ISO27001认证：打造安全高效的银行数据中心

1.标准简介

ISO27001：2005由国际标准化组织发布于2005年10月。2013年10月19日，ISO27001：2013正式公布，在新版公布后的18～24个月内是转换缓冲期，即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标准。

ISO27001的前身为英国的BS7799标准，该标准是由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799⁃1，信息安全管理实施规则；BS7799⁃2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（Information Security Management System，ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001：2005有11个控制域、133项控制措施。11个控制域包括安全策略，信息安全的组织，资产管理，人力资源的安全，物理和环境安全，通信和操作管理，访问控制，系统采集、开发和维护，信息安全事故管理，业务连续性管理和符合性。

ISO27001：2005已经成为世界上应用最广泛与典型的信息安全管理标准，相当数量的组织采纳并进行了信息安全管理体系的认证。越来越多的行业和组织认识到信息安全的重要性，并把它作为基础管理工作之一开展起来。

在我国，自从2008年将ISO27001：2005转化为国家标准GB/T22080：2008以来，信息安全管理体系认证在国内进一步获得了全面推广。

2.标准内容

ISO27001标准指出“像其他重要业务资产一样，信息也是一种资产”，信息对一个组织具有价值，因此需要加以合适地保护。信息安全防止信息受到的各种威胁，以确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。

信息安全是通过一组合适控制措施来实现的，控制措施可以是策略、惯例、规程、组织架构以及软件功能。组织需要通过建立这些控制措施，来确保满足组织的特定安全目标。

ISO27001：2005有11个控制域、39个控制目标、133项控制措施。新版ISO27001：2013修订为14个控制域、35个控制目标、114个控制措施。

3.标准价值

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

ISO27001标准的价值在于：

1）通过定义、评估和控制风险，确保经营的持续性和能力。

2）减少由于合同违规行为以及直接触犯法律法规要求所造成的责任。

3）通过遵守国际标准提高企业竞争能力，提升企业形象。

4）明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失。

5）建立安全工具使用方针。

6）谨防技术诀窍的丢失。

7）在组织内部增强安全意识。

8）可作为公共会计审计的证据。

ISO27001认证逐渐成为各种组织（包括政府部门）的热门需求，这其中有两个关键性的驱动因素：一是日益严峻的信息安全威胁，二是不断增长的信息保护相关法规的需求。

过去10年，围绕信息和数据安全问题建立起来的法律法规体系从无到有、不断壮大，其中包括专门针对个人数据保护问题的，也有针对企业财政、运营和风险管理体系建立的法规保障问题的。一套正式规范的信息安全管理体系应当可以提供最佳实践部署指导。目前，建立这样的管理体系逐渐成为诸多合规项目的必要条件。

近年来，银行监管部门对IT风险监管的要求越来越高。在银行的企业风险管理中，银行3大风险分别为信用风险、市场风险和操作风险，当前IT风险已经成为操作风险的重要组成部分，监管部门针对银行IT风险近年来出台了多个监管规范。

2009年3月银监会发布新版《商业银行信息科技风险管理指引》，系统地对银行IT风险的控制提出了基本要求，涉及信息科技管理的各个业务领域，重点提出了IT治理机制、IT风险管理的制度与流程、IT运维、应用开发、IT审计、客户数据保护方面的管控要求，可以有效地指导商业银行系统地对IT风险进行管理。

银监会还陆续出台了一系列相关指引、法规要求：如《商业银行内部控制指引》《商业银行合规风险管理指引》《业务连续性监管指引》《外包监管指引》等，以指导商业银行全方位推进IT风险管理工作。

同时，人民银行也发布了《银行信息系统信息安全等级保护实施指引》《银行信息系统信息安全等级保护测评指南》等，对商业银行的信息安全提出了明确要求。

此外，根据监管部门的规划，银行IT风险年度评级要纳入银行整体评级之中，包括信息科技风险在内的银行操作风险将变得和信用风险、市场风险一样重要，信息科技风险管理正在越发得到银行高级管理层的真正重视。

因此，在银行业信息科技风险体系建设时，要考虑到设计与建立适宜的科技风险管理体系与有效的IT内控制与信息安全控制机制，建立与巴塞尔新资本协议所要求的操作风险的接口，同时探索建立与信息科技风险相关的操作风险评估的实现方法。

4.认证方法

取得ISO27001认证主要有以下几个步骤。(www.xing528.com)

（1）准备

1）明确认证的意义。

2）确定信息安全管理体系认证范围。

3）明确认证活动的参与方面，确定各方所期望的收益。

4）全面地理解认证的内容，明确认证活动对个人和对组织的影响。

5）获取信息：与相似规模、职能的组织交流经验，向咨询顾问、培训提供机构、相关论坛和用户组织咨询。

6）获得高层管理者的支持。

7）获得ISO27001的知识和文档。

8）选定一家认证机构，确认审核的范围。

（2）初步评估与计划制订

1）进行初步的评估、掌握现状并进行差距分析；评估明确需改进的方面；管理在认证过程中的风险。

2）制订整体的计划，获得相关方面的支持与承诺。

（3）缩小差距

1）根据ISO27000标准进行详细的评估。

2）制订具体的信息安全控制措施、文件化信息安全管理体系文档。

3）实施运行信息安全管理体系。

4）改进信息安全管理的政策、流程、步骤。

5）定期检查和回顾。

（4）认证审核准备

1）如有必要，联系认证机构进行预审核，作为正式审核的“预演或排练”。

2）与认证机构充分交流以建立对审核范围、审核内容的共同理解。

3）准备审核所需要的“证据”：文档、记录等。

（5）认证审核 典型的认证审核包括：

1）协定参考标准和审核范围的条款。

2）第一阶段审核：主要进行文件审核，审核体系文档是否对标准要求内容进行了体现，并确认第二阶段审核准备的充分性。

3）第二阶段审核：现场对体系的符合性和有效性进行评价，即审核是否对体系文档要求进行了有效的执行，并做出现场推荐结论。

4）认证机构审核推荐结论，如果达到ISO27001标准要求，将后续颁发证书。

（6）维护 ISO27001标准认证证书的有效期为3年；获得认证后每年都须由认证机构进行“年度监督审核”；证书3年到期后，需要进行一次全面的再认证审核。

当组织的信息安全管理体系发生变化，或出现影响信息安全管理体系符合性的重大变化时，需要及时通知认证机构，认证机构将视情况进行监督审核、换证审核或者再认证审核以保持证书的有效性。

此外组织需要根据ISO27001的要求，每年进行至少一次内部审核和管理评审。