当前位置:文档之家 › 信息安全管理体系

信息安全管理体系

  • 格式:pdf
  • 大小:1.64 MB
  • 文档页数:10

下载文档原格式

  / 10
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

什么是ISO/IEC 27001?

ISO/IEC 27001标准的名称为《信息技术—安全技术—信息安全管理体系—要求》,由国际标准化组织(ISO)及国际电工委员会(IEC)出版。ISO/IEC 27001:2013(下称ISO/IEC 27001)为最新版本的ISO/IEC 27001标准,修订了2005年出版的上一个版本(即ISO/IEC 27001:2005)。本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。信息安全管理体系阐述保护敏感信息安全的系统化方式,通过应用风险管理流程管理人事、工序及信息技术系统。这套系统不仅适用于大型机构,中小型企业也会合用。

ISO/IEC 27001可以与相关支援控制措施配合使用,例如载列于ISO/IEC 27002:2013(下称ISO/IEC 27002)文件的控制措施。ISO/IEC 27002分为14节及35个控制目标,详述114项安全控制措施。有关ISO/IEC 27001及ISO/IEC 27002 的目录载于附录A。机构是否遵行ISO/IEC 27001标准所定的要求,可由认可认证机构进行正式评估和认证。若机构的信息安全管理体系获取ISO/IEC 27001标准的认证,显示机构致力保护信息安全,又可增加客户、合伙人及持份者的信心。

ISO/IEC 27001认证要求

为符合ISO/IEC 27001认证要求,机构的信息安全管理体系必须由国际认可的认证机构进行审计。ISO/IEC 27001第4节至10节所载的要求(见附录A)是强制性要求,并没有豁免情况。若机构的信息安全管理体系通过正式审计,便会获认证机构颁发ISO/IEC 27001证书。证书的有效期为三年,期满后,机构需要重新为其信息安全管理体系进行认证。

在三年有效期内,机构必须执行证书维护,以确保信息安全管理体系持续遵行有关要求,按规定运行和不断改进。为了保持证书有效,认证机构会每年至少一次就信息安全管理体系进行实地视察,以进行监察审计。在审计过程中,认证机构只会对部分信息安全管理体系作出审计。当三年有效期临近届满时,认证机构才会对整个信息安全管理体系作出审计。

ISO/IEC 27001认证的效益

机构获取ISO/IEC 27001认证后,在内部安全及对外竞争力方面,均会受惠。

在内部方面,机构采用ISO/IEC 27001可获得下述效益:

订立依据,以便安全地交换信息和保护

数据隐私,尤其是敏感信息;

管理和减低风险承担,从而减少发生事

件的机会,亦相应减少用于安全事件应

变的时间及金钱;

加强内部组织架构和改进业务的安全

性结构,如明确界定有关信息安全的职

责及职务;

减少在投标合约时和批出合约后,按客

户的要求分别用于整理和提交与安全

相关信息的资源。

在对外方面,机构通过宣传已获取ISO/IEC 27001认证,可获得下述效益:

给予客户及持份者信心,让他们了解机

构如何管理敏感信息的风险及安全事

宜;

有助遵守法律责任,如《个人资料(私

隐)条例》;

享有竞争优势,以助吸引更多投资者及

客户;

改进服务及产品的一致性,从而提高客

户的满意度和挽留客户;

由于安全流程经独立认证机构核实,故

可保护和提升机构信誉,从而提高对机

构、资产、股东及董事的保护;

充分准备好面对客户日益殷切的期望。

现时市民对信息安全事件愈趋敏感,一

个认可国际标准认证或会渐渐成为客

户采用服务的先决条件。认证机构

ISO/IEC 27001认证过程涉及由认证机构给予的认可。认证机构须显示已完全符合有关国际标准的要求,即ISO/IEC 17021《合格评定—管理体系审核认证机构的要求》及ISO/IEC 27006《信息安全管理体系审核认证机构的要求》,才获授予认可。2011年11月15日,香港认可处正式推出ISO/IEC 27001认证的认可服务。认证机构可联络香港认可处,并提出认可申请。有关申请纯属自愿性质。

认证费用

首次认证费用包括推行信息安全管理体系和获取ISO/IEC 27001认证所需的费用。推行信息安全管理体系的费用,主要取决于机构现有与所需的安全控制措施之间的差距。在推行费用方面,部分费用及资源用于推行安全控制措施、编写文档、培训人员等。获取认证的费用则包括外聘审计人员费用(每天按一定比例收取的费用)、申请费、证书费、维护费等。

香港的应用情况

根据国际标准化组织在2016年进行的调查,全球140个国家及经济体系已获发至少33 290张ISO/IEC 27001证书。在2016年,首三个获发证书总数最多的国家分别是日本(8 945张)、英国(3 367张)及印度(2 902张)。根据同一调查的数据,香港获发的证书数目为173张,包括部分政府部门就某些指定职能范畴取得的ISO/IEC 27001认证。

ISO/IEC 27001的推行情况和认证过程概要

•ISO/IEC 27001的推行情况

•制订信息安全方针

•工作:确定业务目标并取得管理层的支持,以推行安全改进计划。

•界定信息安全管理体系范围

•工作:比较现有的信息安全管理体系与ISO/IEC 27001的要求,同时选择信息安全管理体系将会涵

盖的业务单位、部门或系统。

•进行风险评估

•工作:制订风险评估的方法,备存须予保护的信息资产清单,并按风险评估的风险分类排列资产。

•管理已确定的风险

•工作:建立风险处理计划,为信息安全风险管理确立适当的管理工作、资源、职责及优先事项。

•选择将会推行的控制措施

•工作:拟备适用性声明,记录适用于信息安全管理体系的控制措施(例如ISO/IEC 27002中的114

项安全控制措施)及这些措施的推行方法。

•推行控制措施

•工作:制定计划以推行已确定的控制措施。

•ISO/IEC 27001的认证

•准备认证

•工作:操作信息安全管理体系,并进行包括内部审计、管理覆检和其它相关工作的整个流程。

•申请认证

•工作:着手申请认证,其中包括在不同阶段的档案覆检及有关遵行要求的实地审计。

政府资讯科技总监办公室于二零一五年四月出版(最后更新二零一七年十一月)3

相关主题