ISO 27001

由于各种原因, 越来越多的美国机构考虑ISO认证,以向客户和商业伙伴展示他们的信息安全智慧. 在大多数情况下, 这些组织已经获得了一个或多个认证和/或认证,他们只是想进一步加强他们的组织认证,并满足任何询问的第三方. 虽然值得称赞, 如果认为ISO只是现有策略所针对的另一个安全框架,那么这种努力可能会受到阻碍, 程序, 并且可以应用控制. 简单的事实是,如果你认为在其他法规遵循方面的成功提供了ISO认证的一些保证, 那你得再想想了.

任何考虑ISO认证的组织, LBMC在这里回答常见问题, 消除常见的神话, 和, 最重要的是, 为读者提供有价值的信息,开启成功的ISO认证之旅.

什么是ISO 27001?

国际标准组织是一个独立的机构,其目标是为任何组织发布标准, 无论行业, 遵循. 正如他们网站上所定义的那样,标准是“描述做某事的最佳方式的公式”.“这些标准包括质量和环境管理标准, 健康和安全标准, 食品安全标准及, 当然, 信息安全标准. 标准以编号系列发布,每个系列包含多个单独的文档,这些文档与主题的某些方面有关. 在大多数情况下,每个系列中的“01”文档,e.g. 9001、14001、27001是组织认证的标准. 本系列中的所有其他文件都是认证标准的支持性文件.

ISO 27000系列是为信息安全管理系统建立的系列.  管理系统就是政策, 程序, 以及用于保密的资源, 完整性, 以及信息的可用性. 27001年的标准, ISO / IEC 27001:2013 在撰写时,是组织可以被认证的标准. 该ISO认证向相关方展示了一个组织致力于有效管理关键信息系统的风险和安全.

顺便说一下, IEC 在文档标题中指的是 国际电工委员会它是一个类似的标准组织,致力于制定涉及技术活动的ISO标准.

为什么ISO 27001很重要?

而总部位于美国的组织则受制于指导网络安全和合规工作的许多行业和监管框架, ISO 27001实际上是美国以外的信息安全标准. 为组织从事客户和其他业务关系在美国以外, ISO认证通常被期望证明一个组织对有效的风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构,以确保其持续有效. 必须证明这种有效性才能获得和保持认证. ISO不是一个“复选框安全”框架.

组织经常利用为ISO认证而建立的信息安全管理系统来管理其他合规活动,如SOC, 一种总线标准, 和HITRUST. 例如, 他们正在进行年度ISO内部审计, 他们利用这个机会来验证控制是否仍然满足其他遵从性标准的要求. 然后, 作为ISO认证管理评审计划的一部分, 他们利用这个机会来审查他们的其他法规遵循计划,以确定范围中的变更, 风险或威胁情况的变化, 以及任何相关的内部审计发现. 为安全经理寻求上级管理的批准,以追求ISO认证, 这是一个有效的工具来证明建立和维护ISO遵从计划所需的资源.

ISO 27001的要求是什么?

ISO标准文件遵循一种通用的格式,将内容分成有编号的子句. 子句定义给定标准的范围, 提供其他支持或依赖标准的参考, 定义标准中使用的术语和定义, 并建立标准的要求或期望. 标准通常包括提供支持指导方针的附件或附录,要求和期望包含在前面的条款.

ISO 27001标准由26个条款和114项控制要求组成. 这些条款建立了信息安全管理系统(ISMS)的基本要素,组织必须具备该系统以管理风险和安全信息. 这些要求是ISO 27001标准所独有的. 与其他信息安全合规框架不同, 这些条款为ISMS的持续指导和监督建立了要求. 其中包括组织风险评估等活动 治疗分析,ISMS定期执行管理评审,每年一次 内部 ISMS的审计,以及对安全控制有效性的持续监视和测量.

标准的第二部分,标题 附件一个,包含ISO 27001的控制要求. 对于信息安全从业人员来说,控制需求将更加熟悉,因为它们是组织用来处理安全风险和威胁的战术需求. 其中包括访问和身份验证, 日志记录, 加密, 事件响应, 以及组织作为其各种安全性和遵从性计划的一部分实现的其他控制类别. 与一些网络安全框架不同,ISO的控制要求不是规范性的. 换句话说, ISO 27001没有建立最低密码设置, 日志保留时间, 或密码密钥长度.  相反,ISO建立了必须的控制 被认为是 组织. 然后组织确定哪些控制适用于环境,并充分处理已识别的风险. 审计师的作用, 因此, 是确定控制是否按照定义实施,以及控制是否充分解决实施控制所面临的风险.

ISO 27001是法律规定吗? ISO 27001本身不是法律要求. 组织可能, 然而, 建立获得和/或维护ISO 27001认证的合同义务,作为他们业务关系的一部分. 组织可以利用和/或接受ISO 27001认证作为证明遵守行业和法规信息安全要求的手段.

ISO 27001关注哪三个方面的信息?

而组织的ISMS解决了组织硬件的多个方面的安全问题, 软件, 和数据资产, ISO 27001标准关注的是保密性, 完整性, 以及信息的可用性.

  1. 机密性是保护信息免受未经授权的访问.
  2. 完整性是保护信息免受未经授权的修改.
  3. 可用性是保证信息在需要时可以访问.

获得ISO 27001认证的最终结果是组织向其客户保证, 业务合作伙伴, 以及其他相关方,该组织负责的信息被泄露的风险最小.

现行的ISO 27001标准是什么?

ISO / IEC 27001:2013是27000系列信息安全管理系统的众多标准和支持文件之一. 在27000系列中有一些相关的指导方针和支持文件, 27001目前是该系列中唯一的标准,一个组织可以根据该标准进行认证.

 

你是如何获得ISO 27001认证的?

组织必须由独立的第三方审计. 任何审核员都可以颁发证书,但建议聘请 认证 ISO 27001认证机构进行审核. 经认可的认证机构本身须定期接受独立审核,以确认其信誉良好, 主管, 和值得信赖. 这为组织提供了保证, 以及任何相关方, 审计已经进行, 并颁发符合所有相关ISO标准的证书.

成功通过ISO 27001认证审核, 一个组织必须证明他们的ISMS是被充分实施和有效的. 要做到这一点, 组织需要已实施ISO 27001条款和附件A中规定的所有要求. 为了证明这种有效性, ISO审核员通常会寻找PDCA(计划-执行-检查-行动)周期的完整迭代. 对于具有ISMS组件和控制的成熟组织来说, 这可能只需要4到6个月的时间来准备初始认证. 为他人, 可能需要至少一年的时间来建立ISMS和相关控制,为其初始认证审核做好准备.

因为需要为初始审计做大量的准备工作, 许多组织聘请第三方来帮助建立他们的ISMS. 当组织实施他们的ISMS时,第三方可以简单地监督并提供指导, 或者他们可能会完全或部分地参与到工作中. 不管他们参与了多少, 提供实施援助的第三方不应和, 根据一些认证机构的要求, 不能同时进行组织的认证审核. 这有助于避免实现和审计实体之间的利益冲突.

LBMC如何提供帮助?

ISO 27001认证可能是一个重大的任务,但是, 取决于组织的业务和遵从性义务, 能证明是值得努力的吗. 而不是仅仅追求复选框的遵从性, ISO要求组织建立健全的信息安全管理系统. 它不仅能够实现规定的遵从性目标,而且能够支持组织的整个安全性和遵从性计划. 通过建立一个ISMS,不仅保护组织免受威胁,而且提供一个强有力的管理支持系统,确保持续的有效性, 你不必认为你已经准备好获得认证了, 你就会知道!

ISO / IEC 27001:2013实施援助

ISO / IEC 27001:2013规定了维护组织的信息安全管理系统(ISMS)的要求. 这些要求包括建立, 实现, 监控, 审查, 维护, 完善信息安全控制结构. 这允许组织以系统和预测性的方式评估其安全风险.

LBMC信息安全将与agapp客户一起帮助他们准备ISO / IEC 27001:2013认证. 要做到这一点, 我们将首先进行一个工作坊式的会议,其中可能包括有限的技术测试, 识别和验证ISMS的技术边界. 下一个, 我们将审查相关文件,并对执行任务的关键人员进行面谈, 管理, 或监督ISMS的IT运营和安全功能. 最后, 我们为建立和执行所需的ISMS组件以及ISO / IEC 27001:2013中规定的控制提供分步指导,以确保ISMS为成功的初始认证审核做好准备.

对ISO 27001有问题吗? LBMC可以帮助您遵循ISO. 联系 我们现在.

链接到Mark ISO 27001评估

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到布莱恩 ISO 27001评估

布莱恩 威利斯

信息安全高级经理

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔