随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。

英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。

目前,在信息安全管理方面,英国标准ISO27001:2005已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成,最新版本为:

ISO27001:2013。

ISO27001认证咨询服务包括:

1.信息安全管理系统 (ISMS) 策略/框架选择 - 根据行业、法规遵从性和证明要求确定 ISMS 开发的方法。

2.ISMS 范围确定和优化 ——范围确定对于成功的 ISO-27001 认证工作至关重要。

范围需要足够广泛,以确保它能够满足关键利益相关者(例如,客户、股东)的需求,但又需要足够窄以确保最初的努力保持可控。

3.风险评估 ——风险评估/管理是 ISMS 的基础。

我们相信 ISO-27005 比许多其他风险评估标准具有优势,因为它非常适合非基于资产的方法。

这种“信息及其作用的过程”方法产生了一个更直观的过程,可以在更短的时间内创造更大的价值。

4.风险处理计划制定 ——风险处理计划定义了所需的ISO-27002控制措施,包括必要的程度和严格性,以将风险处理(减轻)到管理层认为可接受的水平。

它是一个基本的 ISMS 工件,并形成了差距评估的基础/标准。

5.ISMS 差距评估 ——了解信息安全管理体系(例如,ISO-27001)当前状态与期望状态之间的差距是“优先路线图”(差距修复计划)的关键输入。

6.安全控制差距评估 - 了解控制实践的当前状态和期望状态之间的差距是“优先路线图”(差距修复计划)的关键输入。

ISO-27002 差距评估(以及共享评估 和 HITRUST等衍生 产品)在 ISO-27001 认证工作之外广泛用作“最佳安全实践”差距评估,也可用作设计/运营证明的一种形式。

7.优先路线图定义 ——路线图定义了解决实现项目目标(包括认证)所需时间范围内已确定的差距所需的活动、方法和责任。

8.差距补救促进/支持 ——理想情况下,差距补救将主要由内部团队完成,而不是第三方(如 Pivot Point Security)。

内部聚焦的方法利用第三方为 SME 按需、模板和工件验证,最大限度地开发组织知识/专业知识,确保关键人员是最终控制环境中的“利益相关者”,并防止组织过度依赖于第三方操作 ISMS 后认证。

9.安全指标 ——安全指标对于 ISMS 的最佳运行至关重要,因为它们是证明大多数 ISMS 固有的持续改进原则不可或缺的一部分。

该服务的重点是简化测量、报告过程,从而系统地提高 ISMS 的有效性。

独立于所利用的安全框架,ISO-27004 为安全指标提供了极好的指导。

10.政策、标准和程序 (PSP) 支持 ——PSP 构成了任何 ISMS 的支柱。

值得注意的是,尽管 PSP 是 ISMS 最基本的要素,但它们也是最难以有效实施的要素之一。

这主要是由于 PSP 的综合性和相互依存性。

在开始 PSP 工作之前要考虑的关键决策点:

a.结构:理想情况下,政策、标准和程序是分开的,这简化了正在进行的管理和版本管理。

然而,大多数组织将它们结合起来,这会产生复杂性,其中特定程序是多个标准和/或程序的组成部分。

b.演示:大多数组织利用 PSP 的线性文档格式,这在传达其层次性质和相互依赖性方面做得很差。

人们越来越多地利用 Wiki、SharePoint 和/或专用 ISMS 管理系统来应对这一挑战。

c.受众:PSP 通常有多个受众(例如,员工、IT 人员、承包商、顾问、管理层)。

受众、结构和演示是高度相互关联的,对于确保 PSP 被理解和遵循至关重要。

如果目标受众无法轻松找到与他们试图解决的特定问题相关的所有信息,则几乎肯定会发生不符合项。

d.业务:公司的规模、风险/风险承受能力、内部专业知识、资源可用性、预算和当前 PSP 成熟度水平显着影响工作。

e.外部:法规和外部业务环境可以显着影响工作。

f.版本控制:确保所有必要的变更批准都是可审计的、保留版本历史记录并且只有当前版本可以随时访问的机制至关重要。

11.ISMS 内部审计 – 大多数ISMS的 PDCA 模型都要求进行内部审计以确定其 ISMS 的控制目标、控制、过程和程序是否:

a、符合ISO-27001及相关法律法规的要求;

b、符合确定的信息安全要求;

c、得到有效实施和维护;

d、按预期执行。

12.认证审核支持 ——许多组织认为,在认证审核阶段的一个或两个阶段让安全审核员在现场可以简化流程并降低可能引用不符合项的风险。

13.27001 证书扩展 ——我们经常提倡组织尽量减少其 ISO-27001 证书的初始范围,以限制对业务的干扰程度。

在监督审核期间扩展证书是逐步扩大 ISMS 范围的最简单方法。

14.持续的风险管理团队成员 ——保持风险管理委员会的最佳组成可确保风险管理职能的持续有效性,这对 ISMS 的持续有效性至关重要。

许多组织倾向于纳入具有跨组织/行业专业知识的独立客观的第三方,以优化风险管理委员会的运作。

15.事件响应支持 ——实施能够及时发现和响应事件的程序和其他控制对于 ISMS 和持续改进的原则至关重要。

许多组织没有专业知识和/或资源在内部完全满足这一要求。