聯系人:158-0757-2139 黃小姐(微信同號) QQ:2353147342
ISO27001用于為建立��、實施���、運行、監(jiān)視�、評審、保持和改進信息安全管理體系(Inbation Security Management System�����,簡稱ISMS)提供模型�����。采用ISMS應當是一個組織的一項戰(zhàn)略性決策���。一個組織的ISMS的設計和實施受業(yè)務需求和目標��、安全需求���、所采用的過程以及組織的規(guī)模和結構的影響。上述因素及其支持過程會不斷發(fā)生變化��。期望信息安全管理體系可以根據組織的需求而測量���,例如簡單的情形可采用簡單的ISMS解決方案����。
ISO27001標準可以作為評估組織滿足顧客�、組織本身及法律法規(guī)的信息安全要求的能力的依據,無論是組織自我評估還是評估供方能力���,都可以采用��,也可以用作獨立第三方認證的依據�。
范圍和界線
在執(zhí)行信息安全管理體系的時候���,組織所要做的第一件事就是定義ISMS的范圍?��,F在國際標準要求組織定義ISMS的范圍和界線[4.2.1 a]�,包括被排除在范圍外的詳細說明及理由��。盡管富有經驗的BSI審核員在評估過程中也會尋找這些東西�����,但是現在把這個要求加到標準中了���,如果組織打算超越根據2002版標準取得的認證而達到新標準的要求�,就必須把這個要求考慮在內���。
評估風險
該國際標準的基礎是:信息的保護是基于業(yè)務信息的風險����,該風險能促使組織運用合適的措施來保護業(yè)務的安全�����。很少有業(yè)務信息會暴露在多種風險之下,因此太多的安全措施可能使公司花費過多的成本�����。
標準的一個重大改變是組織現在需要詳細說明(并文件化)風險評估的步驟[4.2.1 c]���,這也意味著挑選并文件化風險評估方法將會使風險評估“產生可比較、可重復的結果” [4.2.1 c 和 4.3.1 d]��。目前已通過BS 7799-2:2002認證的組織不會把這點看成一個比較大的變化�,因為在評估過程中已經考慮過它了。打算通過BS 7799-2:2002認證的組織可能會把它看成該國際標準的新要求�����。
風險評估按照計劃的時間間隔[4.2.3 d]進行復查�,對風險評估和風險處理計劃[7.3 b]的更新進行復查管理已經是標準的要求。這個要求必須作為組織信息安全管理體系的管理復查的一部分[7.1]�����,至少一年完成一次�。
在對BS 7799-2:2002版標準進行審核的過程中,審核員應該根據ISMS的方針和目標[4.3.1]�����,尋找所選擇的控制措施與風險評估結果和風險處理程序之間的關系。盡管BS 7799-2:2002標準提到過這點�����,但現在已經在國際標準中闡明了�����。想獲得BS 7799-2:2002認證的組織可以把它看作國際標準的新要求�。
合同責任
除了法律法規(guī)的要求,該國際標準還特別強調在所有ISMS所有過程中的合同責任���,包括風險評估�、風險處理��、控制選擇�、記錄控制、資源���、ISMS的監(jiān)視和復查�����、以及文件要求�����。
通過BS 7799-2認證的組織現在需要做什么��?
需要特別注意的是:新的國際標準是雙重的��,既可以是ISO/IEC 27001:2005����,又可以是 BS 7799-2:2005���。這種情況會持續(xù)一段時間(預期2年左右)�,這就意味著BS 7799-2:2005認證和ISO/IEC 27001:2005認證沒有什么不同�。然而,目前所有通過現行的BS 7799-2:2002認證的組織必須考慮2005版本的變化����,及時更新他們信息安全管理體系。
通過BS 7799-2:2002認證的組織會逐步轉換到ISO/IEC 27001認證���。轉換期限多久現在還不得而知�,要等待國際認可論壇(IAF),或國家認可機構(如UKAS)發(fā)表正式聲明來公布�。實際上,在以后的監(jiān)督審核中���,會把這些不同點考慮在內�;如果合適的話�����,建議客戶取得ISO/IEC 27001:2005標準的認證��。
如果在轉換期內客戶不及時轉換到新標準�,一直停留在舊標準,審核員可以把與ISO的不一致作為“注釋/觀察項”記錄在案���。一旦轉換期結束����,觀察項就上升為不符合項�����,證書的注冊就存在了風險��。
新標準發(fā)布后,就可以依據ISO/IEC 27001:2005進行認證了����。
