企航顾问ISO/IEC27001信息安全管理体系服务

信息作为一种宝贵的资产，可以为您的企业带来成功，也可能带来毁灭。当管理得当时，信息可让您充满信心地投入工作。信息安全管理让您确信所有的保密信息都可保证安全，从而让您自由地发展、创新和扩大您的客户群。

一、ISO/IEC 27001概述

为确保运营流畅和数据安全，组织必须持续地对重要信息系统及重要业务信息进行管理。ISO/IEC 27001信息安全管理体系助您凭借强大的信息安全手段从竞争中脱颖而出。

ISO/IEC27001标准基于CIA三大原则——保密性（Confidentiality）、完整性（Integrity）和实用性（Availability），内容覆盖以下方面：

1. 信息安全方针； 2. 信息安全组织； 3. 人力资源安全； 4. 资产管理； 5. 访问控制；

6. 加密； 7. 物理和环境安全； 8. 操作安全； 9. 通信安全； 10. 系统的获取、开发和维护；

11. 供应关系； 12. 信息安全事件管理； 13. 信息安全方面的业务持续管理； 14. 符合性。

ISO/IEC 27001是一部针对信息技术、安全技术、信息安全管理体系（ISMS）的国际标准，该标准可用于组织的信息安全管理体系的建设和实施，提供了从规划（P）、实施（D）、检查（C）、改进（A）的信息安全管理持续改进过程方法。

企航顾问作为专业的信息安全管理咨询机构，以风险管理为驱动、以预防为核心，帮助客户规划、建设信息安全管理体系，从ISO/IEC 27001标准的14个信息安全管理域入手，将114个信息安全控制措施与客户管理流程有机结合，实现以预防为主的信息安全管理机制，全面系统地持续提高客户的信息安全管理水平，达到最大程度的降低信息安全管理风险和损失的目的。

二、ISO/IEC 27001的起源及发展

1993年由英国贸易工业部立项；

1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织；

1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据；

BS 7799-1与BS 7799-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在 络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任；

2000年12月，BS 7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准—–ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》；

2002年9月5日，BS 7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS 7799-2:1999被废止；

2004年9月5日，BS 7799-2:2002正式发布；

2005年6月，ISO/IEC 17799:2000经过改版，形成了新的ISO/IEC 17799:2005；

在2007年7月1日正式发布为ISO/IEC 27001:2005 ，于同年10月推出ISO/IEC 27001:2005；

2013年，继ISO/IEC 27001:2005版发布之后，历经漫长的8年，终于迎来ISO/IEC 27001第二版，并于同年10月19日正式发布。

三、ISO/IEC 27001信息安全管理体系建设意义及目标

信息安全管理体系标准（ISO/IEC 27001）可有效保护信息资源,保护信息化进程健康、有序、可持续发展, ISO/IEC 27001是信息安全领域的管理体系标准，当您的组织通过了ISO/IEC 27001的认证，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障，同时，把组织的安全风险因素降到最小，创造更大收益。具体体现在以下几方面：　　

四、ISO/IEC 27001信息安全管理体系建设思路

构建信息安全管理体系（ISMS）不是一蹴而就的，也不是每个企业都使用一个统一的模板，不同的组织在建立与完善信息安全管理体系时，可根据组织信息安全管理现状和具体的业务开展特点，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过以下几个主要步骤：　

第一阶段：项目启动和差距分析

从日常运维、管理机制、系统配置等方面对企业信息安全管理安全现状进行调研，通过培训使企业相关人员全面了解信息安全管理的基本知识。

第二阶段：风险评估

对企业信息资产进行资产价值、威胁因素、脆弱性分析，从而评估信息安全风险，选择适当的措施、方法实现管理风险的目的。

第三阶段：体系策划与发布

根据企业对信息安全风险的策略，制定相应信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

第四阶段：体系运行与监控

ISMS建立起来（体系文件正式发布实施）之后，要通过一定时间的试运行来检验其有效性和稳定性。

第五阶段：认证及持续改进

经过一定时间运行，ISMS达到一个稳定状态，文档和记录已经建立完备，此时可以提请进行认证。

五、ISO/IEC 27001认证所需材料

1、组织法律证明文件，如营业执照；

2、其他与申请认证的业务相关的必要许可资质；

3、申请认证组织的信息安全管理体系有效运行的证明文件；

4、申请组织的简介：

（1）组织简介；

（2）申请组织的主要业务流程；

（3）组织机构图或职能表述文件；

5、申请组织的体系文件：

（1）信息安全管理体系ISMS方针文件；

（2）风险评估程序；

（3）适用性声明；

（4）风险处理程序；

（5）文件控制程序；

（6）记录控制程序；

（8）管理评审程序；

（9）纠正措施与预防措施程序；

（10）控制措施有效性的测量程序；

（11）职能角色分配表；

（12）整个体系文件结构与清单等。

7、申请组织记录保密性或敏感性声明；

8、认证机构要求申请组织提交的其他补充资料。

六、ISO/IEC 27000标准族的构成

ISO/IEC 27000标准族是ISO专门为信息安全管理体系（ISMS）预留下来的系列相关国际标准的总称。ISMS系列标准由已经发布或正在开发的相关标准组成，并且包含许多重要的结构组件。这些组件主要集中在以下五个部分：

1、描述概述和术语的标准：

1、ISO/IEC 27000《信息技术 安全技术 信息安全管理体系概述和术语》

2、规范要求的标准：

1、ISO/IEC 27001《信息技术 安全技术信息安全管理体系要求》

3、ISO/IEC 27009《信息技术安全技术ISO/IEC 27001在具体行业应用的要求》

3、给出一般指南的标准：

1、ISO/IEC 27002《信息技术安全技术信息安全控制实践指南》

2、ISO/IEC 27003《信息技术安全技术信息安全管理指南》

3、ISO/IEC 27004《信息技术安全技术信息安全管理监测、测量、分析和评价》

4、ISO/IEC 27005《信息技术安全技术信息安全风险管理》

7、ISO/IEC 27013《信息技术安全技术 ISO/IEC 27001 和 ISO/IEC 20000-1 整合实施指南》

8、ISO/IEC 27014《信息技术安全技术信息安全治理》

9、ISO/IEC TR 27016《信息技术安全技术信息安全管理组织经济学》

10、ISO/IEC 27021《信息技术安全技术信息安全管理信息安全管理体系专业人员的能力要求》

4、给出行业特定指南的标准：

1、ISO/IEC 27010《信息技术安全技术行业间和组织间通信的信息安全管理》

2、ISO/IEC 27011《信息技术安全技术电信组织基于ISO/IEC 27002的信息安全控制实践规范》

3、ISO/IEC 27017《信息技术安全技术基于ISO/IEC 27002的云服务信息安全控制措施实践指南》

4、ISO/IEC 27018《信息技术安全技术可识别个人信息(PII)处理者在公有云中保护刊的实践指南》

5、ISO/IEC 27019《信息技术安全技术能源公用事业的信息安全控制》

6、ISO 27799《健康信息学使用ISO/IEC 27002的健康信息安全管理》

5、给出控制特定指南的标准：（仅列出标准编 及名称以为示例）

1、ISO/IEC 2703x系列标准：

ISO/IEC 27031: 2011《信息技术 安全技术用于业务连续性的信息和通信技术准备指南》

ISO/IEC 27032： 2012《信息技术 安全技术 络安全指南》

ISO/IEC 27033《信息技术安全技术 络安全》

ISO/IEC 27034《信息技术安全技术应用安全》

ISO/IEC 27035《信息技术安全技术信息安全事件管理》

ISO/IEC 27036《信息技术安全技术供应商关系的信息安全》

ISO/IEC 27037： 2012《信息技术 安全技术 数字证据的识别、收集、获取和保存指南》

ISO/IEC 27039： 2015《信息技术 安全技术 入侵检测和防御系统（IDP）的选择、部署和操作》

2、ISO/IEC 2704x系列标准：

ISO/IEC 27040:2015《信息技术 安全技术存储安全》

ISO/IEC 27041:2015《信息技术 安全技术确保事故调查方法的适用性和充分性的指南》

ISO/IEC 27042:2015《信息技术 安全技术数字证据分析和解释指南》

ISO/IEC 27043:2015《信息技术 安全技术事故调查原则与程序》

ISO/IEC 27000标准族的构成随着各个标准的发布、修订、废止而不断变化。

七、企航顾问ISO/IEC 27001案例

1、企航顾问在ICT（信息与通讯技术）领域提供的服务项目有：

1、ISO/IEC 20000 ： 信息技术服务管理体系

2、ISO/IEC 27001 ： 信息安全管理体系

3、ISO/IEC 27701 ： 隐私信息管理体系

4、ISO/IEC 27017 ： 云服务信息安全规范

5、ISO/IEC 27018 ： 公共云个人信息（PII）处理者的信息安全控制规范

6、ISO/IEC 29151 ： 个人信息保护的行为准则

7、ISO 22301 ： 业务连续性管理体系

8、TISAX ：可信信息安全评估交流机制

9、ISO/SAE 21434 ： 道路车辆 信息安全工程

10、TL 9000 ： 通讯行业质量管理体系

……

2、企航顾问ISO/IEC 27001部分项目现场：

日月光半导体（上海）有限公司

德国SMS西马克工程（中国）有限公司

南京雨润集团【股票代码：01068.HK】食品科技开发有限公司

浙江德马科技股份有限公司【股票代码：688360】

苏州华锝半导体有限公司

南京雨润集团【股票代码：01068.HK】马鞍山百瑞食品有限公司

日本第一精工模塑（上海）有限公司

上海仁库软件科技有限公司

上海芯钛信息科技有限公司

杭州新剑机器人技术股份有限公司【股票代码：871312】

宁波正立企业咨询服务有限公司

……