ISO27001信息安全管理体系具体要求学习笔记

ISO27001制定背景

ISO27000 从诞生到现在只不过 20 年间的事情，但基本上可以看出一个标准 “源于生活，高于生活”的发展特点，也就是说，一个真正普遍适用并能被普遍接受的标准，必然是能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的。
BS7799 最初是由英国贸工部(DTI)立项的，是业界、政府和商业机构共同倡导的，旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。负责标准开发和管理工作的 BSI—DISC Committee BDD/2 是由来自贸易和工业部门的众多代表共同组成的，其成员在各自的领域都具有足够的影响力，包括金融业的英国保险协会、渣打会计协会、汇丰银行等，通信行业有大英电讯公司，还有像壳牌、联合利华、毕马威(KPMG)等这样的跨国机构。
1995 年，BS7799—1:1995《信息安全管理实施细则》首次出版(其前身是 1993 年发布的PD0005，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。
在随后一段时间里，由于电子商务的发展，由此引发客户、供应商、贸易伙伴间对各自信息保护能力的信任问题，促使第三方认证成为一个急需。信息安全管理遵循一套最佳惯例，但怎样做的？执行程度如何？是否完备？这就需要有一个共同的尺度来进行衡量。
1998 年，BS7799—2:1998《信息安全管理体系规范》公布，这是对 BS7799—1 的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理
体系评估的基础，可以作为认证的依据。至此，BS7799 标准初步成型。
1999年4月，BS7799的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。
新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前
版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。
由于 BS7799 日益得到国际认同，使用的国家也越来越多，2000 年 12 月，国际标准化
组织 ISO/IEC JTC 1/SC27 工作组认可 BS7799—1:1999，正式将其转化为国际标准，即所颁布
的 ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。作为一个全球通用的标准，
ISO/IEC 17799 并不局限于 IT，也不依赖于专门的技术，它是由长期积累的一些最佳实践构成的，是市场驱动的结果。
2002 年，BSI 对 BS7799:2—1999 进行了重新修订，正式引入 PDCA 过程模型，以此作为建立、实施、持续改进信息安全管理体系的依据，同时，新版本的调整更显示了与
ISO9001:2000、ISO14001:1996 等其他管理标准以及经济合作与开发组织(OECD)基本原则的一致性，体现了管理体系融合的趋势。2004 年 9 月 5 日，BS7799—2:2002 正式发布，随即提交 ISO 并迈入“快速通道”。
2005 年 6 月，ISO/IEC 17799:2000 经过改版，形成了新的 ISO/IEC 17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。紧接着，被期待已久的BS7799—2:2002 也终于被 ISO 组织所采纳，于同年 10 月推出了 ISO/IEC 27001:2005。
2007 年 10 月，ISO/IEC 17799:2005 被正式纳入 ISO27000 体系，成为 ISO27002:2007。
2013 年 9 月，ISO/IEC 27001:2005 经过改版，形成了新的 ISO/IEC 27001:2013，新版本
从原先 8 个章节扩展到 10 个章节，重建了 ISO 标准 PDCA 章节架构，并将旧版 11 个控制域扩展到 14 个，使结构更合理，表现更清晰。
作为认证标准，ISO27000 系列中最关键的还是 ISO27001，所以，人们更习惯以 ISO27001来直接代表此系列信息安全管理标准。

ISO27001 基本框架

ISO/IEC 27001:2013 采用了 ISO Guide 83 的通用架构，该导则对管理体系标准在架构、格式、通用短语和定义方面进行了统一，同时也是 ISO 组织未来所有管理制度制定时的重要依据。此通用架构将确保今后编制或修订管理体系标准的持续性、整合性和简单化，这也将使标准更易读、易懂，有利于不同管理体系间进行接轨、整合。
第一个采用导则 83 的标准是 2013 年年 5 月发布的业务连续管理体系标准——ISO22301:2012。预计已颁布的标准如 ISO9000/ ISO20000 未来的改版也将采用了 ISO Guide 83 的通用架构。
在这里插入图片描述
该标准第 1-3 章主要阐明了该标准的适用范围、引用的文件及术语和定义。
第 4 章属于 Plan 阶段的一个组成部分。该章节介绍了建立适用于组织信息安全管理环
境的必要要求，包括需求、要求与范围。涉及了解组织现状及背景、明确建立信息安全管理
体系的目的、理解相关方的需求与期望、确定信息安全管理体系范围。
第 5 章属于 Plan 阶段的一个组成部分。该章节总结了最高管理层在信息安全管理体系
中承担角色的具体要求，以及如何通过一份声明的策略来向组织传达领导层的期望。涉及了
领导力和承诺、信息安全方针目标，以及角色、职责和承诺。
第 6 章属于 Plan 阶段的一个组成部分。该章节介绍了处理风险和机遇的行动，以及可
实现的信息安全目标与实现计划。涉及了信息安全风险评估、风险所有者、信息安全风险处
置、适用性声明、信息安全目标。
第 7 章属于 Plan 阶段的一个组成部分。该章节详细叙述了建立、实施、保持和改进一
个有效的信息安全管理体系所需要的支持。包括:资源要求、参与人员的能力、意识、与利益
相关方沟通、文档化信息。
第 8 章属于 Do 阶段的一个组成部分。该章节描述了组织信息安全体系实施中的必要过
程，涉及运行计划及控制、信息安全风险评估、信息安全风险处置。
第 9 章属于 Check 阶段的一个组成部分。该章节总结了度量 ISMS 执行、ISMS 与国际标
准及管理层期望的符合性、寻求管理层期望反馈的要求，涉及监控、度量、分析和评价，内
部审核，管理评审。
第 10 章属于 Action 阶段的一个组成部分。该章节描述了组织应通过纠正行动来识别和
改进不符合项，涉及不符合项不纠正措施、持续改进。

ISO/IEC 27001:2013 版变化

ISO27001:2013 版对标准架构进行了大幅修改，以适应未来管理体系标准中使用的新的架构，简化与其他管理体系的整合。标准新版删除了旧版中重复、不适用的内容，结构上更清晰，内容上更精炼，逻辑上更严谨，并且在管理要求的定义上变得更具弹性，给予组织更灵活的实施空间。
2005 版原本有 11 个控制域、133 个控制项，2013 标准调整为 14 个控制域、114 个控制项。控制项变化:增加了 11 个控制项、删除了 20 个控制项、合并移动减少 10 个控制项，总计减少了 19 个控制项
在这里插入图片描述

ISO27001 具体解读

本标准给出了信息安全管理体系的基本要求，为信息安全管理体系的建立、实施、运行和保持改进提供了有效的参考。采用信息安全管理体系应是组织的一项战略决策。
信息安全管理的本质是风险管理，组织可以通过信息安全管理体系的建设来保护组织信息的保密性、完整性、可用性，并对相关风险进行有效的管控。信息安全管理体系应建立在组织的管理架构和管理流程之上，脱离了组织的经营宗旨和经营环境谈信息安全是没有意义的。
信息安全的建设是一个系统工程，它需求对信息的各个处理环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内外环境的不断变化，任何环节上的缺陷都会对企业信息安全构成威胁。在这里我们可以引用管理学上的木桶原理加以说明。木桶原理指的是:一个木桶由许多块木板组成，如果组成木桶的这些木板长短不一，那么木桶的最大容量不取决于长的木板，而取决于最短的那块木板。这个原理同样适用信息安全。一个组织的信息安全水平
将由与信息安全有关的所有环节中最薄弱的环节决定。信息从产生到销毁的生命周期过程中包括了产生、收集、加工、交换、存储、检索、存档、销毁等多个事件，表现形式和载体会发生各种变化，这些环节中的任何一个都可能影响整体信息安全水平。要实现信息安全目标，一个组织必须使构成安全防范体系这只“木桶”的所有木板都要达到一定的长度。