ISO 27001

国际标准组织是一个独立的机构，其目标是为任何组织发布标准, irrespective of industry, to follow. 正如他们在网站上定义的那样，标准是“描述做某事的最佳方式的公式.其中包括质量和环境管理标准, health and safety standards, food safety standards and, of course, information security standards. 标准以编号的系列发布，每个系列包含与主题的某些方面相关的多个单独的文档. 在大多数情况下，每个系列中的“01”文档e.g. 9001、14001、27001是组织可以通过认证的标准. 该系列中的所有其他文档都是认证标准的支持文档.

ISO 27000系列是信息安全管理体系的既定系列.  Management systems are the policies, procedures, 以及用于保密的资源, integrity, and availability of information. The 27001 standard, ISO/IEC 27001:2013 在撰写本文时，是组织可以通过认证的标准. 该ISO认证向相关方展示了组织对有效管理风险和关键信息系统安全的奉献精神.

Incidentally, IEC in the document title refers to the International Electrotechnical Commission一个类似的标准组织，为涉及技术活动的ISO标准做出贡献.

而总部位于美国的组织则受到许多行业和监管框架的约束，这些框架指导着网络安全和合规工作, ISO 27001是美国以外事实上的信息安全标准. 适用于与美国以外的客户和其他业务关系的组织, 通常期望ISO认证证明组织对有效风险管理和信息安全的承诺. ISO标准的核心是围绕ISMS建立正式的管理结构，以确保其持续有效. 必须证明这种有效性才能获得和保持认证. ISO is not a “checkbox security” framework.

组织经常利用为ISO认证建立的信息安全管理系统来管理其他合规性计划，例如SOC, PCI, and HITRUST. For example, 同时进行年度ISO内部审核, 他们利用这个机会验证控制是否仍然满足其他遵从性标准的要求. Then, 作为ISO认证管理评审程序的一部分, 他们利用这个机会审查他们的其他合规计划，以确定范围的变化, changes in the risk or threat landscape, and any associated internal audit findings. 为寻求高层管理批准的安全管理人员寻求ISO认证, 这是一个有效的工具，证明建立和维护ISO合规计划所需的资源是合理的.

ISO标准文档遵循一种通用格式，其中内容分为编号子句. 条款规定了给定标准的范围, 提供其他支持或相关标准的参考, 定义标准中使用的术语和定义, 并建立标准的要求或期望. 标准通常包括附件或附录，为上述条款中包含的要求和期望提供支持指南.

ISO 27001标准由26条条款和114项控制要求组成. 这些条款建立了信息安全管理体系(ISMS)的基本要素，组织必须具备这些要素来管理风险和保护信息. 这些要求是ISO 27001标准所独有的. 与其他信息安全遵从性框架不同, 这些条款为ISMS的持续指导和监督建立了要求. 这些包括组织风险评估等活动 and 治疗分析，ISMS定期执行管理评审，每年一次 internal 对ISMS进行审核，并对安全控制的有效性进行持续的监视和度量.

The second half of the standard, titled Annex A，由ISO 27001控制要求组成. 控制需求对于信息安全从业者来说更为熟悉，因为它们是组织用来处理安全风险和威胁的战术需求. These include access and authentication, logging, encryption, incident response, 以及组织作为其各种安全性和遵从性计划的一部分实现的其他控制类别. 与某些网络安全框架不同，ISO控制要求不是规定性的. In other words, ISO 27001没有建立最低密码设置, log retention periods, or cryptographic key lengths.  相反，ISO建立了必须的控制 considered by the organization. 然后，组织确定哪些控制措施适用于环境，并充分处理已识别的风险. The auditor’s role, therefore, 是确定控制措施是否按照定义实施，是否充分处理了实施控制措施的风险.

Is ISO 27001 a legal requirement? ISO 27001 is not a legal requirement per se. Organizations may, however, 建立获得和/或维护ISO 27001认证的合同义务，作为其业务关系的一部分. ISO 27001认证可以被组织利用和/或接受，作为证明遵守行业和法规信息安全要求的一种手段.

而组织的ISMS解决了组织硬件的多个方面的安全性, software, and data assets, ISO 27001标准注重保密性, integrity, and availability of information.

1. 机密性是保护信息免受未经授权的访问.
2. 完整性是保护信息免受未经授权的修改.
3. 可用性是指信息在需要时可被访问的保证.

获得ISO 27001认证的最终结果是组织向其客户保证, business partners, 和其他利益相关方确保组织负责的信息被泄露的风险最小.

ISO/IEC 27001:2013是信息安全管理系统27000系列中的众多标准和支持文件之一. 虽然在27000系列中有一些相关的指导方针和支持文档, 27001是目前该系列中唯一一个组织可以通过认证的标准.

组织必须由独立的第三方进行审计. 任何审核员都可以颁发认证，但建议聘请一名审核员 accredited 由ISO 27001认证机构进行审核. 认可核证机构本身须定期接受独立审核，以证实其信誉良好, competent, and trustworthy. This provides assurance to the organization, and any interested parties, that the audit was conducted, 并根据所有相关的ISO标准颁发证书.

成功通过ISO 27001初始认证审核, 组织必须证明他们的ISMS是完全实施和有效的. To do this, 组织将需要实施ISO 27001条款和附件A控制中建立的所有要求. To demonstrate this effectiveness, ISO审核员通常会寻找PDCA(计划-执行-检查-行动)循环的完整迭代. 对于已经建立了ISMS组件和控制的成熟组织, 这可能只需要四到六个月的时间来准备初始认证. For others, 至少需要一年的时间来建立ISMS和相关的控制，为他们的初始认证审核做好准备.

由于准备初步审计需要作出重大努力, 许多组织聘请第三方来协助建立他们的ISMS. 当组织实现其ISMS时，第三方可能只是监督并提供指导, 或者他们可能会全部或部分地参与到工作中. 不管他们有多投入, 提供执行协助的第三方不应, in accordance with some accreditors, 也不能进行组织的认证审核. 这有助于避免实现和审计实体之间的利益冲突.

Contact Us

Brian Willis, CISSP, CCSK, PCI QSA, ISO 27001 Senior Lead Auditor, 是LBMC网络安全部门的高级经理, PC. He can be reached at brian.willis@LBMC.com or (615) 309-2607.