信息安全管理体系
- 格式:pdf
- 大小:1.64 MB
- 文档页数:10
什么是ISO/IEC 27001?ISO/IEC 27001标准的名称为《信息技术—安全技术—信息安全管理体系—要求》,由国际标准化组织(ISO)及国际电工委员会(IEC)出版。
ISO/IEC 27001:2013(下称ISO/IEC 27001)为最新版本的ISO/IEC 27001标准,修订了2005年出版的上一个版本(即ISO/IEC 27001:2005)。
本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。
信息安全管理体系阐述保护敏感信息安全的系统化方式,通过应用风险管理流程管理人事、工序及信息技术系统。
这套系统不仅适用于大型机构,中小型企业也会合用。
ISO/IEC 27001可以与相关支援控制措施配合使用,例如载列于ISO/IEC 27002:2013(下称ISO/IEC 27002)文件的控制措施。
ISO/IEC 27002分为14节及35个控制目标,详述114项安全控制措施。
有关ISO/IEC 27001及ISO/IEC 27002 的目录载于附录A。
机构是否遵行ISO/IEC 27001标准所定的要求,可由认可认证机构进行正式评估和认证。
若机构的信息安全管理体系获取ISO/IEC 27001标准的认证,显示机构致力保护信息安全,又可增加客户、合伙人及持份者的信心。
ISO/IEC 27001认证要求为符合ISO/IEC 27001认证要求,机构的信息安全管理体系必须由国际认可的认证机构进行审计。
ISO/IEC 27001第4节至10节所载的要求(见附录A)是强制性要求,并没有豁免情况。
若机构的信息安全管理体系通过正式审计,便会获认证机构颁发ISO/IEC 27001证书。
证书的有效期为三年,期满后,机构需要重新为其信息安全管理体系进行认证。
在三年有效期内,机构必须执行证书维护,以确保信息安全管理体系持续遵行有关要求,按规定运行和不断改进。
为了保持证书有效,认证机构会每年至少一次就信息安全管理体系进行实地视察,以进行监察审计。
在审计过程中,认证机构只会对部分信息安全管理体系作出审计。
当三年有效期临近届满时,认证机构才会对整个信息安全管理体系作出审计。
ISO/IEC 27001认证的效益机构获取ISO/IEC 27001认证后,在内部安全及对外竞争力方面,均会受惠。
在内部方面,机构采用ISO/IEC 27001可获得下述效益:订立依据,以便安全地交换信息和保护数据隐私,尤其是敏感信息;管理和减低风险承担,从而减少发生事件的机会,亦相应减少用于安全事件应变的时间及金钱;加强内部组织架构和改进业务的安全性结构,如明确界定有关信息安全的职责及职务;减少在投标合约时和批出合约后,按客户的要求分别用于整理和提交与安全相关信息的资源。
在对外方面,机构通过宣传已获取ISO/IEC 27001认证,可获得下述效益:给予客户及持份者信心,让他们了解机构如何管理敏感信息的风险及安全事宜;有助遵守法律责任,如《个人资料(私隐)条例》;享有竞争优势,以助吸引更多投资者及客户;改进服务及产品的一致性,从而提高客户的满意度和挽留客户;由于安全流程经独立认证机构核实,故可保护和提升机构信誉,从而提高对机构、资产、股东及董事的保护;充分准备好面对客户日益殷切的期望。
现时市民对信息安全事件愈趋敏感,一个认可国际标准认证或会渐渐成为客户采用服务的先决条件。
认证机构ISO/IEC 27001认证过程涉及由认证机构给予的认可。
认证机构须显示已完全符合有关国际标准的要求,即ISO/IEC 17021《合格评定—管理体系审核认证机构的要求》及ISO/IEC 27006《信息安全管理体系审核认证机构的要求》,才获授予认可。
2011年11月15日,香港认可处正式推出ISO/IEC 27001认证的认可服务。
认证机构可联络香港认可处,并提出认可申请。
有关申请纯属自愿性质。
认证费用首次认证费用包括推行信息安全管理体系和获取ISO/IEC 27001认证所需的费用。
推行信息安全管理体系的费用,主要取决于机构现有与所需的安全控制措施之间的差距。
在推行费用方面,部分费用及资源用于推行安全控制措施、编写文档、培训人员等。
获取认证的费用则包括外聘审计人员费用(每天按一定比例收取的费用)、申请费、证书费、维护费等。
香港的应用情况根据国际标准化组织在2016年进行的调查,全球140个国家及经济体系已获发至少33 290张ISO/IEC 27001证书。
在2016年,首三个获发证书总数最多的国家分别是日本(8 945张)、英国(3 367张)及印度(2 902张)。
根据同一调查的数据,香港获发的证书数目为173张,包括部分政府部门就某些指定职能范畴取得的ISO/IEC 27001认证。
ISO/IEC 27001的推行情况和认证过程概要•ISO/IEC 27001的推行情况•制订信息安全方针•工作:确定业务目标并取得管理层的支持,以推行安全改进计划。
•界定信息安全管理体系范围•工作:比较现有的信息安全管理体系与ISO/IEC 27001的要求,同时选择信息安全管理体系将会涵盖的业务单位、部门或系统。
•进行风险评估•工作:制订风险评估的方法,备存须予保护的信息资产清单,并按风险评估的风险分类排列资产。
•管理已确定的风险•工作:建立风险处理计划,为信息安全风险管理确立适当的管理工作、资源、职责及优先事项。
•选择将会推行的控制措施•工作:拟备适用性声明,记录适用于信息安全管理体系的控制措施(例如ISO/IEC 27002中的114项安全控制措施)及这些措施的推行方法。
•推行控制措施•工作:制定计划以推行已确定的控制措施。
•ISO/IEC 27001的认证•准备认证•工作:操作信息安全管理体系,并进行包括内部审计、管理覆检和其它相关工作的整个流程。
•申请认证•工作:着手申请认证,其中包括在不同阶段的档案覆检及有关遵行要求的实地审计。
政府资讯科技总监办公室于二零一五年四月出版(最后更新二零一七年十一月)3ISO/IEC 27000标准系列ISO/IEC 27000标准系列(见附录B)包括互有关连的标准及指南(已经出版或正在拟备),以及若干重要的组成部分。
这些组成部分重点介绍有关信息安全管理体系要求(ISO/IEC 27001)、ISO/IEC 27001标准的认证机构要求(ISO/IEC 27006)及信息安全管理系统于特定行业推行的外加要求框架(ISO/IEC 27009)的参考标准。
其它标准及指南就推行信息安全管理体系的不同范畴提供指引,如一般流程、特定控制措施指南及特定行业指南。
ISO/IEC 27001的现有版本在2013年发布。
除了上文最多提及的ISO/IEC 27001、ISO/IEC 27002及ISO/IEC 27018外,ISO/IEC 27000标准系列的一些其它标准也被广泛引用。
例子包括:ISO/IEC 27000 —《信息安全管理体系—概述和词汇》概述信息安全管理体系的数据,并提供信息安全管理体系标准系列的常用术语和定义。
为确保用语一致,所有ISO/IEC 27000标准系列会以ISO/IEC 27000所载的术语及定义为准。
这标准提供入门概览,让读者对ISO/IEC 27000标准系列有初步了解。
ISO/IEC 27003 —《信息安全管理体系—指南》就ISO/IEC 27001所订明对信息安全管理体系的要求提供指南,并载述与这些要求相关的建议、可能情况及允许情况。
ISO/IEC 27004 —《信息安全管理—监测、测量、分析和评估》提供指引,协助机构评估信息安全绩效和信息安全管理体系的成效,以达到ISO/IEC 27001:2013所订明有关监测、测量、分析和评估的要求。
ISO/IEC 27005 —《信息安全风险管理》提供有关信息安全风险管理的指南。
该标准进一步阐述ISO/IEC 27001所载的一般概念,旨在协助按风险管理方法顺利推行信息安全措施。
ISO/IEC 27017 —《基于ISO/IEC 27002的云计算服务的信息安全控制措施实用规则》提供支援推行信息安全控制措施并适用于云用户及供应商的指南。
用户及供应商可按照适用于云服务的风险评估及其它要求,选择适当的控制措施和采用有关的推行指南。
这标准与ISO/IEC 27018一并使用,涵盖范围更为广泛,除隐私外,还包括云计算的信息安全方向。
ISO/IEC 27031 —《信息及通信技术业务连续性就绪指南》说明有关促进业务连续性的信息及通信技术就绪程度概念及原则,并提供相关方法及流程的框架,以识别和订明可提升机构信息及通信技术就绪程度的措施,以促进业务连续性。
ISO/IEC 27035-1 —《信息安全事件管理—第1部分:事件管理原则》载述信息安全事件管理的基本概念及各个阶段,并有系统地将这些概念与原则结合,用于事件检侦、报告、评估和响应,以及经验教训。
ISO/IEC 27035-2 —《信息安全事件管理—第2部分:规划和准备事件响应指南》就事件响应的规划和准备提供指南。
ISO/IEC 27036-4 —《供应商关系信息安全—第4部分:云服务安全指南》制订支援推行信息安全管理体系并适用于云服务的指南。
ISO/IEC 27037 —《数字证据的标识、收集、获取和保存指南》提供指南,说明处理数字证据的具体工作,包括标识、收集、获取和保存或具证据价值的潜在数字证据。
云计算中的个人识别资料目前,云计算以前所未有的方式不断演变,这个趋势在未来数年将会持续和继续发展。
云计算具备潜在的好处,在使用、维护和提升方面亦具备成本效益。
较诸传统的数据存储方法,云计算的数据备份和复原方法亦较为容易。
此外,云计算亦具备快速配置和便利获取信息的好处。
一些机构将应用系统迁移到云。
从机构的角度来看,云计算的安全,尤其是数据安全和隐私保护等问题备受关注,这些仍然是阻碍机构采用云计算服务的主要因素。
ISO/IEC 27018:2014标准(下称ISO/IEC 27018)的名称为《个人识别资料处理商保护公有云上的个人识别资料实用规则》(内地名称:《公有云服务的数据保护控制实用规则》)。
这是首个专为保护公有云上个人数据而设的国际标准。
ISO/IEC 27018主要阐述普遍用作保护经公有云服务供应商(即个人识别资料处理商)处理的个人识别资料的控制目标、控制措施和指南。
ISO/IEC 27018为通过云处理个人识别资料的所有类型及规模的私营或公营机构(个人识别资料处理商)而设。
ISO/IEC 27018的保护个人识别资料控制措施制订ISO/IEC 27018时已考虑ISO/IEC 27002所载的要求,并通过以下两种方法加强ISO/IEC 27002的内容:第一,就ISO/IEC 27002所订明的控制措施实施指南作出补充;第二,提供ISO/IEC 27002未有涵盖的额外控制措施和相关的实施指南,以配合保护在公有云上的个人识别资料的要求。