主要內容

定義

ISO/IEC17799-2000（BS7799-1）對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用。該標準為開發組織的安全標準和有效的安全管理做法提供公共基礎，并為組織之間的交往提供信任。

標準指出“象其他重要業務資產一樣，信息也是一種資產”。它對一個組織具有價值，因此需要加以合適地保護。信息安全防止信息受到的各種威脅，以確保業務連續性，使業務受到損害的風險減至最小，使投資回報和業務機會最大。

信息安全是通過實現一組合適控制獲得的。控制可以是策略、慣例、規程、組織結構和軟件功能。需要建立這些控制，以確保滿足該組織的特定安全目標。

內容

ISO/IEC17799-2000包含了127個安全控制措施來幫助組織識別在運做過程中對信息安全有影響的元素，組織可以根據適用的法律法規和章程加以選擇和使用，或者增加其他附加控制。國際標準化組織（ISO）在2005年對ISO 17799進行了修訂，修訂后的標準作為ISO 27000標準族的第一部分——ISO/IEC 27001，新標準去掉9點控制措施，新增17點控制措施，并重組部分控制措施而新增一章，重組部分控制措施，關聯性邏輯性更好，更適合應用；并修改了部分控制措施措辭。修改后的標準包括11個章節：

1）安全策略。指定信息安全方針，為信息安全提供管理指引和支持，并定期評審。

2）信息安全的組織。建立信息安全管理組織體系，在內部開展和控制信息安全的實施。

3）資產管理。核查所有信息資產，做好信息分類，確保信息資產受到適當程度的保護。

4）人力資源安全。確保所有員工，合同方和第三方了解信息安全威脅和相關事宜以及各自的責任，義務，以減少人為差錯，盜竊，欺詐或誤用設施的風險。

5）物理和環境安全。定義安全區域，防止對辦公場所和信息的未授權訪問，破壞和干擾；保護設備的安全，防止信息資產的丟失，損壞或被盜，以及對企業業務的干擾；同時，還要做好一般控制，防止信息和信息處理設施的損壞和被盜。

6）通信和操作管理。制定操作規程和職責，確保信息處理設施的正確和安全操作；建立系統規劃和驗收準則，將系統失效的風險降到最低；防范惡意代碼和移動代碼，保護軟件和信息的完整性；做好信息備份和網絡安全管理，確保信息在網絡中的安全，確保其支持性基礎設施得到保護；建立媒體處置和安全的規程，防止資產損壞和業務活動的中斷；防止信息和軟件在組織之間交換時丟失，修改或誤用。

7）訪問控制。制定訪問控制策略，避免信息系統的非授權訪問，并讓用戶了解其職責和義務，包括網絡訪問控制，操作系統訪問控制，應用系統和信息訪問控制，監視系統訪問和使用，定期檢測未授權的活動；當使用移動辦公和遠程控制時，也要確保信息安全。

8）系統采集、開發和維護。標示系統的安全要求，確保安全成為信息系統的內置部分，控制應用系統的安全，防止應用系統中用戶數據的丟失，被修改或誤用；通過加密手段保護信息的保密性，真實性和完整性；控制對系統文件的訪問，確保系統文檔，源程序代碼的安全；嚴格控制開發和支持過程，維護應用系統軟件和信息安全。

9）信息安全事故管理。報告信息安全事件和弱點，及時采取糾正措施，確保使用持續有效的方法管理信息安全事故，并確保及時修復。

10）業務連續性管理。目的是為減少業務活動的中斷，是關鍵業務過程免收主要故障或天災的影響，并確保及時恢復。

11）符合性。信息系統的設計，操作，使用過程和管理要符合法律法規的要求，符合組織安全方針和標準，還要控制系統審計，使信息審核過程的效力最大化，干擾最小化。

效益

ISO27001的效益

1、通過定義、評估和控制風險，確保經營的持續性和能力

2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任

3、通過遵守國際標準提高企業競爭能力，提升企業形象

4、明確定義所有組織的內部和外部的信息接口目標：謹防數據的誤用和丟失

5、建立安全工具使用方針

6、謹防技術訣竅的丟失

7、在組織內部增強安全意識

8、可作為公共會計審計的證據

認證與遵從

一個組織可以僅遵從ISO17799來建立和發展ISMS（信息安全管理體系），因為實踐指南中的內容是普遍適用的。然而，由于ISO17799并非基于認證框架，它不具備關于通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講，這就表明一個正在獨立運用ISO17799的機構組織，完全符合實踐指南的要求，但是這并不足以讓外界認可其已經達到認證框架所制定的認證要求。不同的是，一個正在同時運用ISO27001和ISO17799標準的機構組織，可以建立一個完全符合認證具體要求的ISMS，同時這個ISMS體系也符合實踐指南的要求，于是，這一組織就可以獲得外界的認同，即獲得認證。

ISO27001認證要求

ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在最大程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質量管理的經驗舉足輕重。

但是有一點需要注意，一個組織如果沒有事先擁有并使用任何形式的管理體系，并不意味著該組織不能進行ISO27001認證。這種情況下，該組織就應當從經濟利益考慮，選擇一個合適的管理體系的認證機構來提供認證服務。認證機構必須得到一個國家鑒定機構的委托授權，才能為認證組織提供認證服務，并發放認證證書。大多數國家都有自己的國家鑒定機構（比如：英國UKAS），任何獲得該機構授權進行ISMS認證的機構均記錄在案。

風險評估應對計劃

任何一個ISMS體系的建立和開發都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業務模式、運營目標、形象特點和內部文化，他們對待風險的態度傾向也大相徑庭。換句話說，同一個東西，一個機構組織認為是必須提防的威脅，在另一個組織看來可能是一個必須抓住的機遇。同樣地，各個機構組織對于既有風險防護的投入也參差不齊。基于以上或者其他原因，每個運行ISMS的組織，其內部成員必須對風險評估有一個共識，這個風險評估的方法論、結果發現和推薦解決方式都必須得到董事會的首肯。

ISMS項目和PDCA流程

ISMS項目很復雜，可能持續若干個月甚至若干年，涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短，成功的案例比較少。從務實的角度考慮，這表明在項目計劃過程中，必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。

ISO27001標準指導一個企業如何著手開展ISMS項目，并且關注整個項目進程中的若干重要元素。

1950年W. Edwards Deming提出PDCA流程，即計劃（Plan）－執行（Do）－檢查（Check）－提升（Act）過程，意在說明業務流程應當是不斷改進的，該方法使得職能部門經理可以識別出那些需要修正的環節并進行修正。這個流程以及流程的改進，都必須遵循這樣一個過程：先計劃，再執行，而后對其運行結果進行評估，緊接著按照計劃的具體要求對該評估進行復查，而后尋找到任何與計劃不符的結果偏差（即潛在改進的可能性），最后向管理層提出如何運行的最終報告。

ISO27001認證審核費用及周期

除了組織自身投入之外，ISO27001 認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之后，認證機構會初步了解組織現狀，確定審核范圍，提出審核報價。認證機構的報價通常是根據其投入的時間和人員來確定的，決定因素包括：

1、受審核組織的員工數量；

2、納入審核范圍的信息量；

3、場所數量；

4、組織與外界的關聯；

5、組織 IT 的復雜性；

6、組織類型和業務性質等。

除了費用問題，認證審核的周期通常也是組織比較關心的。一般來說，從組織啟動 ISMS建設項目開始，到最終通過審核，至少要有半年時間（不包括獲取證書的時間）。對于很多因為外部驅動力而決心實施 ISO27001 認證項目的組織來說，提早進行規劃是必要的。