ISO/IEC 27000标准结构解析

信息安全管理体系基础概念

• 信息是一种资产,像其他重要的业务资产一样,对组织业务来说必不可少,因此需要得到适当保护信息可以以多种形式存储,包括:数字形式(例如,存储在电子或光介质上的数据文件),物质形式(例如。在纸上)。以及以员工知识形式存在、未被表现的信息。

• 信息可以采用各种手段进行传输,包括:信使、电子通信或口头交流。不管信息采用什么形式存在或什么手段传输,它总是需要适当的保护。在许多组织中,信息依赖于信息和通信技术。这种技术往往是组织的基本要素,协助信息的创建处理、存储、传输、保护和销毁。

• 信息安全是确保信息的保密性、可用性和完整性。

• 信息安全包含应用和管理适当的控制,这些控制广泛地考虑到各种威胁,目标是确保业务的持续成功和连续性,并最大限度地减少信息安全事件的后果。

• 信息安全是通过实施一套适用的控制来实现，这套控制通过所采用的风险管理过程选出，并使用ISMS 来管理,包括策略、过程、规程、组织结构、软件和硬件,用以保护已识别的信息资产。

• 这些控制需要得到详细说明、实施、监视、评审和必要时的改进,以确保满足组织的特定信息安全和业务目标。相关信息安全控制宜与组织业务过程无缝集成。

  

• 原告南方中金环境股份有限公司（以下简称中金公司）的主营业务包括研发、生产、销售各种泵类产品，在研发、生产过程中设计完成各类产品图纸。中金公司采取制定公司员工手册、签署保密条款、实施技术软件加密等措施保护其产品图纸等商业秘密。

• 被告赵某高、吴某忠、金某明、姚某保均为中金公司前员工，在原告公司担任生产负责人、技术员等工作。被告浙江南元泵业公司（以下简称南元公司）系赵某高、金某明从原告处离职后投资成立的企业，经营范围包括水泵、供水设备的生产、销售、研发。被告吴某忠、姚某保从原告处离职后相继加入南元公司工作。中金公司经市场调查发现，南元公司生产销售的立式多级离心泵SDL32系列产品与中金公司生产销售的CDL32系列产品基本相同。中金公司认为上述五被告侵害了其商业秘密，遂诉至法院，要求停止侵权、赔偿经济损失及合理费用。诉讼中，中金公司明确其主张的商业秘密是涉案产品设计图纸所承载的尺寸公差、形位公差、粗糙度、图样画法（表达方法）、局部放大视图、明细表内容、尺寸标法和技术要求。

• 卡巴斯基在 2019 年发布的一份报告显示，40,000 座智能建筑中有 37.8% 受到网络攻击的影响，其中大部分攻击试图破坏控制 BAS 的计算机，其中 26% 的威胁来自网络，10% 来自可移动媒体，10%来自网络钓鱼链接，1.5% 来自公司网络上的共享文件夹。在大多数情况下，它是以勒索软件、蠕虫和间谍软件的形式出现的常规恶意软件，不是专门针对BAS的恶意软件，而是用于感染任何公司网络的恶意软件。

• 在智能建筑中越来越多地使用网络物理系统带来了破坏的能力，不仅以损害数据机密性的代价高昂的破坏形式，而且以物理后果的形式更令人担忧，例如对智能建筑的网络攻击这会影响 BAS 的可用性。例如，2017 年有消息称，奥地利著名酒店 Romantik Seehotel Jgerwirt 遭到网络攻击，网络犯罪分子破坏了电子钥匙系统，使酒店客人无法进入酒店房间，并扰乱了其他业务运营。人们很容易想象对关键 BAS 功能（例如水、电、通风、电梯以及火警和灭火系统）的网络攻击可能引起的人身安全问题，更不用说医院或监狱的关键业务中断所带来的破坏性后果了。

• 通过 BAS 黑客进行温度控制可能会导致数据服务器或易腐货物等物品的物理损坏。2015 年导致乌克兰电网瘫痪的 BlackEnergy 恶意软件，以及 2010 年导致伊朗核计划受损的 Stuxnet 蠕虫，承认作为世界上第一次大规模网络战攻击。

• 正如福布斯所指出的，BAS 可能成为网络攻击的下一个目标。网络犯罪分子可以在暗网上出售智能建筑的安全凭证以牟利，更不用说从勒索软件的要求中获取大量比特币支付。这些攻击背后的威胁行动者不仅仅是受经济利益驱使的网络犯罪组织。

信息安全为企业带来的核心竞争力

• 一个结构化框架来支持规范、实施、运行和保持一个全面的、经济有效的、创造价值的、集成和一致的ISMS这一过程，以满足组织跨不同运行和场所的需要。

• 在企业风险管理和治理的语境下,协助管理者以负责任的方式始终如一地管理和运用其信息安全管理方法,包括对业务和系统责任者进行整体信息安全管理的教育和培训。

• 以非定型的方式推广全球公认的良好信息安全实践,给组织一定的自由度来采纳和改进适合其特定环境的相关控制,并在面临内部和外部变化的情况下保持这些控制。

• 为信息安全提供共同语言和概念基础,使得在业务伙伴中利用合规的 ISMS 建立信心更为容易,尤其是当他们需要由一个认可的认证机构进行ISO/IEC 27001认证时。

• 增加利益相关方对组织的信任。

• 满足社会的需要和期望。更有效、经济的信息安全投资管理.

ISMS成功的关键因素

• 信息安全策略、目标和与目标一致的活动;

• 与组织文化一致的,信息安全设计、实施、监视、保持和改进的方法与框架；

• 来自所有管理层级,特别是最高管理者的可见支持和承诺;

• 对应用信息安全风险管理(见ISO/IEC 27005)实现信息资产保护的理解;

• 有效的信息安全意识、培训和教育计划,以使所有员工和其他相关方知悉在信息安全策略、标准等当中他们的信息安全义务，并激励他们做出相应的行动;6有效的信息安全事件管理过程;

• 有效的业务持续性管理方法:

• 评价信息安全管理性能的测量系统和反馈的改进建议。

• ISMS将增加组织持续实现其信息资产所需关键成功因素的可能性.

ISO/IEC 27001：2022简介