ISO/IEC 27001:2013,ISO/IEC 27001:2013/Cor 2:2015 信息安全管理体系(Information Security Management Systems, ISMS)是组织整体管理体系的一个部分,是以基于风险评估的方式建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用的方法的体系。
ISO/IEC 27001:2013信息技术 - 安全技术 - 信息安全管理体系 - 要求
ISO20000 是第一部针对信息技术服务管理(IT Service Management)领域的国际标准,它于2005年12月15日发布。作为认证组织的IT运营和服务管理流程的国际标准,ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求,帮助识别和管理IT服务的关键过程,保证提供有效的IT服务以满足客户和业务的需求。
IT服务管理国际标准ISO20000的最新版本 ISO/IEC20000-1:2011 于2011年4月15日正式发布。
GB/T 22080-2016 idt ISO/IEC 27001:2013 ISMS 信息安全管理体系的文件体系
ISO27001 标准要求的 ISMS 文件体系应该是一个层次化的体系,按照一般管理体系的惯例,通常是由以下层次构成的:
信息安全手册: 该手册是对信息安全管理体系框架的整体描述,以此表明确定范围内 ISMS 是按照ISO27001标准要求建立并运行的。
一级文件:组织范围内的信息安全方针,以及下属各个方面的策略方针等。这需要从组织整体考虑来制定,应该能够反映组织最高管理者对信息安全工作下达的旨意,应该能为所有下级文件的编写指引方向。一级文件至少包括但不限于:
● 信息安全方针
● 风险评估报告
● 适用性声明(SoA)
二级文件: 各类程序文件。这些程序文件应该是针对信息安全某方面工作的,是对信息安全方针内容的进一步落实,应该是不同部门都能适用的,至少包括但不限于:
● 风险评估流程
● 风险管理流程
● 风险处理计划
● 管理评审程序
● 信息设备管理程序
● 信息安全组织建设规定
● 新设施管理程序
● 内部审核程序
● 第三方和外包管理规定
● 信息资产管理规定
● 工作环境安全管理规定
● 介质处理与安全规定
● 系统开发与维护程序
● 业务连续性管理程序
● 法律符合性管理规定
● 信息系统安全审计规定
● 文件及材料控制程序
● 安全事件处理流程
三级文件: 具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。
四级文件: 各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为 ISMS 得以持续运行的有力证据,由各个相关部门自行维护。
ISO/IEC20000 认证实施方案
1. 认证前期调研准备、项目启动、制定计划
● 确定IT服务管理认证范围;
● 确立愿景,决定服务管理改进的方面与改进的顺序;
● 进行初步的评估、掌握现状;
● 评估需要改进的方面;管理在认证过程中的风险;
● 文件收集;
● 现场访谈、差距分析;
● 制定整体的计划,获得相关方面的支持与承诺。
2. 体系建设、培训
● 建立、管理服务改进计划(PDCA环);
● 服务目录设计,管理体系设计、过程设计;
● 根据ISO20000-1:《IT服务管理规范》进行详细的评估;
● 借鉴ISO20000-2:《IT服务实施准则》,制定具体的改进计划;
● 实施计划、定期检查;
● 编写《服务目录》、《IT服务质量管理手册》《程序文件》《事件管理流程手册》《问题管理流程手册》等。
3.体系发布、试运行
● 体系发布、流程运行改进;
● 内审机制建立,管理评审机制建立;
● 建立初步的持续改进机制;
4. 外部认证审核
● 对文档和流程的评估;
● 现场的对员工和流程的审核;