ISO27001常见问题.docx

ISO27001常见问题(内部使用)版本1.0,2008/31.什么是 ISO 27001？ISO/IEC27001:2005的名称是“Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements”，可翻译为“信息技术—安全技术—信息安全管理体系——要求”。ISO27001是信息安全管理体系（ISMS）的规范标准，是为组织机构提供信息安全认证执行的认证标准，其中详细说明了建立、实施和维护信息安全管理体系的要求。它是BS7799-2：2002由国际标准化组织及国际电工委员会转换而来，并于2005年10月15日颁布。2.ISO 27001与其他标准有什么关系？ISO/IEC27001与ISO9001（质量管理体系）和ISO14001（环境管理体系）标准紧密相连。这三个标准中众多的体系元素和原则是互通的，比如采用PDCA（计划、执行、检查、改进）的循环流程。在ISO27001附录C中列举了三个管理体系之间的对应关系，该对应关系使得体系之间的整合与集成扩展成为可能。3.哪些企业适用于ISO 27001标准？ISO/IEC27001:2005标准中明确指出，标准中规定的要求是通用的，适用于所有的组织，无论其类型、规模和业务性质怎样。如果由于组织及其业务性质而导致标准中有不适用之处，可以考虑对要求进行删减，但是务必要保证，这种删减不影响组织为满足由风险评估和适用的法律所确定的安全需求而提供信息安全的能力和责任，否则就不能声称是符合27001:2005标准的。27001:2005标准可以作为评估组织满足客户、组织本身以及法律法规所确定的信息安全要求的能力的依据，无论是自我评估还是独立第三方认证。就目前国内发展来看，最先确定实施ISMS并考虑接受ISO/IEC27001：2005标准认证的组织，其驱动力都比较明显，这种驱动力可以是外部的，也可以是发自内部的。这些组织主要集中在以下几个行业：??半导体行业：尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC产业发展迅猛，大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业鉴于 IP（知识产权）保护的重要性，来自国外客户的明确要求，使得国内芯片制造企业必须在信息安全管理方面做出保证，27001:2005标准证书就是最好的选择。?????软件外包行业：情况与芯片制造企业类似，近年来，承担软件定制开发的很多企业，也面临外部客户明确提出的信息保护的要求。?金融业和保险业：一直以来，金融和保险行业对信息安全的重视都是非常高的，保护客户信息保证业务运转的可靠性和持续性，这都是此行业组织实施ISMS并寻求认证的驱动力。?通讯行业：特别是一些大型的通信设备提供商，由于牵涉到对自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。??制造行业：随着制造企业的信息化进一步加强，制造企业的知识产权、技术秘密、客户资料、生产数据等组织赖以生存的核心信息愈来愈受到来自各方面的威胁，如何保护它们以及确保它们的保密性、完整性、可用性至关重要，因此，信息安全管理体系也是制造企业不可缺少的一部分。??其他行业：只要是牵涉到IP保护的、牵涉到行业规范和法律法规要求的、牵涉到自身发展需求的，组织都会逐渐在信息安全建设上加强力度，就拿美国Sarbanes-Oxley法案（萨班斯法案，简称SOX法案）来说，由于对在SEC注册的上市公司提出了内部控制审核的要求，相关组织必然会在信息安全方面投入关注，因为信息安全控制是企业内部控制必不可少的一个部分。例如：销售公司，数据中心等。4.如何建立 ISO 27001体系？按照ISO/IEC27001:2005“4.2.1建立ISMS”条款的要求，采用PDCA的过程方法，建立ISMS的主要步骤和内容如下：1.确定ISMS的范围和边界并文件化；2.确定ISMS方针并文件化，包括建立信息安全目标框架，建立信息安全活动的总方向和总原则；建立风险评价的准则和定义风险评估的结构3.确定组织的风险评估方法，包括建立风险接受的准则；4.识别要保护的信息资产的风险，包括识别：i.资产及其责任人；ii.资产所面临的威胁；iii.组织的脆弱性；iv.资产保密性、完整性和可用性的丧失造成的影响。5.分析和评价安全风险，形成风险评估报告，包括要保护的重要信息资产清单；6.识别和评价风险处理的可选措施，形成风险处理计划；7.根据风险处理计划，选择风险处理控制目标和控制措施；8.管理者正式批准所有残余风险；9.管理者授权ISMS的实施和运行；10.准备适用性声明。在完成上述步骤和内容后，表明符合ISO/IEC27001:2005标准要求的信息安全管理体系（ISM