ISO27001信息安全管理體系（ISMS）

1.1.信息安全管理體系的特點
BS7799（ISO27001）標準要求基于 PDCA 管理模型來建立和維護信息安全管理體系(ISMS)。BS7799-2:2002 標準中，明確指出 ISMS 系統一定要符合 PDCA「規(guī)劃—實施—審核—行動(Plan–Do--Check--Action)」的循環(huán)，透過這樣的方式運行，以達到信息安全管理控制的目的。為了實現 ISMS，組織應該在計劃(Plan)階段通過風險評估來了解安全需求，然后根據需求設計解決方案；在實施(Do)階段將解決方案付諸實現；解決方案是否有效？是否有新的變化？應該在檢查(Check)階段予以監(jiān)視和審查；一旦發(fā)現問題，需要在措施(Act)階段予以解決，以便改進 ISMS。通過這樣的過程周期，組織就能將確切的信息安全需求和期望轉化為可管理的信息安全體系。


1.2.ISO27001 信息安全管理體系方面的主要任務
企業(yè)信息安全現狀的調研評估：全面、準確地了解公司的信息安全現狀；
信息資產的識別與安全風險的評估：量化分析公司的信息安全風險；
建立安全策略及管理體系：結合國際國內的最佳實踐，制定公司信息安全體系建設規(guī)劃并編寫有關技術建議方案和制度策略，為安全體系建設提供保障和指導；
促進安全策略落實與實施：協助通過引入先進的漏洞掃描系統提高現有 IT 系統的安全性；
信息安全內部審計師/審核員的培訓及審計實施；
識別影響業(yè)務連續(xù)性的風險，制定 BCP（業(yè)務連續(xù)性計劃）/DRP（災難恢復計劃）；
知識轉移：向組織培訓并提供一系列國際先進的標準及優(yōu)秀的參考模型、輔助工具以及技術落實手段，幫助企業(yè)內部建立真正懂得信息安全的專家級人員團隊；
項目推進：建立順暢的溝通渠道，從而保證項目按時按質完成 。

1.3.建立信息安全管理體系的意義
(1) 建立貫穿整個供應鏈的信息安全系統，最大限度減少企業(yè)危機；
(2) 促使管理層堅持貫徹信息安全保障體系；
(3) 對組織的關鍵信息資產進行全面系統的保護，維持競爭優(yōu)勢；
(4) 在信息系統受到侵襲時，確保業(yè)務持續(xù)開展并將損失降到最低程度；
(5) 時間與資源的利用最大化；
(6) 使組織的生意伙伴和客戶對組織充滿信心；
(7) 建立一套完整的信息安全管理體系，在人員參與的過程中建立起所有使用者對信息安全的認同感及警覺意識的提高，強化員工的信息安全意識，規(guī)范組織信息安全行為，降低信息安全事件對信息的沖擊及發(fā)生的機率，大大提升內部信息安全等級；
(8) 公眾形象及社會關系：如果通過 BS7799/ISO27001 信息安全管理體系認證，表明體系符合標準，證明組織有能力保障重要信息，它所產生的信息以及對它給予的關注都將有助于公司與相關方之間建立良好的聯系并得到他們的認同，提高組織的知名度與信任度；
(9) 市場準入：BS7799/ISO27001 可能成為貿易的一個先決條件。公司可以把國際標準作為實現預期商業(yè)目標的途徑之一。顧客們可能會要求他們的供應商達到特定的信息安全管理目標并擁有 BS7799/ISO27001 認證，以確保信息安全目標的實現；
(10) 財政市場：擁有一個國際認可的、恰當的信息安全管理體系將提高投資者對資本的信心以及對資本投入，同時將為得到的優(yōu)惠的保險率提供了潛在的渠道。

1.4.ISO27001信息安全管理體系換版要求
新版與舊版相比主要有三大差異：一、管理體系更容易整合；二、融入企業(yè)面臨的新挑戰(zhàn)；三、更多指引延伸參考。說明如下：
(1) 易整合：
以前各管理系統對管理制度面的要求有不太一致的描述方式，且章節(jié)不一。例如管理制度的PDCA（Plan，Do，Check，Act）、政策與高級支持等管理制度面要求不同。在新版當中采取Annex SL做結構性要求，讓不同管理系統易于接軌、整合。Annex SL的高級結構是ISO組織未來所有管理制度制定時的重要依據，目前已經有ISO 22301（前BS 25999營運持續(xù)管理系統）和這次的ISO 27001新版都已采此結構進行調整。預計已頒布的標準如ISO9000/ ISO20000未來的改版也將以相同的思路進行調整。
(2) 新要求：
ISO 27001:2005原本有11個領域（domain）、133項控制措施，新版DIS目前調整為14個領域（A.5-A.18）、113個控制措施（未來仍可能有改動）。新增的領域是將原分散在各領域中的部分控制目標級別提升，組成新領域，如加密與供應鏈管理因其重要性而被獨立出來成為新領域；或是將原有領域分拆，如將通訊與作業(yè)管理分開成兩個獨立的領域，以反映目前信息安全的發(fā)展趨勢。而控制措施的減少則是通過合并重復的項目來進行，像變更管理在不同的領域中有重復就予以合并。也有新增的控制項目比如對智能型裝置的管理、強化ICT供應鏈的委外管理、以及系統開發(fā)項目管理的信息安全要求等。
(3) 更多參考：
此次ISO也新增許多指引供企業(yè)參考，組織可以通過不同的面以及風險進行深度的強化，通過ISO 27001驗證只是基本要求。目前ISO 27000系列指引編號已超過44號（001-044），例如金融服務、數字鑒識、供應鏈管理（4本）、軟件開發(fā)測試等，主管機關可參考這些指引做升級的要求。?　　對于目前正在準備ISO 27001的企業(yè)，建議無須等待新版，按照原訂進度先取得27001:2005驗證，在緩沖期結束前轉到新版即可，新版會向下兼容接軌。