ISO 27001：实现成功合规性的要求

ISO 27001是一种全球领先的合规框架。它致力于设计和管理信息安全管理体系。满足ISO 27001标准的要求，有助于确保信息安全的有效性。同时，也能降低遭受网络攻击或数据泄露的风险。遵守相关法规可以避免因不合规而产生的处罚风险，同时也能赢得利益相关者或客户的信任。

在本文中，我们将讨论获得ISO 27001认证所需的成本、ISO 27001标准中的重要要求、认证过程的各个阶段，以及企业为保持持续合规性而需要达到的里程碑。

主要要点/核心内容

• ISO 27001认证并非强制性的要求。一些组织可以选择不寻求正式的认证，而只满足ISO标准的要求。不过，获得认证确实能为企业带来诸多好处，比如提升企业形象、增强信任感，以及确保企业遵守相关的法规规定。此外，认证还促使企业将其安全实践融入到其信息安全管理体系中。
• ISO 27001认证的成本成本差异很大，大约在15,000美元到90,000美元之间。影响成本的因素包括审计准备工作、实施过程以及认证审核的费用。规模较大且结构复杂的组织通常会产生更高的成本。而准备充分的组织则可能会面临较低的合规成本。
• ISO 27001的要求这包括确定ISMS的范围，并进行风险评估。组织必须建立项目领导团队，分配必要的人力资源来维护一个安全的ISMS，实施适当的附录A中的控制措施，同时创建能够主动发现那些不符合要求的领域的系统。
• 衡量ISO 27001标准的实施效果这一点非常重要。遵守规定的组织会定期进行内部审计以及信息安全管理体系的审查。外部审计师则需要查看相关的文件记录和事件日志。此外，他们还会检查当前的信息安全风险评估情况。

您是否需要获得官方的ISO 27001认证？

ISO 27001认证并非强制性的要求。组织可以在不经历正式的认证流程的情况下满足ISO 27001的要求。不过，获得认证确实具有显著的优势。在构建信息安全管理体系时，选择进行认证是一个明智的选择。

ISO 27001认证有助于企业满足各种监管要求。遵循ISO标准的信息安全管理系统通常也会符合欧盟的《通用数据保护条例》（GDPR）。此外，该标准还符合《健康保险可携带性和责任法案》（HIPAA）的相关规定。

认证意味着该组织的信息安全管理系统已经通过了审核和检查。第三方审计师已经对政策、访问控制和物理安全措施进行了审查，并认为这些措施符合相关要求。在通过认证审核之后，这些方面应该能够满足合规要求。

那些以第三方身份提供IT或技术相关服务的公司也认识到，获得ISO 27001认证是非常重要的。通过这一认证过程至关重要。这表明，这家公司拥有健全的信息安全体系。同样，合作伙伴也不太愿意信任那些不努力获得认证的组织。

ISO 27001认证的成本是多少？

ISO 27001认证的成本各不相同。不过，企业预计总成本会在15,000美元到90,000美元之间。我们可以将认证成本分解为多个阶段来加以计算。

• 审计准备这是最大的开支，平均在3,000美元到40,000美元之间。这包括风险评估以及新技术的获取成本。此外，准备工作还包括确保有足够的资源来进行内部审计。
• 实施成本大约为每年1000美元左右。不过，成本可能会因组织的ISMS系统的复杂程度而有所不同。
• 认证审核它也有相应的价格标签。外部认证审计的费用通常在10,000美元到50,000美元之间。
  
  

成本会有所不同，因为不同组织的ISO 27001认证流程各不相同。许多因素都会影响到最终的结算金额。

规模较大的公司需要投入更多资金来审计和保障其遍布各地的办公场所以及IT系统的安全性。对于那些具有复杂数据安全需求的公司来说，在满足ISO 27001标准方面也需要付出更多的成本。不过，那些拥有完善的安全控制措施或政策的组织则能够提前做好准备。这类组织的ISO 27001合规性成本应该会低得多。

ISO 27001标准的要求是什么？

创建一个符合ISO 27001标准的信息安全管理系统是一项复杂的任务。需要考虑到许多相关因素和步骤。

如果遗漏了某个环节或犯下严重的错误，那么ISO认证流程就会失败。由于存在失败的风险，因此必须采取系统化和严谨的方法来处理ISO 27001相关的工作。应重点关注政策、程序以及安全措施，以确保能够获得ISO 27001认证。

要求1：明确信息安全管理系统的适用范围

ISMS的范围指的是系统如何保护信息。同时，该范围也明确了哪些信息需要得到保护。在ISO 27001框架中，ISMS的范围包括以下内容：

• 负责信息安全管理系统的相关方
• 相关的合规要求
• 客户和用户的需求
• 适用于特定行业或领域的标准
• 可用于构建 ISMS 的资源/工具
  
  

符合ISO 27001标准的公司必须做到以下几点：请创建一个文档，明确其信息安全管理系统的适用范围。该文档说明了哪些数据需要受到保护，同时明确了每种数据的保护级别。此外，该文档还阐述了实施数据保护的依据（如法律法规或行业标准），并详细描述了公司如何保障数据的安全性。

这份概述文件为ISM的设计过程提供了基础。它明确了项目的范围，同时向外部审计人员或合作伙伴说明该组织如何保护数据的安全。

要求2：ISO 27001标准的领导层要求

第二组ISO 27001的要求涉及……获得执行层的认可与支持符合ISO 27001标准的团队需要得到管理层的支持，这样才能确保获得必要的资源，并能够在整个组织范围内进行协作。

ISO 27001的要求包括需要批准一项措施。信息安全政策声明该标准的第5条要求，企业的高层管理人员必须签署公司的信息安全政策。这一签字行为意味着，企业将具备实施ISO 27001标准所需的资源，同时，在获得认证之后，企业仍需持续遵守相关规范。

要求3：风险评估以及明确的目标设定

ISO 27001标准的附件6要求进行信息安全风险评估。这一部分旨在确保企业始终遵守相关法规。企业必须持续关注对信息系统的各种威胁。

合规团队必须确定信息安全管理体系所面临的核心风险。应针对这些风险进行分类，以识别那些优先级较高的威胁，并制定相应的安全措施。

项目团队也应该如此。制定明确的风险管理目标。这些目标必须涉及到构建符合ISO 27001标准的信息安全管理系统。风险评估记录中应包含所有与信息安全相关的威胁信息。此外，还应设定可衡量的标准，以判断该组织是否达到了信息安全管理的目标。

附件6还涉及了如何建立符合ISO 27001标准的组织结构。例如，企业必须将信息安全纳入所有项目中，明确各岗位的职责，并实行职责分离，以降低信息安全风险。

请记住，外部审计人员会寻找关于ISO 27001标准是否持续得到遵守的证据。遵守该标准并非一次性的挑战。

要求4：持续进行资源分配和员工招聘工作

建立可持续的信息安全管理体系是ISO 27001标准中最重要的一项要求。如果没有相应的流程来分配资源以及明确员工职责，那么安全控制措施和政策就毫无意义了。

ISO 27001的附录7要求：正在进行的培训项目对于员工和承包商来说，培训应该能够帮助他们安全地工作。此外，培训材料应当适应新的政策或安全措施的变化。

各组织必须做到在员工开始工作之前，需要对他们进行筛查。筛选过程应采用符合当地雇佣法律要求的适当方法。对于那些需要接触敏感数据或控制安全系统的职位来说，必须实施严格的筛选措施。员工的雇佣条款中也应包含可强制执行的信息安全相关条款。

附件7中包含了相关要求。能够安全地让员工离职。当员工离开组织时，各机构必须妥善保管敏感信息。应该建立有效的管理制度来确保信息的保密性。纪律政策为了实施人类安全政策。

ISO 27001框架的这一部分要求/规定旨在确保可持续合规性的政策。审计人员会检查企业是否具备持续的合规性。在外部审计完成后，各项控制机制和安全系统应能够正常运行。

要求5：制定一份确保资产安全的运营计划。

在ISO 27001的要求列表中，接下来需要实施基于风险的安全控制措施。

ISO 27001框架的附件8和9涉及相关政策和控制的实施。企业必须制定计划来应对在风险评估阶段发现的问题。其中，需要重点关注以下问题：

• 创建/生成资产清单那些需要被保护的东西/需要得到保护的物品
• 确立所有权信息资产
• 创建/制作安全的访问控制系统以及其他信息安全控制措施，以管理资产的使用情况。
  
  

公司应该使用他们的风险登记表来……制定风险处理计划。该计划充分考虑了所有高价值信息资产所面临的风险。它规定了管理这些资产获取、使用、存储和销毁的过程。此外，该计划还详细描述了用于防止资产受损或被盗的物理安全措施。

应采取有效的风险管理措施来应对这些风险。符合ISO 27001标准的附录A要求本附录列出了93种ISMS控制措施，这些措施被分为四类：

• 与人类或用户相关的控制方式
• 技术控制措施
• 组织控制机制（政策与程序）
• 物理控制措施
  
  

项目团队应该……记录所有与风险相关的决策评估人员可以选择避免或转移风险。风险处理计划应明确说明做出这种决定的原因。风险管理者还可以从附录A中选取一种或多种安全控制措施来应对风险。同样，这些控制措施的使用理由也应记录在案。

审计人员会确保各组织能够正确地分类和缓解信息安全风险。此外，他们还会要求提供相关证据，证明每个风险都有明确的责任人。这些责任人应负责实施相应的缓解措施。

要求6：衡量ISO 27001标准的实施效果

持续的ISMS绩效评估是ISO 27001标准中的核心要求之一。

ISO 27001框架的附件9.2要求：定期进行的ISMS审计这些内部审计应评估ISMS是否达到了内部安全目标。同时，这些审计还旨在确保持续合规性符合ISO 27001的标准要求。

ISMS审计旨在评估组织评估其系统能力的能力。它主要检查组织是否能够有效执行访问控制以及加密措施。此外，该审计还会审查培训计划以及物理安全措施。有时，审计还会进行差距分析，以确认现有系统是否仍然符合ISO标准。最后，审计会提出改进合规性的建议。

合规的组织必须做到以下几点：安排一次ISMS的年度管理审查以及内部审计。这些练习应该能够产生关于ISMS性能的全面且详细的记录。

外部监督审计师会检查该组织是否真正理解其信息安全管理体系，并监督其实施情况。如果没有这些证据，审计师可能会撤销该组织的ISO 27001认证。

要求7：进行改进，并处理那些不符合要求的状况。

ISO 27001是一套非常严格的指导方针。不过，这一框架并不应该是完全僵化的。审计人员明白，企业不可能永远保持完美无缺，因此，审核人员可能会发现一些不符合规定的地方。当这种情况发生时，企业就有机会进行必要的调整，而无需承担任何惩罚。

ISO 27001标准要求中的第10条，涉及如何对信息安全管理体系进行改进。根据该条款的规定，各组织必须不断改进其信息安全管理体系。他们必须有一些计划来识别并记录那些不符合要求的区域。同时，他们还需要有相应的流程来尽快解决这些问题。

当合规团队发现存在不符合要求的情况时，他们必须采取相应的措施。记录该错误，并安排相应的纠正措施。在这种情况下，文档记录非常重要。审计人员希望看到持续改进的证据。

仅仅做出改变是不够的。组织必须拥有经过充分验证、系统化的流程，以便在需要时改进其信息安全管理体系。仅仅等待安全事件的发生也是不够的。企业应该让审计人员看到他们确实在努力改进这方面的工作。主动寻求改进的领域.

通过遵循ISO 27001标准，实现强大的信息安全保障

采用系统化的方法，任何组织都能成功获得并维持ISO 27001认证。不过，在ISO认证过程中并没有捷径可走。组织必须投入足够的时间和资源来完成认证流程。

在评估风险并实施附录A中的控制措施时，请参考我们的ISO 27001检查清单。同时，务必通过内部审核和定期管理审查来再次确认各项认证要求是否得到满足。