ISO 27001（正式名称为ISO/IEC 27001：2013）是一项国际信息安全标准，规定了实施、维护和改进信息安全管理系统（ISMS）的要求。ISMS是一个政策和程序框架，包括公司IT风险管理流程中涉及的法律，技术和物理控制。影响ISMS实施的因素包括组织的目标、安全要求、规模和结构。

通过获得 ISO 27001 认证，一家公司表明其在实施和遵循网络安全最佳实践方面已完全合规。当您完全遵守这些标准时，您的组织将能够更有效地防范恶意软件和勒索软件等网络威胁。

提高声誉

获得 ISO 27001 认证可提高组织的声誉。当您的组织通过 ISO 27001 认证时，您可以向合作伙伴和客户展示您可以正确保护他们的数据。由于与 ISO 27001 相关的国际声誉优势，您更有可能增加您的商机。

增加组织

当您在公司实施 ISO 27001 标准时，您可以增加组织。随着这些标准的成功实施，您将避免糟糕的组织，因为您必须记录您的主要安全流程并确定谁负责这些流程。每个工作人员都可以查看文档以找到他们的职责和有关如何执行关键流程的信息。

降低开支

由于 ISO 27001 旨在从一开始就防止安全事件的发生，因此您可以降低与安全事件相关的成本。虽然您必须投入一些资金来实现 ISO 27001 合规性，但您从预防安全事件中节省的成本将超过初始投资费用。

ISO 27001 的要求是什么？

ISO 27001 包含组织必须审查的 12 个部分以符合 ISO 27001 标准。第 5 节到第 11 节介绍了组织必须满足的特定要求才能实现合规。在下面了解有关 ISO 27001 主要标准的更多信息：

• 组织背景：为满足此要求，您需要确定哪些利益相关者将负责您的 ISMS 的创建和维护

• 领导力： ISO 27001 标准的这一部分解释了组织的领导者应如何参与 ISMS 程序和政策

• 规划：规划要求概述了组织应如何规划风险管理战略

• 支持：在支持部分，ISO 27001 详细说明了如何在您的组织中提高信息安全意识和指定责任

• 操作：操作要求涵盖您的组织应如何使用文档和管理风险来满足 ISO 27001 审核策略要求

• 绩效评估：为满足绩效评估标准，您的组织将需要遵循有关正确衡量和监控 ISMS 绩效的指导方针

• 改进：改进部分列出了您的组织应如何定期改进和更新您的 ISMS

什么是 ISO 27001 控制？

ISO 27001 控制是组织必须实施的实践，以将其风险降低到合适的水平。这些控制可以是物理的、技术的、人的、法律的和组织的。ISO 27001 有 114 个控制，这些控制分为 35 个控制类别和 14 个域。ISO 设计这些控制是为了给组织提供一个管理、处理和识别信息安全风险的框架。

ISO 27001 的 14 个领域是什么？

ISO 27001 列出了其控制涵盖的 14 个领域。这 14 个领域涵盖了组织的关键部分，例如信息安全组织、人力资源安全、供应商关系、资产管理和信息安全事件管理。通过遵循这 14 个领域的控制设置的政策和标准，公司可以确保它们符合 ISO 27001 并获得认证。

详细了解 ISO 27001 的 14 个领域：

1、信息安全政策

ISO 27001 的第一个域涵盖信息安全策略。此域确定组织应如何编写其 ISMS 策略并审查它们的合规性。当审核员检查您的组织的这些政策时，他们将检查您如何记录和审查您的程序以及您这样做的频率。

2. 信息安全组织

在信息安全组织部分，ISO 27001 为组织提供了信息安全实施和运营的必要框架。本节定义了组织不同部分的职责。它还帮助组织定义其信息安全的组织方面，例如远程办公、项目管理和移动设备使用。在这里，审核员将寻找一个易于理解的组织结构图，其中包含有关每个角色职责的信息。

3、人力资源保障

人力资源安全领域侧重于组织应如何在入职、离职和调动职位时告知员工网络安全。它还涵盖了组织如何以安全的方式雇用、培训和管理其员工。在审核期间，审核员将检查您在员工入职和离职期间是否有明确的信息安全实践。

4. 资产管理

在资产管理部分，ISO 27001 提供了控制，为组织提供有关识别信息安全资产（例如存储设备和处理设备）的信息。该域的控制还涵盖了组织应如何指定其数据资产的安全责任。它们确保人们根据预定义的分类级别了解对这些资产的正确处理。在审计中，审计员将检查组织如何跟踪其数据库、软件和硬件以及它用来维护数据完整性的方法或工具。

5.访问控制

当一个组织审查访问控制域时，它会更多地了解它应该如何限制员工对各种类型数据的访问。在这种情况下，审计师将要求组织提供有关其如何设置访问权限以及维护这些控制的责任的详细信息。

6.密码学

加密领域涵盖旨在确定组织应如何正确使用加密解决方案的控制。正确使用这些解决方案包括组织保护信息完整性、机密性和真实性的能力。当审计员审计组织时，他们将检查处理敏感数据的系统以及组织使用的加密类型。

7. 物理和环境安全

除了保护公司的网络安全运营，ISO 27001 还涵盖物理和环境安全。该领域详细说明了保护内部设备和建筑物的适当流程，保护它们免受自然和人为干预。在审核期间，审核员将搜索物理位置的漏洞，特别注意数据中心和办公室的可访问性标准。

8. 运营安全

运营安全域详细说明了旨在确保组织安全并保护其 IT 系统免受数据丢失的各种控制。为了满足该领域的标准，公司必须遵循 ISO 27001 关于安全收集和存储数据的指南。当审计员检查组织是否符合运营安全标准时，他们希望查看数据流证据和有关组织存储数据位置的信息。

9. 通讯安全

通信安全域中的控制涵盖了组织网络内发生的所有传输的安全性。通过保护传输，组织可以更好地保护其网络服务和基础设施以及在网络内传输的数据。在审计中，审计员希望了解组织正在使用哪些通信系统以及组织如何确保其数据受到保护。

10. 系统获取、开发和维护

系统采购、开发和维护部分包括为在升级现有系统或购买新系统时维护信息安全最佳实践而进行的控制。在审核期间，审核员将检查组织在引入新系统时是否保持严格的安全标准。

11. 供应商关系

如果组织将各种活动外包给合作伙伴或供应商，则应审查供应商关系部分。本节提供有关任何供应商和合作伙伴在组织将活动外包给他们时应遵循的正确信息安全控制的信息。 

该领域的控制还包括组织应如何正确监控第三方安全性能。为了验证组织是否正确外包了各种活动，审计员将审查组织与可能访问敏感数据的第三方的合同。

12、信息安全事件管理

信息安全事件管理域为组织提供有效响应安全威胁的最佳实践。这些最佳实践包括有关与安全事件和事件相关的正确处理和通信程序的信息。

该域的控制还包括如何快速解决事件、保存证据以及从过去的事件中学习以防止再次出现安全问题。审核员可能会进行演练，以了解组织如何处理事件，以验证他们可以有效地处理各种威胁。

13. 业务连续性管理的信息安全方面

业务连续性管理域的信息安全方面具有控制功能，旨在帮助组织在遇到中断时维持其信息安全管理操作。这些控件还提供有关如何处理重大更改的信息。审核员可以通过让组织的 ISMS 响应各种理论中断并验证响应是否有效来检查组织的能力。

14. 合规

ISO 27001 的最终领域是合规性，本节涵盖了组织必须满足的行业或政府法规。通过遵循本节中的控制，公司可以更好地防止违反合同、法定、监管和法律的行为。组织还可以使用这些控制来查看其信息安全是否符合 ISO 27001 的要求、政策和程序。在审核期间，审核员将寻找完全遵守管理组织的任何相关法规的证据。

您如何实施 ISO 27001 控制？

当您尝试实施 ISO 27001 控制时，您将根据要实施的控制类型采用各种方法。查看以下实施这些控制的主要方法：

• 组织控制：通过定义设备、系统、软件和用户的预期行为并制定规则来添加组织控制。这些控制的例子包括访问控制和使用个人设备工作的政策。

• 人力资源控制：为员工和其他相关人员提供安全履行职责所需的经验、知识、技能和教育。这些控制的一些示例包括 ISO 27001 内部审核员培训和安全意识培训。

• 技术控制：通过将固件、硬件和软件组件添加到您的信息系统中来实施技术控制。主要示例包括防病毒软件和云备份。

• 物理控制：安装可以与物体和人员进行物理交互的设备和设备，以提高组织的物理安全性。此类控制的一些示例包括锁、闭路电视摄像机和警报系统。

• 法律控制：通过确保您的组织的行为和规则遵循您的组织必须遵守的合同、法规和法律来添加法律控制。法律控制的例子包括服务水平协议和保密协议。

如何使用 ISO 27001 进行风险评估

如果您希望在进行风险评估时遵守 ISO 27001，您应该遵循几个步骤。进行合规风险评估的一些首要步骤包括：

创建风险管理框架

风险管理框架将为您提供如何识别风险的规则；风险如何影响您的信息的可用性、机密性和完整性；谁获得风险所有权。一个好的框架还将使用一种计算方法来估计风险的可能性和潜在影响。该框架将需要包括风险规模、基于资产或场景的风险评估、风险偏好和基线安全标准。 

识别潜在风险和威胁

建立风险管理框架后，确定可能影响信息完整性、可用性和机密性的关键风险。列出对您的信息资产的所有潜在威胁可以帮助您组织它们并跟踪您组织的主要威胁。

分析风险

一旦您确定了潜在风险，请确定您的信息资产的主要漏洞。根据您的分析，您可以分配由风险标准确定的可能性和影响值。

确定当前可接受的风险

分析完风险后，您需要将它们与先前确定的可接受风险标准进行比较。某些风险超出您可接受的标准的程度通常会决定您需要采取行动的风险。

实施风险处理解决方案

最后，您需要决定如何处理已识别的风险。例如，您可以选择消除导致风险的流程，或者您可以将安全控制应用于各种流程以降低风险。如果风险在您可接受的风险标准内，您可能会决定保留该风险。

ISO 27000 标准是什么？

ISO 27001 确立了组织 ISMS 的主要要求，但组织还应了解ISO 27000 系列标准中的其他要求。可以在下面找到一些补充 ISO 27001 的主要 ISO 27000 标准：

• ISO/IEC 27000：ISO 27000 为组织提供了有关以下 ISO 27000 系列标准中的关键术语的定义

• ISO/IEC 27002：当您想要实施 ISO 27001 附录 A 中的控制时，ISO 27002 是必不可少的标准；该标准为组织提供有关实施控制的信息和指南

• ISO/IEC 27004：ISO 27004 为组织提供有关衡量其信息安全的指南；它补充了 ISO 27001，因为它帮助组织确定其 ISMS 是否满足关键目标

• ISO/IEC 27005：信息安全风险管理对于降低风险至关重要，ISO 27005 制定了执行指南；该标准符合 ISO 27001，因为它描述了组织如何进行有效的风险评估和风险处理活动

• ISO/IEC 27017：当您查看 ISO 27017 时，您会发现有关云环境信息安全的指南

• ISO/IEC 27018：ISO 27018 为组织提供了有关如何在使用云环境时保护隐私的指南

• ISO/IEC 27031：ISO 27031 为组织提供了在为信息和通信技术创建业务连续性时要考虑的主要要素的指南

SOC 2 和 ISO 27001 有什么区别？

ISO 27001 是组织 ISMS 的一组标准，而服务组织控制 (SOC) 2 是组织用来显示其符合一组定义标准的证据的一组审核报告。在 SOC 2 审核中，组织根据一组定义的标准检查其信息安全控制的设计和操作。 

尽管 SOC 2 和 ISO 27001 不同，但它们可以互补。在实施 ISO 27001 标准后，组织通常会发现他们可以更轻松地创建 SOC 2 报告。

ISO 27001 清单

当您尝试达到 ISO 27001 合规性时，清单可以帮助您集中精力。查看有效的 ISO 27001 清单的以下八个步骤：

1. 获得管理支持并组织实施团队

2. 制定实施计划

3. 制定 ISMS 政策并定义其范围

4. 查找您组织的安全基线

5. 制定风险管理流程

6. 执行您的风险处理计划

7. 监控、衡量和审查您的 ISMS 的绩效和合规性

8. 准备审核并认证您的 ISMS

数壳科技 如何帮助维护信任和合规性

数壳科技 让您轻松遵守 ISO 27001。在实施过程中展示了我们如何帮助客户实现对全球政府和私人标准的合规性。例如，我们对客户的动态和静态数据进行加密，以确保我们的客户遵守 ISO 270001 要求。数壳科技同时获得了 ISO 27001:2013 认证，证明了我们在实现合规方面的卓越表现。 

借助数壳科技的安全和合规性落地解决方案，您可以通过管理改进您的治理策略。这些解决方案可简化您的数据生命周期管理，在不损害生产力的情况下降低风险，并为您提供管理文档保留和处置策略的工具。