登陆

青骥原创 l 关于ISO 27001及其实施难点

来源：公众号“汽车信息安全”

2020-05-18

2348

之前我们对TISAX进行了简要介绍，它是汽车行业内比较成熟的可信信息安全评估交换机制，只是在国内车企里没有应用，相对比较陌生，基于TISAX的出发点及优势，对于国内车企及其供应链而言也是发展趋势。

谈了TISAX，不聊聊ISO 27001有点说不过去了，今天我们顺势介绍下ISO 27001, 感谢本期的责编作者 庄旨鉴 @Mr.Zhuang (精通ISO 27001、20000、隐私保护以及等保的融合落地，是体系咨询的集成专家)，感谢我们的主编@Vincent yang 提出修订的意见。

-- 主理人： @Keellee

摘要

本文主要和大家探讨ISO27001标准体系，以及ISO27001标准体系在落地过程中的难点。

1. 什么是ISO 27001?

ISO 27001的前身是英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，于1995年5月修订而成。1999年BSI重新修改了标准。BS7799主要分为 BS7799-1（信息安全管理实施规则）和BS7799-2（信息安全管理体系规范），分别描述了对信息安全管理的建议与要求。

ISO 27001是由国际标准化组织（ISO）颁布的，用于指导组织建立信息安全管理体系（ISMS）的一套需求规范，其中详细说明了建立、实施和维护信息安全管理体系的要求，目前最新版本为ISO 27001：2013，于2013年10月9日正式颁布实施。

2. ISO27001认证的收益

1、提高组织信息安全保护能力；

2、获得国际认同的认证证书，提高组织认同感，提升商业价值。

本文侧重于将ISO27001标准要求融入到企业日常工作流程中，完成信息安全管理体系（ISMS）的“落地”，兼顾标准认证与落地，解决业务安全管控问题的同时提升企业核心竞争力。

3. ISO 27001的核心与主线3.1 以资产安全为核心

资产是组织价值的核心，安全作为业务发展的保障，将始终围绕资产安全开展。ISO27001中，清晰的资产是开展风险评估、访问控制策略设计等的前提，如何确保资产安全，是ISO 27001各控制域需要回答的核心问题。

资产的价值决定安全投入多少，资产价值与安全投入成正比，资产价值越高，安全投入越大，反之亦然。ISMS体系的建设应同其要保护对象的价值、组织的价值相匹配。

资产的属性决定安全保护措施，资产呈现为不同的属性，包括有形资产、无形资产；软件资产、硬件资产；资产的属性决定安全保护措施的选择，服务器等硬件资产，需要安全的空间进行存放，并配备门禁等，确保其恶意的人员接触；核心数据资产，需要采取加密手段，保障其存储、传输过程的安全；多种资产属性的组合/集合需要采取多种保护措施，甚至额外保护措施，承载核心数据的服务器需要存放在安全的空间中，其上核心数据应加密存储，并采取备份措施。

3.2 以风险管理为主线

如果说资产是ISO 27001实践的核心，那么风险管理则是其主线。一切活动的开展都是风险管理的延伸。

ISO 27001各控制域中对风险管理的思想体现的淋漓尽致，旨在确保组织面临的风险始终保持在可以接受的范围内。安全策略制定，安全控制措施选用，均是在明确的风险偏好下，参照风险评估结果，进行的预防、监控或处置。

3.3 ISO27001落地是一场马拉松

ISO27001标准体系的落地就像是场马拉松，ISMS建设与运行是需要持续PDCA持续，滚动升级。风险是动态的，安全也是动态的，所以组织获得认证机构颁发ISO27001信息安全管理体系认证证书，仅能说明组织获得认证时的状态：存在一套正在运行的、较完整的信息安全运行流程与机制。组织的信息安全管理水平，需要在长期的实践中进行检验。