信息安全管理体系
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
什么是ISO/IEC 27001?
ISO/IEC 27001标准的名称为《信息技术—安全技术—信息安全管理体系—要求》,由国际标准化组织(ISO)及国际电工委员会(IEC)出版。ISO/IEC 27001:2013(下称ISO/IEC 27001)为最新版本的ISO/IEC 27001标准,修订了2005年出版的上一个版本(即ISO/IEC 27001:2005)。本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。信息安全管理体系阐述保护敏感信息安全的系统化方式,通过应用风险管理流程管理人事、工序及信息技术系统。这套系统不仅适用于大型机构,中小型企业也会合用。
ISO/IEC 27001可以与相关支援控制措施配合使用,例如载列于ISO/IEC 27002:2013(下称ISO/IEC 27002)文件的控制措施。ISO/IEC 27002分为14节及35个控制目标,详述114项安全控制措施。有关ISO/IEC 27001及ISO/IEC 27002 的目录载于附录A。机构是否遵行ISO/IEC 27001标准所定的要求,可由认可认证机构进行正式评估和认证。若机构的信息安全管理体系获取ISO/IEC 27001标准的认证,显示机构致力保护信息安全,又可增加客户、合伙人及持份者的信心。
ISO/IEC 27001认证要求
为符合ISO/IEC 27001认证要求,机构的信息安全管理体系必须由国际认可的认证机构进行审计。ISO/IEC 27001第4节至10节所载的要求(见附录A)是强制性要求,并没有豁免情况。若机构的信息安全管理体系通过正式审计,便会获认证机构颁发ISO/IEC 27001证书。证书的有效期为三年,期满后,机构需要重新为其信息安全管理体系进行认证。
在三年有效期内,机构必须执行证书维护,以确保信息安全管理体系持续遵行有关要求,按规定运行和不断改进。为了保持证书有效,认证机构会每年至少一次就信息安全管理体系进行实地视察,以进行监察审计。在审计过程中,认证机构只会对部分信息安全管理体系作出审计。当三年有效期临近届满时,认证机构才会对整个信息安全管理体系作出审计。
ISO/IEC 27001认证的效益
机构获取ISO/IEC 27001认证后,在内部安全及对外竞争力方面,均会受惠。
在内部方面,机构采用ISO/IEC 27001可获得下述效益:
订立依据,以便安全地交换信息和保护
数据隐私,尤其是敏感信息;
管理和减低风险承担,从而减少发生事
件的机会,亦相应减少用于安全事件应
变的时间及金钱;
加强内部组织架构和改进业务的安全
性结构,如明确界定有关信息安全的职
责及职务;
减少在投标合约时和批出合约后,按客
户的要求分别用于整理和提交与安全
相关信息的资源。
在对外方面,机构通过宣传已获取ISO/IEC 27001认证,可获得下述效益:
给予客户及持份者信心,让他们了解机
构如何管理敏感信息的风险及安全事
宜;
有助遵守法律责任,如《个人资料(私
隐)条例》;
享有竞争优势,以助吸引更多投资者及
客户;
改进服务及产品的一致性,从而提高客
户的满意度和挽留客户;
由于安全流程经独立认证机构核实,故
可保护和提升机构信誉,从而提高对机
构、资产、股东及董事的保护;
充分准备好面对客户日益殷切的期望。
现时市民对信息安全事件愈趋敏感,一
个认可国际标准认证或会渐渐成为客
户采用服务的先决条件。认证机构
ISO/IEC 27001认证过程涉及由认证机构给予的认可。认证机构须显示已完全符合有关国际标准的要求,即ISO/IEC 17021《合格评定—管理体系审核认证机构的要求》及ISO/IEC 27006《信息安全管理体系审核认证机构的要求》,才获授予认可。2011年11月15日,香港认可处正式推出ISO/IEC 27001认证的认可服务。认证机构可联络香港认可处,并提出认可申请。有关申请纯属自愿性质。
认证费用
首次认证费用包括推行信息安全管理体系和获取ISO/IEC 27001认证所需的费用。推行信息安全管理体系的费用,主要取决于机构现有与所需的安全控制措施之间的差距。在推行费用方面,部分费用及资源用于推行安全控制措施、编写文档、培训人员等。获取认证的费用则包括外聘审计人员费用(每天按一定比例收取的费用)、申请费、证书费、维护费等。
香港的应用情况
根据国际标准化组织在2016年进行的调查,全球140个国家及经济体系已获发至少33 290张ISO/IEC 27001证书。在2016年,首三个获发证书总数最多的国家分别是日本(8 945张)、英国(3 367张)及印度(2 902张)。根据同一调查的数据,香港获发的证书数目为173张,包括部分政府部门就某些指定职能范畴取得的ISO/IEC 27001认证。
ISO/IEC 27001的推行情况和认证过程概要
•ISO/IEC 27001的推行情况
•制订信息安全方针
•工作:确定业务目标并取得管理层的支持,以推行安全改进计划。
•界定信息安全管理体系范围
•工作:比较现有的信息安全管理体系与ISO/IEC 27001的要求,同时选择信息安全管理体系将会涵
盖的业务单位、部门或系统。
•进行风险评估
•工作:制订风险评估的方法,备存须予保护的信息资产清单,并按风险评估的风险分类排列资产。
•管理已确定的风险
•工作:建立风险处理计划,为信息安全风险管理确立适当的管理工作、资源、职责及优先事项。
•选择将会推行的控制措施
•工作:拟备适用性声明,记录适用于信息安全管理体系的控制措施(例如ISO/IEC 27002中的114
项安全控制措施)及这些措施的推行方法。
•推行控制措施
•工作:制定计划以推行已确定的控制措施。
•ISO/IEC 27001的认证
•准备认证
•工作:操作信息安全管理体系,并进行包括内部审计、管理覆检和其它相关工作的整个流程。
•申请认证
•工作:着手申请认证,其中包括在不同阶段的档案覆检及有关遵行要求的实地审计。
政府资讯科技总监办公室于二零一五年四月出版(最后更新二零一七年十一月)3