ISO 27001
由于各种原因, ISO认证正越来越多地被美国组织考虑,以向客户和商业伙伴展示他们的信息安全洞察力. 在大多数情况下, 这些组织已经获得了一个或多个认证和/或认证,并只是希望进一步加强他们的组织证书和满足任何询问的第三方. 虽然值得称赞, 如果认为ISO只是现有政策的另一个安全框架,那么这种努力就会受到阻碍, 程序, 可以应用控件. 简单的事实是,如果您认为在其他遵从性方面的成功提供了一些ISO认证的保证, then you need to think again.
For any organization considering ISO certification, LBMC is here answer common questions, 消除常见的神话, 和, 最重要的是, 为读者提供有价值的资讯,开启成功的ISO认证之旅.
什么是ISO 27001?
国际标准组织是一个独立的组织,其目标是为任何组织发布标准, 无论行业, 遵循. 正如他们在网站上所定义的那样,标准是“描述做某事的最佳方式的公式”.” These include quality 和 environmental management st和ards, 健康和安全标准, 食物安全标准及, 当然, information security st和ards. 标准以编号的系列发布,每个系列包含多个单独的文档,这些文档与主题的某个方面有关. 在大多数情况下, the “01” document in each series, e.g. 9001, 14001, 27001,是组织可以通过认证的标准. 本系列中的所有其他文件都是认证标准的辅助文件.
ISO 27000系列是为资讯保安管理系统而建立的系列. Management systems are the policies, 程序, 和 resources implemented to preserve confidentiality, 完整性, 和 availability of information. 27001年的标准, ISO / IEC 27001:2013 在撰写本文时,是认证组织所依据的标准. 这个ISO认证向有兴趣的各方展示了一个组织在有效管理风险和关键信息系统安全方面的奉献精神.
顺便说一下, IEC in the document title refers to the International Electrotechnical Commission,一个类似的标准组织,为涉及技术活动的ISO标准作出贡献.
为什么ISO 27001很重要?
而总部位于美国的组织则受制于一系列行业和监管框架,这些框架指导着网络安全和合规工作, ISO 27001实际上是美国以外的信息安全标准. 适用于与美国以外的客户和其他商业关系合作的组织, ISO认证通常被认为是一个组织对有效的风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构,确保其持续有效. 这种有效性必须证明以获得和保持认证. ISO is not a “checkbox security” framework.
组织经常利用为ISO认证而建立的信息安全管理系统来管理其他合规计划,如SOC, 一种总线标准, 和HITRUST. 例如, while they are conducting their annual ISO 内部 audit, 他们利用这个机会来验证控制是否仍然满足其他遵从性标准的要求. 然后, as part of the management 审查 program for ISO certification, 他们利用这个机会来评审他们的其他法规遵循程序,以确定范围中的变更, changes in the risk or threat l和scape, 和 any associated 内部 audit findings. 适用于寻求上层管理批准以获得ISO认证的安全经理, 这是一个有效的工具来证明建立和维护ISO合规程序所需的资源.
What are the ISO 27001 requirements?
ISO标准文件遵循一种通用的格式,内容被分成有编号的子句. Clauses define the scope of a given st和ard, provide references to other supporting or dependent st和ards, define terms 和 definitions used in the st和ard, 和 establish requirements or expectations of the st和ard. 标准通常包括附件或附录,为前面条款中包含的要求和期望提供支持指南.
ISO 27001标准由26个条款和114个控制要求组成. 这些条款建立了组织必须具备的信息安全管理系统(ISMS)的基本要素,以管理风险和安全信息. These requirements are unique to the ISO 27001 st和ard. Unlike other information security compliance frameworks, 这些条款确立了对ISMS进行持续指导和监督的要求. These include activities such as organizational risk assessment 和 处理分析,定期的ISMS执行管理回顾,每年一次 内部 对ISMS的审计,以及对安全控制有效性的持续监控和测量.
The second half of the st和ard, titled 附件一个, is comprised of the ISO 27001 control requirements. 信息安全从业人员对控制需求更为熟悉,因为它们是组织用来处理安全风险和威胁的战术需求. These include access 和 authentication, 日志记录, 加密, 事件响应, 以及组织作为其各种安全性和遵从性计划的一部分实现的其他控制类别. 与一些网络安全框架不同,ISO控制要求不是规范性的. 换句话说, ISO 27001 does not establish minimum password settings, 日志保留时间, or cryptographic key lengths. Instead, ISO establishes the controls that must be 被认为是 组织. 然后,组织确定哪些控制适用于环境,以及如何充分处理已识别的风险. 审计师的作用, 因此, 是否确定控制是否按照定义的方式实施,以及控制是否充分解决了实施控制的风险.
Is ISO 27001 a legal requirement? ISO 27001 is not a legal requirement per se. 组织可能, 然而, 建立获得和/或维持ISO 27001认证的合同义务,作为业务关系的一部分. ISO 27001认证可以被组织利用和/或接受,作为一种证明遵守行业和法规信息安全要求的手段.
What three aspects of information does ISO 27001 focus on?
而一个组织的ISMS解决了该组织硬件的多个方面的安全问题, 软件, 和数据资产, the ISO 27001 st和ard is focused on the confidentiality, 完整性, 和 availability of information.
- 机密性是保护信息不受未经授权的访问.
- 完整性是保护信息不受未经授权的修改.
- 可用性是信息在需要时可被访问的保证.
获得ISO 27001认证的最终结果是一个组织保证了它的客户, 业务合作伙伴, 该组织负责的信息对其他利益相关方来说,被泄露的风险是最小的.
What are the current ISO 27001 st和ards?
ISO / IEC 27001:2013是信息安全管理系统27000系列的众多标准和支持文件之一. 在27000系列中有几个相关的指导方针和支持文件, 27001是目前该系列中唯一一个组织可以通过认证的标准.
How do you get ISO 27001 certified?
Organizations must be audited by an independent third party. 任何审核员都可以颁发证书,但建议使用 认证 ISO 27001 Certifying Body to conduct the audit. 认可核证机构本身须定期接受独立审核,以确认其信誉良好, 主管, 和值得信赖. This provides assurance to the organization, 任何有兴趣的团体, 进行了审计, 及根据所有相关的ISO标准发出的证书.
To successfully pass an initial ISO 27001 certification audit, 一个组织必须证明他们的ISMS得到了充分的实施并且是有效的. 要做到这一点, 组织将需要实施ISO 27001条款和附件A控制中建立的所有要求. To demonstrate this effectiveness, ISO审核员通常会寻找完整的PDCA(计划-做-检查-行动)循环. 对于已经建立了ISMS组件和控制的成熟组织来说, 这可能只需4到6个月的时间来准备初步认证. 为他人, 至少需要一年的时间来建立ISMS和相关的控制,为其初始认证审核做好准备.
由于初始审计需要大量的准备工作, 许多组织会聘请第三方来协助建立他们的ISMS. 第三方可能只是在组织实施其ISMS时进行监督和指导, or they may become fully or partially involved in the effort. Regardless of how involved they are in the effort, 提供执行援助的第三方不应和, in accordance with some accreditors, cannot also conduct the organizations’ certification audits. 这有助于避免实现和审计实体之间的利益冲突.
LBMC如何提供帮助?
ISO 27001 certification can be a significant undertaking but, 取决于组织的业务和遵从性义务, can prove to be well worth the effort. Rather than just pursuing checkbox compliance, ISO要求组织建立健全的信息安全管理系统. 它不仅可以实现声明的遵从性目标,而且可以支持组织的整个安全性和遵从性计划. 通过建立ISMS,不仅可以保护组织免受威胁,而且提供了一个强有力的管理支持系统,以确保持续有效, you won’t have to think you’re ready for certification, 你就会知道!
ISO / IEC 27001:2013 Implementation Assistance
ISO / IEC 27001:2013规定了组织信息安全管理系统(ISMS)的维护要求。. These requirements include the establishment, 实现, 监控, 审查, 维护, 和 improvement of the information security control structure. 这允许组织以系统和可预测的方式评估其安全风险.
LBMC信息安全将与明升体育app下载客户一起帮助他们准备ISO / IEC 27001:2013认证. 要做到这一点, 我们将首先进行一个研讨会式的会议,其中可能包括有限的技术测试, to identify 和 validate the technical boundaries of the ISMS. 下一个, 我们将审查相关文件,并对执行任务的关键人员进行面谈, 管理, or oversee IT operations 和 security functions for the ISMS. 最后, 我们为建立和执行ISO / IEC 27001:2013中规定的所需的ISMS组件以及控制提供逐步指导,以确保ISMS为成功的初始认证审核做好准备.
Have questions about ISO 27001? LBMC can help you with your ISO compliance. 联系 我们现在.
