ISO27001認(rèn)證體系信息安全要求來源

1.在了解ISO27001認(rèn)證體系信息安全要求來源前，先要了解企業(yè)所面臨的信息安全背景和環(huán)境，以便更好理解和實施ISO27001認(rèn)證體系。

所有類型和規(guī)模的組織（包括公共和私營部門、商業(yè)和非盈利組織）都要采用不同方式（包括電子方式、物理方式、會談和陳述等口頭方式）收集、處理、存儲和傳輸信息。信息的價值超越了文字、數(shù)字和圖像：無形的信息可能包括知識、概念、觀念和品牌等。在互聯(lián)的世界里，信息和相關(guān)過程、系統(tǒng)、網(wǎng)絡(luò)及其操作、處理和保護(hù)的過程中所涉及的人員都是資產(chǎn)，與其它重要的業(yè)務(wù)資產(chǎn)一樣，對組織的業(yè)務(wù)至關(guān)重要，因此需要防護(hù)各種危害。因相關(guān)過程、系統(tǒng)、網(wǎng)絡(luò)和人員具有固有的脆弱性，資產(chǎn)易受到故意或意外的威脅。對業(yè)務(wù)過程和系統(tǒng)的變更或其他外部變更（例如新的法律和規(guī)章）可能產(chǎn)生新的信息安全風(fēng)險。因此，考慮到威脅利用脆弱性損害組織會有大量方式，信息安全風(fēng)險是一直存在的。有效的信息安全可以通過保護(hù)組織免受威脅和脆弱性，從而減少這些風(fēng)險，進(jìn)一步降低對組織資產(chǎn)的影響。信息安全是通過實施一組合適的控制措施而達(dá)到的，包括策略、過程、規(guī)程、組織結(jié)構(gòu)以及軟件和硬件功能。在必要時需建立、實施、監(jiān)視、評審和改進(jìn)這些控制措施，以確保滿足該組織的特定安全和業(yè)務(wù)目標(biāo)。為在一個一致的管理體系總體框架下實施一套全面的信息安全控制措施，信息安全管理體系（例如ISO/IEC 27001所指定的）從整體、協(xié)調(diào)的角度看待組織的信息安全風(fēng)險。從ISO/IEC 27001和本標(biāo)準(zhǔn)的意義上說，許多信息系統(tǒng)并沒有被設(shè)計成是安全的。通過技術(shù)手段可獲得的安全性是有限的，宜通過適當(dāng)?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施宜實施到位需要仔細(xì)規(guī)劃并注意細(xì)節(jié)。成功的信息安全管理體系需要組織所有員工的參與，還要求利益相關(guān)者、供應(yīng)商或其他外部方的參與。外部方的專家建議也是需要的。就一般意義而言，有效的信息安全還可以向管理者和其他利益相關(guān)者保證，組織的資產(chǎn)是適當(dāng)安全的，并能防范損害。因此，信息安全可承擔(dān)業(yè)務(wù)使能者的角色。
2.ISO27001認(rèn)證體系信息安全要求
組織識別出其安全要求是非常重要的，安全要求有三個主要來源：
a) 對組織的風(fēng)險進(jìn)行評估，考慮組織的整體業(yè)務(wù)策略與目標(biāo)。通過風(fēng)險評估，識別資產(chǎn)受到的威脅，評價易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計潛在的影響；
b) 組織、貿(mào)易伙伴、承包方和服務(wù)提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的社會文化環(huán)境；

c) 組織開發(fā)的支持其運行的信息處理、加工、存儲、溝通和存檔的原則、目標(biāo)和業(yè)務(wù)要求的特定集合。
實施控制措施所用資源需要根據(jù)缺乏這些控制措施時由安全問題導(dǎo)致的業(yè)務(wù)損害加以平衡。風(fēng)險評估的結(jié)果將幫助指導(dǎo)和確定適當(dāng)?shù)墓芾泶胧⒐芾硇畔踩L(fēng)險以及實現(xiàn)所選擇的用以防范這些風(fēng)險的控制措施的優(yōu)先級。ISO/IEC 27005提供了信息安全風(fēng)險管理的指南，包括風(fēng)險評估、風(fēng)險處置、風(fēng)險接受、風(fēng)險溝通、風(fēng)險監(jiān)視和風(fēng)險評審的建議。
3.選擇控制措施以實施ISO27001認(rèn)證體系
控制措施可以從本標(biāo)準(zhǔn)或其他控制措施集合中選擇，或者當(dāng)合適時設(shè)計新的控制措施以滿足特定需求。控制措施的選擇依賴于組織基于風(fēng)險接受準(zhǔn)則、風(fēng)險處置選項以及所應(yīng)用的通用風(fēng)險管理方法做出的決策，同時還宜遵守所有相關(guān)的國家和國際法律法規(guī)。控制措施的選擇還依賴于控制措施為提供深度防御而相互作用的方式。本標(biāo)準(zhǔn)中的某些控制措施可被當(dāng)作信息安全管理的指導(dǎo)原則，并且可用于大多數(shù)組織。在下面的實施指南中，將更詳細(xì)的解釋這些控制措施。更多的關(guān)于選擇控制措施和其他風(fēng)險處置選項的信息見ISO/IEC 27005。