ISO27001信息安全管理体系的基本思路和控制措施

ISO27001是国际上针对信息安全的权威认证标准，由BSI倡导制定。BSI是国际标准化组织(ISO)、国际电工委员会(IEC)、欧洲标准化委员会(CEN)、欧洲电工标准化委员会（CENELEC）、欧洲电信标准学会(ETSI)创始成员之一，广为人知的ISO9000系列管理标准同样是由BSI所倡导制定。

目前，在信息安全管理方面，英国标准ISO27001:2013（前身为ISO27001:2005）已经成为世界上最权威、应用最广泛与典型的信息安全管理标准，它定义了11个信息安全控制域和133个控制项，旨在帮助企业在安全策略、安全制度、安全操作和管理流程等方面，形成统一的信息安全管理体系。115科技认证范畴覆盖如下：云存储、云社区和机构组织信息化云平台的设计、研发和服务的信息安全管理。

为了更加便利的理解信息安全管理体系，整理了以下的体系思路方便理解和应用。

1  信息也是资产需要保护和防范各个危害。

所有企业都会收集、处理、储存和传出各种类型和形式的信息，比如语言文字和图像，这些信息的价值早已超越了其本身，所有信息和网络的操作和处理与保护人员的信息与其他业务资产一样重要。如果资产受到威胁与危害，那么变更新的系统和业务过程都有可能产生新的信息安全风险。所有信息安全的隐患始终存在，有效的信息安全可以通过防范和保护以及有效的措施来降低风险的危害，从而降低对资产的影响。

2  信息安全管理体系可以使信息安全得到系统的管理

关于信息安全主要体现在了信息的保密性和完整性还有可用性。保密性是指信息不能被未授权的个人所查看保证信息过程的知悉度，完整性则是指信息应处于准确和完整的特性，可用性指根据授权实体的要求可访问和使用的特性。信息安全不能单纯的通过技术手段来进行管理这样存在一定的局限性，可以按照ISO27001信息安全管理体系来进行全局的管理。

3  识别信息安全要求是第一步

企业确定了信息安全要求是管理信息安全的第一步。安全要求主要包括企业自身的风险点；企业或者相关方的外部要求；企业自身运行和对于信息的操作、处理、储存通信和归档的建立的要求和目的。

4  信息安全风险评估

结合组织的战略及内外部环境，发挥领导作用，通过建立的信息安全风险准则，进行系统的信息安全风险识别，并对识别出的风险进行分析评估，确定风险优先级别。

5  信息安全风险处置选项

在考虑风险评估结果的基础上，选择需要控制的适合的信息安全风险处置选项，确定所必需的所有控制。

6  选择和实施信息安全控制措施

将选择的所有控制与标准附录进行对照，并验证没有忽略必要的控制。控制措施可从标准给出的指标中选择，也可以特定设计。其中附录给出了14个安全控制、35个主要安全类别和114项控制措施。
制定适用性声明。

制定正式的信息安全风险处置计划，获得风险责任人对计划及对信息安全残余风险的接受的批准。
具体实施以上计划，包括对变更的管理、外包过程的管理等。

7  持续改进

利用风险管理过程、管理体系的方法进行监视、保持和改进与组织信息资产相关的安全控制措施的有效性，以实现持续改进。

8  适用性声明

企业应该制定适应性声明，体现对信息安全的必要控制说明和选择的合理性说明。对标准附录删减的不必要条款声明。也可以增加一些标准附录外的特性控制，可以使给出的标准和可用条款交叉使用，方便相关方查看。

9  信息的生命周期考虑

信息在其构思、设计、开发、测试、使用、维护、下线等不同的生命周期都有这不同的风险并可能随时变化，在每一阶段都应该系统的全局的考虑其信息安全。