什么是 ISO/IEC 27001? ISO/IEC 27001标准的名称为《信息技术 —安全技术 —信息安全管理体系 —要求》,由国际标准化组织( ISO )及国际电工委员会( IEC )出版。 ISO/IEC 27001:2013(下称 ISO/IEC 27001)为最新版本的 ISO/IEC 27001标准,修订了 2005年出版的上一个版本(即 ISO/IEC 27001:2005)。本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。信息安全管理体系阐述保护敏感信息安全的系统化方式,通过应用风险管理流程管理人事、工序及信息技术系统。这套系统不仅适用于大型机构,中小型企业也会合用。 ISO/IEC 27001可以与相关支援控制措施配合使用,例如载列于 ISO/IEC 27002:2013(下称 ISO/IEC 27002)文件的控制措施。 ISO/IEC 27002分为 14节及 35个控制目标,详述 114项安全控制措施。有关 ISO/IEC 27001及 ISO/IEC 27002的目录载于附录 A 。机构是否遵行 ISO/IEC 27001标准所定的要求,可由认可认证机构进行正式评估和认证。若 机构的信息安全管理体系获取 ISO/IEC 27001标准的认证,显示机构致力保护信息安全,又可增加客户、合伙人及持份者的信心。 ISO/IEC 27001认证要求为符合 ISO/IEC 27001认证要求,机构的信息安全管理体系必须由国际认可的认证机构进行审计。 ISO/IEC 27001第 4节至 10节所载的要求(见附录 A )是强制性要求,并没有豁免情况。若机构的信息安全管理体系通过正式审计,便会获认证机构颁发 ISO/IEC 27001证书。证书的有效期为三年,期满后,机构需要重新为其信息安全管理体系进行认证。在三年有效期内,机构必须执行证书维护,以确保信息安全管理体系持续遵行有关要求,按规定运行和不断改进。为了保持证书有效,认证机构会每年至少一次就信息安全管理体系进行实地视察,以进行监察审计。在审计过程中,认证机构只会对部分信息安全管理体系作出审计。当三年有效期临近届满时,认证机构才会对整个信息安全管理体系作出审计。
ISO/IEC 27001认证的效益机构获取 ISO/IEC 27001认证后,在内部
安全及对外竞争力方面,均会受惠。在内部方面,机构采用 ISO/IEC 27001可获得下述效益
:订立依据,以便安全地交换信息和保护数据隐私,尤其是敏感信息;管理和减低风险承担,从而减少发生事件的机会,亦相应减少用于安全事件应变的时间及金钱
;加强内部组织架构和改进业务的安全性结构,如明确界定有关信息安全的职责及职务
;减少在投标合约时和批出合约后,按客户的要求分别用于整理和提交与安全相关信息的资源。在对外方面,机构通过宣传已获取 ISO/IEC 27001认证,可获得下述效益
磁带库备份
:给予客户及持份者信心,让他们了解机构如何管理敏感信息的风险及安全事宜;有助遵守法律责任,如《个人资料(私隐)条例》;享有竞争优势,以助吸引更多投资者及客户;改进服务及产品的
一致性,从而提高客户的满意度和挽留客户;由于安全流程经独立认证机构核实,故可保护和提升机构信誉,从而提高对机构、资产、股东及董事的保护
;充分准备好面对客户日益殷切的期望。现时市民对信息安全事件愈趋敏感,一个认可国际标准认证或会渐渐成为客户采用服务的先决条件。认证机构 ISO/IEC 27001认证过程涉及由认证机构给予的认可。认证机构须显示已完全符合有关国际标准的要求,即 ISO/IEC 17021《合格评定 —管理体系审核认证机构的要求》及 ISO/IEC 27006《信息安全管理体系审核认证机构的要求》,才获授予认可。 2011年 11月 15日,香港认可处正式推出 ISO/IEC 27001认证的认可服务。认证机构可联络香港认可处,并提出认可申请。有关申请纯属自愿性质。认证费用首次认证费用包括推行信息安全管理体系和获取 ISO/IEC 27001认证所需的费用。推行信息安全管理体系的费用,主要取决于机构现有与所需的安全控制措施之间的差距。在推行费用方面,部分费用及资源用于推行安全控制措施、编写文档、培训人员等。获取认证的费用则包括外聘审计人员费用(每天按一定比例收取的费用)、申请费、证书费、维护费等。香港的应用情况根据国际标准化组织在 2017年进行的调查,全球 160个国家及经济体系已获发至少 39 501张 ISO/IEC 27001证书。在 2017年,首三个获发证书总数最多的国家分别是日本(9 161张)、中国( 5 069张)及英国( 4 503张)。根据同一调查的数据,香港获发的证书数目为 182张,包括部分政府部门就某些指定职能范畴取得的 ISO/IEC 27001认证。
ISO/IEC 27001的推行情况和认证过程概要
•ISO/IEC 27001的推行情况
皂液盒
•制订信息安全方针
•工作:确定业务目标并取得管理层的支持,以推行安全改进计划。
•界定信息安全管理体系范围
•工作:比较现有的信息安全管理体系与ISO/IEC 27001的要求,同时选择信息安全管理体系将会涵
盖的业务单位、部门或系统。
•进行风险评估
•工作:制订风险评估的方法,备存须予保护的信息资产清单,并按风险评估的风险分类排列资产。
•管理已确定的风险
•工作:建立风险处理计划,为信息安全风险管理确立适当的管理工作、资源、职责及优先事项。
•选择将会推行的控制措施
标定•工作:拟备适用性声明,记录适用于信息安全管理体系的控制措施(例如I SO/IEC 27002中的114
项安全控制措施)及这些措施的推行方法。
•推行控制措施
•工作:制定计划以推行已确定的控制措施。
•ISO/IEC 27001的认证
•准备认证
防水袋
•工作:操作信息安全管理体系,并进行包括内部审计、管理覆检和其它相关工作的整个流程。
•申请认证
•工作:着手申请认证,其中包括在不同阶段的档案覆检及有关遵行要求的实地审计。
政府资讯科技总监办公室于二零一五年四月出版(最后更新二零一九年五月) 3
ISO/IEC 27000标准系列
ISO/IEC 27000标准系列(见附录B)包括互有关连的标准及指南(已经出版或正在拟备),以及若干重要的组成部分。这些组成部分重点介绍有关信息安全管理体系要求(ISO/IEC 27001)、ISO/IEC 27001标准的认证机构要求(ISO/IEC 27006)及信息安全管理系统于特定行业推行的外加要求框架(ISO/IEC 27009)的参考标准。其它标准及指南就推行信息安全管理体系的不同范畴提供指引,如一般流程、特定控制措施指南及特定行业指南
。
ISO/IEC 27001的现有版本在2013年发布。除了上文最多提及的ISO/IEC 27001、ISO/IEC 27002及ISO/IEC 27018外,ISO/IEC 27000标准系列的一些其它标准也被广泛引用。例子包括:
ISO/IEC 27000 —《信息安全管理体系
—综述和词汇》概述信息安全管理体免蒸加气砖
系的数据,并提供信息安全管理体系标准系列的常用术语和定义。为确保用语一致,所有ISO/IEC 27000标准系列会以ISO/IEC 27000所载的术语及定义为准。这标准提供入门概览,让读者对ISO/IEC 27000标准系列有初步了解。
ISO/IEC 27003 —《信息安全管理体系—指南》就ISO/IEC 27001所订明对信息安全管理体系的要求提供指南,并载述与这些要求相关的建议、可能情况及允许情况。
ISO/IEC 27004 —《信息安全管理—监测、度量、分析和评价》提供指引,协助机构评估信息安全绩效和信息安全管理体系的成效,以达到ISO/IEC 27001所订明有关监测、度量、分析和评价的要求。
ISO/IEC 27005 —《信息安全风险管理》提供有关信息安全风险管理的指南。该标准进一步阐述ISO/IEC 27001所载的一般概念,旨在协助按风险管理方法顺利推行信息安全措施。
光伏板安装
ISO/IEC 27017 —《用于云服务的基于ISO/IEC 27002的信息安全控制实用守则》提供支援推行信息安全控制措施并适用于云用户及供应商的指南。用户及供应商可按照适用于云服务的风险评估及其它要求,选择适当的控制措施和采用有关的推行指南。这标准与ISO/IEC 27018一并使用,涵盖范围更为广泛,除隐私外,还包括云计算的信息安全方向。
ISO/IEC 27031 —《信息及通信技术业务连续性就绪指南》说明有关促进业务连续性的信息及通信技术就绪程度概念及原则,并提供相关方法及流程的框架,以识别和订明可提升机构信息及通信技术就绪程度的措施,以促进业务连续性。
ISO/IEC 27035-1 —《信息安全事件管理—第1部分:事件管理原则》载述信息安全事件管理的基本概念及各个阶段,并有系统地将这些概念与原则结合,用于事件检侦、报告、评估和响应,以及经验教训。
ISO/IEC 27035-2 —《信息安全事件管理—第2部分:规划和准备事件响应的指南》就事件响应的规划和准备提供指南。
ISO/IEC 27036-4 —《供方关系的信息安全—第4部分:云服务安全指南》制订支援推行信息安全管理体系并适用于云服务的指南。
ISO/IEC 27037—《数字证据的标识、收集、获取和保存指南》提供指南,说明处理数字证据的具体工作,包括标识、收集、获取和保存或具证据价值的潜在数字证据。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议