ISO27001认证业务常见问题

Q：ISO什么是27001认证？

A：ISO27001是国际标准，全名是IEC/ISO27001信息安全管理体系规范ISO27000标准系列中的一个标准包含许多其他标准；另一个常说的标准ISO1779:2005-信息安全实施细则也是与信息安全管理相关的，这个标准当前已经改名为ISO27002:2008。ISO27001还是ISO27002，都是I S标准系列（I S Family of Standards）之一，I S标准系列如下图所示：

常说ISO27001认证是指符合企业声称的认证范围ISO27001标准文本中的所有要求都有选择地满足ISO27001标准附录A内容A内容对应标准ISO27002:2008第5章至第15章，企业可根据自身实际情况选择适用的控制措施，即本标准中的133个控制项目不需要通过认证的用户强制满足，通常通过适用性声明SOA》这种应用通常是通过文件来表达的ISO27001证书包括所选适用性声明SOA》文件的。

Q：与BS7799认证有区别吗？

A：ISO27001认证和BS7799认证的区别取决于ISO谈到27001标准发展的历史，ISO27001的发展过程如下图所示：

BS7799认证是指符合英国国家标准的企业信息安全管理体系BS7799-2，由于BS7799在国际上得到了广泛的认可BS7799-2成为国际标准ISO在27001之前，全球企业将选择信息安全管理体系认证BS7799。

Q：到目前为止，国内ISO27001认证发展如何？

A：目前在中国通过ISO27001认证的企业数量已达199家(截至200906)。虽然绝对数量不大，但增长非常快。从下图可以看出:

这里颁发的199张证书中有数字DNV和BSI颁发的证书统计表(截至2009年6月):

有中国信息安全认证中心（简写为ISCCC，09年5月份CNAS认可)（UKAS经批准，国内试点证书)、广州赛宝(国内试点证书)、中国电子技术标准化研究所(国内试点证书)四家，截至2009年7月20日，只有中国信息安全认证中心颁发了19份证书，其他国内认证机构尚未颁发证书。

Q：获得ISO27001认证有什么好处？

增强意识，转变观念

ü ISO27001认证是证明其信息安全水平和能力符合国际标准要求的有效手段，有助于组织节约信息安全成本；

ü 信息安全风险管理的目的是确保企业依赖经营IT系统的持续、稳定、安全运行，保证企业业务的持续发展，而不是为企业业务的发展增添枷锁，强调以业务为中心的安全**；

ü 信息安全工作应该是IT以部门为主导，全活动，强调人人负责；

ü 信息安全管理应遵循风险管理的理念，强调预防、控制和总结的工作理念，而不是问题驱动的消防理念；

ü 信息安全问题的解决不应是头痛医头、脚痛医脚的局部问题解决方案，而应强调整体系统的分析和解决；

规范操作，有法可依

ü 按照PDCA企业信息安全风险安全风险，信息安全管理从无序、分散、被动问题补救行为转变为系统、科学、一致、主动的风险控制状态；

ü 完善各种安全管理制度，规范与信息系统、信息保密等相关的各种操作行为和方法；

良好的形象，合规要求

ü 获得国际认证的企业可以提高客户、业务伙重要性和敏感信息保护能力的信心，提高组织的公众形象和竞争力；

ü 满足监管机构的合规要求和合作伙伴的信息安全审计要求；

Q：如何首次开展企业？ISO27001认证（I S建设项目？

企业开展ISO27001认证时，一般是由IT部门牵头，业务部门配合参与。但对，IT该部门的实力非常有限，通常由质量管理部门领导，通常实施了管理体系认证（ISO9001或者CMMI）或者项目经验，信息安全管理体系与质量管理体系有很大的相似性。

的参与有助于引导领导部门甚至企业领导正确认识信息安全、信息安全管理和ISO27001认证就本项目对信息安全的理解与目标达成一致。这是非常关键的，因为它与项目实施过程的顺利性和项目目标的实现有关。

项目范围的确定项目范围的确定，这里不再累赘。ISO27001项目的招标同其他项目没有区别，一般按照企业既定的招标流程走。I S这里不多说系统建设的实施，也有专门的问题。

I S系统认证工作一般分为两个阶段，第一阶段是文件审核，审核员只关注管理系统文件，检查系统文件是否齐全，I S施工方法是否合理，文件查看的重点一般是风险评估方法、业务连续性和管理系统测量。第二阶段是现场审计，审计员将根据ISO27001年标准的要求和企业自身信息安全战略的要求，在认证范围内，现场验证制度的实施和运行记录的检查是一种重要的审计手段。现场审计将以较后一次会议的形式结束整个审计工作。如果审计人员没有发现重大不一致的项目，审计人员将在较后一次会议上宣布企业通过现场审计。

Q：企业ISO27001认证的范围如何来确定？

A：认证范围的选择将影响满足认证要求的难度和成本。另一方面，难度和成本是选择认证范围的重要参考。难度一般由企业自身当前的信息安全管理水平决定，成本与企业预算有关。在考虑难度和成本的基础上，企业一般支持核心业务部门和核心业务IT认证范围内包括部门和人力资源部门。认证范围的描述一般采用业务活动范围、区域场所、信息资产和技术来表达。到目前为止，比如著名的认证机构，比如BSI，DNV国内颁发的证书一般只使用业务活动和区域场所来描述认证管理体系的范围。

Q：企业建立符合要求ISO27001标准的I S这个过程么？

A：ISO实施27001认证的做法也不同，但基本上会遵循标准内容，从I S规划(信息安全管理系统)I S实施和运维，I S监测与回顾，I S改进和改进四个阶段。详细说明如下图所示。

××公司的ISO27001认证咨询的实施方法是基于ISO基于对27001标准的深刻理解和过去实践积累的总结。ISO27001信息安全管理体系的核心是基于PDCA流程方法。利益合作伙伴、客户、股东是企业信息安全管理体系的起点，在企业内部业务活动中，需要各种资源，包括人力资源投资，也必须遵守各种安全体系，良好的信息安全管理体系较终给利益合作伙伴、客户和股东带来价值。

PDCA这是一个循环活动，发现问题，制定问题处理计选自.信特国际iso认证 www.fwiso.com 服务认证,iso体系认证服务!划，实施计划，检查和审查实施情况，监控和评估实施效果，及时改进不足。PDCA在思路的指导下，大循环套小循环，不断提高企业信息安全管理水平，始终使企业信息安全风险处于可控状态。××在实践中，公司总结了一套辅导企业ISO27001认证方法。整个实施方法分为差距分析、资产风险评估、系统规划与实施、系统发布与试运行、协助外部审计五个阶段。每个阶段都有关键输出。详情请参阅图片-实施方法概述。

五个阶段活动都包含相应的子活动以及阶段主要成果，详细见下表：

Q：企业在项目实施过程中需要投入多少资源？

A：企业在实施I S在施工过程中，项目实施者管理层除了向咨询师支付费用外，还特别关心I S企业人员在施工过程中还需要投入多少人。一般来说，企业每天的投资在不同的阶段是不同的，参与者也会不同。从管理层到普通员工都将参与实施项目。以下是一家200I S以建设为例，从I S在不同项目阶段，不同角色参与项目的单位时间解释了项目实施的五个阶段。

其中：h表示小时,d表示天

Q：？

的选择大致可大致。如果企业涉及出口、离岸外包等国际业务，建议选择国际；如果企业业务仅限于国内客户，企业国内监管机构的信息安全监管要求，建议选择国内。国内正在进行中ISO27001认证业务起步比国际晚几年，客户认可度略差于国际。

国内企业一般选择国际的时间BSI和DNV目前，国内只有中国信息安全认证中心正式得到国家认证**（以下简称认证**）的正式认可，其他三家（赛宝认证中心、中国认证中心、中国电子技术标准化研究所）（截至2009年6月）仍颁发试点证书。

Q：企业获得ISO27001认证后，应对审核还需要做哪些工作？

A：ISO27001证书一般有效期为3年。3年后，必须经过综合审查，应重新颁发证书。认证注册资格后，乙方将在三年有效期内接受3 定期监督审查和必要的不定期审查。其中，自认证之日起6个月内安排第一次监督审查，监督审查间隔不得超过12个月，异常情况下增加监督审查频率。因此，企业仍必须遵守标准PDCA不断发现或回顾信息安全风险。

Q：如何保证一个I S这些成功因素主要包括哪些？

a) 项目范围内有关部门和各级领导对项目目标有一致的了解。

b) 信息安全战略必须反映企业的业务目标。制定的安全战略是规范员工行为，更好地为企业服务，为企业业务目标的实现提供信息安全**。安全战略不能违反业务目标，更不用说成为业务发展的绊脚石了。

c) 实施过程和方法应与企业文化保持一致。在项目实施过程中，顾问需要不断与企业人员沟通，这应与企业当前的企业文化相一致。

d) 来自管理层的支持和承诺。管理层需要参加项目里程碑等关键节点的会议，公开表达态度，确保必要的人力和财政支持。

e) 为员工提供适当的培训和教育

f) 易于理解和一致的测量系统，以评估信息安全的效率。管理到普通员工的所有成员来衡量安全控制的效果。就像人体的质量可以通过血压、脉搏等指标来知道一样。

g) 使用自动安全策略管理工具。当前的安全策略需要一个工具自动管理，员工可以通过这个工具快速找到他需要的安全系统。

Q：I S确定范围后，如何解决范围外的一些信息安全问题？

A：当企业面临信息安全问题时，虽然它不是一劳永逸地解决一切问题的想法，但大多数企业希望尽可能多地解决问题，这是可以理解的。

I S在施工过程中，将确定明确的实施范围，如IT研发部或财务部正在实施I S在此过程中，范围外的部门或组织一般不深入参与，重点在已确定的范围内，在咨询顾问的帮助下，建立合理的信息安全组织框架，培安全组织框架，培养能够胜任安全管理体系运行的相关人员，如掌握风险评估方法的人员、内部审计师等，提高人员的安全技能和安全意识，提高信息安全运行水平，降低相关安全风险。然后作为示范，逐步扩大I S并按PDCA该模型不断提高了企业的信息安全水平，范围内得到了推广和实施。事实上，这也是企业在信息安全体系建设过程中，在一定的投资条件下，一步一步，坚持关键部门和高安全风险优先控制的原则，避免一步一步。

Q：哪些问题是信息安全风险，哪些问题不是信息安全风险？

A：信息安全风险是指利用信息系统漏洞（技术漏洞）、管理（或漏洞（技术漏洞）、管理（或自然（环境）因素或人为因素的潜在事件。包括信息系统的开发、部署、运行（使用）、监控、维护和退出IT操作流程缺陷、系统业务流程控制缺陷、信息系统脆弱性、操作人员故意/故意错误、外部事务件等因素直接影响信息系统的安全、可靠、平稳运行，并可能导致业务运营中断乃至欺诈事件等业务操作风险，并间接导致信用、市场、法律、声誉等企业。

信息系统开发时的业务需求分析风险、信息系统项目管理风险等等则不属于信息安全风险。

Q：信息安全风险管理的定义及其范围？

A：信息安全风险管理是指通过建立有效的机制，实现对信息安全风险的识别、计量、评估、预警和控制，确保信息系统高效、可靠、安全、平稳、持续运行，规避因为信息技术应用而引起的各种风险。一般包括风险评估、风险处理、风险接受、风险通报、风险监控、风险回顾。

应用系统中的业务流程可能存在因流程控制缺陷而引起的操作风险。此类风险与信息技术应用的关系密切，并且极有可能因为自动化、网络化的实现方式而被放大，因此必须将其纳入全面信息安全风险管理的范围：

n 应用系统中业务流程操作风险本质上仍属于业务操作风险，此类操作风险的识别、评估以及提出流程控制要求等职责原则上属于业务流程主管条线；

n 但是通过系统实现的业务流程与传统手工方式有较大的区别，信息技术的应用使业务流程的风险情况发生了较大的变化，因此此类风险的管理课题横跨IT技术与业务运营两个领域；

n 所以从实现全面风险管理的角度出发，应将协助管理此类风险的职责纳入信息安全风险管理的范围，由IT部门采取适当的方式积极参与其管理工作；

Q：怎样算是实现了有效的信息安全风险管理？

A：明确职责与分工，建立良好的互动机制，由信息安全风险管理团队进行协调、检查、督促并提供专业支持，实现共同协作、分散控制的信息安全风险管理环境，全面掌控直接、间接的隐藏风险，将所有影响信息系统高效、可靠、安全、平稳、持续运行的隐患控制在可接受的范围内。

Q：企业里谁应该承担信息安全风险管理的哪些职责？

n 信息安全风险专业性强、涉及领域广，适宜在IT条线内部进行管理，IT部门承担信息安全风险的管理职责，具体落实在部门内的信息安全风险条线；

n 业务部门承担系统中业务流程自身的操作风险；

n 企业风险管理部门对信息安全风险管理提供指导；

n 信息安全风险管理职能应向企业风险管理部门提供信息安全风险管理报告，以汇总到企业整体风险管理报告中；

其中：

R = Responsible谁负责,负责执行任务的角色，具体负责操控项目、解决问题。 A = Accountable谁批准，对任务负全责的角色，只有经其同意或签署之后，项目才能得以进行。 C = Consulted咨询谁，在任务实施前或中提供*性意见的人员。 I = Informed告知谁，及时被通知结果的人员，不必向其咨询、征求意见。

Q：IT部门内谁应该承担信息安全风险管理的哪些职责？

A：IT条线内部的信息安全风险遵循“责任到位、任务明确、各司其职”的原则，定位如下：

n IT条线管理层整体负责，并向董事会进行年度信息安全风险报告；

n 建设开发、运行维护等IT职能为IT风险的第一责任人，承担识别风险、实施信息安全风险等职责；

n 信息安全风险管理职能承担着制定风险计量标准、开发评估工具、建议控制方案、督促控制执行、监测风险情况、应急响应、编制风险管理报告等职责。

Q：需要组建怎样的队伍来管理信息安全风险，队伍中各角色的职责是什么？

A：在IT治理组织结构成果的基础上（没有的话，则从头建立），建立垂直专业管理的信息安全风险管理条线；建立常设的风险评估、监控扫描等专业团队，并以虚拟团队的方式覆盖整个企业；设立安全信息监控中心（运维中心）等实体化的信息安全支撑中心。组织结构如下图所示：

信息安全风险主管

• 协助管理层确定信息安全风险管理目标、风险偏好

• 确定信息安全风险管理策略；

• 协调相关信息安全风险相关主要资源；

• 向管理层汇报整体风险管理状况；

• 协调信息安全风险管理相关方工作；

• 组织制定信息安全风险管理政策。

总部信息安全安全风险管理：

• 组信息安全风险管理工作

• 组织制定信息安全风险管理规划

• 组则整体信息安全风险管理组织建设

• 负责信息安全风险管理团队、专业团队与内外部的协调工作；

• 组织信息安全风险管理意识的宣传培训及信息安全风险管理专业培训；

• 对专业团队及分行风险管理团队进行业务指导。

• 风险管理信息，撰写风险管理报告；

• 执行合规性检查；

• 对所有信息安全项目的信息安全需求进行评审，确保安全需求，控制项目风险。

• 综合管理（后勤/人力）。

总部信息安全风险咨询团队：

• 分析风险管理现状与风险管理技术趋势；

• 起草风险管理政策；

• 制定相关技术标准、操作规程。

信息安全风险项目管理与专业建设：

• 负责信息安全相关项目的项目管理，协调负责安全开发与部署的开发中心/数据中心；

• 负责加密技术等小部分核心信息安全技术的专业建设与开发。

信息安全风险管理专业团队

• 研究信息安全风险管理发展趋势，协助管理层制定信息安全风险管理政策，判断风险管理现状；

• 提供信息安全风险管理专业服务支持，为分行及数据、开发中心提供信息安全风险管理技术支撑与指导。

• 负责应急响应的管理与执行。

Q：采用怎么样的方式来管理信息安全风险，需要开展哪些工作？

A：在业务需求及流程操作风险评估、项目风险自评估、技术风险（信息安全风险）评估的基础上完善系统建设开发方案审批及风险管理机制，并建立正式的IT内控与安全检查评估、漏洞扫描与渗透性等流程，将这些工作制度化、日常化，并与需求确定、验收、上线审批、绩效管理等相关工作进行结合。

Q：需要哪些信息安全风险管理制度，怎样加强这些制度的执行？

A：包括IT 风险管理制度体系与信息安全制度体系，并明确相关政策管理流程以加强规范化管理、提高执行力度；同时应将信息安全风险控制措施融入各IT工作的相应制度中以提高其执行力度，并更新IT内控手册对这些控制措施进行汇总与映射。

Q：需要哪些技术能力支撑信息安全风险管理？

A：在信息安全管理方面需要建立预防、检测、响应、恢复的技术能力；在IT流程风险管理方面需要建立流程控制固化、绩效与关键风险指标监控等技术能力；同时还需要针对全面的信息安全风险实现政策管理、控制点管理、风险敞口跟踪等综合管理能力。

Q：有哪些技术方案能够提供信息安全风险管理需要的技术能力？

A：技术方案主要集中在较为成熟的信息安全技术领域。信息安全技术架构在信息安全基础设施上定义了信息安全服务、网络安全、应用安全、安全管理与安全工具体系，其中主要的技术方案包括安全信息与事件管理服务、身份与访问管理服务、威胁与脆弱性管理服务、数据安全服务、网络准入控制等。