证标准的支持文件。
ISO 27000 系列是信息安全管理系统的既定系列。管理系统是为保护信息的机密性、完整性和可用性而实施的政策、程序和资源。 27001标准, ISO/IEC 27001:2013 在撰写本文时,是组织认证所依据的标准。该 ISO 认证向相关方证明了组织致力于有效管理关键信息系统的风险和安全性。
顺便, IEC 在文件标题中是指 国际电工委员会,一个类似的标准组织,为涉及技术活动的 ISO 标准做出贡献。
为什么 ISO 27001 很重要?
虽然总部位于美国的组织受到许多指导网络安全和合规工作的行业和监管框架的约束,但 ISO 27001 是美国以外事实上的信息安全标准。对于在美国以外的客户和其他业务关系的组织,通常期望 ISO 认证证明组织对有效风险管理和信息安全的承诺。 ISO 标准的核心是围绕 ISMS 建立正式的管理结构,以确保其持续有效。必须证明这种有效性才能获得和保持认证。 ISO 不是“复选框安全”框架。
组织经常利用为 ISO 认证建立的信息安全管理系统来管理其他合规性计划,例如 SOC、PCI 和 HITRUST。例如,当他们进行年度 ISO 内部审计时,他们会借此机会验证控制是否仍满足其他合规标准的要求。然后,作为 ISO 认证管理审查计划的一部分,他们借此机会审查其其他合规计划,以确定范围的变化、风险或威胁格局的变化以及任何相关的内部审计结果。对于寻求高层管理人员批准进行 ISO 认证的安全经理来说,这是证明建立和维护 ISO 合规计划所需资源的有效工具。
ISO 27001 的要求是什么?
ISO 标准文件遵循一种通用格式,其中内容分为编号的条款。条款定义给定标准的范围,提供对其他支持或从属标准的引用,定义标准中使用的术语和定义,并确定标准的要求或期望。标准通常包括附件或附录,为前述条款中包含的要求和期望提供支持指南。
ISO 27001 标准由 26 个条款和 114 个控制要求组成。这些条款建立了信息安全管理体系 (ISMS) 的基本要素,组织必须具备这些要素来管理风险和保护信息。这些要求是 ISO 27001 标准独有的。与其他信息安全合规性框架不同,这些条款规定了对 ISMS 的持续指导和监督的要求。这些包括组织风险评估等活动 and 治疗分析,ISMS 的定期执行管理审查,年度 内部的 ISMS 的审核,以及对安全控制有效性的持续监控和测量。
标准的后半部分,标题为 附件一, 由 ISO 27001 控制要求组成。信息安全从业人员将更熟悉控制要求,因为它们是组织用来处理安全风险和威胁的战术要求。这些包括访问和身份验证、日志记录、加密、事件响应以及组织作为其各种安全和合规计划的一部分实施的其他控制类别。与某些网络安全框架不同,ISO 控制要求不是规定性的。换句话说,ISO 27001 没有建立最小密码设置、日志保留期或加密密钥长度。相反,ISO 建立的控制措施必须 经过考虑的 由组织。然后,组织确定哪些控制措施适用于环境并充分处理已识别的风险。因此,审计师的作用是确定控制是否按照定义实施,以及它们是否充分解决了实施这些控制的风险。
ISO 27001 是法律要求吗? ISO 27001 本身并不是法律要求。但是,组织可以将获得和/或维持 ISO 27001 认证的合同义务作为其业务关系的一部分。 ISO 27001 认证可能被组织利用和/或接受,作为证明遵守行业和监管信息安全要求的手段。
ISO 27001 关注信息的哪三个方面?
虽然组织的 ISMS 解决了组织硬件、软件和数据资产多个方面的安全问题,但 ISO 27001 标准侧重于信息的机密性、完整性和可用性。
- 机密性是保护信息免遭未经授权的访问。
- 完整性是保护信息免受未经授权的修改。
- 可用性是确保信息可根据需要访问的保证。
获得 ISO 27001 认证的最终结果是,组织向其客户、业务合作伙伴和其他相关方保证,组织负责的信息的泄露风险最小。
当前的 ISO 27001 标准是什么?
ISO/IEC 27001:2013 是 27000 系列信息安全管理系统的众多标准和支持文件之一。虽然 27000 系列中有几个相关的指南和支持文件,但 27001 目前是该系列中唯一可以认证组织的标准。
您如何获得 ISO 27001 认证?
组织必须由独立的第三方审计。任何审核员都可以颁发证书,但建议聘请 认可 ISO 27001 认证机构进行审核。经认可的认证机构本身需要接受定期的独立审计,以验证它们的信誉、能力和值得信赖。这可以向组织和任何相关方保证审核是按照所有相关的 ISO 标准进行的,并颁发证书。
要成功通过初始 ISO 27001 认证审核,组织必须证明其 ISMS 已完全实施且有效。为此,组织需要实施 ISO 27001 条款和附件 A 控制中规定的所有要求。为了证明这种有效性,ISO 审核员通常会寻找 PDCA(计划-执行-检查-行动)循环的完整迭代。对于已经建立完善的 ISMS 组件和控制措施的成熟组织,这可能只需要 4 到 6 个月的时间来准备初始认证。对于其他人,可能需要至少一年的时间来建立 ISMS 和相关的控制措施,以便为他们的初始认证审核做好准备。
由于准备初始审核需要付出大量努力,许多组织聘请第三方协助建立其 ISMS。第三方可能只是在组织实施其 ISMS 时进行监督和提供指导,或者他们可能完全或部分参与这项工作。无论他们如何参与这项工作,提供实施援助的第三方都不应该,而且根据一些认证机构的说法,他们也不能进行组织的认证审核。这有助于避免实施实体和审计实体之间的利益冲突。
LBMC 如何提供帮助?
ISO 27001 认证可能是一项重大任务,但根据组织的业务和合规义务,可以证明是非常值得的。 ISO 不只是追求复选框合规性,而是要求组织建立一个强大的信息安全管理系统。一种不仅可以实现既定的合规目标,而且可以支持组织的整个安全和合规计划。通过建立不仅可以保护组织免受威胁而且提供强大的管理支持系统以确保持续有效性的 ISMS,您将不必认为自己已准备好进行认证,您会知道的!
ISO/IEC 27001:2013 实施协助
ISO/IEC 27001:2013 规定了维护组织信息安全管理体系 (ISMS) 的要求。这些要求包括信息安全控制结构的建立、实施、监控、审查、维护和改进。这允许组织以系统和预测的方式评估其安全风险。
LBMC 信息安全部门将与beplay手机版客户合作,帮助他们为 ISO/IEC 27001:2013 认证做好准备。为此,我们将首先进行研讨会式的会议,其中可能包括有限的技术测试,以确定和验证 ISMS 的技术边界。接下来,我们将审查相关文件并对执行、管理或监督 ISMS 的 IT 操作和安全功能的关键人员进行访谈。最后,我们为建立和执行所需的 ISMS 组件以及 ISO/IEC 27001:2013 中规定的控制提供分步指南,以确保 ISMS 为成功的初始认证审核做好准备。
对 ISO 27001 有疑问? LBMC 可以帮助您实现 ISO 合规性。 接触 us now.