ISO / IEC 27001 - 信息技術 - 安全技術 - 信息安全管理系統ISMS - 標準

Test item 測試名稱:ISO 27001信息安全管理系統

       ISO 27001是信息安全管理系統其中的一個標準。該標準Zui初由化組織（ISO）和國際電工委員會（IEC）于2005年聯合發布，在2013年進行了修訂。它詳細說明了建立，實施，維護和持續改進信息安全管理系統（ISMS）的要求,其目的是幫助組織使他們持有的信息資產更加安全。該標準的歐洲更新于2017年發布。符合標準要求的組織可以選擇在成功完成審核后獲得認可的認證機構的認證。ISO / IEC 27001認證過程和整體標準的有效性已在2020年進行的一項大規模研究中得到解決。

什么是信息安全管理系統ISMS？

ISMS代表信息安全管理系統，是一組文檔，包括共同實施有效風險管理流程的政策、流程、程序和控制。

在構建您的 ISMS 時，您有責任確保您采用的控制、政策和程序（更多內容見下文）幫助您實現以下信息安全目標：

機密性：確保只有經過授權的個人才能訪問數據。

完整性：數據始終完整且準確。

可用性：授權個人可以輕松訪問數據。

ISO / IEC 27001的組成

       ISO 27001由10個部分（在ISO 27001術語中稱為“條款”）和一個附件組成。ISO 27001前三個條款本質上是介紹性的，并作為流程本身的概述，但條款4 - 10更具戰略性，為確保整個業務提供了指導方針。每個條款都包含一組旨在改善貴公司安全狀況的準則 我們在下面概述了這些準則：

第 4 條：組織的背景

通過概述和記錄您的組織結構、合同關系以及經營業務的方式來建立 ISMS 的上下文。

第 5 條：領導

定義管理您的組織的政策，列出致力于整合 ISMS 的團隊成員的角色和職責，確保團隊擁有必要的資源，并進行定期審查。

第 6 條：計劃

在規劃公司的長期目標和即將開展的工作時，考慮到安全性和風險至關重要。本節中的指導方針圍繞著這樣做的過程。

第 7 條：支持

確保在構建 ISMS 時創建、收集和維護適當的支持證據。

第 8 條：操作

圍繞信息安全開發、實施和控制流程。

第 9 條：績效評估

建立流程以確保您的 ISMS 得到持續監控和評估。

第 10 條：改進

確保一旦評估績效，其中的差距都會得到解決。

       除了這些條款之外，ISO 27001 還包括一個單獨的附件，標題為附件 A，該附件包含 114 項控制措施，分為 14 類，在旨在符合標準時應予以考慮。 在為 ISO 27001 創建自己的控制集時，可以將附件 A 中定義的安全目標和控制用作基線。但是，附件 A 中包含的控制目標和控制列表并不詳盡，可能不適用于您的環境。因此，也可以從頭開始創建或從其他框架中選擇其他安全目標和控制。 當附件 A 控制未實施時，必須將其排除的理由記錄在案并提交給審核員。

與基本條款類似，附錄的前幾節是介紹性的，隨后是編號為附件 A.5 – 附件 A.18 的部分中的控制集。 以下是這些類別的簡要概述：

附件 A.5：信息安全政策

表明您制定的政策符合整個組織的實踐。

附件 A.6：信息安全組織

表明您的組織有一個框架來實施和維護本地和遠程設備的信息安全實踐。

附件 A.7：人力資源安全

表明您的組織有正確的程序來幫助員工和承包商了解他們保護敏感數據的義務。數據在受雇期間以及離開組織或轉換角色后都應受到保護。

附件 A.8：資產管理

表明您能夠識別和分類信息資產，并且您已采取措施保護數據免遭未經授權的披露、修改、刪除或破壞。

附件 A.9：訪問控制

表明您已經制定并遵守有關誰可以訪問組織內外的信息和系統的程序。

附件 A.10：密碼學

表明已采取措施保護您擁有的數據的機密性、完整性和可用性。

附件 A.11：物理和環境安全

證明您已采取必要措施來保護數據，無論是存儲在本地、外部、軟件中還是物理文件中。

附件 A.12：運行安全

如果您與供應商合作處理信息，請表明與這些組織共享的數據受到保護和安全。

附件 A.13：通信安全

表明您正在保護您的網絡并保護通過它們傳輸的信息。

附件 A.14：系統獲取、開發和維護

表明在購買新系統或升級現有系統時，數據安全是一個考慮因素。

附件 A.15：供應商關系

表明與您合作的供應商正在保護與他們共享的數據。

附件 A.16：信息安全事件管理

表明您已實施機制來管理和報告任何安全事件，并及時解決任何問題。

附件 A.17：業務連續性管理的信息安全方面

表明在中斷的情況下，業務可以繼續并且信息系統將可用。

附件 A.18：合規性

表明您能夠履行法律義務，并有計劃減輕任何法律、法定、監管或合同違規行為。

ISO 27001認證費用

        實際上，當您考慮審計公司的成本以及包括生產力、員工培訓和滿足特定要求所需的資源在內的內部成本時，ISO 27001 的成本可能在 30,000 美元到 100,000 美元之間。

在珩渥檢測，我們希望使準備和審計過程既實惠又簡單。我們將成本分解為兩個方面：

合規自動化平臺：通過自動化大部分流程，珩渥檢測等平臺可幫助您降低和更好地管理內部成本。我們開發了一個透明且直接的定價結構，讓您更輕松地管理計劃的總體成本

審計員:我們與多家審計公司建立了牢固的關系。這不僅意味著他們在平臺上接受過培訓并知道如何評估您的業務，而且他們還能夠通過珩渥檢測的推薦傳遞折扣。

ISO 27001認證時間

       鑒于 ISO 27001 結構復雜，可能需要數月甚至一年的時間，才能將所有必要的控制、政策和程序落實到位，從而滿足所有要求。如果您決定申請ISO 27001認證，我們的建議是盡早啟動此過程。

除了幾個月的準備工作外，審核員還可能要花費 6 到 12 個月的時間來檢查您的 ISMS，具體取決于您的組織規模和 ISMS 的復雜性。

ISO 27001 的審核流程分為兩個不同的階段

第一階段:

在第一階段，審核員通常在現場審核 ISMS，以確定是否滿足強制性要求，以及管理體系是否足以進入第 2 階段。此初步審核主要集中在驗證您的 ISMS 是否符合適當設計——文件化的過程是否存在、是否有效并符合標準要求。 審核員還將評估您對標準的理解，并討論第二階段的計劃。理想情況下，第一階段應在第二階段之前Zui多兩到四個星期進行，以便管理體系在兩個階段之間不會發生實質性變化。

第二階段:

在第二階段，審核員將更徹底地評估您的 ISMS，并評估其實施是否有效滿足 ISO 27001 要求。

為了滿足審核員的需求，文檔必須完整且準確。必須識別和驗證文檔中信息的來源，必須完整地編寫文檔內容，并且文檔必須易于訪問和檢索以用于審計目的。

在這段漫長的旅程結束時，一旦審核員審查了您的工作并確定您的控制、政策和程序滿足所有要求，并且在您實施了糾正措施以解決審核員在第 1 階段和第 2 階段提出的調查結果之后，您的審核員會給你他們的批準印章。現在可以推薦您進行認證。

Zui后，您的 ISMS 文件將由獨立且經過認證的機構進行審核，當審核通過后您就可以拿到ISO 27001證書。

ISO 27001 證書的有效期為三年，在合規領域中是相對較長的。然而，ISO 27001 提出了額外的“持續改進”要求。為了保持您的認證，您必須每年進行監督審核，以確保您不斷改進并遵守您的信息安全協議。

關于ISO 27001認證的更多信息，請咨詢

Lead time 測試周期: Regular 常規 30-40 working days

On site audit 工廠審核

Others 其他:

Photo for reference 涉及圖片:





Sample Report 報告參考：