ISO27001认证体系信息安全要求来源
1.在了解ISO27001认证体系信息安全要求来源前,先要了解企业所面临的信息安全背景和环境,以便更好理解和实施ISO27001认证体系。
所有类型和规模的组织(包含公共和私营部门、商业和非盈利组织)都要采用不同方式(包含电子方式、物理方式、会谈和陈述等口头方式)收集、处理、存储和传输信息。信息的价值超越了文字、数字和图像:无形的信息可能包含知识、概念、观念和品牌等。在互联的世界里,信息和相关过程、系统、网络以及操作、处理和保护的过程中所涉及的人员都是资产,与其它重要的业务资产一样,对组织的业务至关重要,因此必须防护各种危害。因相关过程、系统、网络和人员具有固有的脆弱性,资产易受到故意或意外的威胁。对业务过程和系统的变更或其他外部变更(例如新的法律和规章)可能产生新的信息安全风险。因此,考虑到威胁利用脆弱性损害组织会有大量方式,信息安全风险是一直存在的。有效的信息安全能够通过保护组织免受威胁和脆弱性,从而减少这些风险,进1步降低对组织资产的影响。信息安全是通过实施一组合适的控制措施而达到的,包含策略、过程、规程、组织结构以及软件和硬件功能。在必要时需建立、实施、监视、评审和改进这些控制措施,以确保满足该组织的特定安全和业务目标。为在1个一致的管理体系总体框架下实施一套全面的信息安全控制措施,信息安全管理体系(例如ISO/IEC 27001所指定的)从整体、协调的角度看待组织的信息安全风险。从ISO/IEC 27001和本标准的意义上说,许多信息系统并没有被设计成是安全的。通过技术手段可获得的安全性是有限的,宜通过适当的管理和规程给予支持。明确什么控制措施宜实施到位必须仔细规划并注意细节。成功的信息安全管理体系必须组织所有员工的参与,还要求利益相关者、供应商或其他外部方的参与。外部方的专家建议也是必须的。就通常意义而言,有效的信息安全还能够向管理者和其他利益相关者保证,组织的资产是适当安全的,并能防范损害。因此,信息安全可承担业务使能者的角色。
2.ISO27001认证体系信息安全要求
组织识别出其安全要求是非常重要的,安全要求有3个主要来源:
a) 对组织的风险进行评估,考虑组织的整体业务策略与目标。通过风险评估,识别资产受到的威胁,评价易受威胁利用的脆弱性和威胁发生的可能性,估计潜在的影响;
b) 组织、贸易伙伴、承包方和服务提供者必须满足的法律、法规、规章和合同要求,以及他们的社会文化环境;
c) 组织开发的支持其运行的信息处理、加工、存储、沟通和存档的原则、目标和业务要求的特定集合。
实施控制措施所用资源必须根据缺乏这些控制措施时由安全问题导致的业务损害加以平衡。风险评估的结果将协助指导和明确适当的管理措施、管理信息安全风险以及实现所选择的用以防范这些风险的控制措施的优先级。ISO/IEC 27005提供了信息安全风险管理的指南,包含风险评估、风险处置、风险接受、风险沟通、风险监视和风险评审的建议。
3.选择控制措施以实施ISO27001认证体系
控制措施能够从本标准或其他控制措施集合中选择,或者当合适时设计新的控制措施以满足特定需求。控制措施的选择依赖于组织基于风险接受准则、风险处置选项以及所应用的通用风险管理方法做出的决策,同时还宜遵守所有相关的国家和国际法律法规。控制措施的选择还依赖于控制措施为提供深度防御而相互作用的方式。本标准中的某些控制措施可被当作信息安全管理的指导原则,并且可用于大多数组织。在下面的实施指南中,将更详细的解释这些控制措施。更多的关于选择控制措施和其他风险处置选项的信息见ISO/IEC 27005。