27001体系注意事项(27001标准对信息安全的要求)

27001标准对信息安全的要求

ISO27001标准对信息安全提出了一系列要求，包括建立信息安全管理体系、进行风险评估和管理、确保合规性、保护信息资产、确保业务连续性、进行安全培训和意识提升、实施安全事件管理和应急响应等。

这些要求旨在帮助组织建立全面的信息安全控制措施，保护信息资产免受威胁和损害，确保业务的可靠性和可信度。

iso27001体系可以分为哪类

ISO27001信息安全风险分为：人员风险、组织风险、物理环境风险、信息机密性/完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。

1）人员风险

由于组织缺乏人员安全管理、明确的职责和意识教育，内部无意或恶意人员的失误或攻击，以及来自外部恶意或好奇人员或组织的攻击，会使组织业务面临大的风险。

2）组织风险

如果组织在信息安全组织管理方面基础薄弱、职责不清、技术服务能力差等原因，使组织在信息安全管理方面处于失控状态，加大了信息安全风险。

3）物理环境风险

由于缺乏对组织场所的安全保卫，或是防水、防火、防雷等保护措施，在面临偷盗、自然灾难时，有时会造成极大的损失。

4）信息机密性/完整性风险

信息是组织信息技术系统装载的业务数据，是一种非常重要价值的资产，甚至一些观点认为信息是组织的血液，是“一种在资产负债表之外，经过逐渐积累的，可以被用来提升组织竞争优势的信息”。同实物资产相比，信息非常分散并且易于复制，是组织业务流程的重要输入和输出数据，比如客户资料、产品设计等，如果得不到正确的识别、评估、保存和管理，就面临可能被窃取、损毁、丢失的风险，不但使依赖于这些关键信息的核心业务造成严重损坏，还会对组织的信誉、声望造成巨大损失，甚至会摧毁整个组织。信息风险管理，主要是保证信息的机密性、完整性和可用性。

5）系统风险

通常所用的计算机操作系统，以及大量应用软件在组织业务交流中的使用，尤其是定制应用产品，来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响，尤其是多个应用系统互联时，影响会涉及整个组织的多个系统。比如有的系统维护困难、结构不完善、缺乏文档、设计漏洞等多种问题，有时会在系统升级和安装补丁时引入较高的风险。系统风险要求机构对系统应用具备协同、维护、测试、版本管理、配置管理、系统管理、监控等方面具备管理能力。

6）通信操作风险

如果在通讯加密、应用分区、防病毒、IDS等安全措施出现技术或管理问题时，被攻击者利用后，会引发信息安全风险。

7）基础设施风险

基础设施包括支撑业务应用系统的网络（局域网、广域网、互联网、专线网、无线网）、硬件（服务器、主机、应用终端、共享设备）、物理环境，它们是组织业务赖以生存的基础（如电力、WEB服务器、数据库服务器等），一旦出现故障或中断，它所承载的应用也会出现问题或停顿。基础设施风险要求组织在应用层、网络层、链路层、物理层面进行综合防御。

8）业务连续性风险

依赖于信息系统服务的组织关键业务可能因系统的“宕机”而中断，或是因系统服务效能的降低（如响应时间过长）造成新客户的流失或老客户的转移。业务连续性风险，要求机构具备信息技术服务、安全事件处理和灾难恢复能力。

9）第三方合作风险

第三方指服务供应商、销售商。随着外包业务的兴起，许多组织业务依赖于供应商和销售商的服务提供，由于不完备的合同、第三方服务能力性能下降、不适应快速增长的业务需求、缺乏第三方的管理经验、产品支持失效、过短的升级周期、功能性不足等多种风险因素，导致第三方服务失效。第三方合作风险要求在合同谈判、转换服务上加强风险管理。

10）风险评估风险

如果不专业的风险评估人员、不科学的评估方法、不一致的评估标准常常会造成系统风险评估的不一致、不正确的风险评估结果，造成风险决策出现失误。

11）法律风险

在信息系统的运行过程中，由于不知晓国家法律，或是明知故犯，使组织面临由于个人隐私泄露所造成的风险。

12）决策风险

应用风险评估的结果进行风险决策和控制选择是信息安全风险管理的核心，也是最终的目标。如果在风险分析、评估、控制方面不能全面、科学反映组织的安全状态，决策者可能会在安全投资方面出现重大失误。决策风险主要是依据风险评估的结果在风险避免、风险减缓、风险转移和风险承受四个方面进行权衡决策，避免决策失误。

27001体系是什么

ISO27001

信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则；BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001和ISO20000认证已经成为企业核心竞争力的重要标志

ISO27001-2023标准有多少个应

1ISO27001-2022标准共有114个应2这是因为ISO27001-2022标准是一项关于信息安全管理的国际标准，包括114个应，旨在帮助组织确保其信息资产的保护和管理。3该标准的应包括策略、风险管理、资源管理、安全控制、安全评估等多个方面，涵盖面广，适用于各种类型和规模的组织。对于需要实施信息安全管理的机构来说，学习和掌握ISO27001-2022标准的各个应非常重要。