ISO27001信息安全管理體系

標(biāo)準(zhǔn)解讀

國(guó)際標(biāo)準(zhǔn)化組織（ISO/IEC）頒布了多個(gè)管理體系標(biāo)準(zhǔn)，這些體系包括信息安全、環(huán)境、質(zhì)量、職業(yè)健康安全等多個(gè)領(lǐng)域。為了解決這些管理體系的成文結(jié)構(gòu)混亂不一的情況，ISO/IEC就提出和規(guī)定了相通的核心正文，核心定義的通用術(shù)語(yǔ)和相同的章節(jié)順序，即“高階結(jié)構(gòu)”（HLS）。

高階結(jié)構(gòu)是指十個(gè)章節(jié)：（1）范圍；（2）規(guī)范性引用文件；（3）術(shù)語(yǔ)和定義；（4）組織環(huán)境；（5）領(lǐng)導(dǎo)；（6）規(guī)劃；（7）支持；（8）運(yùn)行；（9）績(jī)效評(píng)價(jià)；（10）改進(jìn)。 可以理解為以PDCA為框架的過(guò)程方法結(jié)構(gòu)。

有個(gè)比較大的變化就是使用導(dǎo)則83編寫(xiě)，規(guī)范了今后ISO管理體系認(rèn)證標(biāo)準(zhǔn)的基礎(chǔ)框架。

導(dǎo)則 83 是對(duì)編寫(xiě)國(guó)際標(biāo)準(zhǔn)的要求，基于 P（plan 策劃 - 確定范圍 & 風(fēng)險(xiǎn)評(píng)估）D（實(shí)施 - 設(shè)計(jì) & 實(shí)施）C（檢查 - 監(jiān)控 & 評(píng)審）A（改進(jìn) - 改進(jìn)ISMS） 框架的目錄章節(jié)，所以基于導(dǎo)則83編寫(xiě)的標(biāo)準(zhǔn)目錄和章節(jié)都是一樣的，方便整合。

ISO/IEC27001:2022標(biāo)準(zhǔn)同樣采用該高階結(jié)構(gòu)。標(biāo)準(zhǔn)主要框架如下：

標(biāo)準(zhǔn)定位：

ISO/IEC 27001標(biāo)準(zhǔn)提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)信息安全管理體系的要求。采用信息安全管理體系是組織的一項(xiàng)戰(zhàn)略性決策。組織信息安全管理體系的建立和實(shí)現(xiàn)受組織的需要和目標(biāo)、安全要求、組織所采用的過(guò)程、規(guī)模和結(jié)構(gòu)的影響。所有這些影響因素可能隨時(shí)間發(fā)生變化。

信息安全管理體系通過(guò)應(yīng)用風(fēng)險(xiǎn)管理過(guò)程來(lái)保持信息的保密性、完整性和可用性，并為相關(guān)方樹(shù)立風(fēng)險(xiǎn)得到充分管理的信心。

重要的是，信息安全管理體系是組織的過(guò)程和整體管理結(jié)構(gòu)的一部分分并集成在其中，并且在過(guò)程、信息系統(tǒng)和控制的設(shè)計(jì)中要考慮到信息安全。期望的是，信息安全管理體系的實(shí)現(xiàn)程度要與組織的需要相符合。

ISO/IEC 27001標(biāo)準(zhǔn)可被內(nèi)部和外部各方用于評(píng)估組織的能力是否滿足自身的信息息安全要求。

ISO/IEC 27001本標(biāo)準(zhǔn)中所表述要求的順序不反映各要求的重要性或者這些要求要予實(shí)現(xiàn)的順序。條款編號(hào)僅為方便引用ISO/IEC/IEC 27000描述了信息安全管理體系的概要和詞匯，引用了信息安全管理體系的標(biāo)準(zhǔn)族(包括ISO/IEC27003、ISO/IEC 27004、ISO/IEC 27005)，以及相關(guān)術(shù)語(yǔ)和定義。

各章節(jié)主要內(nèi)容如下：

范圍（Scope）：這一章節(jié)描述了標(biāo)準(zhǔn)的應(yīng)用范圍，即建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系（ISMS）。重點(diǎn)是確保標(biāo)準(zhǔn)適用于所有類型和規(guī)模的組織。

規(guī)范引用（Normative References）：提供了實(shí)施ISO/IEC 27001所需的參考文檔。重點(diǎn)是確保組織有正確的參考資料來(lái)實(shí)施和維護(hù)ISMS，包括其他相關(guān)的ISO標(biāo)準(zhǔn)和指南。

術(shù)語(yǔ)和定義（Terms and Definitions）：定義ISO/IEC 27001中使用的特定術(shù)語(yǔ)。重點(diǎn)是確保所有使用者對(duì)標(biāo)準(zhǔn)中的術(shù)語(yǔ)有統(tǒng)一的理解。

組織環(huán)境（Context of the Organization）：要求組織確定外部和內(nèi)部問(wèn)題，理解利益相關(guān)者的需求和期望，以及定義ISMS的范圍。重點(diǎn)是確保ISMS與組織的業(yè)務(wù)目標(biāo)和環(huán)境相適應(yīng)，包括法律、技術(shù)和市場(chǎng)環(huán)境。

領(lǐng)導(dǎo)（Leadership）：強(qiáng)調(diào)了管理層對(duì)于建立、實(shí)施和維護(hù)ISMS的責(zé)任。重點(diǎn)是確保管理層的承諾和領(lǐng)導(dǎo)，以支持ISMS的成功實(shí)施。這包括建立信息安全政策，確保資源的分配，以及建立角色和責(zé)任。

規(guī)劃（Planning）：要求組織進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理，以及建立信息安全目標(biāo)。重點(diǎn)是確保組織有明確的計(jì)劃來(lái)管理信息安全風(fēng)險(xiǎn)，包括識(shí)別資產(chǎn)、威脅和漏洞，評(píng)估風(fēng)險(xiǎn)的可能性和影響，以及選擇適當(dāng)?shù)目刂啤?span lang=EN-US>

支持（Support）：涉及到實(shí)施ISMS所需的資源、能力和意識(shí)，以及文檔化信息。重點(diǎn)是確保組織有足夠的資源和能力來(lái)實(shí)施和維護(hù)ISMS，包括人員、技術(shù)和財(cái)務(wù)資源，以及員工的培訓(xùn)和意識(shí)提高。

運(yùn)行（Operation）：要求組織執(zhí)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃，以及管理變更。重點(diǎn)是確保ISMS的日常運(yùn)行符合計(jì)劃，包括實(shí)施選定的控制，管理ISMS的變更，以及應(yīng)對(duì)信息安全事件。

績(jī)效評(píng)價(jià)（Performance Evaluation）：涉及到監(jiān)控、測(cè)量、分析和評(píng)估ISMS的效果，以及內(nèi)部審計(jì)和管理評(píng)審。重點(diǎn)是確保ISMS的效果和有效性得到定期評(píng)估和審查，以檢查其是否符合組織的信息安全政策和目標(biāo)，以及法律和合同要求。

改進(jìn)（Improvement）：要求組織根據(jù)ISMS的績(jī)效評(píng)估結(jié)果進(jìn)行持續(xù)改進(jìn)。重點(diǎn)是確保組織有機(jī)制來(lái)識(shí)別和實(shí)施ISMS的改進(jìn)，包括修正不符合項(xiàng)，以及改進(jìn)ISMS的績(jī)效和效果。

附錄A（Annex A）：這一部分提供了一系列建議的控制，組織可以根據(jù)自己的風(fēng)險(xiǎn)評(píng)估結(jié)果選擇適當(dāng)?shù)目刂?。重點(diǎn)是提供一個(gè)全面的控制列表，以幫助組織管理信息安全風(fēng)險(xiǎn)。

正文解析

ISO/IEC27001的正文分為8章，分別為:

①范圍;

②規(guī)范性引用文件;

③術(shù)語(yǔ)和定義;

④信息安全管理體系;

⑤管理職責(zé);

⑥內(nèi)部信息安全管理體系審核;

⑦信息安全管理體系的管理評(píng)審;

⑧信息安全管理體系的改進(jìn):