ISO 27001

由于各种原因, 越来越多的美国组织正在考虑ISO认证,以向客户和业务伙伴展示他们的信息安全敏锐. 在大多数情况下, 这些组织已经获得了一个或多个认证和/或认证,只是希望进一步加强他们的组织证书和满足任何询问的第三方. 虽然值得称赞, 如果认为ISO只是现有政策所依据的另一个安全框架,就会阻碍这项工作, 程序, 并且可以应用控件. 一个简单的事实是,如果您认为在其他法规遵循方面的成功提供了ISO认证的一些保证, 那你得再想想.

适用于任何考虑ISO认证的组织, LBMC在这里回答常见问题, 消除常见的神话, 和, 最重要的是, 为读者提供有价值的信息,开启成功的ISO认证之旅.

什么是ISO 27001?

国际标准组织是一个独立的机构,其目标是为任何组织出版标准, 无论行业, 遵循. 正如他们网站上的定义,标准是“描述做某事的最佳方式的公式”.“这些标准包括质量和环境管理标准, 健康和安全标准, 食物安全标准及, 当然, 信息安全标准. 标准以编号系列发布,每个系列包含多个单独的文档,这些文档与主题的某些方面有关. 在大多数情况下,每个系列中的“01”文档,e.g. 9001, 14001, 27001,是组织可以认证的标准. 本系列中的所有其他文件都是认证标准的支持文件.

iso27000系列是资讯保安管理系统的既定系列.  管理系统就是政策, 程序, 以及为保密而实施的资源, 完整性, 信息的可获得性. 27001年的标准, ISO / IEC 27001:2013 在撰写本文时,是组织可以根据的标准. 该ISO认证向相关方展示了一个组织致力于有效管理关键信息系统的风险和安全.

顺便说一下, IEC 在文档标题中指的是 国际电工委员会,一个类似的标准组织,为涉及技术活动的ISO标准作出贡献.

为什么ISO 27001很重要?

而总部位于美国的组织则受制于指导网络安全和合规工作的许多行业和监管框架, iso27001实际上是美国以外的信息安全标准. 适用于与美国以外的客户和其他业务关系打交道的组织, ISO认证通常被期望证明一个组织对有效的风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构,以确保其持续有效. 必须证明这种有效性以获得并保持认证. ISO不是一个“复选框安全”框架.

组织经常利用为ISO认证而建立的信息安全管理系统来管理其他合规举措,如SOC, 一种总线标准, 和HITRUST. 例如, 同时进行ISO年度内部审核, 他们利用这个机会来验证控制是否仍然满足其他法规遵循标准的要求. 然后, 作为ISO认证管理评审程序的一部分, 他们利用这个机会来审查他们的其他法规遵循计划,以确定范围中的变更, 风险或威胁状况的变化, 以及任何相关的内部审计发现. 为安全经理寻求上层管理的批准,以追求ISO认证, 这是一个有效的工具来证明建立和维护ISO符合性计划所需的资源.

ISO 27001的要求是什么?

ISO标准文件遵循一种通用的格式,将内容分为有编号的条款. 子句定义给定标准的范围, 提供其他支持或依赖标准的参考, 定义标准中使用的术语和定义, 并建立标准的要求或期望. 标准通常包括附件或附录,为前面条款中所包含的要求和期望提供支持指南.

ISO 27001标准由26个条款和114个控制要求组成. 这些条款建立了信息安全管理体系(ISMS)的基本要素,组织必须具备这些要素来管理风险和确保信息安全. 这些要求是ISO 27001标准所独有的. 与其他信息安全遵从框架不同, 这些条款为ISMS的持续指导和监督确立了要求. 这些包括组织风险评估等活动 治疗分析,定期的ISMS执行管理评审,每年一次 内部 对ISMS进行审核,并持续监控和测量安全控制的有效性.

标准的后半部分,标题为 附件一个,由ISO 27001控制要求组成. 控制需求对于信息安全从业者来说将更加熟悉,因为它们是组织用来处理安全风险和威胁的战术需求. 这包括访问和身份验证, 日志记录, 加密, 事件响应, 以及组织作为其各种安全和法规遵循计划的一部分实现的其他控制类别. 与一些网络安全框架不同,ISO控制要求不是规定的. 换句话说, ISO 27001没有设定最低密码设置, 日志保留时间, 或密码密钥长度.  相反,ISO建立了必须的控制 被认为是 组织. 然后,组织确定哪些控制适用于环境,并充分处理已识别的风险. 审计师的作用, 因此, 是确定控制是否按照定义实施,以及它们是否充分地解决了实施时所面临的风险.

ISO 27001是法律要求吗? ISO 27001本身并不是一个法律要求. 组织可能, 然而, 建立获得和/或保持ISO 27001认证的合同义务,作为其业务关系的一部分. ISO 27001认证可以被组织利用和/或接受,作为一种手段来证明对行业和法规信息安全要求的遵守.

ISO 27001关注哪三个方面的信息?

而组织的ISMS解决了组织硬件的多个方面的安全问题, 软件, 和数据资产, ISO 27001标准关注的是保密性, 完整性, 信息的可获得性.

  1. 机密性是指保护信息不受未经授权的访问.
  2. 完整性是指保护信息不受未经授权的修改.
  3. 可用性是保证信息可以根据需要访问.

实现ISO 27001认证的最终结果是组织向其客户保证, 业务合作伙伴, 以及其他利益相关方,即该组织负责的信息被泄露的风险是最小的.

目前的ISO 27001标准是什么?

ISO / IEC 27001:2013是27000系列信息安全管理系统的众多标准和支持文件之一. 在27000系列中有一些相关的指导方针和支持文件, 27001是目前该系列中唯一可以认证组织的标准.

 

如何通过ISO 27001认证?

组织必须由独立的第三方审计. 任何审核员都可以颁发证书,但建议聘请 认证 ISO 27001认证机构进行审核. 获认可的认证机构本身须定期接受独立审核,以确认其信誉良好, 主管, 和值得信赖. 这为组织提供了保证, 以及任何相关方, 审计已经进行了, 并颁发符合所有相关ISO标准的证书.

成功通过ISO 27001初步认证审核, 一个组织必须证明其ISMS是全面实施和有效的. 要做到这一点, 组织将需要实施ISO 27001条款和附件A控制中建立的所有要求. 为了证明这种有效性, ISO审核员通常会寻找PDCA(计划-执行-检查-行动)循环的完整迭代. 对于已经建立了ISMS组件和控制的成熟组织, 这可能只需要4到6个月的时间来准备初步认证. 为他人, 至少需要一年的时间来建立ISMS和相关控制,以便为首次认证审核做好准备.

由于准备初步审核需要作出重大努力, 许多组织聘请第三方来协助建立其ISMS. 当组织实施其ISMS时,第三方可能只是监督和提供指导, 或者他们可能会完全或部分地参与到这项努力中来. 无论他们是如何参与到工作中, 提供执行援助的第三方不应, 按照某些债权人的要求, 也不能进行组织的认证审核. 这有助于避免实现和审计实体之间的利益冲突.

LBMC如何提供帮助?

ISO 27001认证是一项重要的工作,但是, 这取决于组织的业务和遵从义务, 能证明这些努力是值得的吗. 而不仅仅是遵循复选框, ISO要求组织建立健全的信息安全管理体系. 它不仅能达到规定的法规遵循目标,还能加强组织的整个安全和法规遵循计划. 通过建立ISMS,不仅能保护组织免受威胁,还能提供强有力的管理支持体系,确保持续的有效性, 你不必认为自己已经准备好接受认证了, 你就会知道!

ISO / IEC 27001:2013实施援助

ISO / IEC 27001:2013规定了维护组织信息安全管理系统(ISMS)的要求. 这些要求包括建立, 实现, 监控, 审查, 维护, 信息安全控制结构的完善. 这允许组织以系统的和预测性的方式评估其安全风险.

LBMC 信息安全将与agapp客户合作,帮助他们准备ISO / IEC 27001:2013认证. 要做到这一点, 我们将首先进行一个讲习班式的会议,其中可能包括有限的技术测试, 识别和确认ISMS的技术边界. 下一个, 我们将审查相关文件,并对执行绩效的关键人员进行面谈, 管理, 或监督ISMS的IT运营和安全功能. 最后, 我们提供逐步建立和执行所需的ISMS组件以及ISO / IEC 27001:2013中规定的控制的指导,以确保ISMS为成功的初始认证审核做好准备.

对ISO 27001有疑问吗? LBMC可以帮助您遵从ISO. 联系 我们现在.

链接到标志ISO 27001评估

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到布莱恩 ISO 27001评估

布莱恩 威利斯

高级信息安全经理

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔