上海ISO27001信息安全管理体系
ISO27001是一种信息安全管理体系(Information Security Management System, ISMS)标准,是世界上广泛应用的、通用及可证明的信息安全管理框架之一,旨在通过采取一系列信息安全管理制度、流程和控制措施,确保组织能够Zui大限度地保护其信息资产和利益。
ISO27001管理体系2022与2013版的区别
ISO/IEC27001:2022版本于2022年10月发布,新版发生了较大的变化,标题也由《信息技术-安全技术-信息安全管理体系要求》改为《信息安全-网络安全-隐私保护-信息安全管理体系要求》,具体改变包括:
1)正文框架的变化
标准正文的框架性要求没有出现较大变化,主要是增加6.3变更计划,对9.2内部审计和9.3管理评审进行了调整,对第10章两个子条款的顺序进行了互换,其他个别条款进行了微调。
2)附录A控制项的核心变化
2022版对附录A中信息安全控制框架结构进行了重新构建,2013版的14个安全控制域合并后总结归纳为人员、物理、技术、组织四大主题,这样的分类更加简单,更加方便组织对安全控制项进行选择归类,以加强信息安全控制措施的实施。
3)新增11个安全控制项
2022版的控制项相比2013版,从114个变为93个,其中新增11个控制项,更新58个控制项,合并24个控制项。
新版增加了11个安全控制项,新增加的控制项主要集中在组织控制和技术控制两个主题:
--组织控制主题中增加了威胁情报、云服务以及业务连续性的控制点。
--技术控制主题主要是增加了关于数据安全、配置管理、信息删除、数据防泄漏、数据屏蔽、监控活动、网站过滤、安全编码等控制点。
4)新增控制措施属性
2022版还有一个重大的变化就是对控制措施增加了5个属性,分别为控制类型、信息安全属性、网络概念、运营能力和安全域。
ISO27001管理体系认证步骤
1)项目前期准备阶段
将实施ISO27001项目的决定、目的、意义、要求在组织内传达这也是体现内部沟通,提高全体员工意识的必要手段。
组织建设,包括任命管理者代表、成立贯标组织机构、各级信息安全管理人员,明确其职责。
2)现场调研诊断
目的:了解组织的现状,寻找与ISO27001标准的差距。
内容:实施调研诊断。
3)人员培训
目的:提升各级领导和全员的信息安全意识,使内审员具备相应能力。
内容:动员会、ISO27001标准培训、信息安全管理体系文件编写培训、培训是落实要求的重要手段。
4)整合体系文件架设计
目的:策划覆盖各个业务流程的系统的文件化程序。
内容:根据现场诊断的结果,梳理所有管理活动流程,根据ISO27001标准要求形成信息安全管理体系文件清单。
5)确定信息安全方针和目标
目的:明确信息安全方针和目标,为信息安全管理体系提供导向。
内容:根据业务要求及组织实际情况,制定安全方针和目标。
6)建立管理组织机构
目的:建立完善的内控组织架构,为整合体系提供支持。
内容:良好的组织架构是确保各项管理活动落实的根本。
7)信息安全风险评估
目的:实施风险评估,识别不可接受风险,明确管理目标。
内容:风险评估是整个风险管理的基础,本阶段将根据前期策划的风险评估方法。
8)ISMS体系文件编写
目的:建立文件化的信息安全管理体系。
内容:根据文件体系策划的结果,编写信息安全管理体系文件。
9)ISMS管理体系记录的设计
目的:设计科学的信息安全管理体系记录,保证各管理流程的可控性和可追溯性。
内容:根据各个管理流程和文件对管理过程的记录要求,设计记录表格格式。
10)ISMS管理体系文件审核
目的:确保ISMS信息安全管理体系文件的系统性、有效性和效率。
内容:对信息安全管理体系文件进行评审。
11)ISMS体系文件发布实施
目的:发布ISMS信息安全管理体系文件,落实管理要求。
内容:由Zui高管理者组织发布管理文件,并提出管理要求。
12)组织全员进行文件学习
目的:确保信息安全管理体系文件要求在各个层级、各个岗位均得到有效的沟通和理解。
内容:培训是提升信息安全意识,明确信息安全要求的有效途径,组织全员参与到体系的运行维护中,发挥每一个员工的重要作用。
13)业务连续性管理
目的:确保在任何情况下,核心业务均可保持提供连续提供服务的能力。
内容:根据标准要求,对重大的灾难性事件发生时所引发的业务中断进行应急响应和灾难恢复的设计。
14)审核培训及内审
目的:实施内部审核,发现信息安全管理体系运行中的不符合,寻找改进的机会。
内容:根据项目计划实施内部审核。
15)管理体系有效性测量
目的:根据量化指标,测量信息安全管理体系的有效性。
内容:制定测量的方法论,根据 ISO27004 指南的内容,进行信息安全管理体系有效性测量。
16)管理评审
目的:将体系运行过程中的成效和问题向管理层汇报,由Zui高管理者提出改进的要求和资源的支持。
内容:根据管理评审流程的要求实施管理评审。
17)认证机构正式审核
目的:由第三方quanwei机构审核信息安全管理体系的有效性。
内容:由认证机构对建立的信息安全管理体系进行进一步的审核验证,发现改进机会。
ISO27001管理体系企业申请条件
1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明;
2、申请方的信息安全管理体系已按ISO/IEC 27001: 2013标准的要求建立,并实施运行3个月以上;
3、至少完成一次内部审核,并进行了管理评审;
4、信息安全管理体系运行期间及建立体系前的一年内未受到主管部门xingzhengchufa。
ISO27001管理体系准备材料
1、组织法律证明文件,如营业执照及年检证明复印件(盖公章);
2、组织机构代码证书复印件、税务登记证复印件(盖公章);
3、申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表,有时间标记的记录等复印件);
4、申请组织的简介:主要包括组织简介(1000字左右);申请组织的主要业务流程;组织机构图或职能表述文件。
5、申请组织的体系文件,需包含但不jinxian于(可以合并):
(1)信息安全管理体系ISMS方针文件;
(2)风险评估程序;
(3)适用性声明;
(4)风险处理程序;
(5)文件控制程序;
(6)记录控制程序;
(7)内部审核程序;
(8)管理评审程序;
(9)纠正措施与预防措施程序;
(10)控制措施有效性的测量程序;
(11)职能角色分配表;
(12)整个体系文件结构与清单。
6、申请组织体系文件与GB/ T22080-2016/ ISO/IEC 27001: 2013要求的文件对照说明;
7、申请组织内部审核和管理评审的证明资料;
8、申请组织记录保密性或敏感性声明;
9、认证机构要求申请组织提交的其他补充资料。
