ISO27001認證業務常見問題

Q：ISO什么是27001認證？

A：ISO27001是國際標準，全名是IEC/ISO27001信息安全管理體系規范ISO27000標準系列中的一個標準包含許多其他標準；另一個常說的標準ISO1779:2005-信息安全實施細則也是與信息安全管理相關的，這個標準當前已經改名為ISO27002:2008。ISO27001還是ISO27002，都是I S標準系列（I S Family of Standards）之一，I S標準系列如下圖所示：

常說ISO27001認證是指符合企業聲稱的認證范圍ISO27001標準文本中的所有要求都有選擇地滿足ISO27001標準附錄A內容A內容對應標準ISO27002:2008第5章至第15章，企業可根據自身實際情況選擇適用的控制措施，即本標準中的133個控制項目不需要通過認證的用戶強制滿足，通常通過適用性聲明SOA》這種應用通常是通過文件來表達的ISO27001證書包括所選適用性聲明SOA》文件的。

Q：與BS7799認證有區別嗎？

A：ISO27001認證和BS7799認證的區別取決于ISO談到27001標準發展的歷史，ISO27001的發展過程如下圖所示：

BS7799認證是指符合英國國家標準的企業信息安全管理體系BS7799-2，由于BS7799在國際上得到了廣泛的認可BS7799-2成為國際標準ISO在27001之前，全球企業將選擇信息安全管理體系認證BS7799。

Q：到目前為止，國內ISO27001認證發展如何？

A：目前在中國通過ISO27001認證的企業數量已達199家(截至200906)。雖然絕對數量不大，但增長非常快。從下圖可以看出:

這里頒發的199張證書中有數字DNV和BSI頒發的證書統計表(截至2009年6月):

有中國信息安全認證中心（簡寫為ISCCC，09年5月份CNAS認可)（UKAS經批準，國內試點證書)、廣州賽寶(國內試點證書)、中國電子技術標準化研究所(國內試點證書)四家，截至2009年7月20日，只有中國信息安全認證中心頒發了19份證書，其他國內認證機構尚未頒發證書。

Q：獲得ISO27001認證有什么好處？

增強意識，轉變觀念

ü ISO27001認證是證明其信息安全水平和能力符合國際標準要求的有效手段，有助于組織節約信息安全成本；

ü 信息安全風險管理的目的是確保企業依賴經營IT系統的持續、穩定、安全運行，保證企業業務的持續發展，而不是為企業業務的發展增添枷鎖，強調以業務為中心的安全**；

ü 信息安全工作應該是IT以部門為主導，全活動，強調人人負責；

ü 信息安全管理應遵循風險管理的理念，強調預防、控制和總結的工作理念，而不是問題驅動的消防理念；

ü 信息安全問題的解決不應是頭痛醫頭、腳痛醫腳的局部問題解決方案，而應強調整體系統的分析和解決；

規范操作，有法可依

ü 按照PDCA企業信息安全風險安全風險，信息安全管理從無序、分散、被動問題補救行為轉變為系統、科學、一致、主動的風險控制狀態；

ü 完善各種安全管理制度，規范與信息系統、信息保密等相關的各種操作行為和方法；

良好的形象，合規要求

ü 獲得國際認證的企業可以提高客戶、業務伙重要性和敏感信息保護能力的信心，提高組織的公眾形象和競爭力；

ü 滿足監管機構的合規要求和合作伙伴的信息安全審計要求；

Q：如何首次開展企業？ISO27001認證（I S建設項目？

企業開展ISO27001認證時，一般是由IT部門牽頭，業務部門配合參與。但對，IT該部門的實力非常有限，通常由質量管理部門領導，通常實施了管理體系認證（ISO9001或者CMMI）或者項目經驗，信息安全管理體系與質量管理體系有很大的相似性。

的參與有助于引導領導部門甚至企業領導正確認識信息安全、信息安全管理和ISO27001認證就本項目對信息安全的理解與目標達成一致。這是非常關鍵的，因為它與項目實施過程的順利性和項目目標的實現有關。

項目范圍的確定項目范圍的確定，這里不再累贅。ISO27001項目的招標同其他項目沒有區別，一般按照企業既定的招標流程走。I S這里不多說系統建設的實施，也有專門的問題。

I S系統認證工作一般分為兩個階段，第一階段是文件審核，審核員只關注管理系統文件，檢查系統文件是否齊全，I S施工方法是否合理，文件查看的重點一般是風險評估方法、業務連續性和管理系統測量。第二階段是現場審計，審計員將根據ISO27001年標準的要求和企業自身信息安全戰略的要求，在認證范圍內，現場驗證制度的實施和運行記錄的檢查是一種重要的審計手段。現場審計將以最后一次會議的形式結束整個審計工作。如果審計人員沒有發現重大不一致的項目，審計人員將在最后一次會議上宣布企業通過現場審計。

Q：企業ISO27001認證的范圍如何來確定？

A：認證范圍的選擇將影響滿足認證要求的難度和成本。另一方面，難度和成本是選擇認證范圍的重要參考。難度一般由企業自身當前的信息安全管理水平決定，成本與企業預算有關。在考慮難度和成本的基礎上，企業一般支持核心業務部門和核心業務IT認證范圍內包括部門和人力資源部門。認證范圍的描述一般采用業務活動范圍、區域場所、信息資產和技術來表達。到目前為止，比如著名的認證機構，比如BSI，DNV國內頒發的證書一般只使用業務活動和區域場所來描述認證管理體系的范圍。

Q：企業建立符合要求ISO27001標準的I S這個過程么？

A：ISO實施27001認證的做法也不同，但基本上會遵循標準內容，從I S規劃(信息安全管理系統)I S實施和運維，I S監測與回顧，I S改進和改進四個階段。詳細說明如下圖所示。

××公司的ISO27001認證咨詢的實施方法是基于ISO基于對27001標準的深刻理解和過去實踐積累的總結。ISO27001信息安全管理體系的核心是基于PDCA流程方法。利益合作伙伴、客戶、股東是企業信息安全管理體系的起點，在企業內部業務活動中，需要各種資源，包括人力資源投資，也必須遵守各種安全體系，良好的信息安全管理體系較終給利益合作伙伴、客戶和股東帶來價值。

PDCA這是一個循環活動，發現問題，制定問題處理計劃，實施計劃，檢查和審查實施情況，監控和評估實施效果，及時改進不足。PDCA在思路的指導下，大循環套小循環，不斷提高企業信息安全管理水平，始終使企業信息安全風險處于可控狀態。××在實踐中，公司總結了一套輔導企業ISO27001認證方法。整個實施方法分為差距分析、資產風險評估、系統規劃與實施、系統發布與試運行、協助外部審計五個階段。每個階段都有關鍵輸出。詳情請參閱圖片-實施方法概述。

五個階段活動都包含相應的子活動以及階段主要成果，詳細見下表：

Q：企業在項目實施過程中需要投入多少資源？

A：企業在實施I S在施工過程中，項目實施者管理層除了向咨詢師支付費用外，還特別關心I S企業人員在施工過程中還需要投入多少人。一般來說，企業每天的投資在不同的階段是不同的，參與者也會不同。從管理層到普通員工都將參與實施項目。以下是一家200I S以建設為例，從I S在不同項目階段，不同角色參與項目的單位時間解釋了項目實施的五個階段。

其中：h表示小時,d表示天

Q：？

的選擇大致可大致。如果企業涉及出口、離岸外包等國際業務，建議選擇國際；如果企業業務僅限于國內客戶，企業國內監管機構的信息安全監管要求，建議選擇國內。國內正在進行中ISO27001認證業務起步比國際晚幾年，客戶認可度略差于國際。

國內企業一般選擇國際的時間BSI和DNV目前，國內只有中國信息安全認證中心正式得到國家認證**（以下簡稱認證**）的正式認可，其他三家（賽寶認證中心、中國認證中心、中國電子技術標準化研究所）（截至2009年6月）仍頒發試點證書。

Q：企業獲得ISO27001認證后，應對審核還需要做哪些工作？

A：ISO27001證書一般有效期為3年。3年后，必須經過綜合審查，應重新頒發證書。認證注冊資格后，乙方將在三年有效期內接受3 定期監督審查和必要的不定期審查。其中，自認證之日起6個月內安排第一次監督審查，監督審查間隔不得超過12個月，異常情況下增加監督審查頻率。因此，企業仍必須遵守標準PDCA不斷發現或回顧信息安全風險。

Q：如何保證一個I S這些成功因素主要包括哪些？

a) 項目范圍內有關部門和各級領導對項目目標有一致的了解。

b) 信息安全戰略必須反映企業的業務目標。制定的安全戰略是規范員工行為，更好地為企業服務，為企業業務目標的實現提供信息安全**。安全戰略不能違反業務目標，更不用說成為業務發展的絆腳石了。

c) 實施過程和方法應與企業文化保持一致。在項目實施過程中，顧問需要不斷與企業人員溝通，這應與企業當前的企業文化相一致。

d) 來自管理層的支持和承諾。管理層需要參加項目里程碑等關鍵節點的會議，公開表達態度，確保必要的人力和財政支持。

e) 為員工提供適當的培訓和教育

f) 易于理解和一致的測量系統，以評估信息安全的效率。管理到普通員工的所有成員來衡量安全控制的效果。就像人體的質量可以通過血壓、脈搏等指標來知道一樣。

g) 使用自動安全策略管理工具。當前的安全策略需要一個工具自動管理，員工可以通過這個工具快速找到他需要的安全系統。

Q：I S確定范圍后，如何解決范圍外的一些信息安全問題？

A：當企業面臨信息安全問題時，雖然它不是一勞永逸地解決一切問題的想法，但大多數企業希望盡可能多地解決問題，這是可以理解的。

I S在施工過程中，將確定明確的實施范圍，如IT研發部或財務部正在實施I S在此過程中，范圍外的部門或組織一般不深入參與，重點在已確定的范圍內，在咨詢顧問的幫助下，建立合理的信息安全組織框架，培安全組織框架，培養能夠勝任安全管理體系運行的相關人員，如掌握風險評估方法的人員、內部審計師等，提高人員的安全技能和安全意識，提高信息安全運行水平，降低相關安全風險。然后作為示范，逐步擴大I S并按PDCA該模型不斷提高了企業的信息安全水平，范圍內得到了推廣和實施。事實上，這也是企業在信息安全體系建設過程中，在一定的投資條件下，一步一步，堅持關鍵部門和高安全風險優先控制的原則，避免一步一步。

Q：哪些問題是信息安全風險，哪些問題不是信息安全風險？

A：信息安全風險是指利用信息系統漏洞（技術漏洞）、管理（或漏洞（技術漏洞）、管理（或自然（環境）因素或人為因素的潛在事件。包括信息系統的開發、部署、運行（使用）、監控、維護和退出IT操作流程缺陷、系統業務流程控制缺陷、信息系統脆弱性、操作人員故意/故意錯誤、外部事務件等因素直接影響信息系統的安全、可靠、平穩運行，并可能導致業務運營中斷乃至欺詐事件等業務操作風險，并間接導致信用、市場、法律、聲譽等企業。

信息系統開發時的業務需求分析風險、信息系統項目管理風險等等則不屬于信息安全風險。

Q：信息安全風險管理的定義及其范圍？

A：信息安全風險管理是指通過建立有效的機制，實現對信息安全風險的識別、計量、評估、預警和控制，確保信息系統高效、可靠、安全、平穩、持續運行，規避因為信息技術應用而引起的各種風險。一般包括風險評估、風險處理、風險接受、風險通報、風險監控、風險回顧。

應用系統中的業務流程可能存在因流程控制缺陷而引起的操作風險。此類風險與信息技術應用的關系密切，并且極有可能因為自動化、網絡化的實現方式而被放大，因此必須將其納入全面信息安全風險管理的范圍：

n 應用系統中業務流程操作風險本質上仍屬于業務操作風險，此類操作風險的識別、評估以及提出流程控制要求等職責原則上屬于業務流程主管條線；

n 但是通過系統實現的業務流程與傳統手工方式有較大的區別，信息技術的應用使業務流程的風險情況發生了較大的變化，因此此類風險的管理課題橫跨IT技術與業務運營兩個領域；

n 所以從實現全面風險管理的角度出發，應將協助管理此類風險的職責納入信息安全風險管理的范圍，由IT部門采取適當的方式積極參與其管理工作；

Q：怎樣算是實現了有效的信息安全風險管理？

A：明確職責與分工，建立良好的互動機制，由信息安全風險管理團隊進行協調、檢查、督促并提供專業支持，實現共同協作、分散控制的信息安全風險管理環境，全面掌控直接、間接的隱藏風險，將所有影響信息系統高效、可靠、安全、平穩、持續運行的隱患控制在可接受的范圍內。

Q：企業里誰應該承擔信息安全風險管理的哪些職責？

n 信息安全風險專業性強、涉及領域廣，適宜在IT條線內部進行管理，IT部門承擔信息安全風險的管理職責，具體落實在部門內的信息安全風險條線；

n 業務部門承擔系統中業務流程自身的操作風險；

n 企業風險管理部門對信息安全風險管理提供指導；

n 信息安全風險管理職能應向企業風險管理部門提供信息安全風險管理報告，以匯總到企業整體風險管理報告中；

其中：

Q：IT部門內誰應該承擔信息安全風險管理的哪些職責？

A：IT條線內部的信息安全風險遵循“責任到位、任務明確、各司其職”的原則，定位如下：

n IT條線管理層整體負責，并向董事會進行年度信息安全風險報告；

n 建設開發、運行維護等IT職能為IT風險的第一責任人，承擔識別風險、實施信息安全風險等職責；

n 信息安全風險管理職能承擔著制定風險計量標準、開發評估工具、建議控制方案、督促控制執行、監測風險情況、應急響應、編制風險管理報告等職責。

Q：需要組建怎樣的隊伍來管理信息安全風險，隊伍中各角色的職責是什么？

A：在IT治理組織結構成果的基礎上（沒有的話，則從頭建立），建立垂直專業管理的信息安全風險管理條線；建立常設的風險評估、監控掃描等專業團隊，并以虛擬團隊的方式覆蓋整個企業；設立安全信息監控中心（運維中心）等實體化的信息安全支撐中心。組織結構如下圖所示：

信息安全風險主管

? 協助管理層確定信息安全風險管理目標、風險偏好

? 確定信息安全風險管理策略；

? 協調相關信息安全風險相關主要資源；

? 向管理層匯報整體風險管理狀況；

? 協調信息安全風險管理相關方工作；

? 組織制定信息安全風險管理政策。

總部信息安全安全風險管理：

? 組信息安全風險管理工作

? 組織制定信息安全風險管理規劃

? 組則整體信息安全風險管理組織建設

? 負責信息安全風險管理團隊、專業團隊與內外部的協調工作；

? 組織信息安全風險管理意識的宣傳培訓及信息安全風險管理專業培訓；

? 對專業團隊及分行風險管理團隊進行業務指導。

? 風險管理信息，撰寫風險管理報告；

? 執行合規性檢查；

? 對所有信息安全項目的信息安全需求進行評審，確保安全需求，控制項目風險。

? 綜合管理（后勤/人力）。

總部信息安全風險咨詢團隊：

? 分析風險管理現狀與風險管理技術趨勢；

? 起草風險管理政策；

? 制定相關技術標準、操作規程。

信息安全風險項目管理與專業建設：

? 負責信息安全相關項目的項目管理，協調負責安全開發與部署的開發中心/數據中心；

? 負責加密技術等小部分核心信息安全技術的專業建設與開發。

信息安全風險管理專業團隊

? 研究信息安全風險管理發展趨勢，協助管理層制定信息安全風險管理政策，判斷風險管理現狀；

? 提供信息安全風險管理專業服務支持，為分行及數據、開發中心提供信息安全風險管理技術支撐與指導。

? 負責應急響應的管理與執行。

Q：采用怎么樣的方式來管理信息安全風險，需要開展哪些工作？

A：在業務需求及流程操作風險評估、項目風險自評估、技術風險（信息安全風險）評估的基礎上完善系統建設開發方案審批及風險管理機制，并建立正式的IT內控與安全檢查評估、漏洞掃描與滲透性等流程，將這些工作制度化、日常化，并與需求確定、驗收、上線審批、績效管理等相關工作進行結合。

Q：需要哪些信息安全風險管理制度，怎樣加強這些制度的執行？

A：包括IT 風險管理制度體系與信息安全制度體系，并明確相關政策管理流程以加強規范化管理、提高執行力度；同時應將信息安全風險控制措施融入各IT工作的相應制度中以提高其執行力度，并更新IT內控手冊對這些控制措施進行匯總與映射。

Q：需要哪些技術能力支撐信息安全風險管理？

A：在信息安全管理方面需要建立預防、檢測、響應、恢復的技術能力；在IT流程風險管理方面需要建立流程控制固化、績效與關鍵風險指標監控等技術能力；同時還需要針對全面的信息安全風險實現政策管理、控制點管理、風險敞口跟蹤等綜合管理能力。

Q：有哪些技術方案能夠提供信息安全風險管理需要的技術能力？

A：技術方案主要集中在較為成熟的信息安全技術領域。信息安全技術架構在信息安全基礎設施上定義了信息安全服務、網絡安全、應用安全、安全管理與安全工具體系，其中主要的技術方案包括安全信息與事件管理服務、身份與訪問管理服務、威脅與脆弱性管理服務、數據安全服務、網絡準入控制等。