ISO 27001信息安全管理体系标准的前身为英国的BS 7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。2005年,BS 7799-2:2002被国际标准化组织(ISO)组织所采纳,于同年10月推出ISO/IEC 27001:2005。目前现行的ISO27001:2013标准于2013年10月19日由国际标准化组织(ISO)正式颁布实施,新的版本近期会更新发布。
ISO 27001信息安全管理体系标准规定了建立、实施和文件化信息安全管理体系的要求,根据独立组织的需要应实施信息安全控制的要求,全面或部分信息安全管理体系评估的基础。目前,在信息安全管理方面,ISO27001已经成为世界上应用最广泛与典型的信息安全管理标准。
自2005年国际标准化组织(简称:ISO)将BS 7799转化为ISO 27001发布以来,此标准在国际上获得了空前的认可,相当数量的组织采纳并进行了信息安全管理体系的认证, 至2011年底,国际上颁发的ISO 27001认证证书总数约为15625张,截止2022年9月30日,全国有效信息安全管理体系认证证书量已达到32542张,同时,最近五年,ISO27001证书量同比增幅远超其他体系。越来越多的行业和组织认识到信息安全的重要性,并把它作为基础管理工作之一开展起来,成为企业核心竞争力的重要标志。
首先是确立管理体系适用的范围 需要覆盖公司的各个职能部门,也可以覆盖公司信息系统相连的外部机构,如供应商、合作伙伴等。同时从系统层次考虑覆盖网络系统、服务器平台系统、应用系统、数据、安全管理以及支撑信息系统的场所和所处的周边环境及场所内保障计算机系统正常运行的设施设备等。 企业安全管理类的风险评估 安全管理类风险评估的内容包括ISO27001信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。 企业安全技术类的风险评估 安全技术类评估是基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。 规划体系建设方案 规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。 信息安全体系的建设与运行 信息安全体系是在信息安全模型与企业信息化的基础上建立的,体系应该兼顾内外安全的功能。规划信息安全技术可以从安全基础设施、网络、系统、应用等四个方面进行规划。 持续性改进 ISO27001认证标准的信息安全管理体系文件编制完成以后,按照文件控制的要求进行审核批准,向各部门发放先行有效的体系文件,保留体系运行过程中的记录,并定期进行内审和管理评审,对不符合或潜在不符合项进行纠正和预防措施,不断改进信息安全管理体系。 组织实施信息安全管理体系,通过ISO27001标准认证,表示企业已经建立了一套科学有效的体系作为保障,为企业带来全面的价值提升,包括但不限于以下五个方面: 提升企业品牌形象 企业实施信息安全管理体系并通过第三方认证机构相关认证,能向公众和外部客户展示自身的管理水平,能向外部证明自身管理能力符合相关信息安全标准及相关法律法规的要求,体现企业较于同业企业的竞争优势。 其他资质前置条件 目前有许多IT行业内通用的证书如业务连续性管理体系(ISO22301)、 云服务信息安全管理体系、(ISO27017)云隐私保护体系、(ISO27018)隐私信息安全管理体系(ISO27701)、个人身份信息保护管理体系(ISO21951)、国际云安全认证(C-STAR)等,在申报这些认证证书时,申报企业需要提前建立ISO27001管理体系并通过第三方认证。 提高企业信息安全管理能力 通过实施ISO27001,按照PDCA模型建立信息安全管理自我约束机制,有助于企业识别信息安全风险并加改进规避,减少可能存在的安全隐患,降低潜在安全事件发生给企业带来的损失,规范企业各个部门各个岗位的职责,提升员工信息安全意识,不断改善,有效预防,最终实现组织的良性发展。 满足市场准入需求 各类体系认证证书是IT行业招投标的敲门砖,不同证书在不同的投标标的会有不同的分数占比。部分项目标的甚至明确要求ISO27001认证证书作为准入门槛。 获取政府财务支持 为相应国家相关行业政策,推进区域企业高质量发展,鼓励企业提升自身信息安全管理能力,各地主管部门对本地区通过第三方认证的企业有不同的财务补贴政策。 2022年ISO27001全国补贴政策如下: 地区 部门 奖励方案 上海青浦 区政府 首次获得ISO27001信息安全管理体系一次性奖励10万元 苏州相城 经信局 对通过ISO27001信息安全管理体系一次性奖励5万元 扬州经开 管委会 对新通过ISO27001信息安全管理体系的企业2万元奖励 宿迁沭阳 县政府 通过信息安全管理体系认证的企业奖励5万元 深圳市 商务局 服务外包企业在规定年度内取得信息安全管理体系认证及其维护升级给予实际发生额的50%,总额不超过50万的补助 杭州临平 区政府 对通过信息安全管理体系权威机构认证的企业奖励5万元 宁波市 区政府 软件企业首次通过ISO27001信息安全管理体系一次性奖励10万元 温州市 市政府 首次通过ISO27001信息安全管理体系认证的企业给予实际认证费用的50%总额不超过15万元奖励 金华市 商务局 对首次获得ISO27001信息安全管理体系认证的企业,给予认证费80%的补助,总额不超过10万元;获证后连续五年每年给予证书维护费50%补助 台州临海 区政府 通过信息安全管理体系认证,一次性奖励10万元 湖州吴兴 区政府 通过信息安全管理体系认证,一次性奖励5万元 湖州长兴 县政府 对首次通过信息安全管理体系认证的企业,奖励首次认证费用的50%,最高不超过10万元 武汉武昌 区政府 对通过ISO27001信息安全管理体系企业一次性奖励10万元 武汉江汉 区政府 对通过ISO27001信息安全管理体系企业一次性奖励10万元 珠海市 商务局 对首次获得ISO27001信息安全管理体系认证的企业,给予认证费80%的补助,总额不超过10万元;获证后连续五年每年给予证书维护费50%补助 济南市 工信局 鼓励企业开展资质认证,对首次通过ISO27001信息安全管理体系认证的企业予以认证咨询费用50%奖励 青岛西海岸区 工信局 对新通过信息安全管理体系认证的企业,以同期同类别所有申报企业的平均认定成本为奖励标准,给予最高10万元一次性奖励 日照市 工信局 对新通过信息安全管理体系认证的企业给予不超过10万元一次性奖励 西安高新 区政府 软件企业首次通过ISO27001信息安全管理体系的企业一次性给予认证咨询费用50%奖励 重庆南岸 区政府 对通过ISO27001信息安全管理体系认证的企业,给予一次性20万元奖励 长沙开福 商务局 对首次通过信息安全管理体系认证的企业,奖励首次认证费用的25%,最高不超过10万元 马鞍山市 经信局 对通过ISO27001信息安全管理体系认证的企业给予实际认证费用的50%,总额不超过50万元奖励 柳州柳东新区 管委会 对通过ISO27001信息安全管理体系认证的企业给予实际认证费用的100%总额不超过10万元奖励
