什么是ISO27001？

ISO 27001是由國際標準化組織（ISO）發布的國際標準，它描述了如何在公司中管理信息安全。該標準的最新版本于2013年發布，其完整名稱現在為ISO / IEC 27001：2013。該標準的第一版于2005年發布，它是根據英國標準BS 7799-2制定的。

ISO 27001可以在任何類型的組織中實施，無論是非營利性或非營利性，私有或國有的，大小規模的組織。它由信息安全領域的全球專家撰寫，并提供了在組織中實施信息安全管理的方法。它還可以使公司獲得認證，這意味著獨立的認證機構已確認組織已實施符合ISO 27001的信息安全性。

ISO 27001已成為全球最受歡迎的信息安全標準，并且許多公司都已通過ISO 27001認證

ISO 27001如何運作

ISO 27001的重點是保護公司信息的機密性，完整性和可用性。這是通過找出信息中可能發生什么潛在問題（即風險評估），然后定義需要采取哪些措施來防止此類問題發生（即減輕風險或進行風險處理）來完成的。因此，ISO 27001的主要理念是基于風險管理：找出風險所在，然后系統地加以處理。

實施的保障措施（或控制措施）通常采取政策，程序和技術實施（例如軟件和設備）的形式。但是，在大多數情況下，公司已經擁有所有硬件和軟件，但是它們以不安全的方式使用它們。因此，ISO 27001實施的大部分內容都是關于設置組織規則（即編寫文檔）的，目的是防止安全漏洞需要。由于這樣的實施將需要管理多個策略，如：過程，人員，資產等，因此ISO 27001描述了如何將所有這些元素整合到信息安全管理系統（ISMS）中。

因此，管理信息安全不僅涉及IT安全（即防火墻，防病毒等），還涉及管理流程、法律保護、人力資源管理、物理保護等。

ISO 27001的結構

ISO / IEC 27001分為11節和附錄A。第0至3節是介紹性的（對于實施不是強制性的），而第4至10節是強制性的。這意味著如果它們的所有要求必須在組織中實施希望符合該標準。只有在適用性聲明中聲明適用時，才必須執行附件A中的控件。

根據國際標準化組織ISO / IEC指令的附件SL，ISO 27001中的節標題與ISO 22301：2012，新ISO 9001：2015中的節標題以及其他管理標準相同，從而可以更輕松地集成這些標準。

第0節：簡介?——解釋了ISO 27001的目的及其與其他管理標準的兼容性。

第1節：范圍?——解釋了該標準適用于任何類型的組織。

第2節：規范性引用?——引用ISO / IEC 27000作為提供術語和定義的標準。

第3節：術語和定義?——再次參考ISO / IEC 27000。

第4節：組織的環境——本節是PDCA周期中策劃階段的一部分，并定義了理解外部和內部問題，相關方及其要求以及定義ISMS范圍的要求。

第5節：領導力?——本節是PDCA周期中策劃階段的一部分，它定義了最高管理職責，設置了角色和職責以及最高級別的信息安全策略的內容。

第6節：策劃?——本節是PDCA周期中策劃階段的一部分，它定義了風險評估，風險處理，適用性聲明，風險處理計劃以及設置信息安全目標的要求。

第7節：支持?——本節是PDCA周期中策劃階段的一部分，并定義了對資源可用性，能力，意識，溝通和文件和記錄控制的要求。

第8節：執行?——本節是PDCA周期策劃階段的一部分，定義了風險評估和處理的實施以及實現信息安全目標所需的控制和其他過程。

第9節：績效評估?——本節是PDCA周期中檢查階段的一部分，并定義了對監視，度量，分析，評估，內部審核和管理評審的要求。

第10節：改進?——本節是PDCA周期中的法案階段的一部分，并規定了不合格，糾正，糾正措施和持續改進的要求。

附件A?–本附件提供了14節（A.5至A.18節）中包含的114個控件（保護措施）的目錄。

ISO 27001對企業的意義

實施此信息安全標準可以為公司帶來四個基本的業務收益：

• 遵守法律要求?——與信息安全相關的法律，法規和合同要求越來越多，而且令人欣慰的是，大多數法律法規和合同要求都可以通過實施ISO 27001來解決，即該標準為您提供了一種完美的方法來遵守這些要求。
  

• 取得營銷優勢?——如果您的公司獲得了認證，而您的競爭對手沒有通過認證，那么在對保持信息安全敏感的客戶看來，您可能會比他們更具優勢。
  

• 降低成本?——ISO 27001的主要理念是防止安全事件的發生。因為每個事件，無論大小，都要花費金錢。因此，通過防止它們發生，您的公司將節省很多錢?？偠灾?，最好的是在ISO 27001中的投資遠遠少于節省的成本。
  

• 更好的組織?——通常，快速發展的公司沒有時間停止并定義其流程和程序。結果員工通常不知道需要做什么，何時以及由誰來做。實施ISO 27001有助于解決此類情況，因為它鼓勵公司寫下其主要流程（甚至與安全無關的流程），從而使他們能夠減少員工的損失時間。

如何實施ISO 27001

要在公司中實施ISO 27001，必須遵循以下16個步驟：

1）獲得高層管理人員的支持

2）使用項目管理方法

3）定義ISMS范圍

4）編寫頂層信息安全策略

5）定義風險評估方法

6）進行風險評估和風險處理

7）編寫聲明適用性

8）編寫風險處理計劃

9）定義如何衡量控制措施和ISMS有效性的方法

10）實施所有適用的控制措施和程序

11）實施培訓和意識計劃

12）執行ISMS文檔規定的所有日常操作

13）監控和衡量您的ISMS

14）進行內部審核

15）進行管理評審

16）采取糾正措施

ISO 2700要求的強制性文件

ISO 27001要求編寫以下文檔：

ISMS的范圍（第4.3節）

信息安全政策和目標（第5.2和6.2條）

風險評估和風險處理方法（6.1.2節）

適用性聲明（第6.1.3 d條）

風險處理計劃（第6.1.3 e和6.2條）

風險評估報告（第8.2條）

安全角色和職責的定義（第A.7.1.2和A.13.2.4條）

資產清單（第A.8.1.1條）

可接受的資產使用（第A.8.1.3條）

訪問控制策略（條款A.9.1.1）

IT管理操作程序（第A.12.1.1條）

安全系統工程原理（第A.14.2.5條）

供應商安全政策（第A.15.1.1條）

事件管理程序（第A.16.1.5條）

業務連續性程序（A.17.1.2節）

法規，法規和合同規定（第A.18.1.1條）

以及一些強制性記錄，如：

• 培訓，技能，經驗和資格的記錄（第7.2條）

• 監測和測量結果（第9.1節）

• 內部審核計劃（第9.2條）

• 內部審核結果（9.2節）

• 管理評審的結果（9.3節）

• 糾正措施的結果（第10.1條）

• 用戶活動，異常和安全事件的日志（條款A.12.4.1和A.12.4.3）

當然，如果公司認為有必要，可以決定編寫其他安全文件。

想要獲得ISO 27001認證應準備的資料清單？歡迎按照頁面左側指引聯系我們，獲取進一步的詳細信息。

完成實施并獲得的ISO 27001認證的強制性措施

要使組織獲得認證，它必須按照前面章節中的說明執行標準，然后進行由認證機構執行的認證審核。認證審核按以下步驟執行：

第一階段審核（文件審核）——審核員將審核所有文檔。

第二階段審核（現場審核）——審核員將進行現場審核，以檢查公司中的所有活動是否符合ISO 27001和ISMS文檔。

與信息安全相關的其他標準

ISO / IEC 27002提供了實施ISO 27001中列出的控件的準則。ISO27001指定了114個可用于降低安全風險的控件，而ISO 27002則非常有用，因為它提供了有關如何實現這些控件的詳細信息。ISO 27002以前稱為ISO / IEC 17799，從英國標準BS 7799-1衍生而來。

ISO / IEC 27004提供了衡量信息安全性的指南-它與ISO 27001非常吻合，因為它說明了如何確定ISMS是否已實現其目標。

ISO / IEC 27005提供了信息安全風險管理指南。這是對ISO 27001的很好補充，因為它提供了有關如何執行風險評估和風險處理的詳細信息，這可能是實施過程中最困難的階段。ISO 27005源自英國標準BS 7799-3。

ISO 22301定義了業務連續性管理系統的要求–它非常適合ISO 27001，因為ISO 27001的A.17要求實現業務連續性；但是，它沒有提供太多細節。

ISO 9001定義了質量管理體系的要求。盡管乍一看，質量管理和信息安全管理并沒有太多共通之處，但事實是，ISO 27001和ISO 9001要求中約25％是相同的：文檔控制，內部審核，管理評審，糾正措施，設定目標和管理能力。這意味著，如果公司已實施ISO 9001，則實施ISO 27001的工作將容易得多。

免費ISO 27001差距分析工具

不管您是剛剛起步,還是接近完成，我們的免費分析工具可以幫助您找出您已經實施了ISO 27001的哪些部分。I具采取簡單的問答形式，為您直觀分析哪些信息安全管理體系的

特定要素已經實施，哪些尚待完成。您可關注微信公眾號,在主頁輸入”27001差距分析”獲取您可關注微信公眾號，在主頁輸入”27001差距分析”獲取

更多關于ISO27001的信息

想要了解更多？歡迎按頁面左面聯系我們，獲取進一步的詳細信息