ISO 27001

国际标准组织是一个独立的机构，其目标是为任何组织发布标准, 无论什么行业, 遵循. 正如他们在网站上所定义的那样，标准是“描述做某事的最佳方式的公式.这些标准包括质量和环境管理标准, 健康和安全标准, 食物安全标准及, 当然, 资讯保安标准. 标准以编号的系列发布，每个系列包含多个与主题事项的某个方面相关的单独文档. 在大多数情况下，每个系列中的“01”文档，e.g. 9001, 14001, 27001是组织可以通过认证的标准. 系列中的所有其他文件都是认证标准的支持文件.

ISO 27000系列是信息安全管理系统的既定系列.  管理制度就是政策, 程序, 以及为保密而实施的资源, 完整性, 以及信息的可用性. 27001标准， ISO / IEC 27001:2013 在撰写本文时，是组织可以认证的标准. 此ISO认证向相关方展示了组织致力于有效管理关键信息系统的风险和安全.

顺便说一下, IEC 在文件标题中指的是 国际电工委员会这是一个类似的标准组织，为涉及技术活动的ISO标准做出贡献.

总部位于美国的组织受制于许多指导网络安全和合规工作的行业和监管框架, ISO 27001是美国以外地区事实上的信息安全标准. 适用于与美国以外的客户和其他业务关系的组织, ISO认证通常被期望证明一个组织对有效的风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构，以确保其持续有效性. 必须证明这种有效性才能获得并保持认证. ISO不是一个“复选框安全”框架.

组织经常利用为ISO认证建立的信息安全管理系统来管理其他合规性举措，如SOC, 一种总线标准, 和HITRUST. 例如, 他们正在进行ISO年度内审, 他们利用这个机会来验证控制是否仍然满足其他遵从性标准的要求. 然后, 作为ISO认证管理评审计划的一部分, 他们利用这个机会审查他们的其他合规性计划，以确定范围的变化, 风险或威胁环境的变化, 以及任何相关的内部审计结果. 适用于寻求上级管理层批准以获得ISO认证的安全经理, 这是一个有效的工具来证明建立和维护ISO合规程序所需的资源.

ISO标准文档遵循一种通用的格式，即内容被划分为编号的子句. 子句定义给定标准的范围, 提供其他支持或依赖标准的参考, 定义标准中使用的术语和定义, 并建立标准的要求或期望. 标准通常包括附件或附录，为上述条款中的要求和期望提供支持指南.

ISO 27001标准由26个条款和114项控制要求组成. 这些条款确立了组织必须具备的信息安全管理体系(ISMS)的基本要素，以管理风险和保护信息. 这些要求是ISO 27001标准所独有的. 与其他信息安全遵从性框架不同, 这些条款为ISMS的持续指导和监督建立了要求. 其中包括组织风险评估等活动 而且 处理分析，ISMS的定期执行管理评审，每年一次 内部 对ISMS的审核，以及对安全控制的有效性的持续监测和测量.

标准的下半部分，标题 附件一个，包括iso27001控制要求. 控制需求对于信息安全从业人员来说更为熟悉，因为它们是组织用于处理安全风险和威胁的战术需求. 其中包括访问和身份验证, 日志记录, 加密, 事件响应, 以及组织作为其各种安全性和遵从性计划的一部分实现的其他控制类别. 与一些网络安全框架不同，ISO控制要求不是规定性的. 换句话说, ISO 27001没有规定最低密码设置, 日志保留期, 或者加密密钥长度.  相反，ISO建立了必须的控制 被认为是 组织机构. 然后，组织确定哪些控制适用于环境，哪些控制可以充分处理已识别的风险. 审计师的角色, 因此, 是确定控制是否按照定义实施，以及它们是否充分解决了实施控制所针对的风险.

ISO 27001是法律要求吗? ISO 27001本身并不是一项法律要求. 组织可能, 然而, 建立获得和/或维持ISO 27001认证的合同义务，作为业务关系的一部分. ISO 27001认证可被组织利用和/或接受，作为证明遵守行业和法规信息安全要求的一种手段.

而一个组织的ISMS解决了组织硬件的多个方面的安全性, 软件, 数据资产, ISO 27001标准的重点是保密性, 完整性, 以及信息的可用性.

1. 保密是保护信息不受未经授权的访问.
2. 完整性是保护信息不受未经授权的修改.
3. 可用性是在需要时可以访问信息的保证.

获得ISO 27001认证的最终结果是组织可以向其客户保证, 业务合作伙伴, 以及其他相关方，该组织负责的信息被泄露的风险最小.

ISO / IEC 27001:2013是27000信息安全管理系统系列的众多标准和支持文件之一. 虽然在27000系列中有一些相关的指南和支持文档, 27001是目前该系列中唯一一个组织可以通过认证的标准.

组织必须由独立的第三方进行审计. 任何审核员都可以颁发证书，但建议聘请审核员 认证 ISO 27001认证机构进行审核. 经认可的认证机构本身要接受定期的独立审计，以确认其信誉良好, 主管, 和值得信赖. 这为组织提供了保证, 任何利益相关方, 审计已经进行, 以及根据所有相关ISO标准颁发的证书.

成功通过ISO 27001初始认证审核, 组织必须证明他们的ISMS是完全实施和有效的. 要做到这一点, 组织将需要实施ISO 27001条款和附件A控制中建立的所有要求. 为了证明这种有效性, ISO审核员通常会寻找PDCA(计划-执行-检查-行动)循环的完整迭代. 对于已经建立了ISMS组件和控制的成熟组织, 这可能只需要四到六个月的时间来准备初始认证. 为他人, 可能需要至少一年的时间来建立ISMS和相关控制，为其初始认证审核做好准备.

由于初次审核需要大量的准备工作, 许多组织聘请第三方协助建立ISMS. 第三方可能只是在组织实施ISMS时进行监督和提供指导, 或者他们可能完全或部分地参与到工作中. 不管他们有多努力, 提供实施援助的第三方不应和, 根据一些认证机构, 不能同时进行组织的认证审核. 这有助于避免实现实体和审计实体之间的利益冲突.

ISO 27001认证是一项重要的工作, 这取决于组织的业务和遵从义务, 能证明付出的努力是值得的. 而不是仅仅追求复选框的一致性, ISO要求组织建立健全的信息安全管理体系. 它不仅能实现既定的遵从性目标，而且能加强组织的整个安全和遵从性计划. 通过建立ISMS，不仅可以保护组织免受威胁，还可以提供强大的管理支持系统，确保持续的有效性, 你不必认为你已经为认证做好了准备, 你就会知道!

ISO / IEC 27001:2013实施协助

ISO / IEC 27001:2013规定了维护组织信息安全管理系统(ISMS)的要求. 这些要求包括设施, 实现, 监控, 审查, 维护, 完善信息安全控制结构. 这允许组织以系统和可预测的方式评估其安全风险.

金沙乐娱app下载信息安全部将与金沙乐娱app下载的客户一起帮助他们准备ISO / IEC 27001:2013认证. 要做到这一点, 金沙乐娱app下载将首先进行一个研讨会式的会议，其中可能包括有限的技术测试, 识别和验证ISMS的技术边界. 下一个, 金沙乐娱app下载将审查相关文件，并对执行任务的关键人员进行面谈, 管理, 或监督ISMS的资讯科技运作及保安功能. 最后, 金沙乐娱app下载为建立和执行所需的ISMS组件以及ISO / IEC 27001:2013中规定的控制提供分步指导，以确保ISMS为成功的初始认证审核做好准备.

对ISO 27001有疑问吗? 金沙乐娱app下载可以帮助您符合ISO标准. 联系 金沙乐娱app下载现在.