对于ISO 27001,安全从业者都不陌生,它是信息安全体系的重要标准,也是多数企业信息安全建设的依据,甚至是很多大公司服务商选型的准入要求。在构建ISO 27001时,最耗费时间和精力的阶段就是制度文件的建立和要求的落地执行。制度文件的建立限定了ISO 27001的流程规范,落地执行是把制度文件的要求落到实处,保障体系的稳定运行。
从业多年,有幸在某家企业从0开始建设ISO 27001,整个过程有收益良多。本篇文章跟大家分享一下ISO 27001的制度文件策划,希望能帮正在建设ISO 27001或比较迷茫的人,解决如下问题:
1.如何策划ISO 27001制度文件;
2.制度文件一般包含哪些内容;
3.制度文件修订过程中常见的问题有哪些;
企业做ISO 27001有二个需求,第一是商务需求,获取认证来满足招投标的需要;第二是业务需求,企业发展到一定阶段需要把安全作为一个体系融合到日常工作和业务中。第一种需求比较好实现,可以找一家咨询服务商,进行服务外包,企业只需要做好项目管理和验收就可以了。第二种需求相对比较困难,需要结合企业的实际业务,思考制度文件的合理性、可行性以及跟业务效率的平衡性。本片探讨的是在第二种需求中,如何去策划制度文件。
ISO 27001的建立标准来自于《GBT22080-2016 信息技术 安全技术 信息安全管理体系 要求》,企业在体系建立前应确定认证范围,就是企业的哪些部门或业务要放在体系监管下,遵守体系要求,按照体系流程执行。制度文件的修订是围绕认证范围展开的,比如你的认证范围不包含外包业务,那么制度文件就不需要策划外包管理部分。
在策划制度文件时,首先要制定并输出的是《适用性声明》,该文件描述了在GB/T 22080-2016 /ISO/IEC 27001:2013附录A中,适用于本企业信息安全管理体系的目标/控制、选择这些目标/控制的理由、现行的控制方式、以及实施这些控制所涉及的相关文件。换个说法,适用性声明就是把体系中的A5-A18的要求整理出来,逐条过,哪一条适用本企业,适用的话需要输出什么文档。基本上适用性声明一出,整个ISO 27001制度文件有几份,每份对应什么内容就出来了,也就完成的制度文件策略的大部分内容。
适用性声明对应的领域对照的策划文件,参考如下:
领域 | 内容 | 策划文件 |
---|---|---|
A.5 安全方针 | 为信息安全提供管理方向和支持,并表明管理层对信息安全的承诺。 | 《信息安全管理手册》 《信息安全策略》 |
A.6 安全组织 | 建立一个有效的信息安全管理组织机构。 | 《信息安全管理手册》 《信息安全策略》 |
A.7 人力资源安全 | 对聘用过程进行管理,确保员工、合同方和第三方用户理解其责任,并且能胜任其任务,以降低设施被盗窃、欺诈或误用的风险。 | 《人力资源控制程序》 《相关方信息安全控制程序》 《信息安全奖惩控制程序》 |
A.8 资产管理 | ||
A.8.1 资产责任 | 对本公司重要信息资产(包括顾客要求保密的数据、软件及产品)进行有效保护。 | 《信息安全风险评估控制程序》 《信息处理设施控制程序》 |
A.8.2 信息分类 | 本公司根据信息的敏感性对信息进行分类,明确保护要求、优先权和等级,以明确对信息资产采取适当的保护。 | 《商业秘密控制程序》 《计算机控制程序》 |
A.8.3 介质处理 | 本公司防止存储在介质上的信息遭受未授权泄露、修改、移动和销毁。 | 《介质管理控制程序》 |
A.9 访问控制 | ||
A.9.1 访问控制的业务要求 | 控制对信息的访问。 | 《用户访问控制程序》 《网络安全控制程序》 |
A.9.2 用户访问管理 | 防止对信息系统未经授权的访问。 | 《用户访问控制程序》 |
A.9.3 用户职责 | 明确用户责任,防止非授权用户的访问 | 《用户访问控制程序》 |
A.10 密码学 | 制定密码控制策略,包括密码的开发、使用和管控,并明确秘钥管理。 | 《密码管理控制程序》 |
A.11 物理与环境安全 | 防止未经授权对业务场所和信息的访问、损坏及干扰,防止保密制品丢失或被盗;防止资产的损失、损坏或丢失及业务活动的中断。 | 《安全区域控制程序》 《机房管理制度》 《信息网络传输线路安全控制程序》 |
A.12 运行安全 | ||
A.12.1 运行规程和责任 | 确保信息处理设备的正确和安全使用。 | 《文件化控制程序》 《变更控制程序》 《容量控制程序》 《应用开发安全控制程序》 |
A.12.2 防范恶意软件 | 确保对信息和信息处理设施的保护,防止恶意软件。 | 《病毒(恶意软件)控制程序》 |
A.12.3 备份 | 保持信息处理和通信服务的完整性和可用性。 | 《备份与恢复控制程序》 |
A.12.4 日志记录和监控 | 记录事件并生成证据。 | 《信息安全监控控制程序》 |
A.12.5 运行软件控制 | 确保运行系统的完整性。 | 《计算机控制程序》 |
A.12.6 技术脆弱性管理 | 防止技术脆弱性被利用。 | 《信息安全风险评估控制程序》 《应用开发安全控制程序》 |
A.12.7 信息系统审计考虑 | 将审计活动对运行系统的影响最小化。 | 《信息安全监控控制程序》 |
A.13 通信安全 | 保持组织内以及与组织外信息传输的安全;为保持对网络中的信息及支持性设施进行有效保护。 | 《信息交换控制程序》 《网络安全控制程序》 |
A.14信息系统获取、开发和维护 | 确保安全性已构成信息系统的一部分;确保应用系统软件和信息的安全;确保测试数据的安全。 | 《软件开发安全控制程序》 《应用开发安全控制程序》 |
A.15供应关系 | 确保组织中被供应商访问信息的安全;确保信息安全和服务交付水平与供应商协议保持一致。 | 《相关方信息安全控制程序》 |
A.16信息安全事件管理 | 确保对信息安全事件进行持续、有效地管理,包括信息安全事态和弱点的沟通。 | 《信息安全事件管理程序》 《记录控制程序》 |
A.17信息安全方面的业务持续性管理 | 信息安全的连续性应嵌入组织的业务连续性管理体系。 | 《业务持续性控制程序》 |
A.18符合性 | 避免违反任何民法、刑法、规章或契约义务以及任何安全要求。 | 《法律、法规识别获取控制程序》 《法律法规清单》 《内部审核控制程序》 《管理评审控制程序》 《技术符合性检查控制程序》 |
不同企业对ISO 27001附录的A5-A18的关注和侧重点不用,所以策划的时候,需根据实际情况进行调整。上表基本就是适用性声明的主要内容,根据这个表格就可以确定体系文件目录及文件需覆盖内容。经过整理,必要的ISO 27001体系文件如下:
体系文件制定过程中,经常会出现没意识带或意料外的问题,这些问题主要体现在如下几方面:
1.目标无法考核。在管理手册或其他文件中,制定的安全目标或标准要求无法考核。如重大信息安全泄露不超过0起,但是整套体系文件缺少对重大信息安全泄露的定义,什么叫做重大信息安全泄露,2个员工的邮箱信息泄露是不是,高管的个人隐私信息泄露是不是,结果就导致该信息安全目标无法考核和衡量。还存在一种情况,如规定年度信息安全培训考核通过率为98%,但是培训系统的考核数据只保留30天,年底统计数据的时候,发现只有12月份数据,导致该目标无法统计。
2.内容脱离业务现状。如在计算机控制程序中,规定晚上10:00后,计算机必须全部关机,并使用终端管理软件执行关机操作。但有些测试部门的设备晚上是不能关机的,必须每晚都跑以测试性能,该条规定就影响到测试部门的工作,进而影响业务,所以是不合理的。应调研业务部门的实际状况,并根据实际需求,进行分区域管控或分业务管控。
3.制度要求不被执行。制度文件发布后,明确了体系的管控要求,但是没有按照要求执行。如计算机控制程序规定要封禁U口,但实际并没有,员工可以任意拷贝文件。要求3个月更换密码,实际也没有执行,员工的密码从来不修改等。
4.制度要求不明确。如信息安全事件控制程序中,规定信息安全事件需及时上报。这个内容就很模糊,1小时算不算及时、2小时呢、12小时呢?再比如业务连续性管控程序中规定业务持续中断4小时,必须上报总经理。这个内容也是不明确的,所有业务中断4小时都要上报吗?一些非核心系统,如机房进入登记系统,中断4小时也要上报给总经理吗?实际上机房进入登记系统中断4小时,不会对业务造成影响,我们只需要手工登记一下就可以了,没必要上报到总经理层面。
ISO 27001是一套相对复杂,推行难度较大的体系。难度主要体现在持续维持的资源投入和对业务效率的平衡。制度文件是整个体系的核心,是纲领和指导,前期策划好制度文件,能规避体系运行过程中会出现的大部分问题,让体系运行更稳固。愿企业都能策划满足自身需要的制度文件,并将ISO 27001整合到业务中,让安全不仅是保值部分,还是增值部分!
*本文原创作者:softgirl,本文属于FreeBuf原创奖励计划,未经许可禁止转载