壹個組織可以僅遵從ISO17799來建立和發展ISMS(信息安全管理體系),因為實踐指南中的內容是普遍適用的。然而,由於ISO17799並非基於認證框架,它不具備關於通過認證所必需的信息安全管理體系的要求。而ISO/EC27001則包含這些具體詳盡的管理體系認證要求。在技術層面來講,這就表明壹個正在獨立運用ISO17799的機構組織,完全符合實踐指南的要求,但是這並不足以讓外界認可其已經達到認證框架所制定的認證要求。不同的是,壹個正在同時運用ISO27001和ISO17799標準的機構組織,可以建立壹個完全符合認證具體要求的ISMS,同時這個ISMS體系也符合實踐指南的要求,於是,這壹組織就可以獲得外界的認同,即獲得認證。
ISO27001認證要求
ISO27001標準是為了與其他管理標準,比如ISO9000和ISO14001等相互兼容而設計的,這壹標準中的編號系統和文件管理需求的設計初衷,就是為了提供良好的兼容性,使得組織可以建立起這樣壹套管理體系:能夠在最大程度上融入這個組織正在使用的其他任何管理體系。壹般來說,組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構,來提供ISO27001認證服務。正是因為這個緣故,在ISMS體系建立的過程中,質量管理的經驗舉足輕重。
但是有壹點需要註意,壹個組織如果沒有事先擁有並使用任何形式的管理體系,並不意味著該組織不能進行ISO27001認證。這種情況下,該組織就應當從經濟利益考慮,選擇壹個合適的管理體系的認證機構來提供認證服務。認證機構必須得到壹個國家鑒定機構的委托授權,才能為認證組織提供認證服務,並發放認證證書。大多數國家都有自己的國家鑒定機構(比如:英國UKAS),任何獲得該機構授權進行ISMS認證的機構均記錄在案。
風險評估應對計劃
任何壹個ISMS體系的建立和開發都應當滿足組織獨特的需求。每個組織不僅都有自己獨特的業務模式、運營目標、形象特點和內部文化,他們對待風險的態度傾向也大相徑庭。換句話說,同壹個東西,壹個機構組織認為是必須提防的威脅,在另壹個組織看來可能是壹個必須抓住的機遇。同樣地,各個機構組織對於既有風險防護的投入也參差不齊。基於以上或者其他原因,每個運行ISMS的組織,其內部成員必須對風險評估有壹個***識,這個風險評估的方法論、結果發現和推薦解決方式都必須得到董事會的首肯。
ISMS項目和PDCA流程
ISMS項目很復雜,可能持續若幹個月甚至若幹年,涉及整個機構組織以及從管理層到收發部門的每個成員。ISO27001認證誕生時間短,成功的案例比較少。從務實的角度考慮,這表明在項目計劃過程中,必須盡早對這些僅有的指導性的書籍和案例進行分析和研究。
ISO27001標準指導壹個企業如何著手開展ISMS項目,並且關註整個項目進程中的若幹重要元素。
1950年W. Edwards Deming提出PDCA流程,即計劃(Plan)-執行(Do)-檢查(Check)-提升(Act)過程,意在說明業務流程應當是不斷改進的,該方法使得職能部門經理可以識別出那些需要修正的環節並進行修正。這個流程以及流程的改進,都必須遵循這樣壹個過程:先計劃,再執行,而後對其運行結果進行評估,緊接著按照計劃的具體要求對該評估進行復查,而後尋找到任何與計劃不符的結果偏差(即潛在改進的可能性),最後向管理層提出如何運行的最終報告。
ISO27001認證審核費用及周期
除了組織自身投入之外,ISO27001 認證審核費用主要體現在聘請第三方認證機構及審核員方面了。在組織向認證機構提出申請之後,認證機構會初步了解組織現狀,確定審核範圍,提出審核報價。認證機構的報價通常是根據其投入的時間和人員來確定的,決定因素包括:
1、受審核組織的員工數量;
2、納入審核範圍的信息量;
3、場所數量;
4、組織與外界的關聯;
5、組織 IT 的復雜性;
6、組織類型和業務性質等。
除了費用問題,認證審核的周期通常也是組織比較關心的。壹般來說,從組織啟動 ISMS建設項目開始,到最終通過審核,至少要有半年時間(不包括獲取證書的時間)。對於很多因為外部驅動力而決心實施 ISO27001 認證項目的組織來說,提早進行規劃是必要的。