Iso270012022:关于ISO 27001你应该知道的关键事情

关于iso.com/' target='_blank' title='ISO' >ISO 27001你应该知道的关键事情

它是国际信息安全管理标准。实际上，它为任何组织，无论规模或行业，提供了一个框架和方法来保护最重要的资产之一，即信息。ISO 27001是最普遍采用的国际标准之一，也是发展最快的标准之一。

它是一个业务标准(不是It标准)，涉及到组织中涉及处理信息的每个部分。是的，IT安全(例如，防火墙、反病毒、变更管理等)很重要，发挥着重要作用，但它同样涉及业务的其他领域。在人力资源部门，你是否对员工进行适当的检查，而不仅仅是在他们加入的时候?在设施方面，你是否对进入你的场所进行管理，并且访客可以不受挑战地四处走动?您有什么安全策略，它们在哪里，您如何与它们通信?这不仅仅是专注于内部。重要的是要记住，你只有和你的第三方一样好;那么您如何与他们沟通您的需求并确保他们有适当的控制呢?

它提供了一种完整的信息安全方法

ISO 27001有效地提供了一套完整的信息安全方法——一套保护信息机密性、可用性和完整性的政策、程序、实践和控制。

这是基于持续改进的原则

你可能在天就没有达到你想要的位置，但你会不断地评估和改善你的位置。

这是一个基于风险的标准

作为一个基于风险的标准，评估您的信息风险是ISO 27001的核心。您根据知识渊博、知情的决策(即风险评估)来决定需要应用哪些控制或措施，并与您的风险偏好相平衡。

实际标准包括两部分

这些是强制性的管理体系部分，对所有标准来说都是通用的，你们必须做的，(例如，获得更高管理者的承诺，管理你们的信息风险，进行审核和管理评审)，以及附件A的控制，你们可以实施，也可以不实施，这是由你们的风险评估决定的。

‍

实施ISO 27001的原因

很简单，这是保护你的资料更具成本效益的方法之一，也就是说，强制性的风险评估可以让你在知情的情况下决定实施哪些控制/措施，并避免不必要的措施!

ISO 27001以整体的观点来识别所有类型的信息，包括数字、硬拷贝、个人、公司、财务等，并以整体的观点来评估从网络到培训不足或不知情的员工或无效的程序和流程的威胁

它将良好的实践嵌入到您的组织中，并增强您的文化

它向您的客户和其他关键利益相关者保证，您认真对待信息安全，特别是在处理他们的数据时。认证提供了额外的保证

ISO 27001的核心信息安全管理系统(ISMS)使您能够不断适应不断变化的业务和威胁环境。对持续改进、监控、审计和纠正的关注确保控制不断更新并有效地工作

它不仅有助于更大限度地降低安全漏洞的风险，还有助于您管理事件并更快地恢复•最终，ISO 27001有助于保护您的声誉并为您的业务增加价值。

那么，为什么要与URM合作呢?

以下是一些原因:

经验和专业知识-我们将确保您凭借我们的经验从实施ISO 27001中获得更大的收益。URM已协助超过350个机构取得该标准的认证。我们的顾问拥有丰富的经验，既是在企业高层工作的主题专家，也是在更佳实践方面为组织提供咨询的顾问，以了解什么有效，什么无效以及采取的更佳方法。

风险专家——如果没有强大的风险管理，你实际上是在黑暗中做出决定，哪些信息安全控制需要优先考虑和实施。URM可以通过咨询、我们专门设计的风险评估工具(Abriska™)和我们的培训课程，帮助您发展风险管理能力。

通过培训，您不仅可以发展您的风险管理技能，还可以获得执业证书，以证明您的能力。

以业务为导向的方法——您的ISMS必须是您的。不是那些放在架子上的东西，也不是为了准备外部评估而审查的东西，而是成为你业务结构的一部分的东西。

我们实施ISO 27001的目标是达到更佳平衡，在满足标准的强制性管理体系要求的同时，确保您的ISMS反映您的组织，并根据您的规模、行业、文化和目标进行独特定制。

我们始终致力于确保我们开发或推荐的任何东西都是适当的、实用的，并为您的业务增加价值，并且您不会成为“标准的奴隶”，即，因为标准这么说而做某事，而不是更大化现有的内部流程或工作方法。

为什么是ISO 27001的URM ?

风险管理专业知识

正确评估和管理信息安全风险至关重要。这也是URM擅长的领域，客户可以利用URM的内部风险管理模块Abriska，其强大而成熟的风险评估方法以及ISO 27001顾问的丰富经验和专业知识。

达到更佳平衡

在帮助您开发ISMS时，URM的目标是在满足ISO 27001强制性管理体系要求和确保您的管理体系完全可持续并适合您组织的规模、文化和业务目标之间实现更佳平衡

记录

URM拥有无与伦比的记录，帮助超过350个组织实现和维护ISO 27001认证，并为从未参与过失败的认证项目而感到自豪。我们的客户规模从微型企业到跨国公司不等，来自不同的市场领域，由于我们的量身定制的方法，350多个实施ISMS的客户中的每一个都是不同的。

言行一致

自2005年该标准推出以来，URM已通过ISO 27001认证。此外，它在2023年4月成为英国首批过渡到ISO 27001:2022的组织之一。在维护和过渡认证方面获得的经验有助于确保我们的咨询和培训服务保持最新和相关。

ISO 27001认证- ISO咨询服务

我们的ISO 27001咨询服务可帮助组织规划、创建、升级和认证稳健有效的信息安全管理体系(ISMS)。我们的专家团队拥有丰富的经验和深厚的信息安全过程控制专业知识(包括获得Exemplar全球首席审核员ISO/IEC 27001:2013首席审核员认证)，确保您按时按预算获得ISO/IEC 27001认证。

赛博思科ISO 27001安全咨询

赛博赛科ISO 27001安全咨询服务包括通过定义完善的ISO 27001阶段方法服务为您的组织提供ISMS实施和ISO 27001准备计划。

ISO 27001认证准备就绪

根据您组织的规模，利用我们独特的实用网络安全知识和久经考验的管理体系咨询专业知识，在短短三个月内达到ISO 27001认证准备就绪。无论您的企业位于何处，我们的团队都将与您一起快速、轻松地实施符合ISO 27001标准的ISMS。

阶段1:差距评估和范围界定

了解业务功能和目标

选择实施范围和数据采集

差距评估

阶段2:实现

定义风险评估的方法

风险分类

风险处理计划

建立安全政策和程序以控制风险

阶段3:审计前准备评估

对员工进行ISMS意识培训

内部审计和终止不合规

外部审核员认证审计

阶段4:安全改进计划

这一阶段的结果是向客户提供安全改进计划，帮助他们持续改进并获得ISO27001认证。

Iso 27001顾问管理信息安全

ISO 27001认证要求14个信息安全领域，由114项安全控制组成，以确保所有信息资产(包括人员、流程和技术，包括供应商和销售商)的安全。ISO 27001顾问提供快速、有效的方式获得认证。

ISO风险分类:组织必须按照风险顺序对其信息和信息系统进行分类，以确保敏感信息和使用它的系统获得更别的安全。

ISO体系安全计划:ISO 27001要求机构建立一个定期维护和保持更新的安全计划。该计划应该包括组织内实现的安全控制、安全策略和引入进一步控制的时间表。

ISO安全控制:ISO 27001概述了建议的符合ISO 27001的安全控制的广泛目录。ISO 27001不要求机构实施每一项控制;相反，他们被指示实施与他们的组织和系统相关的控制。一旦选择了适当的控制并满足了安全需求，组织就必须在其系统安全计划中记录所选择的控制。

ISO风险评估:风险评估是ISO 27001信息安全要求的关键要素。ISO 27001为机构如何进行风险评估提供了一些指导。根据ISO 27001指导方针，风险评估应该分为三层，以确定组织级、业务流程级和信息系统级的安全风险。

认证和认可:ISO 27001要求项目官员和机构负责人进行年度安全审查，以确保风险保持在更低水平。机构可以通过四个阶段的过程来实现ISO 27001认证和认可(C&A)，包括启动和策划、认证、认可和持续监控。

ISO 27001咨询服务

ISO 27001安全咨询服务包括ISMS实施和组织的ISO 27001准备计划，通过定义良好的开发ISO 27001阶段方法服务。

详细说明ISO 27001:2022中新增的11项安全控制措施

如果您是处理ISO 27001的安全从业人员，您可能想知道，作为2022年该标准变更的一部分，您需要实施哪些新内容。

在本文中，我将重点介绍ISO 27001中引入的11个新控件。有关更改的一般信息，请参阅本文:ISO 27001 2013与2022修订-有哪些更改?

你会注意到，其中一些新控件与2013年版本中的旧控件非常相似;但是，由于这些控件在ISO 27002:2022中被归类为新控件，因此我在本文中列出了全部11个控件。

作为本文的主要来源，我使用了ISO 27002:2022的指导方针——我已经给出了需求、技术、人员和文档的概述，但是如果您想更深入地了解这些控制，我建议您从ISO网站购买ISO 27002标准。如您所知，要符合ISO 27001，并不是必须遵循ISO 27002的指导方针，这意味着本文中的建议是可选的。

最后，请记住这些控制措施不是强制性的——ISO 27001允许你们在以下情况下排除控制措施:(1)你们没有发现相关风险，(2)没有法律/法规/合同要求实施该特定控制措施。

那么，让我们更详细地回顾一下这11个控件…

A.5.7威胁情报

描述。此控制要求您收集有关威胁的信息并对其进行分析，以便采取适当的缓解措施。这些信息可能是关于特定的攻击，关于攻击者使用的方法和技术，和/或关于攻击趋势。您应该在内部收集这些信息，以及从供应商报告、政府机构公告等外部来源收集这些信息。

技术。较小的公司可能不需要任何与这种控制相关的新技术;相反，他们必须弄清楚如何从现有系统中提取威胁信息。如果他们还没有这样的系统，大公司将需要购买一个系统来提醒他们新的威胁(以及漏洞和事件)。任何规模的公司都必须使用威胁信息来加固他们的系统。

组织/流程。您应该设置如何收集和使用威胁信息的过程，以便在您的IT系统中引入预防性控制，改进您的风险评估，并引入新的安全测试方法。

人。让员工意识到发送威胁通知的重要性，并培训他们如何以及向谁传达这些威胁。

文档。ISO 27001不要求文件;但是，您可以在以下文件中包含有关威胁情报的规则:

供应商安全政策-定义公司与其供应商和合作伙伴之间如何沟通有关威胁的信息。

事件管理程序-定义有关威胁的信息如何在公司内部进行沟通。

安全操作程序-定义如何收集和处理有关威胁的信息。

A.5.23使用云服务的信息安全

描述。这种控制要求您设置云服务的安全要求，以便更好地保护您在云中的信息。这包括购买、使用、管理和终止使用云服务。

技术。在大多数情况下，不需要新技术，因为大多数云服务已经具有安全功能。在某些情况下，您可能需要将服务升级到更安全的服务，而在某些罕见情况下，如果云提供商没有安全功能，则需要更改云提供商。在大多数情况下，需要做的改变是以更彻底的方式使用现有的云安全功能。

组织/流程。您应该建立一个流程来确定云服务的安全要求，并确定选择云提供商的标准;此外，您应该定义一个流程来确定云的可接受使用，以及在取消使用云服务时确定安全需求。

人。让员工意识到使用云服务的安全风险，培训员工如何使用云服务的安全特性。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在供应商安全策略中包含有关云服务的规则。较大的公司可能会制定一个单独的政策，专门关注云服务的安全性。

A.5.30为业务连续性做好信息通信技术准备

描述。这种控制要求您的信息和通信技术为潜在的中断做好准备，以便在需要时提供所需的信息和资产。这包括准备计划、实现、维护和测试。

技术。如果您没有投资于支持系统弹性和冗余的解决方案，则可能需要引入这样的技术—范围可能从数据备份到冗余通信链接。这些解决方案需要根据您的风险评估以及您需要的数据和系统恢复速度来规划。

组织/流程。除了计划流程(需要考虑恢复的风险和业务需求)之外，还应该为技术设置维护流程，并为灾难恢复和/或业务连续性计划设置测试流程。

人。让员工意识到可能发生的潜在中断，并培训他们如何维护IT和通信技术，以便为中断做好准备。

文档。ISO 27001不要求文件;但是，如果你是一家小型公司，你可以在以下文件中包括资讯及通讯科技的准备情况:

灾难恢复计划——准备计划、实施和维护

内部审计报告-准备测试

如果您是一个较大的组织，或者如果您实施了ISO 22301，那么您应该通过业务影响分析、业务连续性战略、业务连续性计划和业务连续性测试计划和报告来记录准备情况。

A.7.4物理安全监控

描述。这种控制要求您监视敏感区域，以便只有经过授权的人员才能访问它们。这可能包括您的办公室、生产设施、仓库和其他场所。

技术。根据您的风险，您可能需要实施报警系统或视频监控;你也可以决定实现一个非技术解决方案，比如一个人观察这个区域(例如，一个警卫)。

组织/流程。您应该定义谁负责监视敏感区域，以及使用什么通信渠道来报告事件。

人。让员工意识到未经授权进入敏感区域的风险，并培训他们如何使用监控技术。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含物理安全监控:

规范物理安全的程序-监控什么，谁负责监控

事件管理程序-如何报告和处理物理安全事件

A.8.9配置管理

描述。这种控制要求您管理您的技术的整个安全配置周期，以确保适当的安全级别并避免任何未经授权的更改。这包括配置定义、实现、监视和审查。

技术。需要管理其配置的技术可以包括软件、硬件、服务或网络。较小的公司可能不需要任何额外的工具就能处理配置管理，而较大的公司可能需要一些执行已定义配置的软件。

组织/流程。您应该设置一个建议、审查和批准安全配置的流程，以及管理和监视配置的流程。

人。让员工了解为什么需要严格控制安全配置，并培训他们如何定义和实现安全配置。

文档。ISO 27001要求对这种控制进行记录。如果您是一家小公司，您可以在您的安全操作规程中记录配置规则。较大的公司通常会有一个单独的程序来定义配置过程。

您通常会有单独的规范来定义每个系统的安全配置，以避免频繁更新上一段中提到的文档。此外，需要记录对配置的所有更改，以启用审计跟踪。

A.8.10信息删除

描述。此控制要求您在不再需要时删除数据，以避免敏感信息泄露并符合隐私和其他要求。这可能包括删除您的IT系统、可移动媒体或云服务。

技术。您应该根据法规或合同要求，或根据您的风险评估，使用安全删除工具。

组织/流程。您应该建立一个流程，该流程将定义需要删除哪些数据以及何时删除，并定义删除的职责和方法。

人。让员工意识到为什么删除敏感信息很重要，并培训他们如何正确地删除敏感信息。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含有关信息删除的规则:

处置和销毁策略-如何删除可移动媒体上的信息

可接受使用政策-普通用户需要如何删除其计算机和移动设备上的敏感信息

安全操作程序-系统管理员需要如何删除服务器和网络上的敏感信息

较大的组织可能也有数据保留策略，定义每种类型的信息需要多长时间，以及何时需要删除。

A.8.11数据屏蔽

描述。此控制要求您将数据屏蔽与访问控制一起使用，以限制敏感信息的暴露。这主要是指个人数据，因为它们受到隐私法规的严格监管，但也可能包括其他类别的敏感数据。

技术。如果隐私或其他法规要求，公司可以使用假名化或匿名化工具来掩盖数据。其他方法，如加密或混淆也可以使用。

组织/流程。您应该设置流程来确定需要屏蔽哪些数据，谁可以访问哪种类型的数据，以及将使用哪些方法来屏蔽数据。

人。让员工意识到屏蔽数据的重要性，并培训他们需要屏蔽哪些数据以及如何屏蔽。

文档。ISO 27001不要求文件;但是，您可以在以下文档中包含有关数据屏蔽的规则:

信息分类策略——确定哪些数据是敏感的，哪些数据类别需要屏蔽

访问控制策略-定义谁可以访问什么类型的被屏蔽或未被屏蔽数据

安全开发策略——定义屏蔽数据的技术

大型公司或需要遵守欧盟通用数据保护条例(EU GDPR)和类似隐私法规的公司还应准备以下文件:

私隐政策/个人资料保护政策-资料掩蔽的整体责任

匿名化和假名化策略-在隐私法规的上下文中如何实现数据屏蔽的详细信息

A.8.12防止数据泄露

描述。这种控制要求您应用各种数据泄漏措施，以避免敏感信息被未经授权的泄露，并在发生此类事件时及时发现。这包括IT系统、网络或任何设备中的信息。

技术。为此目的，您可以使用系统来监视潜在的泄漏通道，包括电子邮件、可移动存储设备、移动设备等，以及防止信息泄漏的系统，例如，禁用下载到可移动存储、电子邮件隔离、限制复制和粘贴数据、限制将数据上传到外部系统、加密等。

组织/流程。你应该建立流程来确定数据的敏感性，评估各种技术的风险(例如，用智能手机拍摄敏感信息的风险)，监控具有潜在数据泄露的渠道，并定义使用哪种技术来阻止敏感数据的暴露。

人。让员工了解公司处理的敏感数据类型以及防止泄漏的重要性，并培训他们在处理敏感数据时什么是允许的，什么是不允许的。

文档。ISO 27001不要求文件;但是，您可能会在以下文档中包含防止数据泄漏的规则:

信息分类策略——越是敏感的数据，越是需要防范

安全操作程序-管理员应该使用哪些系统进行监控和预防

可接受使用的政策-什么是允许的，什么是不允许的普通用户

A.8.16监控活动

描述。这种控制要求您监视系统，以便识别异常活动，并在需要时激活适当的事件响应。这包括监视您的IT系统、网络和应用程序。

技术。对于您的网络、系统和应用程序，您可以监视以下内容:安全工具日志、事件日志、谁在访问什么、主要管理员的活动、入站和出站流量、代码的正确执行以及系统资源的执行情况。

组织/流程。您应该建立一个流程，定义将监视哪些系统;如何确定监测的责任;以及监测方法，为异常活动建立基线，并报告事件和事故。

人。让员工意识到他们的行为会受到监控，并解释什么是正常行为，什么是不正常行为。培训IT管理员使用监控工具。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在安全操作程序中包含有关监控的规则。较大的公司可能会制定一个单独的程序来描述如何监控他们的系统。

除此之外，保存监测活动的记录也是有用的。

A.8.23 Web过滤

描述。这种控制要求您管理您的用户正在访问哪些网站，以保护您的IT系统。这样，您就可以防止系统受到恶意代码的危害，还可以防止用户使用来自Internet的非法材料。

技术。您可以使用阻止访问特定IP地址的工具，这可能包括使用反恶意软件。你也可以使用非技术方法，比如列出禁止访问的网站，并要求用户不要访问这些网站。

组织/流程。您应该设置流程来确定哪些类型的网站是不允许的，以及如何维护网络过滤工具。

人。让员工意识到使用互联网的危险，以及在哪里可以找到安全使用的指导方针，并培训系统管理员如何进行网络过滤。

文档。ISO 27001不要求文件;然而，如果你是一家较小的公司，你可能会在以下文件中包含有关网页过滤的规则:

安全操作流程—为系统管理员定义web过滤的规则。

可接受使用政策-为所有用户定义可接受的互联网使用规则。

较大的公司可能会开发一个单独的程序来描述如何执行网络过滤。

A.8.28安全编码

描述。这种控制要求您建立安全编码原则，并将其应用到您的软件开发中，以减少软件中的安全漏洞。这可以包括编码之前、期间和之后的活动。

技术。您可能会使用工具来维护库清单，保护源代码免受篡改，记录错误和攻击，以及进行测试;您还可以使用安全组件，如身份验证、加密等。

组织/流程。你应该建立一个过程来定义安全编码的更低基线——包括内部软件开发和来自第三方的软件组件，一个过程来监控新出现的威胁和对安全编码的建议，一个过程来决定可以使用哪些外部工具和库，一个过程来定义编码之前、编码期间、编码之后(审查和维护)和软件修改所做的活动。

人。让您的软件开发人员意识到使用安全编码原则的重要性，并培训他们使用安全编码的方法和工具。

文档。ISO 27001不要求文件;但是，如果您是一家较小的公司，您可能会在安全开发策略中包含有关安全编码的规则。较大的公司可能会为每个软件开发项目开发单独的安全编码过程。