ISO27001信息安全管理體系的基本思路和控制措施

ISO27001是國際上針對信息安全的權威認證標準，由BSI倡導制定。BSI是國際標準化組織(ISO)、國際電工委員會(IEC)、歐洲標準化委員會(CEN)、歐洲電工標準化委員會（CENELEC）、歐洲電信標準學會(ETSI)創始成員之一，廣為人知的ISO9000系列管理標準同樣是由BSI所倡導制定。

目前，在信息安全管理方面，英國標準ISO27001:2013（前身為ISO27001:2005）已經成為世界上最權威、應用最廣泛與典型的信息安全管理標準，它定義了11個信息安全控制域和133個控制項，旨在幫助企業在安全策略、安全制度、安全操作和管理流程等方面，形成統一的信息安全管理體系。115科技認證范疇覆蓋如下：云存儲、云社區和機構組織信息化云平臺的設計、研發和服務的信息安全管理。

為了更加便利的理解信息安全管理體系，整理了以下的體系思路方便理解和應用。

1  信息也是資產需要保護和防范各個危害。

所有企業都會收集、處理、儲存和傳出各種類型和形式的信息，比如語言文字和圖像，這些信息的價值早已超越了其本身，所有信息和網絡的操作和處理與保護人員的信息與其他業務資產一樣重要。如果資產受到威脅與危害，那么變更新的系統和業務過程都有可能產生新的信息安全風險。所有信息安全的隱患始終存在，有效的信息安全可以通過防范和保護以及有效的措施來降低風險的危害，從而降低對資產的影響。

2  信息安全管理體系可以使信息安全得到系統的管理

關于信息安全主要體現在了信息的保密性和完整性還有可用性。保密性是指信息不能被未授權的個人所查看保證信息過程的知悉度，完整性則是指信息應處于準確和完整的特性，可用性指根據授權實體的要求可訪問和使用的特性。信息安全不能單純的通過技術手段來進行管理這樣存在一定的局限性，可以按照ISO27001信息安全管理體系來進行全局的管理。

3  識別信息安全要求是第一步

企業確定了信息安全要求是管理信息安全的第一步。安全要求主要包括企業自身的風險點；企業或者相關方的外部要求；企業自身運行和對于信息的操作、處理、儲存通信和歸檔的建立的要求和目的。

4  信息安全風險評估

結合組織的戰略及內外部環境，發揮領導作用，通過建立的信息安全風險準則，進行系統的信息安全風險識別，并對識別出的風險進行分析評估，確定風險優先級別。

5  信息安全風險處置選項

在考慮風險評估結果的基礎上，選擇需要控制的適合的信息安全風險處置選項，確定所必需的所有控制。

6  選擇和實施信息安全控制措施

將選擇的所有控制與標準附錄進行對照，并驗證沒有忽略必要的控制。控制措施可從標準給出的指標中選擇，也可以特定設計。其中附錄給出了14個安全控制、35個主要安全類別和114項控制措施。
制定適用性聲明。

制定正式的信息安全風險處置計劃，獲得風險責任人對計劃及對信息安全殘余風險的接受的批準。
具體實施以上計劃，包括對變更的管理、外包過程的管理等。

7  持續改進

利用風險管理過程、管理體系的方法進行監視、保持和改進與組織信息資產相關的安全控制措施的有效性，以實現持續改進。

8  適用性聲明

企業應該制定適應性聲明，體現對信息安全的必要控制說明和選擇的合理性說明。對標準附錄刪減的不必要條款聲明。也可以增加一些標準附錄外的特性控制，可以使給出的標準和可用條款交叉使用，方便相關方查看。

9  信息的生命周期考慮

信息在其構思、設計、開發、測試、使用、維護、下線等不同的生命周期都有這不同的風險并可能隨時變化，在每一階段都應該系統的全局的考慮其信息安全。