特别关心查询

ISO27001项目问答

1.什么是信息安全？

答：信息安全简单说就是要保障“信息”的免受企业内外部威胁的干

扰和破坏，确保“信息”能够支撑企业业务目标的达成，信息其实是

个抽象的概念，落实到企业来说则是能够看得见摸得着的东西，比如

企业运营数据，包括财务人事数据，客户资料等，企业基础网络设施，

包括企业内部网络设备，机房等，企业信息系统，包括财务系统，OA

系统，客户管理系统等等，另外，企业的人员以及接受第三方提供的

服务等都属于企业信息范畴。那么企业信息安全就要求机密数据免受

泄漏，重要数据免受非法篡改，保障基础网络，信息系统持续、稳定、

安全运行，保障人员免受欺诈，保障外部服务符合服务级别水平等。

信息安全的最终目的是通过保障支撑企业业务发展的数据和信息系

统等安全性，达到保障企业业务运行的持续性。

下面将摘取一些安全格言和名人对安全的理解：

信息安全是我们第一优先要解决的问题，因为对于能够使用计算机解决的一

切激动人心的事情，比如安排你的日常生活，与其他人保持沟通，更富有创

造性，如果我们不能解决这些安全问题，那么人们可能就会退缩。商业组织

也担心他们的重要数据如果放置在电脑中可能会泄密。-----BillGates

安全的有效性时常能以衡量，大多数时候，我们听说信息

安全都是出了安全问题的时候-----BruceSchneier,

<>

有句格言说得好：安全系统必须万无一失才算安全，而黑

客只需别人失误一次，他便成功

有句话说的好，只有当潮水退去的时候，你才知道那些人

是裸泳的；那么在信息安全方面也存在类似的情况，那就

是我们可能并不知道哪些运行的系统缺少必要的控制，只

有在这些系统遭受到了黑客的攻击之后。

信息安全就是要保护信息免受威胁的影响，从而确保业务

的连续性，缩减业务风险，最大化投资收益并充分把握业

务机会。-----ISO17799:2005/ISO27002中的定义

2.信息安全发展过程是怎样的？

3.什么是ISO27001？

答：ISO27001是国际标准，全名是IEC/ISO27001信息安全管理

体系规范，他是整个ISO27000标准系列当中的一个标准，该系列

标准中包含很多其他标准；另外一个大家常说的标准ISO17799信

息安全实施细则也是与信息安全管理相关的，这个标准当前已经改名

为ISO27002:2005了。大家常说的ISO27001认证，就是企业宣

称的认证范围内符合ISO27001标准里的所有要求，而对

ISO27002：2005来说，用户是可以根据自己的实际情况来选择适

用的控制措施，也就是说该标准里的133个控制项不是强制要求通

过认证的用户都必须满足的，通常是通过《适用性声明SOA》文件

来表达这种适用，因此，通常在通过ISO27001证书里会包含所选

《适用性声明SOA》文件的。

27001发展过程和目前国内ISO27001认证

发展情况如何？

答：ISO27001标准是源自英国标准BS7799，详细房展过程如下图所

示：

目前在国内通过ISO27001认证的企业数已经达到了180家（截至

20090317），尽管绝对数还不大，但是增长特别快，从下图能观其

大概：

5.获得ISO27001认证的好处有哪些？

获得ISMS认证您将获得以下好处：

·符合法律法规要求：证书的获得，可以向权威机构表明，组织遵守了所有

适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘

密等。

·维护企业的声誉、品牌和客户信任：证书的获得，可以向合作伙伴、股东

和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到加强。同样

的，证书的获得，有助于确定组织在同行业内的竞争优势，提升其市场地位。事

实上，现在很多国际性的投标项目已经开始要求ISO27001的符合性了。

·履行信息安全管理责任：证书的获得，本身就能证明组织在各个层面的安

全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。

·增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息

安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。

·保持业务持续发展和竞争优势：全面的信息安全管理体系的建立，意味着

组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务

持续性计划框架，提升了组织的核心竞争力。

·实现风险管理：有助于更好地了解信息系统，并找到存在的问题以及保护

的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保

护，确保信息环境有序而稳定地运作。

·减少损失，降低成本：ISMS的实施，能降低因为潜在安全事件发生而给组

织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低

程度

6.可提供ISO27001认证机构有那些？

答：国外公司在国内有名的且颁发过ISO27001证书的有

BSI,DNV,SGS,BV,由UKAS认可组织颁发的证书，国内认证公司

有中国信息安全认证中心（简写为ISCCC），华夏认证中心有限公

司，广州赛宝认证中心服务有限公司，中国电子技术标准化

研究所.目前在通过国际认证的199（截至到200906）家企业中，

不同认证公司颁发的证书数统计如下：

可以看得出来，DNV颁发的证书最多，BSI和DNV所颁发的证书

占压倒性多数。目前ISCCC颁发的证书为10张。赛宝认证中心的

证书的数目，当前（2009-03-18）还无法从其官方网站上查询到。

27001认证实施过程是怎样的？

答：ISO27001认证实施不同咨询公司的做法也不一样，但是大致会

按照标准里的内容，从ISMS（信息安全管理体系）规划、ISMS实施

与运维、ISMS监视与回顾、ISMS改进与提高四个阶段。详细如下图

解。

27001认证费用是怎样的？

答：ISO27001认证费用是认证公司收取的费用，一般是按照认证公

司要完成客户约定范围内的认证所要投入的审核员的人天数来计算

的，而认证公司所报人天数是依据认证范围内的部门数以及人员多

少，部门越多，员工越多，人天数则越大。各认证公司的认证费用也

不大一样，基本上是国外的认证公司收费较高，国内的认证收费相对

较低。

9.如何选择认证范围？

答：认证范围的选择将影响达到认证要求的难易度以及成本。反过来，

难易度和成本是选择认证范围的重要参考。难易度一般由企业自身当

前的信息安全管理水平决定，而成本则与企业的预算相关。在考虑难

易度和成本的基础上，企业一般会把核心业务部门以及支撑核心业务

的IT部门和人力资源部门纳入认证范围。

27001实施需要公司投入人力资源多

少？

答：企业在实施ISMS建设时，项目实施方管理层关心的除

了付给咨询方的费用以外，还特别关心在ISMS建设过程中

企业人员还需要投入多少人天。总的来说，企业的人天投入

不同阶段是不一样的，而且参与的人员也会有所不同，从管

理层到普通员工在实施工程中都会有参与。下面从ISMS项

目实施的五个阶段，在不同项目阶段不同角色参与项目的单

位时间。

11.如何去看ISO27001实施投入产出？

答：企业领导对于信息安全的认识一般还是比较粗浅的也是

宏观的，对他们而言，不关心安全管理体系是如何建设的，

他们关心的是比如在信息安全方面投入100万，企业的安全

状况相比安全建设投入以前是否好了，如果好的话，又到底

好在哪里。那么数字的东西是领导感兴趣的，同时也是最能

说明问题的。ISMS建立起来之后，安全事件的采集、记录和

发布的渠道也相应运作。ISMS的建设的投入产出比较即可纵

向比也可横向比，纵向比就是企业实施ISMS前后安全事故

发生的多寡、事故造成损失的大小、服务器或网络持续运行

时间的长短等等多方面的比较，横向比就是实施了和没有实

施ISMS的企业以及ISMS运作水平高的企业和运作水平低的

企业，在面对同一个外部的安全威胁（比如某个病毒大规模

的爆发）时的应对能力以及损害的严重程度的对比。所以呢，

面对这个投入和产出的比较，关键ISMS的实施者要做好原

始数据的采集和记录，以反映安全水平的提高，也为以后的

安全建设争取管理层和决策层的支持和信任。

项目结束后，顾问也走了，如何避免

只留下一堆文件？

答：目前国内通过IS027001认证的企业不多，企业内部做过

ISMS的企业也不多，但是很多企业有实施ISMS的愿望和要

求，这一方面是企业在信息安全建设时侧重于安全产品和技

术的投入并没有达到预期的效果，另一方面安全管理体系

（BS7799）已有国际标准，国家重视，媒体厂商的推动。他

们关心的是ISMS项目如何避免不是一场“运动”，如何避

免项目之后留下的不是一堆无人执行或难以操作的安全管

理体系文件，特别是那些已经做过ISO9001管理体系的企业。

实际上，这个问题的本质就是ISMS咨询项目有效性的

问题，咨询是否有效，关键是由两个方面所决定，一是咨询

顾问解决问题的能力，二是企业本身执行力的强弱。

a)顾问明确自己在项目中扮演的角色是传递ISMS建设和

运作的知识和方法，并为企业的ISMS的建设指明方向。

b)培训在咨询项目中扮演重要的角色，培训材料的准备要

具有针对性，同时特别要强调的是检查培训的效果。

c)企业员工理解公司的信息安全策略以及相关管理制度，

最好的做法是执行者同时就是相关安全策略的编写

者，这是解决策略的可操作性和合理性的关键。

d)必要的考核指标，让用户了解不执行安全策略可能造成

的后果

e)控制措施的执行尽可能的辅以技术的手段来帮助实施，

而不是要靠员工的思想意识来执行。（如密码策略要求

密码的长度必须是6位以上，这就可以通过技术手段

来实施。）

13.管理层如何理解并确定风险的可接受度？

答：管理层确定企业的风险可接受度，其实也表明管理层为

企业安全负有最终责任。但管理层对信息安全问题的不甚了

解，如何帮助管理层来做相关决策呢，理想的做法是对风险

进行量化，确定风险等级，然后作出某一风险等级以下的是

可以接受的。但是目前国内相关基础数据的缺乏，风险的量

化几乎很难准确可信，所以呢，目前只能在考虑企业已有的

预算上，对高风险的地方优先处理，其它风险的处理量力而

行。实际上当前风险的可接受度的问题还只能停留在企业对

信息安全的预算的考虑上。

的范围确定之后，如何来解决范围之

外的一些信息安全问题呢?

答：企业内部面临信息安全问题的时候，目前虽然不是以前

上某种安全产品就解决一切问题的那种一劳永逸的想法，但

是大多数的企业都希望尽可能多解决一些问题，这种心情是

可以理解的。

ISMS建设时，都会确定一个明确的实施范围，比如IT

部或研发部或财务部，那么在实施ISMS的过程当中，范围

之外的部门或组织一般都不会深入涉及，再次实施的重点明

确在已定的范围之内，在咨询顾问的帮助下，建立合理的信

息安全组织框架，培养出能够胜任安全管理体系运作的相关

人员，比如掌握了风险评估方法的人员，内部审计人员等等，

提高人员的安全技能以及安全意识，在范围内，提高信息安

全的运作水平，降低相关安全风险。然后依此作为示范，一

步一步的扩大ISMS的范围，并且按照PDCA模型使企业的信

息安全水平不断提升，最后全公司范围内推广实施。实际上

这也是企业在信息安全体系的建设过程当中，在一定的人财

物的投入的条件下，按部就班，循序渐进，并秉承关键部门、

以及高安全风险的地方优先控制的原则，切忌一步而蹴。

15.如何成来保证一个ISMS项目的成功，这些

成功因素主要包括哪些？

a)信息安全策略必须要反映企业的业务目标。制定的安

全策略是规范员工的行为，更好的服务企业，为企业

业务目标的达成提供信息安全的保障，安全策略不能

与业务目标相违背，更不能成为业务开展的绊脚石。

b)实施过程与方法要与企业的文化保持一致。项目实施

过程中，需要顾问与企业人员不断的沟通和交流，这

些交流方式要与企业当前的企业文化相一致。

c)来自管理层可见的支持以及承诺。管理层需要在项目

的各个关键节点，如项目里程碑参加会议，公开表明

态度，并保障必要的人力以及财力支持。

d)为员工提供适当的培训和教育

e)易理解且一致的度量系统以评估信息安全的效能。安

全控制的效果如何是能够通过一种从公司管理层到普

通员工所有成员都理解的方式来衡量。就如人身体的

好坏能够通过血压，脉搏等等指标就能知道。

f)自动化的安全策略管理工具的使用。需要有一个工具

来自动的管理当前的安全策略，员工也能够通过这个

工具，快速查找到他需要的安全制度。