ISO 27001

由于各种原因, ISO认证正越来越多地被美国组织考虑,以向客户和商业伙伴展示他们的信息安全洞察力. 在大多数情况下, 这些组织已经获得了一个或多个认证和/或认证,并只是希望进一步加强他们的组织证书和满足任何询问的第三方. 虽然值得称赞, 如果认为ISO只是现有政策的另一个安全框架,那么这种努力就会受到阻碍, 程序, 可以应用控件. 简单的事实是,如果您认为在其他遵从性方面的成功提供了一些ISO认证的保证, 那你得再想想.

适用于任何考虑ISO认证的组织, LBMC在这里回答常见问题, 消除常见的神话, 和, 最重要的是, 为读者提供有价值的资讯,开启成功的ISO认证之旅.

什么是ISO 27001?

国际标准组织是一个独立的组织,其目标是为任何组织发布标准, 无论行业, 遵循. 正如他们在网站上所定义的那样,标准是“描述做某事的最佳方式的公式”.“这些标准包括质量和环境管理标准, 健康和安全标准, 食物安全标准及, 当然, 信息安全标准. 标准以编号的系列发布,每个系列包含多个单独的文档,这些文档与主题的某个方面有关. 在大多数情况下,“01”文件在每个系列,e.g. 9001, 14001, 27001,是组织可以通过认证的标准. 本系列中的所有其他文件都是认证标准的辅助文件.

ISO 27000系列是为资讯保安管理系统而建立的系列.  管理系统就是策略, 程序, 以及保护机密的资源, 完整性, 以及信息的可用性. 27001年的标准, ISO / IEC 27001:2013 在撰写本文时,是认证组织所依据的标准. 这个ISO认证向有兴趣的各方展示了一个组织在有效管理风险和关键信息系统安全方面的奉献精神.

顺便说一下, IEC 文档中的标题指的是 国际电工委员会,一个类似的标准组织,为涉及技术活动的ISO标准作出贡献.

为什么ISO 27001很重要?

而总部位于美国的组织则受制于一系列行业和监管框架,这些框架指导着网络安全和合规工作, ISO 27001实际上是美国以外的信息安全标准. 适用于与美国以外的客户和其他商业关系合作的组织, ISO认证通常被认为是一个组织对有效的风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构,确保其持续有效. 这种有效性必须证明以获得和保持认证. ISO不是一个“复选框安全”框架.

组织经常利用为ISO认证而建立的信息安全管理系统来管理其他合规计划,如SOC, 一种总线标准, 和HITRUST. 例如, 他们正在进行年度ISO内部审计, 他们利用这个机会来验证控制是否仍然满足其他遵从性标准的要求. 然后, 作为ISO认证管理评审计划的一部分, 他们利用这个机会来评审他们的其他法规遵循程序,以确定范围中的变更, 风险或威胁状况的变化, 以及任何相关的内部审计结果. 适用于寻求上层管理批准以获得ISO认证的安全经理, 这是一个有效的工具来证明建立和维护ISO合规程序所需的资源.

ISO 27001的要求是什么?

ISO标准文件遵循一种通用的格式,内容被分成有编号的子句. 子句定义了给定标准的范围, 提供对其他支持或依赖标准的引用, 定义标准中使用的术语和定义, 并建立标准的要求或期望. 标准通常包括附件或附录,为前面条款中包含的要求和期望提供支持指南.

ISO 27001标准由26个条款和114个控制要求组成. 这些条款建立了组织必须具备的信息安全管理系统(ISMS)的基本要素,以管理风险和安全信息. 这些要求是ISO 27001标准所独有的. 与其他信息安全遵从性框架不同, 这些条款确立了对ISMS进行持续指导和监督的要求. 这些活动包括组织风险评估 处理分析,定期的ISMS执行管理回顾,每年一次 内部 对ISMS的审计,以及对安全控制有效性的持续监控和测量.

标准的第二部分,标题为 附件一个,包括ISO 27001的控制要求. 信息安全从业人员对控制需求更为熟悉,因为它们是组织用来处理安全风险和威胁的战术需求. 这包括访问和身份验证, 日志记录, 加密, 事件响应, 以及组织作为其各种安全性和遵从性计划的一部分实现的其他控制类别. 与一些网络安全框架不同,ISO控制要求不是规范性的. 换句话说, ISO 27001没有建立最低密码设置, 日志保留时间, 或密码密钥长度.  相反,ISO建立了必须的控制 被认为是 组织. 然后,组织确定哪些控制适用于环境,以及如何充分处理已识别的风险. 审计师的作用, 因此, 是否确定控制是否按照定义的方式实施,以及控制是否充分解决了实施控制的风险.

ISO 27001是法律要求吗? ISO 27001本身并不是法律要求. 组织可能, 然而, 建立获得和/或维持ISO 27001认证的合同义务,作为业务关系的一部分. ISO 27001认证可以被组织利用和/或接受,作为一种证明遵守行业和法规信息安全要求的手段.

ISO 27001侧重哪三个方面的信息?

而一个组织的ISMS解决了该组织硬件的多个方面的安全问题, 软件, 和数据资产, ISO 27001标准注重保密性, 完整性, 以及信息的可用性.

  1. 机密性是保护信息不受未经授权的访问.
  2. 完整性是保护信息不受未经授权的修改.
  3. 可用性是信息在需要时可被访问的保证.

获得ISO 27001认证的最终结果是一个组织保证了它的客户, 业务合作伙伴, 该组织负责的信息对其他利益相关方来说,被泄露的风险是最小的.

什么是现行的ISO 27001标准?

ISO / IEC 27001:2013是信息安全管理系统27000系列的众多标准和支持文件之一. 在27000系列中有几个相关的指导方针和支持文件, 27001是目前该系列中唯一一个组织可以通过认证的标准.

 

如何获得ISO 27001认证?

组织必须由独立的第三方审计. 任何审核员都可以颁发证书,但建议使用 认证 ISO 27001认证机构进行审核. 认可核证机构本身须定期接受独立审核,以确认其信誉良好, 主管, 和值得信赖. 这为组织提供了保证, 任何有兴趣的团体, 进行了审计, 及根据所有相关的ISO标准发出的证书.

成功通过ISO 27001初始认证审核, 一个组织必须证明他们的ISMS得到了充分的实施并且是有效的. 要做到这一点, 组织将需要实施ISO 27001条款和附件A控制中建立的所有要求. 为了证明这种有效性, ISO审核员通常会寻找完整的PDCA(计划-做-检查-行动)循环. 对于已经建立了ISMS组件和控制的成熟组织来说, 这可能只需4到6个月的时间来准备初步认证. 为他人, 至少需要一年的时间来建立ISMS和相关的控制,为其初始认证审核做好准备.

由于初始审计需要大量的准备工作, 许多组织会聘请第三方来协助建立他们的ISMS. 第三方可能只是在组织实施其ISMS时进行监督和指导, 或者他们可能会完全或部分地参与到这项工作中. 不管他们有多努力, 提供执行援助的第三方不应和, 根据一些认可人的意见, 也不能进行组织的认证审核. 这有助于避免实现和审计实体之间的利益冲突.

LBMC如何提供帮助?

ISO 27001认证可能是一个重要的任务,但, 取决于组织的业务和遵从性义务, 这样的努力值得吗. 而不仅仅是遵循复选框, ISO要求组织建立健全的信息安全管理系统. 它不仅可以实现声明的遵从性目标,而且可以支持组织的整个安全性和遵从性计划. 通过建立ISMS,不仅可以保护组织免受威胁,而且提供了一个强有力的管理支持系统,以确保持续有效, 您不必认为自己已经准备好获得认证, 你就会知道!

ISO / IEC 27001:2013实施援助

ISO / IEC 27001:2013规定了组织信息安全管理系统(ISMS)的维护要求。. 这些要求包括设施, 实现, 监控, 审查, 维护, 以及信息安全控制结构的改进. 这允许组织以系统和可预测的方式评估其安全风险.

LBMC信息安全将与明升体育app下载客户一起帮助他们准备ISO / IEC 27001:2013认证. 要做到这一点, 我们将首先进行一个研讨会式的会议,其中可能包括有限的技术测试, 识别和验证ISMS的技术边界. 下一个, 我们将审查相关文件,并对执行任务的关键人员进行面谈, 管理, 或监督ISMS的IT运营和安全功能. 最后, 我们为建立和执行ISO / IEC 27001:2013中规定的所需的ISMS组件以及控制提供逐步指导,以确保ISMS为成功的初始认证审核做好准备.

对ISO 27001有疑问吗? LBMC可以帮助您的ISO遵从性. 联系 我们现在.

链接到Mark ISO 27001评估

Mark Burnette

Shareholder-in-Charge、信息安全

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔
链接到布莱恩ISO 27001评估

布莱恩 威利斯

资讯保安高级经理

手机图标 电子邮件图标 纳什维尔
手机图标 电子邮件图标 纳什维尔