ISO 27001返回 Back
 

ISO / IEC 27001 - 信息技术 - 安全技术 - 信息安全管理系统ISMS - 标准

Responsive image
Test item 测试名称:
ISO 27001信息安全管理系统

       ISO 27001信息安全管理系统其中的一个标准。该标准最初由国际标准化组织(ISO)和国际电工委员会(IEC)于2005年联合发布,在2013年进行了修订。它详细说明了建立,实施,维护和持续改进信息安全管理系统(ISMS)的要求,其目的是帮助组织使他们持有的信息资产更加安全。该标准的欧洲更新于2017年发布。符合标准要求的组织可以选择在成功完成审核后获得认可的认证机构的认证。ISO / IEC 27001认证过程和整体标准的有效性已在2020年进行的一项大规模研究中得到解决。


什么是信息安全管理系统ISMS

ISMS代表信息安全管理系统,是一组文档,包括共同实施有效风险管理流程的政策、流程、程序和控制。

在构建您的 ISMS 时,您有责任确保您采用的控制、政策和程序(更多内容见下文)帮助您实现以下信息安全目标:

机密性:确保只有经过授权的个人才能访问数据。

完整性:数据始终完整且准确。

可用性:授权个人可以轻松访问数据。


ISO / IEC 27001的组成

       ISO 2700110个部分(在ISO 27001术语中称为条款)和一个附件组成。ISO 27001前三个条款本质上是介绍性的,并作为流程本身的概述,但条款4 - 10更具战略性,为确保整个业务提供了指导方针。每个条款都包含一组旨在改善贵公司安全状况的准则 我们在下面概述了这些准则:

4 条:组织的背景

通过概述和记录您的组织结构、合同关系以及经营业务的方式来建立 ISMS 的上下文。

5 条:领导

定义管理您的组织的政策,列出致力于整合 ISMS 的团队成员的角色和职责,确保团队拥有必要的资源,并进行定期审查。

6 条:计划

在规划公司的长期目标和即将开展的工作时,考虑到安全性和风险至关重要。本节中的指导方针围绕着这样做的过程。

7 条:支持

确保在构建 ISMS 时创建、收集和维护适当的支持证据。

8 条:操作

围绕信息安全开发、实施和控制流程。

9 条:绩效评估

建立流程以确保您的 ISMS 得到持续监控和评估。

10 条:改进

确保一旦评估绩效,其中的差距都得到解决。

Responsive image

       除了这些条款之外,ISO 27001 还包括一个单独的附件,标题为附件 A该附件包含 114 项控制措施,分为 14 类,在旨在符合标准时应予以考虑。 在为 ISO 27001 创建自己的控制集时,可以将附件 A 中定义的安全目标和控制用作基线。但是,附件 A 中包含的控制目标和控制列表并不详尽,可能不适用于您的环境因此,也可以从头开始创建或从其他框架中选择其他安全目标和控制。 当附件 A 控制未实施时,必须将其排除的理由记录在案并提交给审核员。


与基本条款类似,附录的前几节是介绍性的,随后是编号为附件 A.5 – 附件 A.18 的部分中的控制集。 以下是这些类别的简要概述:

附件 A.5:信息安全政策

表明您制定的政策符合整个组织的实践。

附件 A.6:信息安全组织

表明您的组织有一个框架来实施和维护本地和远程设备的信息安全实践。

附件 A.7:人力资源安全

表明您的组织有正确的程序来帮助员工和承包商了解他们保护敏感数据的义务。数据在受雇期间以及离开组织或转换角色后都应受到保护。

附件 A.8:资产管理

表明您能够识别和分类信息资产,并且您已采取措施保护数据免遭未经授权的披露、修改、删除或破坏。

附件 A.9:访问控制

表明您已经制定并遵守有关谁可以访问组织内外的信息和系统的程序。

附件 A.10:密码学

表明已采取措施保护您拥有的数据的机密性、完整性和可用性。

附件 A.11:物理和环境安全

证明您已采取必要措施来保护数据,无论是存储在本地、外部、软件中还是物理文件中。

附件 A.12:运行安全

如果您与供应商合作处理信息,请表明与这些组织共享的数据受到保护和安全。

附件 A.13:通信安全

表明您正在保护您的网络并保护通过它们传输的信息。

附件 A.14:系统获取、开发和维护

表明在购买新系统或升级现有系统时,数据安全是一个考虑因素。

附件 A.15:供应商关系

表明与您合作的供应商正在保护与他们共享的数据。

附件 A.16:信息安全事件管理

表明您已实施机制来管理和报告任何安全事件,并及时解决任何问题。

附件 A.17:业务连续性管理的信息安全方面

表明在中断的情况下,业务可以继续并且信息系统将可用。

附件 A.18:合规性

表明您能够履行法律义务,并有计划减轻任何法律、法定、监管或合同违规行为。


ISO 27001认证费用

        实际上,当您考虑审计公司的成本以及包括生产力、员工培训和满足特定要求所需的资源在内的内部成本时,ISO 27001 的成本可能在 30,000 美元到 100,000 美元之间。


珩渥检测,我们希望使准备和审计过程既实惠又简单。我们将成本分解为两个方面:

合规自动化平台通过自动化大部分流程,珩渥检测等平台可帮助您降低和更好地管理内部成本。我们开发了一个透明且直接的定价结构,让您更轻松地管理计划的总体成本

审计员:我们与多家审计公司建立了牢固的关系。这不仅意味着他们在平台上接受过培训并知道如何评估您的业务,而且他们还能够通过珩渥检测的推荐传递折扣。


ISO 27001认证时间

       鉴于 ISO 27001 结构复杂,可能需要数月甚至一年的时间,才能将所有必要的控制、政策和程序落实到位,从而满足所有要求。如果您决定申请ISO 27001认证,我们的建议是尽早启动此过程。


除了几个月的准备工作外,审核员还可能要花费 6 12 个月的时间来检查您的 ISMS,具体取决于您的组织规模和 ISMS 的复杂性。


ISO 27001 的审核流程分为两个不同的阶段

第一阶段:

在第阶段,审核员通常在现场审核 ISMS,以确定是否满足强制性要求,以及管理体系是否足以进入第 2 阶段。此初步审核主要集中在验证您的 ISMS 是否符合适当设计——文件化的过程是否存在、是否有效并符合标准要求。 审核员还将评估您对标准的理解,并讨论第二阶段的计划。理想情况下,第一阶段应在第二阶段之前最多两到四个星期进行,以便管理体系在两个阶段之间不会发生实质性变化。


第二阶段:

在第二阶段,审核员将更彻底地评估您的 ISMS,并评估其实施是否有效满足 ISO 27001 要求。


为了满足审核员的需求,文档必须完整且准确。必须识别和验证文档中信息的来源,必须完整地编写文档内容,并且文档必须易于访问和检索以用于审计目的。


在这段漫长的旅程结束时,一旦审核员审查了您的工作并确定您的控制、政策和程序满足所有要求,并且在您实施了纠正措施以解决审核员在第 1 阶段和第 2 阶段提出的调查结果之后,您的审核员会给你他们的批准印章。现在可以推荐您进行认证。


最后,您的 ISMS 文件将由独立且经过认证的机构进行审核,当审核通过后您就可以拿到ISO 27001证书


ISO 27001 证书的有效期为三年,在合规领域中是相对较长的。然而,ISO 27001 提出了额外的持续改进要求。为了保持您的认证,您必须每年进行监督审核,以确保您不断改进并遵守您的信息安全协议。


Lead time 测试周期: Regular 常规 30-40 working days
 
On site audit 工厂审核
 
Others 其他:

Photo for reference 涉及图片:


Responsive image


Sample Report 报告参考:

Responsive image

Responsive image


Responsive imageResponsive imageResponsive imageResponsive imageResponsive imageResponsive image