符合行业公认的框架- ISO27k

Question

我被要求想办法让我们公司遵守国际标准化组织和国际电工委员会(ISO 27001)公布的“行业公认的安全性框架”，其中“行业认可框架”是指全球公认的信息安全管理系统( ISMS )，例如ISMS标准ISO/IEC 27001:2005 -信息技术-安全技术-信息安全管理系统-要求。

我不知道该怎么处理这个。其他人会建议我聘请一家更大的安全公司来帮忙吗？或者，我是否应该在顾问或承包商中寻找特定的资格来提供帮助？

我对此不屑一顾，所以任何建议都将不胜感激。谢谢。

Answer 1

因为这是客户端的需求，而不是自然“成长为”安全程序的内部动机，所以这不是一项琐碎的任务，因为您有时间限制(假设)。

假设您需要第三方验证您与框架的一致性，您将需要在您希望与之一致的框架中找到一个合格的认证人员。ISO2700有经过认证的咨询公司，帮助组织做到这一点。COBIT还有一个证明，个人可以证明他们知道如何针对COBIT对一个组织进行审计。

找一家能帮你度过难关的公司，并要求他们提供证明和经验。

Answer 2

我会在这里介绍ISO/IEC 27001，因为我知道它的一些东西。我对COBIT也很熟悉，但在我的工作中通常会忽略它，所以在这里不会说太多，只会留给对它了解更多的人：-

ISO/IEC 27001可以是一个主要的承诺，但它取决于许多因素。它基本上需要对整个组织的信息安全管理系统(ISMS)提供最高管理支持--因此，如果您是一个大型组织或地理位置分散的组织，那么它就可以成为一项重大任务。这完全取决于管理框架和流程，以及您如何实现它将取决于您到底想要实现什么。简而言之，它是一种业务风险管理标准，其重点是维护业务信息的保密性、完整性和可用性。

如果公司目前没有人了解这一标准或“管理系统”，那么我强烈建议提供一些帮助，或者至少参加一门培训课程。

也许我所知道的最好的培训课程是BSI提供的。他们提供各种课程，但我建议你先参加为期一天的“介绍”，然后跟进“实施”或“领导实现者”课程。实现者课程将带领您完成典型项目的主要步骤。

也有PECB认证，但在我看来，这些课程大多是幻灯片放映(理论-打鼾)与一些互动，而BSI课程是非常互动和实用的。全面披露--我已经为PECB和BSI提供了培训。

如果你正在聘请一名顾问，然后寻找这些资格，与ISO/IEC 27001首席审计资格。还可以看看顾问的简历。这不是一个IT或技术标准，只从这个角度看待问题的顾问们往往不会“理解”。寻找其他安全领域的广泛经验，如实物安全，以及与“管理系统”、“风险管理”和与业务相关的学科的一般经验。

要记住的是: 27001不是一个技术标准，如果仅仅在it环境中尝试这样做，通常是一件坏事(如果是这样的话，ISO/IEC 20000-1将是合适的)。登记/核证本身是为该组织进行的，并将引起持续的审计费用(审计由外部第三方审计机构进行)。

还请注意，2005年版本的标准现已过时，新版本为2013年。这是您需要实现和验证的版本(如果需要认证/注册)。

我的第一个建议，也是最便宜的，是从ISO.org购买标准，下载并阅读标准。你想看看第4条到第10条，它提供了你必须满足的所有要求。

COBIT和ISO/IEC 27001将和谐共处。没有矛盾，如果做得好的话，通过实现这两种方法，你将在许多方面都有好处。ISO/IEC 27001将为您提供一个大伞，COBIT将给您一些IT相关的细节，将属于该伞。

祝好运!