什么是 ISO 27001？

ISO/IEC 27001 是一项信息安全管理标准，指定公司如何管理与信息安全威胁相关的风险。包括政策、程序和员工培训。

ISO/IEC 27001由国际标准化组织和国际电工委员会联合发布。它定义了一个经过认可的标准，通过信息安全指南、旨在保护组织的数据资产免遭丢失或未经授权的访问的要求以及认证来证明对信息安全管理的承诺。

ISO 27001 包括风险评估流程、组织结构、信息分类、访问控制机制、物理和技术安全措施、信息安全政策、程序、监控和报告指南。

这是有关安全合规性的系列文章的一部分。

在本文中：

• 什么是 ISO 27001？
• 什么是信息安全管理系统 (ISMS)？
• ISO 27001 如何运作？
  • ISO 27001 条款
  • ISO 27001 控制
• 遵守 ISO 27001 的好处
  • 改进安全实践
  • 协助监管合规
  • 建立问责制
• 如何获得 ISO 27001 认证

什么是信息安全管理系统 (ISMS)？

信息安全管理系统 (ISMS) 是一组用于系统管理组织敏感数据的策略和程序。ISMS 的目标是主动限制安全漏洞的影响，以最大限度地降低风险并确保业务连续性。

ISMS 通常包括员工行为和流程、数据和技能。它可以针对特定类型的数据，例如客户数据，也可以以包容性的方式实施，成为企业文化的一部分。

ISMS 提供了管理组织信息安全的系统方法。信息安全包括用于控制和管理整个组织的安全风险级别的具体广泛策略。

ISO/IEC 27001 是创建信息安全和 ISMS 的国际标准。

ISO 27001 如何运作？

ISO 27001 的重点是保护企业内信息的机密性、完整性和可用性。这包括识别信息的潜在问题（风险评估）以及为防止问题发生而必须采取的措施（风险缓解）。

一般来说，该标准侧重于定义风险管理流程。实际上，这涉及识别存在风险的地方并实施安全控制来系统地解决该风险。ISO 27001 要求公司在名为“适用性声明”的文件中记录其实施的所有控制措施。

ISO 27001 条款

ISO 27001 2013 年最新修订版包括 11 个条款（包括“0”）和一个列出具体控制措施的附件。每个条款包含几个子条款（引言除外）。前三个条款是可选的，其余条款是强制性的（需要实现合规性）。

条款是：

• 简介——定义标准的目的。
• 范围——提供标准中详细要求的概述。它解释说，该标准是通用的，与许多行业和企业相关。
• 规范性引用——本条款描述了 ISO 27001 和 ISO 27000 之间的关系。
• 术语和定义——建立标准中使用的术语。
• 组织环境——解决利益相关者、外部和内部安全问题以及合规性要求（第一个“强制性”条款）。
• 领导力— 强调高级管理人员对 ISO 27001 合规性的支持，解释最高管理层的职责。
• 规划——解决风险评估和管理。它规定创建衡量 ISMS 绩效的目标。组织必须定义风险评估、分析和处理的标准。
• 支持——解决实施和支持 ISMS 所需的资源。
• 运营——解释组织如何将其计划付诸行动。
• 评估性能——满足衡量 ISMS 性能和最大限度提高安全性的需求。它包括监控和评估安全策略、控制和程序的要求，包括内部审计和审查。
• 改进——解决不符合先前条款的问题，并为持续改进信息安全系统提供指导。

ISO 27001 控制

除了这些条款之外，附件 A 还描述了安全控制措施，以促进遵守标准的要求。控制类型包括：

• 信息安全策略——确保策略符合组织的安全目标和实践。
• 组织信息安全——为每项任务分配责任。
• 人力资源——确保员工了解自己的义务。
• 资产管理——识别您的信息资产并建立相关的安全责任。
• 访问控制——确保员工只能查看相关信息。
• 加密控制——维护数据完整性和机密性。
• 物理控制——防止未经授权访问数据、设备和场所。
• 通信控制——保护网络和数据。
• 供应商关系管理——管理与第三方的合同。
• 信息安全事件管理——有效管理和报告安全事件。
• 业务连续性管理——最大限度地减少业务中断。
• 合规控制——确保遵守相关法规和法律。

相关内容：阅读我们的 ISO 27001 检查表指南

遵守 ISO 27001 的好处

以下是 ISO 20001 的三个主要优点：

改进安全实践

遵守 ISO 27001 标准可以增强组织的安全态势。识别和补救风险，并定义负责风险管理的人员和流程，可以减少安全事件的脆弱性，并减轻安全事件发生时的影响。这可以帮助组织避免事件响应、数据恢复、业务和声誉损失以及监管罚款的高额成本。

协助监管合规

ISO 27001 是一项全球标准，已被用作许多国际数据隐私法的基础。例如，GDPR 要求所涵盖的实体遵守 ISO 27001 标准，而澳大利亚的数字安全政策就是为了遵守 ISO 27001 标准而特意创建的。

虽然 ISO 27001 认证并不能保证完全符合所有数据安全法规，但它代表了朝着实现数据隐私合规目标的正确方向迈出了一大步。

建立问责制

ISO 27001 的另一个好处是它要求组织建立信息风险责任制。这种透明的指挥链有助于澄清角色和流程，并随着信息资产的增长保持适当的访问控制。

如何获得 ISO 27001 认证

ISO 27001 认证过程可能需要很长时间，有时甚至超过一年。ISO 本身并不颁发 ISO 27001 认证，而是由经认可的认证机构的独立审核员验证该公司是否已根据既定 ISO 标准成功应用了所有必需的最佳实践。

由于此结构和框架侧重于风险管理而不是基本的技术控制，因此全面的 ISO 27001 合规性检查表无法保证获得认证。每家公司都可以自由选择如何实施该框架，审计师利用他们的专业判断来评估每种情况。

当公司准备聘请审核员或认证机​​构时，必须经过一系列步骤才能获得认证：

• 高级别审核——外部审核员或认证机​​构对组织的 ISMS 进行高级别审核。此步骤可确保您的组织为第二个更详细的步骤做好准备。ISO 27001 审核可能会因缺乏关键文件、缺乏管理支持或对指标的误解而失败。
• 全面审核——进行更彻底的审核，检查您的组织对特定安全程序的实施情况，以满足概述的标准。在此阶段，审计师寻找公司已执行第一阶段提供的文件中描述的所有行动的证据。
• 后续审核——官方认可的公司必须接受年度后续审核，以保持对 ISO 27001 的遵守。如果年度后续审核发现重大信息安全风险，ISO 27001 认证可能会在指定的到期日期之前被撤销。

使用 HackerOne 进行 ISO 27001 管理

LvBuG 通过了 ISO 27001 认证，并以最高级别的信息安全责任来运营我们的业务。我们的 CISO 和合规团队已制定政策、程序和定期培训，以确保整个公司共同努力确保信息安全。该认证为我们的平台和产品组合奠定了安全基础，因此我们的客户对 LvbuG 作为值得信赖的安全合作伙伴充满信心。