ISO 27001

出于各种原因, 越来越多的美国组织正在考虑ISO认证,以向客户和商业伙伴展示他们的信息安全敏锐度. 在大多数情况下, 这些组织已经获得了一个或多个认证和/或认证,只是希望进一步提高他们的组织资格,并满足任何询问的第三方. 虽然值得称赞, 如果认为ISO只是现有策略所针对的另一个安全框架,则可能会阻碍这种努力, 程序, 并且可以应用控件. 简单的事实是,如果您认为其他合规努力的成功提供了ISO认证的一些保证, 那你需要再考虑一下.

适用于任何考虑ISO认证的组织, LBMC在这里回答常见的问题, 破除常见误解, and, 最重要的是, 为读者提供有价值的信息,以启动成功的ISO认证之旅.

什么是ISO 27001?

国际标准组织是一个独立的机构,其目标是为任何组织发布标准, 无论行业如何, to follow. 正如他们在网站上定义的那样,标准是“描述做某事的最佳方式的公式.其中包括质量和环境管理标准, 健康和安全标准, 食物安全标准及, of course, 资讯保安标准. 标准以编号的系列发布,每个系列包含与主题的某些方面相关的多个单独的文档. 在大多数情况下,每个系列中的“01”文档e.g. 9001、14001、27001是组织可以通过认证的标准. 该系列中的所有其他文档都是认证标准的支持文档.

ISO 27000系列是信息安全管理体系的既定系列. 管理制度就是政策, 程序, 以及用于保密的资源, integrity, 以及信息的可用性. 27001标准, ISO / IEC 27001:2013 在撰写本文时,是组织可以通过认证的标准. 该ISO认证向相关方展示了组织对有效管理风险和关键信息系统安全的奉献精神.

顺便说一下, IEC 在文档中,标题指的是 国际电工委员会一个类似的标准组织,为涉及技术活动的ISO标准做出贡献.

为什么ISO 27001很重要?

而总部位于美国的组织则受到许多行业和监管框架的约束,这些框架指导着网络安全和合规工作, ISO 27001是美国以外事实上的信息安全标准. 适用于与美国以外的客户和其他业务关系的组织, 通常期望ISO认证证明组织对有效风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构,以确保其持续有效. 必须证明这种有效性才能获得和保持认证. ISO不是一个“复选框安全性”框架.

组织经常利用为ISO认证建立的信息安全管理系统来管理其他合规性计划,例如SOC, PCI, 和HITRUST. 例如, 同时进行年度ISO内部审核, 他们利用这个机会验证控制是否仍然满足其他遵从性标准的要求. Then, 作为ISO认证管理评审程序的一部分, 他们利用这个机会审查他们的其他合规计划,以确定范围的变化, 风险或威胁环境的变化, 以及任何相关的内部审计结果. 为寻求高层管理批准的安全管理人员寻求ISO认证, 这是一个有效的工具,证明建立和维护ISO合规计划所需的资源是合理的.

ISO 27001的要求是什么?

ISO标准文档遵循一种通用格式,其中内容分为编号子句. 条款规定了给定标准的范围, 提供其他支持或相关标准的参考, 定义标准中使用的术语和定义, 并建立标准的要求或期望. 标准通常包括附件或附录,为上述条款中包含的要求和期望提供支持指南.

ISO 27001标准由26条条款和114项控制要求组成. 这些条款建立了信息安全管理体系(ISMS)的基本要素,组织必须具备这些要素来管理风险和保护信息. 这些要求是ISO 27001标准所独有的. 与其他信息安全遵从性框架不同, 这些条款为ISMS的持续指导和监督建立了要求. 这些包括组织风险评估等活动 and 治疗分析,ISMS定期执行管理评审,每年一次 internal 对ISMS进行审核,并对安全控制的有效性进行持续的监视和度量.

标准的后半部分,标题为 Annex A,由ISO 27001控制要求组成. 控制需求对于信息安全从业者来说更为熟悉,因为它们是组织用来处理安全风险和威胁的战术需求. 这包括访问和身份验证, logging, 加密, 事件响应, 以及组织作为其各种安全性和遵从性计划的一部分实现的其他控制类别. 与某些网络安全框架不同,ISO控制要求不是规定性的. 换句话说, ISO 27001没有建立最低密码设置, 日志保留期, 或加密密钥长度. 相反,ISO建立了必须的控制 被认为是 按组织划分. 然后,组织确定哪些控制措施适用于环境,并充分处理已识别的风险. 审计师的角色, 因此, 是确定控制措施是否按照定义实施,是否充分处理了实施控制措施的风险.

ISO 27001是法律要求吗? ISO 27001本身并不是法律要求. 组织可能, however, 建立获得和/或维护ISO 27001认证的合同义务,作为其业务关系的一部分. ISO 27001认证可以被组织利用和/或接受,作为证明遵守行业和法规信息安全要求的一种手段.

ISO 27001关注哪三个方面的信息?

而组织的ISMS解决了组织硬件的多个方面的安全性, software, 数据资产, ISO 27001标准注重保密性, integrity, 以及信息的可用性.

  1. 机密性是保护信息免受未经授权的访问.
  2. 完整性是保护信息免受未经授权的修改.
  3. 可用性是指信息在需要时可被访问的保证.

获得ISO 27001认证的最终结果是组织向其客户保证, 业务合作伙伴, 和其他利益相关方确保组织负责的信息被泄露的风险最小.

现行的ISO 27001标准是什么?

ISO / IEC 27001:2013是信息安全管理系统27000系列中的众多标准和支持文件之一. 虽然在27000系列中有一些相关的指导方针和支持文档, 27001是目前该系列中唯一一个组织可以通过认证的标准.

 

如何获得ISO 27001认证?

组织必须由独立的第三方进行审计. 任何审核员都可以颁发认证,但建议聘请一名审核员 认证 由ISO 27001认证机构进行审核. 认可核证机构本身须定期接受独立审核,以证实其信誉良好, competent, 和值得信赖. 这为组织提供了保证, 任何有兴趣的人, 审计已经进行了, 并根据所有相关的ISO标准颁发证书.

成功通过ISO 27001初始认证审核, 组织必须证明他们的ISMS是完全实施和有效的. 要做到这一点, 组织将需要实施ISO 27001条款和附件A控制中建立的所有要求. 为了证明这种有效性, ISO审核员通常会寻找PDCA(计划-执行-检查-行动)循环的完整迭代. 对于已经建立了ISMS组件和控制的成熟组织, 这可能只需要四到六个月的时间来准备初始认证. 为他人, 至少需要一年的时间来建立ISMS和相关的控制,为他们的初始认证审核做好准备.

由于准备初步审计需要作出重大努力, 许多组织聘请第三方来协助建立他们的ISMS. 当组织实现其ISMS时,第三方可能只是监督并提供指导, 或者他们可能会全部或部分地参与到工作中. 不管他们有多投入, 提供执行协助的第三方不应, 根据一些认证机构, 也不能进行组织的认证审核. 这有助于避免实现和审计实体之间的利益冲突.

明升体育app下载

布莱恩·威利斯, CISSP, CCSK, PCI QSA, ISO 27001高级首席审核员, 是LBMC网络安全部门的高级经理, PC. 可以联系到他 brian.willis@LBMC.com or (615) 309-2607.