总体 ISO 27001 标准涵盖所涵盖组织内的人员、技术和流程,提供多维保护,抵御各种类型的风险和威胁,该标准还意味着管理层对组织各级信息安全的积极承诺和支持。

除了传统的网络安全要求外,ISO 27001 还涵盖了业务连续性和灾难恢复、人类风险管理和安全意识、非数字信息的物理保护和法规遵从性等领域;它被认为是最具包容性的数据保护标准之一,其范围远远超出了技术和 IT 流程,在获得所需的认证之前,大公司可能会花费数年时间来实施所有要求。

ISO 27001 哪些文件和记录是强制性的?

ISMS 文件的数量或格式没有正式要求,但是,必须以书面形式记录以下信息:

ISMS 的范围

信息安全政策和目标

风险评估和风险处理方法

风险评估和风险处理报告

安全角色和职责的定义

资产盘点

可接受的资产使用

访问控制策略

IT管​​理操作规程

一些组织维护着一个高度复杂的生态系统,其中包含相互关联的目录、政策、程序和其他文件,这些文件映射到特定的 ISO 27001 条款或附录 A 中的安全控制;但是,建议根据您的需求和上下文定制您的 ISMS 文件,组织,使一切尽可能简单。您的文档越不复杂,最终维护、改进和审核它的成本就越低。

ISO 27001 合规性、审核或认证是否是强制性

不同于国家颁布的法律法规,如GDPR欧盟或NYDFS在纽约的状态下,ISO 27001合规性和认证不是强制性的,然而,对于大型组织和政府实体的供应商而言,该标准已成为普遍的先决条件,他们现在需要强制性的 ISO 27001 认证或来自承包商和供应商的 SOC 2 报告,以降低第三方风险并最大限度地减少供应链攻击的影响。

许多组织将通过外部审计认证的强制性 ISO 27001 合规性纳入其第三方风险管理计划 (TPRM) 中,除其他外,可能会通过合同强制要求每年提交外部审计报告、定期现场检查,甚至对未治愈的人处以罚款不符合标准,反复违反合同规定可能导致粗心的供应商终止合同和失去业务。