ISO 27001 是什么意思？

ISO 27001 是专注于信息安全的领先国际标准。它由国际标准化组织（ISO）与国际电工委员会（IEC）合作发布。这两个组织都是制定国际标准的主要国际组织。

ISO 27001 是为处理信息安全而制定的一套标准（ISO/IEC 27000 系列）的一部分。其全称是 "ISO/IEC 27001 - 信息安全、网络安全和隐私保护 - 信息安全管理系统 - 要求"。

ISO 框架和 ISO 27001 的目的

ISO 框架是供组织使用的各种标准的组合。ISO 27001 提供了一个框架，帮助任何规模或任何行业的组织通过采用信息安全管理系统（ISMS），以系统化和具有成本效益的方式保护其信息。

ISO 27001 为什么重要？

该标准不仅为公司提供了保护其最宝贵信息的必要技术，而且公司还可以获得 ISO 27001 认证，从而向其客户和合作伙伴证明公司保护了他们的数据。

个人也可以通过参加课程并通过考试获得 ISO 27001 认证，从而向潜在雇主证明自己在实施或审核信息安全管理系统方面的技能。

由于 ISO 27001 是一项国际标准，因此很容易在全球范围内得到认可，从而为组织和专业人员带来更多商机。

ISO 27001 的三大原则是什么？

ISO 27001 和信息安全管理系统的基本目标是保护信息的三个方面：

保密性： 只有经过授权的人才有权访问信息。

完整性： 只有获得授权的人才能更改信息。

可用性： 授权人员在需要时必须能随时获取信息。

为什么需要 ISMS？

通过实施 ISO 27001，公司可以获得四项基本业务优势：

遵守法律要求--与信息安全相关的法律、法规和合同要求越来越多。好消息是，大多数问题都可以通过实施 ISO 27001 得到解决。该标准为您提供了符合所有这些要求的完美方法。

实现竞争优势--如果贵公司获得认证，而竞争对手没有获得认证，那么在那些对信息安全非常敏感的客户眼中，贵公司可能比他们更具优势。

降低成本 - ISO 27001 的主要理念是防止安全事故的发生，而每一起事故，无论大小，都需要花费资金。因此，通过预防事故，贵公司将节省大量资金。最重要的是，对 ISO 27001 的投资远远小于所节省的成本。

更好的组织--通常情况下，快速发展的公司没有时间停下来确定他们的流程和程序--因此，员工往往不知道需要做什么、何时做、由谁做。实施 ISO 27001 有助于解决这种情况，因为它鼓励公司写下他们的主要流程（即使是那些与安全无关的流程），使他们能够减少员工的时间损失，并保持关键的组织知识，否则这些知识可能会在员工离开组织时丢失。

ISO 27001 如何运作？

ISO 27001 的重点是保护公司信息的机密性、完整性和可用性。具体做法是找出信息可能发生的潜在事故（即风险评估），然后确定需要采取哪些措施来防止此类事故的发生（即风险缓解或风险处理）。

因此，ISO 27001 的主要理念是基于风险管理流程： 找出风险所在，然后通过实施安全控制（或保障措施）系统地处理风险。

ISO 27001 要求公司在一份名为 "适用性声明 "的文件中列出要实施的所有控制措施。

什么是 ISO 27001 控制措施？

ISO 27001 控制措施（也称为保障措施）是为将风险降低到可接受水平而实施的措施。控制措施可以是技术控制措施、组织控制措施、物理控制措施和人为控制措施。

ISO 27001 中有多少控制措施？

ISO 27001 附件 A 的 2022 年修订版列出了 93 项控制措施，分为编号为 A.5 至 A.8 的四个部分，具体说明如下。

如何实施 ISO 27001 控制措施？

组织控制（附件 A 第 A.5 节）通过定义应遵循的规则以及用户、设备、软件和系统的预期行为来实施。例如，访问控制政策、自带设备政策等。

人员控制（附件 A 第 A.6 节）通过向人员提供知识、教育、技能或经验来实施，使他们能够以安全的方式开展活动。例如，ISO 27001 意识培训、ISO 27001 内部审计员培训等。

物理控制（附件 A 第 A.7 节）主要通过使用与人和物体有物理互动的设备或装置来实施。例如，闭路电视摄像头、报警系统、锁等。

技术控制（附件 A 第 A.8 节）主要在信息系统中实施，使用添加到系统中的软件、硬件和固件组件。例如，备份、杀毒软件等。

如需帮助编写 ISMS 和安全控制的政策和程序，请注册免费试用领先的 ISO 27001 合规性软件 Conformio。

要求

标准的两个部分

标准分为两部分。第一部分（主要）包括 11 个条款（0 至 10）。第二部分称为附件 A，提供了 93 个控制目标和控制措施的指南。

标准主体部分的第 0 至 3 条（导言、范围、规范性参考资料、术语和定义）是 ISO 27001 标准的导言。第 4 至第 10 条规定了 ISO 27001 的要求，如果公司想符合该标准，就必须遵守这些要求，本文将在后面详细介绍这些要求。

该标准的附件 A 提供了非强制性控制措施清单，以支持这些条款及其要求，但这些控制措施是作为风险管理流程的一部分进行选择的。更多信息，请阅读文章 ISO 27001 的基本逻辑：信息安全如何运作？

ISO 27001 有哪些要求？

第 4 至第 10 条的要求可归纳如下：

ISO 27001 第 4 条--组织背景--成功实施信息安全管理系统的先决条件之一是了解组织背景。需要确定并考虑外部和内部问题以及相关方。要求可能包括监管问题，但也可能远不止于此。

有鉴于此，组织需要确定 ISMS 的范围。

ISO 27001 第 5 条--领导力--ISO 27001 对充分领导力的要求是多方面的。最高管理层的承诺是管理系统的强制性要求。需要根据组织的战略方向和目标制定目标。提供 ISMS 所需的资源以及支持人员为 ISMS 做出贡献，也是需要履行的义务。

此外，最高管理层需要制定信息安全的最高级别政策。公司的 ISO 27001 信息安全政策应记录在案，并在组织内部和相关方之间传达。

还需要分配角色和责任，以满足 ISO 27001 标准的要求，并报告 ISMS 的绩效。

ISO 27001 第 6 条--规划--ISMS 环境中的规划应始终考虑风险和机遇。信息安全风险评估是一个重要的基础。因此，信息安全目标应以风险评估为基础。这些目标需要与公司的整体目标保持一致，并且需要在公司内部推广，因为它们为公司内部和与公司保持一致的每个人提供了努力的安全目标。根据风险评估和安全目标，以附件 A 中列出的控制措施为基础，制定风险处理计划。

ISO 27001 第 7 条--支持--资源、员工能力、意识和沟通是支持 ISMS 的关键。另一项要求是根据 ISO 27001 记录信息。信息需要记录、创建、更新和控制。为了支持 ISMS 取得成功，需要维护一套合适的文档（包括沟通计划）。

ISO 27001 第 8 条--操作--实施信息安全必须要有流程。这些流程需要规划、实施和控制。风险评估和处理必须付诸行动，正如我们前面所学到的，这些都是高层管理人员必须考虑的问题。

了解有关风险评估和处理的更多信息，请参阅 ISO 27001/ISO 27005 风险管理 6 个步骤的免费图表。

ISO 27001 第 9 条 - 性能评估 - ISO 27001 标准要求对信息安全管理系统进行监控、测量、分析和评估。除了检查其工作的关键绩效指标外，公司还需要进行内部审计。最后，最高管理层需要在规定的时间间隔内审查组织的 ISMS 和 ISO 27001 KPI。

ISO 27001 第 10 条--改进--在评估之后进行改进。不符合项需要通过采取行动和消除原因来解决。此外，还应实施持续改进流程。尽管 ISO 27001 不再明确提及 PDCA（计划-执行-检查-行动）循环，但仍建议采用，因为它提供了一个稳固的结构，并符合 ISO 27001 的要求。

附件 A（规范性）信息安全控制参考--该附件提供了一份 93 项保障措施（控制）的清单，可通过实施这些措施来降低风险并满足相关方的安全要求。要实施的控制措施必须在 "适用性声明 "中标注为适用。

有关附件 A 的更多信息，请阅读文章 "了解附件 A 中的 ISO 27001 控制措施 "和 "如何构建 ISO 27001 附件 A 控制措施的文档"。

ISO 27001 强制性文件

ISO 27001 规定了一套最低限度的政策、计划、记录和其他文档信息，这些都是符合标准所必需的。因此，该标准要求您编写 ISO 27001 实施和认证所必须的特定文档和记录。

如需查看这些文件的更详细解释，请下载免费白皮书《ISO 27001 要求的强制性文件清单》。

什么是 "ISO 27001 认证"？

公司可以通过邀请认可的认证机构进行认证审核，如果审核成功，则向公司颁发 ISO 27001 证书，从而获得 ISO 27001 认证。该证书意味着公司完全符合 ISO 27001 标准。

个人可以通过 ISO 27001 培训并通过考试来获得 ISO 27001 认证。该证书意味着此人在培训期间已掌握了相应的技能。

ISO 27001 各版本概述

截至本文发表时，ISO 27001 的当前版本是 ISO/IEC27001:2022，于 2022 年 10 月发布。

ISO 27001 的第一个版本于 2005 年发布（ISO/IEC 27001:2005），第二个版本于 2013 年发布。当前的 2022 版本是该标准的第三次修订。在本文的信息图表中了解有关这些变化的更多信息： ISO 27001 2013 与 2022 修订版--有哪些变化？

值得注意的是，作为 ISO 成员的不同国家可以将标准翻译成本国语言，并在不影响国际版标准内容的基础上稍作添加（如国家前言）。这些 "版本 "带有附加字母，以区别于国际标准；例如，NBR ISO/IEC 27001 表示巴西版本，而 BS ISO/IEC 27001 表示英国版本。这些地方版本的标准还包含地方标准化机构采用这些标准的年份，因此最新的英国版本是 BS EN ISO/IEC 27001:2017，这意味着 ISO/IEC 27001:2013 于 2017 年被英国标准协会采用。

ISO 27001 是强制性的吗？

在大多数国家，ISO 27001 的实施不是强制性的。不过，一些国家已发布法规，要求某些行业实施 ISO 27001。要确定 ISO 27001 是否对您的公司具有强制性，您应该寻求所在国家的专家法律建议。

公共和私营组织可以在与供应商签订的合同和服务协议中将遵守 ISO 27001 规定为一项法律要求。

ISO 27001 和其他标准

什么是 ISO 27000 标准？

ISO 27001 规定了 ISMS 的要求，因此是 ISO 27000 系列标准中的主要标准。但是，由于它主要定义了需要什么，但没有具体说明如何去做，因此还制定了其他一些信息安全标准来提供额外的指导。目前，ISO 27k 系列共有 40 多项标准。

ISO 27001 支持标准

以下是支持 ISO 27001 的 27K 系列中一些最常用的其他标准，它们为特定主题提供指导。

ISO/IEC 27000 提供了 ISO 27k 系列标准中使用的术语和定义。

ISO/IEC 27002 为 ISO 27001 附件 A 中列出的控制措施的实施提供指导。

ISO/IEC 27004 提供了衡量信息安全的指南--它与 ISO 27001 非常契合，因为它解释了如何确定 ISMS 是否实现了目标。

ISO/IEC 27005 提供了信息安全风险管理指南。它是 ISO 27001 的很好补充，因为它详细介绍了如何进行风险评估和风险处理，这可能是实施过程中最困难的阶段。

ISO/IEC 27017 提供了云环境信息安全指南。

ISO/IEC 27018 为云环境中的隐私保护提供了指导原则。

ISO/IEC 27031 提供了在开发信息和通信技术 (ICT) 业务连续性时应考虑的指导原则。该标准是信息安全和业务连续性实践之间的重要纽带。

要轻松高效地实施 ISO 27001，请注册免费试用领先的 ISO 27001 合规性软件 Conformio。

本文标签： # iso27001认证