标准解析|ISO/IEC27001管理体系的整合管理

目前国际化标准组织推出了四个管理体系标准①ISO9001质量管理体系

②OHSAS18001职业健康安全管理体系

③ISO14001环境管理体系

④ISO27001信息安全管理体系

这四个管理体系都采用了系统的方法，即PDCA模型,越来越多的组织会选择其中几个甚至全部在组织内应用，显然,让各个体系各行其是是不现实的。因此，标准指出: -个设计适当的管理体系可以满足所有这些标准的要求。管理体系的整合已经成为大势所趋。基于“三标(除信息安全)”的整合管理体系在国内比较常见，也有大量的参考资料。基纡“四标”的整合管理体系国内有实施，例如:国家电网浙江宁波电业局的基于流程的资料、职业健康安全、环境和信息安全四标一体整合管理体系，但是目前还没有公开资料。2正文解析

ISO/IEC27001的正文分为8章，分别为:

①范围;

②规范性引用文件;

③术语和定义;

④信息安全管理体系;

⑤管理职责;

⑥内部信息安全管理体系审核;

⑦信息安全管理体系的管理评审;

⑧信息安全管理体系的改进:

标准的开始就说明了下面的原则:本出版物不声称包括一个合同所有必要的规定。用户负责对其进行正确的应用。符合标准本身并不获得法律义务的豁免。

对管理流程的认证和对产品的认证是两种不同的概念，后者注重结果，前者注重过程。理论上讲，按照本标准的要求部署信息安全管理体系后，会防止信息安全事件的发生，但是不能百分之百的保证,更不能理解为符合标准就获得法律义务的豁兔。管理流程是诸多经验的总结，而且在实践中证明也是有效的。

对于结果的证明是很难实现的，但是对于规范的流程是可以向客户证明的。

信息安全管理体系正是提供了这样一个完整的管理流程， 我们无法保证这种方法是正确的或者是唯-的，但是至少在实践中试行之有效的。2.1范围解析

ISO/IEC27001不专门针对某个行业，而是适用所有类型组织，对于具体行业中的应用，在ISO/IEC27000族标准中的其他标准中讨论。标准的主要内容有两个部分:

(1)从组织的整体业务风险的角度，为建立、实施、监视、评审、保持和改进文件化的信息安全管理体系规定了详细的要求。

(2)为适应不同组织或其部门的需要而制定的安全控制措施的实施要求。2.2规范性引用文件解析

ISO/IEC27001明确了ISO/IEC27002为其应用标准。

ISO/IEC27002: 2005 《信息安全管理实用规则》作为-一个通用的信息安全控制措施集，是目前发布的两个信息安全管理体系标准之- -，这些控制措施涵盖了信息安全的各个方面，为信息安全管理体系的建设提供了控制措施的选择依据。

该标准把控制措施分为11个安全领域，分别是:

(1)安全方针

(2)信息安全组织

(3)资产管理

(4)人力资源安全

(5)物理和环境安全

(6)通信和操作管理

(7)访问控制

(8)信息系统获取开发和维护

(9)信息安全事故管理

(10)业务连续性管理

(11)符合性这11个方面进一步分为39个安全类型和133条控制措施， 条控制措施的描述则包括了较为详细的实施方法，因此该标准可以作为信息安全管理体系的实施指南。1.安全方针解析

安全方针，是组织总体方针文件的一部分，其作用是业务要求和相关法律法规提供管理指导并支持信息全。

信息安全方针是通过文件的方式进行体现。信息安全方针文件组织信息管理者确定的信息安全方针文件化，应该包括下面内容:

①信息安全的定义以及信息安全在信息共享机制下安全的重要性。

②信息安全的整体目标以及管理者的意图。

③信息安全的范围。

④信息安全目标和原则。

⑤控制目标和控制的框架，包括风险评估和风险管理的结构。

⑥对于组织特别重要的安全方针策略、原则、标准和符合性要求的简要说明。

⑦信息安全管理的一般和特定职责的定义。

⑧对于支持方针的文件的引用。

信息安全方针文件应该由管理者批准、发布并传达给所有员工和外部相关方。在编写信息安全方针文件时，必须注意到其预期读者比较广泛，因此必须以适合的、可访问的和可理解的形式进行表达。

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。