ISO27001考证记type
status
date
slug
summary
tags
category
icon
password
之前一直听别人安利这个证,于是就来试试了,价格便宜 ¥3500,永久证书,不用续费
考证两天上下午课程,听完课就可以开始考试,纯理论一共50个选择题,全英题目,考完证后大概一个月多点证书就能下来
问题:27001个人认证 和 管理体系认证 的关系 没什么关系 27001个人认证主要是为了提升个人能力,企业ISO建设周期:基础还可以的审核可能要 4-5个月,薄弱的可能要5-6个月甚至更久
ISO27001是什么
ISO27001全称是ISO/IEC 27001(International Standard Organization/International Electrotechnical Commission),是偏管理的信息安全体系认证
什么是信息安全管理体系?以作用而言,安全体系的作用:避免致命事件(小安全事件会有,也能有思路快速的解决掉,也会避免同类型或类似的事件再次发生,并提供一个方法,慢慢去做的越来越好
以前我对国际标准没什么概念,ISO27001 最初是英国的一个标准,从 BS7799(1992)→BS7799-1(1999)→BS7799-2(1999、2000、2002)→ISO/IEC17799(2000)→ISO27001(2005年10月15采用BS7799-2:2002版本)这会才成为国际标准,也就是说很多标准都要经过10余年才能成为国际标准)
其实一直搞不清楚 ISO27000 27001 xxx 这堆是啥
ISO/IEC 27000 ISMS(Information Security Management Systems)是一个标准族,其包含:
- 27000 信息安全管理体系 —— 概述及术语
- 27001 信息安全管理体系 —— 要求(也就是所谓的体系) <=> 和国标对应 GB/T 22080-2016
- 27002 信息安全管理实用规则 <=> 和国标对应 GB/T 22081-2016
- 27003 ISMS项目的实施指南
- 27004 信息安全管理测量
- 27005 信息安全风险管理
- ….
- 27007 信息安全管理体系审核指南
02/03/04/05/07 都是方法
- ….
- 27015 金融服务信息安全管理指南
- ….
- 27017 云计算服务信息安全管理指南
- ….
- 27036 供应商关系管理的信息安全
- ….
- 27039 入侵检测和防护系统的选择、部署和运行
- ….
我们学 ISO27001 其实就是在学 27001和27002的东西,然后里面引用了很多270[03-05]和27007 的东西,然后 27001 的附录A部分就是 27002 的内容了,这编排还挺神奇的
ISO27001:2013正文部分(和 2005 有点不一样):
- 范围
- 规范性引用文件
- 术语和定义
- 组织的环境
- 领导力
- 计划
- 支持
- 运营
- 绩效评价
- 改进
有个比较大的变化就是使用导则83编写,规范了今后ISO管理体系认证标准的基础框架
导则 83 是对编写国际标准的要求,基于 P(plan 策划 - 确定范围 & 风险评估)D(实施 - 设计 & 实施)C(检查 - 监控 & 评审)A(改进 - 改进ISMS) 框架的目录章节,所以基于导则83编写的标准目录和章节都是一样的,方便整合
导则83的优点:永远没有止境,缺点:抽象
风险评估准备 → 资产识别、威胁识别、脆弱性识别 → 已有安全措施的确认 → 风险分析 → 实施风险管理 (⚠️ 顺序,是先风险评估在确认已有安全措施)
ISO27001正文部分
关于 27001 正文部分,其实挺关键的,比如一个组织,他要想建设企业安全,那他不可避免需要对目前的安全现状进行分析(组织环境),并且需要获得公司领导层的支持,不然你定义或者想要实施什么东西根本没人理你,毕竟大家都不闲,然后需要定一个计划,第一步做什么,第二步做什么,需要什么人力、物力支持。比如现在需要搞第三方软件合规,黑鸦之类的总要买吧?用开源的也不是不行,但没一个成熟的方案好用,还有售后。做完一堆东西落地是使用后,总要有人去运营吧,比如,这些使用用的怎样,统计数据之类的,效果如何,如恶化评定绩效,毕竟花了这么多人力物力,跟老板汇报工作的时候,起码做了这么多,是有用的,是需要的,以及后面如何改进。
27001 强调的是过程管理(把事情想清楚了,把它定义出来),强调正确的做事(等保强调的是做正确的事)。安全该怎么做根据风险,风险通过风险评估得出,风险评估根据资产的重要性以及现状情况得出,有风险之后要处置,处置之后要看效果。这个过程遵从了就行,至于风险要评估几个,这就和它没关系了
过程管理比较适合大企业,会效率比较高,可以通过平台固化下来。
标准化后,可以把目标分解,使得每个人都可以干,好处是输出是统一的,容易做决策,好的可以统一,不好的也可以统一改掉
安全关注点:人、系统/技术、管理/策略
以银行ATM取钱举例:比如插卡输入密码,取钱还要输入一次密码,钱取出来忘了拿卡了,卡还在里面,然后别人可以继续取钱,钱就损失了,这时候通过技术如何解决呢?(如果是通过人解决,那可以竖个牌子提醒取款之后卡拿走),通过技术和流程解决就是取一次输入一次密码,办理一次流程输入一次密码,而不是输入一次密码,可以几分钟内不用输入密码,这里看似是技术问题,其实是管理策略的调整,即加了一个环节,还有就是,打印凭条,取完款自动出来了,但很多人不拿走,就有信息泄漏了,从管理制度上来说,打印的账号要用*号,不能全显示,或者就是在流程上设计一个环节,让用户选择打印才打印,选择不打印,就没有了。
ISO27001管理体系的认证要求
第一次审核:你定义的方法和标准是不是符合(过程)
第二次审核:你这样说的是不是这样做了(结果)
ISO27001附录A部分
其实是ISO27002的第5-8章,新版是 27002:2022,上课讲的是 27002:2013,其实差别没有很大,主要有以下内容:
- 安全方针
- 信息安全组织
- 人力资源安全*
- 任用前:审查、背调,雇佣条款和条件中描述信息安全职责;外包 要和承包方人员签安全协议 或者 把责任转移给承包方
- 任用中:宣贯和传达安全职责,使其充分了解所需遵循信息安全方面的规则
- 任用终止或变更*:制定员工离职、转岗制度和流程,在员工离职转岗时及时回收或删除组织的资产、数据和权限(也可以设置账号有效期)
- 资产管理
- 访问控制 *
- 密码学
- 物理和环境安全
- 操作安全
- 通信安全
- 信息系统获取、开发和维护
- 供应关系
- 信息安全事件管理
- 信息安全业务连续性管理
- 符合性
A.8资产管理
1、对资产负责
- 资产清单
- 资产责任人:组织资产清单中,每项资产都定义了责任人
- 资产可接受使用
- 资产的归还
如:主要是对电子文档划分为资产清单,而数据库里的信息没有放到资产清单上(没有站在攻防的角度思考)
2、资产分类
- 制定和正式发布了信息资产分类、分级的标准
3、介质处理
- 可移动介质的管理
- 介质的处置
- 物理介质传输
A.9访问控制 *
1、访问控制的业务要求
控制目标:限制对信息和信息处理设施的访问
- 访问控制策略(如 最小化权限)
- 网络和网络服务的使用策略
2、用户访问管理
控制目标:确保授权用户访问系统和服务,并防止未授权的访问
- 用户注册及注销:建立各类系统、设备用户注册及注销的控制流程
- 用户访问开通:制定用户访问权限的开通流程,并依照流程进行实施
- 特殊访问权限管理
- 用户口令管理
- 用户访问权限的复查
- 撤销或调整访问权限
3、用户职责
控制目标:使用户承担保护认证信息安全的责任
- 制定口令规则等
4、系统和应用访问控制
- 特殊权限实用工具软件等使用:建立特权工具使用策略,包括:鉴别、使用前的审批、使用期限、使用记录、工具的删除等方面
总结
学习后比较感触深刻的是,平常在公司访问各种网段的零信任权限申请审批、权限申请基本都有时效性选项、进入公司有物理门禁,我的权限不是哪都能去、同事离职后账号不久后失效、SDL流程是怎么一步步落实的等都历历在目,和ISO里面的标准规范的每个点基本都息息相关
安全其实就是一个个点,一定要切合要具体的业务和实践中去