ISO/IEC 27001:2013标准 引言
0.1 总则 
本标准用于为建立、实施、保持和持续改进信息安全管理体系提供要求1。采用信息安全管理体系是组织的一项战略性决策2。一个组织信息安全管理体系的建立和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响3。所有这些影响因素会不断发生变化4

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,以充分管理风险并给予相关方信心5

信息安全管理体系是组织过程和整体管理结构的一部分并与其整合在一起是非常重要的6。信息安全在设计过程、信息系统、控制措施时就要考虑信息安全7。按照组织的需要实施信息安全管理体系,是本标准所期望的8

本标准可被内部和外部相关方使用,评估组织的能力是否满足组织自身信息安全要求。

本标准中要求的顺序并不能反映他们的重要性或意味着他们的实施顺序。列举的条目仅用于参考目的。

ISO/IEC27000 描述了信息安全管理体系的概述和词汇,参考了信息安全管理体系标准族(包括ISO/IEC 27003、ISO/IEC 27004 和ISO/IEC 27005)以及相关的术语和定义。

标准解析

  1. ISO/IEC 27001:2013并非强制性要求,仅为有以下需求的组织提供了建立、实施、保持和持续改进信息安全管理体系的要求指导:a)组织需要证实自己具备稳定地提供满足顾客信息安全要求和适用信息安全法律法规要求的产品和服务的能力;b)组织希望通过信息安全管理体系的有效应用,包括确定信息安全管理体系所涉及的过程以及保证符合顾客和适用法律法规的信息安全要求,增强顾客满意度。
  2. 战略,是全局的,长远的。因此,当一个组织决定采用本标准建立信息安全管理体系的时候,就必须要有长远的规划,以及长期战斗的决心和毅力,而不是客户有要求时,临时决定推行本标准,甚至企图在1-2个月内,在组织内按照标准要求,建立满足客户要求的信息安全管理体系,这个绝对是不现实的,这样对组织长远的发展而言,只会适得其反,劳民伤财,一无所获,甚至导致组织的管理越来越混乱。另一方面,采用本标准,建立信息安全管理体系,必须从全局进行规划。组织的所有部门和人员,都必须参与到信息安全管理体系的建设和维护过程中去,而执行这项工作,就不仅仅是某一个部门,某一个部门负责人,以及一两个工程师的事情,而是需要组织的最高管理者亲自过问和参与其中。现在各个管理体系的标准(ISO 9001/ISO 14001/ISO 45001)最新版,都把管理者代表这一角色删除掉了,而强调组织的最高管理者必须亲自参与和主导体系的建设工作,并且在标准中,特别指明了组织的最高管理者应对体系的有效性承担责任。
  3. 本标准的要求,是通用的,可以适用于各种类型、不同规模和提供各种产品或服务的组织。但是达到标准要求的方法、途径和措施会因组织的需要和目标、安全要求、所采用的过程以及组织的规模和结构而不同。也就是说,信息安全管理体系的策划和实施除了满足标准的要求外,还应符合组织的实际情况,这一点,尤为重要。
  4. 组织的需要和目标、安全要求、所采用的过程以及组织的规模和结构是会随者时间的推移而动态变化的,因此信息安全管理体系也应该是动态维护的。当然安全本身,也不是一劳永逸的,而是一个动态的过程。
  5. 信息安全风险评估过程,是信息安全管理体系,独有的过程,因此最好单独建立信息安全风险评估程序。过程涉及的标准条款有:“6.1.2 信息安全风险评估、6.1.3 信息安全风险处置、8.2 信息安全风险评估以及8.3 信息安全风险处置”。这个过程是建立信息安全管理体系的最为核心一个部分,推荐参考的标准为ISO/IEC 27005。此过程属于执行层面。另外条款“4.1 理解组织及其环境”以及“6.1.1 总则”中,也涉及风险识别的要求,这个属于战略层面,跟ISO 9001等体系有共通性,在实施时,不必单独建立过程,可以与组织的质量、环境等管理体系整合实施,有些体系(如ISO/IEC 27001)标准中提到可以参考ISO 31000实施。以上战略和执行两个层面的信息安全风险评估具体实施方法和主导部门都是不一样的,实施方法前面提到分别参照ISO 31000和ISO/IEC 27005来实施,而主导部门,战略层面的风险评估一般由组织的最高管理者亲自主导,执行层面的风险评估由体系负责部门主导。ISO/IEC 27001:2013目前来说,还算不上是一个比较成熟的标准,所以有些条款理解起来会比较困难,就像前面提到的几个涉及风险评估的条款,至少目前我碰到过的ISO/IEC 27001审核老师以及咨询老师,还有购买的相关书籍中,都没能把这些条款很好地解析清楚,基本上都是用“信息安全风险评估”这一概念笼统地将战略和执行两个层面的东西混为一谈,根本解释不清楚为什么有些地方提到参考ISO 31000,而有些地方提到参考ISO/IEC 27005。建立信息安全管理体系的目的就是保持信息的保密性、完整性和可用性,并让相关方(一般主要针对客户)对组织的信息安全风险得到充分的管理有信心,从而提升客户的满意度,而信息安全管理体系的建立,是通过信息安全风险管理过程来实现的,这里的信息包含信息本身,信息处理设施以及信息处理人。
  6. 信息安全管理体系并非是独立于组织其他管理体系之外而单独存在的,而是需要整合或嵌入到公司原有的业务过程中去,最直接的做法,是以ISO 9001体系为骨架,在必要的地方嵌入信息安全要求,否则的话,不仅辛苦建立起来的信息安全管理体系起不到作用,而且还会成为组织的负担,会大大增加对组织正常业务的影响。
  7. 在组织流程设计、信息系统开发设计以及控制措施设计时,需要考虑到信息安全的要求。
  8. 再次强调,信息安全管理体系(包含辅助性IT技术手段)要做到一个怎样的程度,并没有硬性的要求,符合组织的实际需求即可。