ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分：BS7799-1，信息安全管理实施规则BS7799-2，信息安全管理体系规范。第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

ISO27001标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说，组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构，来提供ISO27001认证服务。正是因为这个缘故，在ISMS体系建立的过程中，质量管理的经验举足轻重。

但是有一点需要注意，一个组织如果没有事先拥有并使用任何形式的管理体系，并不意味着该组织不能进行ISO27001认证。这种情况下，该组织就应当从经济利益考虑，选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权，才能为认证组织提供认证服务，并发放认证证书。大多数国家都有自己的国家鉴定机构（比如：英国UKAS），任何获得该机构授权进行ISMS认证的机构均记录在案。

三级要求

申请三级资质认证的单位，至少有1个完成的风险评估项目，该系统的用户数在1,000以上；具备从管理或（和）技术层面对脆弱性进行识别的能力；具备跟踪信息安全漏洞的能力。

一、准备阶段

1.服务方案制定

a) 编制风险评估方案、风险评估模板，并在项目实施过程中按照模板实施。

b) 应为风险评估实施活动提供总体计划或方案，方案应包含风险评价准则。

2.人员和工具准备

a) 应组建评估团队。风险评估实施团队应由管理层、相关业务骨干、IT技术人员等组成。

b) 应根据评估的需求准备必要的工具。

c) 应对评估团队实施风险评估前进行安全教育和技术培训。

 二、风险识别阶段

1.资产识别

a) 参考国家或国际标准，对资产进行分类。

b) 识别重要信息资产，形成资产清单。

c) 对已识别的重要资产，分析资产的保密性、完整性和可用性等安全属性的等级要求。

d) 对资产根据其在保密性、完整性和可用性上的等级分析结果，经过综合评定进行赋值。

2.脆弱性识别

a) 应对已识别资产的安全管理或技术脆弱性利用适当的工具进行核查，并形成安全管理或技术脆弱性列表。

b) 应对脆弱性进行赋值。

3.威胁识别

a) 应参考国家或国际标准，对威胁进行分类；

b) 应识别所评估信息资产存在的潜在威胁；

c) 应识别威胁利用脆弱性的可能性；

d) 应分析威胁利用脆弱性对组织可能造成的影响。

4.已有安全措施确认

a) 应识别组织已采取的安全措施；

b) 应评价已采取的安全措施的有效性。

三、风险分析阶段

1.风险分析模型建立

a) 应构建风险分析模型。

b) 应根据风险分析模型对已识别的重要资产的威胁、脆弱性及安全措施进行分析。

c) 应根据分析模型确定的方法计算出风险值。

2.风险评价

应根据风险评价准则确定风险等级。

3.风险评估报告

a) 应向客户提供风险评估报告。

b) 报告应包括但不限于评估过程、评估方法、评估结果、处置建议等内容。

 二级要求

组织申报二级资质，除满足三级能力要求外，还应满足以下要求：

申请二级资质认证的单位，针对多种类型组织，多行业组织，至少完成一个风险评估项目，该系统的用户数在10,000以上；具备从管理和技术层面对脆弱性进行识别的能力；具备跟踪、验证信 息安全漏洞的能力。

一、准备阶段

1.服务方案制定

a) 应进行充分的系统调研，形成调研报告。

b) 宜根据风险评估目标以及调研结果，确定评估依据和评估方法。

c) 应形成较为完整的风险评估实施方案。

2. 人员和工具管理

需采取相关措施，保障工具自身的安全性、适用性。

二、风险识别阶段

1.威胁识别

应识别出组织和信息系统中潜在的对组织和信息系统造成影响的威胁。

三、风险分析阶段

1.风险分析模型建立

构建风险分析模型应将资产、威胁、脆弱性三个基本要素及每个要素各自的属性进行关联。

2.风险计算方法确定

在风险计算时应根据实际情况选择定性计算方法或定量计算方法。

3.风险评价

应对不同等级的安全风险进行统计、评价，形成最终的总体安全评价。

4.风险评估报告

a) 风险评估报告中应对本次评估建立的风险分析模型进行说明，并应阐明本次评估采用的风险计算方法及风险评价方法。

b) 风险评估报告中应对计算分析出的风险给予比较详细的说明。

四、风险处置阶段

1.风险处置原则确定

应协助被评估组织确定风险处置原则，以及风险处置原则适用的范围和例外情况。

2.安全整改建议

对组织不可接受的风险提出风险处置措施。

一级要求

组织申报一级资质，除满足二级要求外，还应满足以下要求：

申请一级资质认证的单位，能够在全国范围内，针对5个（含）以上行业开展风险评估服务；至少完成两个风险评估项目，该系统的用户数在100,000以上；具备从业瘛⒐芾砗图际醪忝娑源嗳跣� 进行识别的能力；具备跟踪、验证、挖掘信息安全漏洞的能力。

一、准备阶段

1.人员和工具管理

需采取相关措施，保障工具管理的规范性。

二、风险识别阶段

1.资产识别

a) 识别信息系统处理的业务功能，重点识别出关键业务功能和关键业务流程。

b) 根据业务特点和业务流程识别出关键数据和关键服务。

c) 识别处理数据和提供服务所需的关键系统单元和关键系统组件。

2.威胁识别

采用多种方法进行威胁调查。

三、风险处置阶段

1.组织评审会

a) 协助被评估组织召开评审会。

b) 依据最终的评审意见进行相应的整改，形成最终的整改材料。

2.残余风险处置

a) 对组织提出完整的风险处置方案。

b) 必要时，对残余风险进行再评估。