简介

随着国际范围内信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，国际范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。目前，在信息安全管理方面，ISO27001——信息安全管理体系标准已经成为国际上应用最广泛与典型的信息安全管理标准，它是由英国标准BS7799转换而成的，最新版本为ISO27001：2013。

BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准ISO/IEC17799：2000《信息技术—信息安全管理实施细则》，后来该标准已升版为ISO/IEC17799：2005。2002年9月5日，BS7799-2：2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA的过程管理模式，建立了与ISO9001、ISO14001和 OHSAS 18000等管理体系标准相同的结构和运行模式。2005年，BS7799-2：2002正式转换为国际标准ISO/IEC27001：2005。

ISO27001标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（ Information Security Management System，ISMS）提供模型。ISO27001已经成为国际上应用最广泛与典型的信息安全管理标准，相当数量的组织采纳并进行了信息安全管理体系的认证。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。在我国，自从2008年将ISO27001：2005转化为国家标准GB/T22080：2008以来，信息安全管理体系认证在国内进一步获得了全面推广，目前最新版本为GB/T22080-2016。

主要内容

ISO27001标准指出“像其他重要业务资产一样，信息也是一种资产”，信息对一个组织具有价值，因此需要合适的保护。信息安全防止信息受到各种威胁，以确保业务连续性，使业务受到损害的风险降至最低，使投资回报和业务机会最大。

信息安全是通过一组合适控制措施来实现的，控制措施可以是策略、惯例、规程、组织架构以及软件功能。组织需要通过建立这些控制措施，来确保满足组织的特定安全目标。ISO27001：2005有11个控制域、39个控制目标、133项控制措施。新版ISO27001：2013修订为14个控制域、35个控制目标、114个控制措施，ISO27001：2013整体框架如图3-1所示。14个控制域包括信息安全策略、信息安全的组织、人力资源安全、资产管理、访问控制、密码、物理和环境安全、通信安全、操作安全、系统获取/开发和维护、供应商关系、信息安全事件管理、业务连续性管理和符合性。

图3-1  ISO27001:2013整体框架

引用价值

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

ISO27001标准的价值在于：

（1）通过定义、评估和控制风险，确保经营的持续性和能力；

（2）减少由于合同违规行为以及直接触犯法律法规要求所造成的责任；

（3）通过遵守国际标准提高企业竞争能力，提升企业形象；

（4）明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和

丢失；

（5）建立安全工具使用方针；

（6）谨防技术诀窍的丢失；

（7）在组织内部增强安全意识；

（8）可作为公共会计审计的证据。

ISO27001认证逐渐成为各种组织（包括政府部门）的热门需求，这其中有两个关键性的驱动因素：一是日益严峻的信息安全威胁；二是不断增长的信息保护相关法规的需求。过去十年，围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大，其中包括专门针对个人数据保护问题的，也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前，建立这样的管理体系逐渐成为诸多合规项目的必要条件。

近年来，银行监管部门对IT风险监管的要求越来越高。在银行的企业风险管理中，银行三大风险分别为信用风险、市场风险和操作风险，当前IT风险已经成为操作风险的重要组成部分，近年来，监管部门针对银行风险出了多个监管规范。2009年3月，银监会发布了新版《商业银行信息科技风险管理指引》，系统地对银行IT风险的控制提出了基本要求，涉及信息科技管理的各个业务领域，重点提出了IT治理机制、IT风险管理的制度与流程、IT运维、应用开发、IT审计、客户数据保护方面的管控要求，可以有效地指导商业银行系统地对IT风险进行管理。银监会还陆续出台了一系列相关指引、法规要求，如《商业银行内部控制指引》《商业银行合规风险管理指引》《业务连续性监管指引》《外包监管指引》等，以指导商业银行全方位推进IT风险管理工作。同时，人民银行也发布了《银行信息系统信息安全等级保护实施指引》《银行信息系统信息安全等级保护测评指南》等，对商业银行的信息安全提出了明确要求。此外，根据监管部门的规划，银行IT风险年度评级要纳入银行整体评级之中，包括信息科技风险在内的银行操作风险将变得和信用风险、市场风险一样重要，信息科技风险管理正在越发得到银行高级管理层的真正重视。

因此，在银行业信息科技风险体系建设时，要考虑到设计与建立适宜的科技风险管理体系与有效的IT内控与信息安全控制机制，建立与巴塞尔新资本协议所要求的操作风险的接口，同时探索建立与信息科技风险相关的操作风险评估的实现方法。

参考方法

取得ISO27001认证主要有以下几个步骤：

（1）准备

1）明确认证的意义；

2）确定信息安全管理体系认证范围；

3）明确认证活动的参与方面，确定各方所期望的收益；

4）全面地理解认证的内容，明确认证活动对个人和对组织的影响；

5）获取信息，包括与相似规模、职能的组织交流经验，向咨询顾问、培训提供机构、相关论坛和用户组织咨询；

6）获得高层管理者的支持；

7）获得ISO27001的知识和文档；

8）选定一家认证机构，确认审核的范围。

（2）初步评估与计划制定

1）进行初步的评估，掌握现状并进行差距分析；评估明确需改进的方面管理在认证过程中的风险；

2）制定整体的计划，获得相关方面的支持与承诺。

（3）缩小差距

1）根据ISO27000标准进行详细的评估；

2）制定具体的信息安全控制措施，文件化信息安全管理体系文档；

3）实施运行信息安全管理体系；

4）改进信息安全管理的政策、流程和步骤；

5）定期检查和回顾。

（4）认证审核准备

1）如有必要，联系认证机构进行预审核，作为正式审核的“预演或排练”；

2）与认证机构充分交流以建立对审核范围、审核内容的共同理解；

3）准备审核所需要的“证据”，如文档和记录等。

（5）认证审核

典型的认证审核包括：

1）协定参考标准和审核范围的条款；

2）第一阶段审核：主要进行文件审核，审核体系文档是否对标准要求内容进行了体现，并确认第二阶段审核准备的充分性；

3）第二阶段审核：现场对体系的符合性和有效性进行评价，即审核是否对体系文档要求进行了有效的执行，并作出现场推荐结论；

4）认证机构审核推荐结论，如果达到ISO27001标准要求，将后续颁发证书。

（6）维护

ISO27001标准认证证书的有效期为三年；获得认证后每年都须由认证机构进行“年度监督审核”；证书三年到期后，需要进行一次全面的再认证审核。

当组织的信息安全管理体系发生变化，或出现影响信息安全管理体系符合性的重大变化时，需要及时通知认证机构，认证机构将视情况进行监督审核、换证审核或者再认证审核以保持证书的有效性。

此外，组织需要根据ISO27001的要求，每年至少进行一次内部审核和管理评审。
文章摘自《管理体系在银行业数据中心的创新与实践》