原创2024-11-11小艾老师

ISO27001国际标准信息安全官认证考证须知证书含金量培训大纲 3分钟小视频我要提问

ISO27001体系自国际标准化组织颁布为国际标准ISO 27001:2005，成为“信息安全管理”之国际通用语言，ISO27001已被全球一万八千多家政府机构和知名企业所采用。其方法是通过“风险评估”、“风险管理”切入企业的信息安全需求，有效降低企业面临的风险。ISO27001认证是由APMG机构颁发的个人认证，通过学习信息安全管理方面最著名的国际标准ISO/IEC 27001来指导我们的现实工作。相比于其他信息安全认证，ISO27001更注重信息安全管理的实施、维护与优化方面。

中文名ISO27001国际标准信息安全官认证
英文名Control Objectives for Information Technologies
英文简称ISO27001
颁证机构APMG
证书类别信息安全
同类认证CISSP、CISM、CISA

在数字化时代，信息安全已成为组织和企业的核心关切。随着数据泄露和网络攻击的日益频繁，建立一套有效的信息安全管理体系变得至关重要。在我国，信息安全等级保护（简称等保）和国际上的ISO 27001是两个_为广泛讨论的标准。

今天，小艾老师就来说说这两套信息安全标准。开始之前，小艾老师先做个小调查：你的企业有没有做信息安全方面的认证？做的是等保？还是ISO27001？还是两个都做了？

01_国际标准：ISO 27001信息安全管理体系标准

ISO 27001是由国际标准化组织（ISO）颁布的信息安全管理体系（ISMS）标准。它详细规定了建立、实施和维护ISMS的要求，旨在帮助组织识别、评估、控制和监控信息安全风险。

ISO 27001标准覆盖了信息安全管理的各个方面，包括但不限于：

信息安全政策：定义组织的信息安全目标和方向。
组织：明确信息安全管理体系的组织结构和职责。
资源管理：确保有足够的资源来支持信息安全管理体系的运行。
安全控制：包括物理和技术上的安全措施，以保护信息资产。
安全事件管理：建立应对信息安全事件的流程和程序。

2022年的新版本将原有的14个安全控制域合并为组织、人员、物理、技术四个方向，共计93项控制项。新增内容包括威胁情报、云服务控制、业务连续性等，反映了信息安全领域的_新发展。

信息安全管理体系的建立与实施（基于ISO 27001标准）:

02_国家标准：中国信息安全等级保护（等保）

ISO27001是国际上的信息安全合规标准，等保则是国内的合规标准。等保主要针对信息系统的安全等级进行划分和保护。它要求组织根据信息系统的重要性和敏感性，采取相应的安全措施。

关于等保，这里就不多介绍了，大家可以看一下小艾老师之前的一篇文章《什么是等保？为什么做等保？如何做等保？喊话安全经理：你们家的系统通过“三级等保”了吗？》。

下面简单说一下等保与ISO 27001的主要区别，可以参考下面的表格。

	等保	ISO 27001
性质	强制性	自愿性认证
范围	侧重于技术层面的安全措施	包括管理和技术两个层面
实施方式	通过国家相关部门的评估和备案	通过认证机构的审核，国际通用性强

在信息安全领域，ISO 27001和等保虽然起源于不同的背景，但它们在理念和实践上展现出显著的共性，尤其在风险管理和信息安全的重要性上。这种共性为两者的互补和同步实施提供了基础。

共性分析

互补性：ISO 27001和等保都着重于通过系统化的方法来管理和降低信息安全风险。尽管它们的出发点和适用范围有所不同，但两者在实践中可以相互补充，共同构建一个更为全面和坚实的信息安全防护体系。
风险处理思想：两者都采用了风险评估的方法来确定必要的安全措施。这意味着无论是遵循ISO 27001还是等保，组织都需要识别潜在的信息安全威胁，评估这些威胁可能造成的影响，并据此制定相应的安全控制措施。

同步实施策略

为了实现ISO 27001和等保的有效融合，企业可以根据业务规模和安全需求采取不同策略：

三级以下企业或组织：这些组织可以主要采用ISO 27001标准来构建其信息安全管理体系，同时确保其措施符合等保的基本要求。这种方法可以帮助组织建立一个符合国际标准的信息安全管理体系，同时满足国内法规的要求。
三级及以上企业或组织：对于这些组织，建议以等保为核心，同时借鉴ISO 27001标准中的适用部分来补充和完善信息安全管理体系。这种策略有助于确保组织的信息安全措施既符合国家法规，又能与国际_佳实践保持一致。

03_ISO27001还是等保？如何选择合适的信息安全标准？

以下是选择信息安全标准需要考虑的因素：

地区法律法规要求：
- 首先，了解并遵守所在地区的法律法规是选择信息安全标准的首要步骤。
- 在中国，如果组织处理重要数据或参与政府项目，应优先考虑符合等保要求，因为等保是中国的法定标准，具有强制性。
业务需求和目标市场：
- 评估组织的业务需求，包括业务的国际化程度和目标市场。
- 如果业务需要国际认可或客户明确要求符合国际标准，那么ISO 27001可能是更合适的选择，因为它是一个国际认可的标准，具有更广泛的国际通用性。
资源评估：
- 考虑组织的资源状况，包括财务资源、人力资源和技术能力。
- ISO 27001可能需要更多的资源来实施和维护，因为它涵盖了更广泛的信息安全管理领域。
- 如果资源有限，可能需要优先考虑符合等保的基本要求，或者逐步实施ISO 27001。
风险评估和管理：
- 对组织面临的信息安全风险进行评估。
- 根据风险评估结果，选择能够_有效管理和降低这些风险的标准。
兼容性和整合性：
- 考虑所选标准与其他现有管理体系的兼容性。
- 评估整合不同标准的可能性，例如同时实施ISO 27001和等保，以实现更全面的信息安全管理。
持续改进：
- 选择一个能够支持持续改进和适应未来变化的标准。
- ISO 27001提供了一个持续改进的框架，有助于组织不断适应新的信息安全挑战。
认证和合规性：
- 考虑标准的认证要求和合规性检查。
- 等保可能需要通过国家相关部门的认证，而ISO 27001则需要通过授权的认证机构进行审核。
客户和利益相关者的要求：
- 了解客户和利益相关者对信息安全的具体要求。
- 这些要求可能会影响组织选择信息安全标准的方向。

_后，给大家科普一下ISO27001认证。

其实有两种：一种是针对组织的（也就是上面文章中提到的），另外一种是针对个人的认证，这个认证呢，主要是学习ISO27001标准的条款以及各项控制方法和技术，帮助提升信息安全管理能力，掌握为组织（企业）建立一套符合ISO27001标准的ISMS体系的方法。我们艾威开设的ISO27001认证培训课程呢，就属于后者。