ISO27001認證體系信息安全要求來源

1.在了解ISO27001認證體系信息安全要求來源前，先要了解企業(yè)所面臨的信息安全背景和環(huán)境，以便更好理解和實施ISO27001認證體系。

所有類型和規(guī)模的組織（包括公共和私營部門、商業(yè)和非盈利組織）都要采用不同方式（包括電子方式、物理方式、會談和陳述等口頭方式）收集、處理、存儲和傳輸信息。信息的價值超越了文字、數(shù)字和圖像：無形的信息可能包括知識、概念、觀念和品牌等。在互聯(lián)的世界里，信息和相關過程、系統(tǒng)、網(wǎng)絡及其操作、處理和保護的過程中所涉及的人員都是資產，與其它重要的業(yè)務資產一樣，對組織的業(yè)務至關重要，因此需要防護各種危害。因相關過程、系統(tǒng)、網(wǎng)絡和人員具有固有的脆弱性，資產易受到故意或意外的威脅。對業(yè)務過程和系統(tǒng)的變更或其他外部變更（例如新的法律和規(guī)章）可能產生新的信息安全風險。因此，考慮到威脅利用脆弱性損害組織會有大量方式，信息安全風險是一直存在的。有效的信息安全可以通過保護組織免受威脅和脆弱性，從而減少這些風險，進一步降低對組織資產的影響。信息安全是通過實施一組合適的控制措施而達到的，包括策略、過程、規(guī)程、組織結構以及軟件和硬件功能。在必要時需建立、實施、監(jiān)視、評審和改進這些控制措施，以確保滿足該組織的特定安全和業(yè)務目標。為在一個一致的管理體系總體框架下實施一套全面的信息安全控制措施，信息安全管理體系（例如ISO/IEC 27001所指定的）從整體、協(xié)調的角度看待組織的信息安全風險。從ISO/IEC 27001和本標準的意義上說，許多信息系統(tǒng)并沒有被設計成是安全的。通過技術手段可獲得的安全性是有限的，宜通過適當?shù)墓芾砗鸵?guī)程給予支持。確定哪些控制措施宜實施到位需要仔細規(guī)劃并注意細節(jié)。成功的信息安全管理體系需要組織所有員工的參與，還要求利益相關者、供應商或其他外部方的參與。外部方的專家建議也是需要的。就一般意義而言，有效的信息安全還可以向管理者和其他利益相關者保證，組織的資產是適當安全的，并能防范損害。因此，信息安全可承擔業(yè)務使能者的角色。
2.ISO27001認證體系信息安全要求
組織識別出其安全要求是非常重要的，安全要求有三個主要來源：
a) 對組織的風險進行評估，考慮組織的整體業(yè)務策略與目標。通過風險評估，識別資產受到的威脅，評價易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計潛在的影響；
b) 組織、貿易伙伴、承包方和服務提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的社會文化環(huán)境；

c) 組織開發(fā)的支持其運行的信息處理、加工、存儲、溝通和存檔的原則、目標和業(yè)務要求的特定集合。
實施控制措施所用資源需要根據(jù)缺乏這些控制措施時由安全問題導致的業(yè)務損害加以平衡。風險評估的結果將幫助指導和確定適當?shù)墓芾泶胧?、管理信息安全風險以及實現(xiàn)所選擇的用以防范這些風險的控制措施的優(yōu)先級。ISO/IEC 27005提供了信息安全風險管理的指南，包括風險評估、風險處置、風險接受、風險溝通、風險監(jiān)視和風險評審的建議。
3.選擇控制措施以實施ISO27001認證體系
控制措施可以從本標準或其他控制措施集合中選擇，或者當合適時設計新的控制措施以滿足特定需求。控制措施的選擇依賴于組織基于風險接受準則、風險處置選項以及所應用的通用風險管理方法做出的決策，同時還宜遵守所有相關的國家和國際法律法規(guī)?？刂拼胧┑倪x擇還依賴于控制措施為提供深度防御而相互作用的方式。本標準中的某些控制措施可被當作信息安全管理的指導原則，并且可用于大多數(shù)組織。在下面的實施指南中，將更詳細的解釋這些控制措施。更多的關于選擇控制措施和其他風險處置選項的信息見ISO/IEC 27005。