從0開始策劃ISO 27001制度文件
- 2020 年 2 月 12 日
- 筆記
對於ISO 27001,安全從業者都不陌生,它是信息安全體系的重要標準,也是多數企業信息安全建設的依據,甚至是很多大公司服務商選型的准入要求。在構建ISO 27001時,最耗費時間和精力的階段就是制度文件的建立和要求的落地執行。制度文件的建立限定了ISO 27001的流程規範,落地執行是把制度文件的要求落到實處,保障體系的穩定運行。
從業多年,有幸在某家企業從0開始建設ISO 27001,整個過程有收益良多。本篇文章跟大家分享一下ISO 27001的制度文件策劃,希望能幫正在建設ISO 27001或比較迷茫的人,解決如下問題:
1.如何策劃ISO 27001制度文件; 2.制度文件一般包含哪些內容; 3.制度文件修訂過程中常見的問題有哪些;
企業做ISO 27001有二個需求,第一是商務需求,獲取認證來滿足招投標的需要;第二是業務需求,企業發展到一定階段需要把安全作為一個體系融合到日常工作和業務中。第一種需求比較好實現,可以找一家諮詢服務商,進行服務外包,企業只需要做好項目管理和驗收就可以了。第二種需求相對比較困難,需要結合企業的實際業務,思考制度文件的合理性、可行性以及跟業務效率的平衡性。本片探討的是在第二種需求中,如何去策劃制度文件。
ISO 27001的建立標準來自於《GBT22080-2016 信息技術 安全技術 信息安全管理體系 要求》,企業在體系建立前應確定認證範圍,就是企業的哪些部門或業務要放在體系監管下,遵守體系要求,按照體系流程執行。制度文件的修訂是圍繞認證範圍展開的,比如你的認證範圍不包含外包業務,那麼制度文件就不需要策劃外包管理部分。
在策劃制度文件時,首先要制定並輸出的是《適用性聲明》,該文件描述了在GB/T 22080-2016 /ISO/IEC 27001:2013附錄A中,適用於本企業信息安全管理體系的目標/控制、選擇這些目標/控制的理由、現行的控制方式、以及實施這些控制所涉及的相關文件。換個說法,適用性聲明就是把體系中的A5-A18的要求整理出來,逐條過,哪一條適用本企業,適用的話需要輸出什麼文檔。基本上適用性聲明一出,整個ISO 27001制度文件有幾份,每份對應什麼內容就出來了,也就完成的制度文件策略的大部分內容。
適用性聲明對應的領域對照的策劃文件,參考如下:
|
領域 |
內容 |
策劃文件 |
|---|---|---|
|
A.5 安全方針 |
為信息安全提供管理方向和支持,並表明管理層對信息安全的承諾。 |
《信息安全管理手冊》 《信息安全策略》 |
|
A.6 安全組織 |
建立一個有效的信息安全管理組織機構。 |
《信息安全管理手冊》 信息安全策略》 |
|
A.7 人力資源安全 |
對聘用過程進行管理,確保員工、合同方和第三方用戶理解其責任,並且能勝任其任務,以降低設施被盜竊、欺詐或誤用的風險。 |
《人力資源控制程序》 《相關方信息安全控制程序》 《信息安全獎懲控制程序》 |
|
A.8 資產管理 |
|
|
|
A.8.1 資產責任 |
對本公司重要信息資產(包括顧客要求保密的數據、軟件及產品)進行有效保護。 |
《信息安全風險評估控制程序》 《信息處理設施控制程序》 |
|
A.8.2 信息分類 |
本公司根據信息的敏感性對信息進行分類,明確保護要求、優先權和等級,以明確對信息資產採取適當的保護。 |
《商業秘密控制程序》 《計算機控制程序》 |
|
A.8.3 介質處理 |
本公司防止存儲在介質上的信息遭受未授權泄露、修改、移動和銷毀。 |
《介質管理控制程序》 |
|
A.9 訪問控制 |
|
|
|
A.9.1 訪問控制的業務要求 |
控制對信息的訪問。 |
《用戶訪問控制程序》 《網絡安全控制程序》 |
|
A.9.2 用戶訪問管理 |
防止對信息系統未經授權的訪問。 |
《用戶訪問控制程序》 |
|
A.9.3 用戶職責 |
明確用戶責任,防止非授權用戶的訪問 |
《用戶訪問控制程序》 |
|
A.10 密碼學 |
制定密碼控制策略,包括密碼的開發、使用和管控,並明確秘鑰管理。 |
《密碼管理控制程序》 |
|
A.11 物理與環境安全 |
防止未經授權對業務場所和信息的訪問、損壞及干擾,防止保密製品丟失或被盜;防止資產的損失、損壞或丟失及業務活動的中斷。 |
《安全區域控制程序》 《機房管理制度》 《信息網絡傳輸線路安全控制程序》 |
|
A.12 運行安全 |
|
|
|
A.12.1 運行規程和責任 |
確保信息處理設備的正確和安全使用。 |
《文件化控制程序》 《變更控制程序》 《容量控制程序》 《應用開發安全控制程序》 |
|
A.12.2 防範惡意軟件 |
確保對信息和信息處理設施的保護,防止惡意軟件。 |
《病毒(惡意軟件)控制程序》 |
|
A.12.3 備份 |
保持信息處理和通信服務的完整性和可用性。 |
《備份與恢復控制程序》 |
|
A.12.4 日誌記錄和監控 |
記錄事件並生成證據。 |
《信息安全監控控制程序》 |
|
A.12.5 運行軟件控制 |
確保運行系統的完整性。 |
《計算機控制程序》 |
|
A.12.6 技術脆弱性管理 |
防止技術脆弱性被利用。 |
《信息安全風險評估控制程序》 《應用開發安全控制程序》 |
|
A.12.7 信息系統審計考慮 |
將審計活動對運行系統的影響最小化。 |
《信息安全監控控制程序》 |
|
A.13 通信安全 |
保持組織內以及與組織外信息傳輸的安全;為保持對網絡中的信息及支持性設施進行有效保護。 |
《信息交換控制程序》 《網絡安全控制程序》 |
|
A.14信息系統獲取、開發和維護 |
確保安全性已構成信息系統的一部分;確保應用系統軟件和信息的安全;確保測試數據的安全。 |
《軟件開發安全控制程序》 《應用開發安全控制程序》 |
|
A.15供應關係 |
確保組織中被供應商訪問信息的安全;確保信息安全和服務交付水平與供應商協議保持一致。 |
《相關方信息安全控制程序》 |
|
A.16信息安全事件管理 |
確保對信息安全事件進行持續、有效地管理,包括信息安全事態和弱點的溝通。 |
《信息安全事件管理程序》 《記錄控制程序》 |
|
A.17信息安全方面的業務持續性管理 |
信息安全的連續性應嵌入組織的業務連續性管理體系。 |
《業務持續性控制程序》 |
|
A.18符合性 |
避免違反任何民法、刑法、規章或契約義務以及任何安全要求。 |
《法律、法規識別獲取控制程序》 《法律法規清單》 《內部審核控制程序》 《管理評審控制程序》 《技術符合性檢查控制程序》 |
不同企業對ISO 27001附錄的A5-A18的關注和側重點不用,所以策劃的時候,需根據實際情況進行調整。上表基本就是適用性聲明的主要內容,根據這個表格就可以確定體系文件目錄及文件需覆蓋內容。經過整理,必要的ISO 27001體系文件如下:
體系文件制定過程中,經常會出現沒意識到或意料外的問題,這些問題主要體現在如下幾方面:
1.目標無法考核。在管理手冊或其他文件中,制定的安全目標或標準要求無法考核。如重大信息安全泄露不超過0起,但是整套體系文件缺少對重大信息安全泄露的定義,什麼叫做重大信息安全泄露,2個員工的郵箱信息泄露是不是,高管的個人隱私信息泄露是不是,結果就導致該信息安全目標無法考核和衡量。還存在一種情況,如規定年度信息安全培訓考核通過率為98%,但是培訓系統的考核數據只保留30天,年底統計數據的時候,發現只有12月份數據,導致該目標無法統計。
2.內容脫離業務現狀。如在計算機控制程序中,規定晚上10:00後,計算機必須全部關機,並使用終端管理軟件執行關機操作。但有些測試部門的設備晚上是不能關機的,必須每晚都跑以測試性能,該條規定就影響到測試部門的工作,進而影響業務,所以是不合理的。應調研業務部門的實際狀況,並根據實際需求,進行分區域管控或分業務管控。
3.制度要求不被執行。制度文件發佈後,明確了體系的管控要求,但是沒有按照要求執行。如計算機控制程序規定要封禁U口,但實際並沒有,員工可以任意拷貝文件。要求3個月更換密碼,實際也沒有執行,員工的密碼從來不修改等。
4.制度要求不明確。如信息安全事件控制程序中,規定信息安全事件需及時上報。這個內容就很模糊,1小時算不算及時、2小時呢、12小時呢?再比如業務連續性管控程序中規定業務持續中斷4小時,必須上報總經理。這個內容也是不明確的,所有業務中斷4小時都要上報嗎?一些非核心系統,如機房進入登記系統,中斷4小時也要上報給總經理嗎?實際上機房進入登記系統中斷4小時,不會對業務造成影響,我們只需要手工登記一下就可以了,沒必要上報到總經理層面。
ISO 27001是一套相對複雜,推行難度較大的體系。難度主要體現在持續維持的資源投入和對業務效率的平衡。制度文件是整個體系的核心,是綱領和指導,前期策劃好制度文件,能規避體系運行過程中會出現的大部分問題,讓體系運行更穩固。願企業都能策劃滿足自身需要的制度文件,並將ISO 27001整合到業務中,讓安全不僅是保值部分,還是增值部分!
*本文原創作者:softgirl,本文屬於FreeBuf原創獎勵計劃,未經許可禁止轉載
