一、ISO27001适用于哪些类型的组织?

1. ISO27001适用于所有类型的组织（例如，企业、政府机构、非赢利组织）。
2. ISO27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织及其下属部门的需要而定制的安全控制措施的实施要求。
3. 当由于组织及其业务特性，标准中的任何要求不适用时，可以考虑进行删减。
4. 如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规要求和责任的能力，否则不能声称符合ISO27001标准。

二、ISO27001引用了哪些标准？

1. ISO/IEC27002:2005，信息技术—安全技术—信息安全管理实施规则

三、ISO27001是否有利于各种管理体系的整合?

1. 为了达到与其他管理体系相容，ISO27001标准采用PDCA过程方法建立、实施组织的信息安全管理体系，并持续改进其有效性；标准的文档结构与ISO 9001、ISO 14001基本相同，便于体系的整合。

四、什么是过程方法?

1. 系统地识别和管理组织所应用的过程以及过程之间的相互作用，称为“过程方法”。所谓“过程”是一组将输入转化为输出的相互关联或相互作用的活动。 ISO27001采用过程方法建立信息安全管理体系可以保证该体系得到顺利地建立、实施、维持和持续改进，并且能够保证和质量管理体系(ISO 9001)、环境管理体系(ISO 14001)等兼容，降低了管理的总体复杂程度。
2. 过程方法鼓励其用户关注下列内容的重要性：

• 了解信息安全要求，以及为信息安全建立方针和目标的需求；
• 实施并运作管理组织所有业务风险的控制；
• 监控并评审信息安全管理体系的效率和效果；
• 在目标测量的基础上持续改进。

五、什么是过程模式？

1. PDCA是Plan、Do、Check、Act的首字母缩写。PDCA模式是被质量管理体系(ISO 9001)、环境管理体系(ISO 14001)等管理体系所广泛采用的一种过程模式，这种模式在识别和运作过程时，把过程分为策划(Plan)、实施(Do)、检查(Check)、处置 (Act)四个阶段，通过这四个阶段的持续循环，使过程效果得到不断提升。
2. ISO27001采用PDCA过程模式，在体系的整体建立、实施、维持和持续改进的大过程中PDCA的阶段分布可简单描述如下：

• 策划（建立ISMS） 建立与管理风险和改进信息安全有关的信息安全管理体系方针、目标、过程和程序，提供与组织整体策略方针和目标相一致的结果。
• 实施（实施和运行ISMS） 实施和运行信息安全方针、控制措施、过程和程序。>
• 检查（监视和评审ISMS） 对照信息安全管理体系方针、目标和实践经验，评估并在适当时，测量过程业绩，并将结果报告管理者以供评审。
• 处置（保持和改进ISMS） 在信息安全管理体系内部审核和管理评审结果的基础上，采取纠正和预防措施，以持续改进信息安全管理体系。

六、按照BS7799-2：2002要求PDCA四个阶段工作是如何分布的？

   1.策划阶段，组织应：

• 定义ISMS的范围和方针；
• 定义风险评估的系统性方法；
• 识别风险；
• 应用组织确定的系统性方法评估风险；
• 识别并评估可选的风险处理方式；
• 选择控制目标与控制方式；
• 当决定接受剩余风险时应获得管理者同意，并获得管理者授权开始运行信息安全管理体系。

   2.实施阶段，组织应该实施选择的控制，包括：

• 实施特定的管理程序；
• 实施所选择的控制；
• 运作管理；
• 实施能够促进安全事件检测和响应的程序和其他控制。

   3.检查阶段，组织应：

• 执行程序，检测错误和违背方针的行为；
• 定期评审ISMS的有效性；
• 评审剩余风险和可接受风险的等级；
• 执行管理程序以确定规定的安全程序是否适当，是否符合标准，以及是否按照预期的目的进行工作；
• 定期对ISMS进行正式评审，以确保范围保持充分性，以及ISMS过程的持续改进得到识别并实施；
• 记录并报告所有活动和事件。

   4.改进措施阶段，组织应：

• 测量ISMS绩效；
• 识别ISMS的改进措施，并有效实施；
• 采取适当的纠正和预防措施；
• 与涉及到的所有相关方磋商、沟通结果及其措施；
• 必要时修改ISMS，确保修改达到既定的目标。

七、建立ISMS的具体步骤是怎样的？

1. 不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要经过下列四个基本步骤：

• 信息安全管理体系的策划与准备；
• 信息安全管理体系文件的编制；
• 信息安全管理体系运行；
• 信息安全管理体系审核、评审和持续改进。

   2.如果考虑认证过程其详细的步骤如下：

http://www.cofly.com/isms/know/27001/7.JPG

八、如何准确描述ISMS的范围？

1. 组织要根据组织的特性、地理位置、资产和技术来对信息安全管理体系范围进行界定。组织ISMS范围包括以下项目：

• 需保护的服务、信息系统、资产、技术；
• 物理场所（地理位置、部门）。

九、是否可以考虑对标准进行删减，删减的原则是什么？

1. ISO/IEC 27001:2005标准中规定的要求是通用的，是为了适用于所有组织，不论其类型、业务规模和特征。当由于组织及其业务的特性，标准的特定要求不适用时，可以考虑进行删减。
2. 如果有删减，除非这些删减不影响组织提供信息安全满足风险评估和适用法规的要求和责任的能力，否则不能声称符合标准。删减的范围仅限于标准附录A 中列举的控制，任何删减必须根据风险评估结果判断，证明删减的控制不是达到和保持信息安全要求所必需的。ISO/IEC 27001标准中描述的PDCA过程中任何要素的删减都是不可接受的。

十、信息安全管理体系的总要求是什么？

1. 按照BS 7799-2:2002的要求建立信息安全管理体系，组织应在其整体业务活动和风险范围内，建立、实施、保持并持续改进文件化的信息安全管理体系。为了达到本标准的目的，所使用的过程以PDCA过程模式为基础。

十一、组织应该将信息安全管理体系放在一个什么高度？

1. 组织对信息安全管理体系的采用是一个战略决定。因为按照ISO/IEC 27001:2005建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围，它涉及到组织全体成员和全部过程，需要取得管理者的足够的重视和有力的支持。

十二、组织内建立信息安全管理体系(ISMS)的作用有哪些?

1. 组织可以按照先进的信息安全管理标准ISO/IEC 27001建立、实施并保持一个完整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息安全受控状态，用最低的成本，达到可接受的信息安全程度，从根本上保证业务的可持续性。
2. 组织建立、实施与保持信息安全管理体系将会产生如下作用：

• 强化员工的信息安全意识，规范组织信息安全行为；
• 对组织的关键信息资产进行全面系统的保护，保持竞争优势；
• 在信息系统受到侵袭时，确保业务持续开展，并将损失降到最低程度；
• 使组织的业务伙伴和客户对组织充满信心；
• 如果通过体系认证，表明体系符合标准，证明组织有能力保证信息安全，提高组织的知名度与信任度；
• 促使管理层坚持贯彻信息安全管理体系。

十三、现状调查与风险评估的工作流程是怎样的？

1. 准备工作阶段：确定信息安全管理体系的范围，成立风险评估小组，制定风险评估计划，确定风险评估的方法与工具；
2. 现状调查：对组织的业务运作流程、安全管理机构、资产情况、信息系统网络拓扑结构、安全控制情况、法律法规适用与执行情况进行调查；

• 列出与信息有关的资产清单，并对每一项资产估价；
• 识别出资产所面临的威胁及其发生的可能性与潜在影响评价；
• 识别出被威胁所利用的薄弱点并对其被利用的难易程度进行评价；
• 对现有的安全控制措施进行确认；
• 进行风险大小测量并确定优先控制等级；
• 风险评估结果的评审与批准；
• 编制适用的法律法规清单并对其符合性进行评估；
• 结果分析与评价，主要任务是对调查结果进行分析，找出信息安全管理方面的缺陷及组织存在的信息安全风险，明确信息安全要求，选择适当的控制方式予以实施，将风险降低到可接受的水平。

十四、ISO/IEC 27001中是否规定了具体的风险评估方法？

   1. ISO/IEC 27001中并没有具体规定风险评估的方法，只是对评估过程作了相应的要求，标准要求应该采用适当的风险评估方法：

• 识别适合信息安全管理体系的、已识别的业务信息安全的和法律法规要求的风险评估方法。
• 制定接受风险的准则，识别可接受的风险级别。

   2. 选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
   3. 风险评估应该识别对资产的威胁、可能被威胁利用的薄弱点、威胁发生对组织的影响和发生的可能性，还应该能够确定风险的优先等级，对风险进行分析和评价，如：

• 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。
• 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
• 估计风险的级别。
• 确定风险是否可接受，或者是否需要使用所建立的接受风险的准则进行处理。

十五、ISMS建立过程中现状调查与风险评估的主要工作有哪些？

1. 现状调查与风险评估的主要工作任务：

• 对组织信息安全管理现状进行全面系统的调查，为风险评估提供充分的信息；
• 识别信息资产；
• 信息资产估价；
• 威胁、薄弱点的识别与评价；
• 现有安全控制的确认；
• 安全风险测量及优先等级的确定。

十六、什么是风险处理计划？

1. 风险处理计划是组织针对风险评估所识别的不可接受风险而制定的风险处理办法和进度表。
2. 风险处理计划中应详细的列出：

• 所选择的处理方法；
• 什么控制已经到位；
• 建议的额外控制；
• 所建议控制的实施时间框架。

十七、ISMS策划的具体工作有哪些？
   
    在完成现状调查与风险评估工作之后，组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编写风险处理计划和控制概要、制定业务持续性计划。  
   1.组织信息安全结构与职责
   组织信息安全结构确定是实施信息安全管理体系的基础与组织安全的保证，在职责划分和编写体系文件之前，必须先进行职能分析和确定组织结构。在确定组织结构时，要坚持精简高效的原则，尽量避免部门职能的交叉，调整组织的原有管理体系的组织结构使其适应信息安全管理体系标准中的管理需求；结合组织的类型、规模及特点，设置管理体系运行的管理部门，使其负责管理体系的建立、实施、协调及监督管理，不断地发现管理体系运行中的问题，以便及时调整、改进。
   2.选择控制目标与控制方式
   组织应根据风险评估的结果，并考虑控制费用与风险平衡的原则，选择适合组织的控制目标与控制方式。
   3.编写控制概要
   控制概要中应对根据风险评估结果选择的控制目标与控制方式进行详细的说明。
   4.制定业务持续性计划
   为降低信息安全事件或自然灾害对组织业务持续性的影响，组织应在风险评估的基础上编制业务持续性计划并保持计划的有效性。

十八、ISMS策划与准备阶段涉及的工作有哪些？

• 教育培训

    为了强化组织的信息安全意识，明确信息安全管理体系的基本要求，进行信息安全管理体系标准和相关知识的培训是十分必要的，这也是组织搞好信息安全管理的关键因素之一。

• 拟定计划

    信息安全管理体系的建立和维持是一项复杂的系统工程，包括培训、风险评估、文件编写、运行、审核、纠正和预防措施等大量的工作。为确保体系顺利的建立，组织应进行统筹安排，即制定一个切实可行的工作计划，明确不同时间段的工作任务目标及责任分工，控制工作进度，突出工作重点，例如采用工程进度计划表。总体计划被批准后，就可以针对具体工作项目制定详细计划，例如文件编写计划。在制定计划时，组织应考虑资源需求，例如人员的需求、培训经费、办公设施、聘请咨询公司的费用等，如果寻求体系的第三方认证，还要考虑认证费用，组织最高管理层应确保提供建立体系所必须的人力与财务资源。

• 确定信息安全方针与信息安全管理体系范围

    信息安全方针是关于在一个组织内，指导如何对资产，包括敏感信息进行管理、保护和分配的规则、指示。这里所谈到的信息安全方针是组织信息安全的总体方针，组织首先应制定信息安全方针，描述信息安全在组织内的重要性，表明管理层的承诺，提出组织管理信息安全的方法，以便为组织的信息安全提供管理方向与支持。

• 现状调查与风险评估

    组织信息安全管理现状调查与风险评估工作是建立信息安全管理体系的基础与关键，在体系建立的整个过程中，风险评估的工作量占了很大比例，风险评估的工作质量直接影响安全控制的合理选择，因此，组织应责成专门的部门负责此项基础性工作，风险评估人员应理解标准的基本要求，掌握风险评估的方法，熟悉组织商务运作流程与信息系统。风险评估需要不同部门的管理、信息技术、操作人员参与，必要时应获得信息安全专家的支持。风险评估的结果应被确认。

• 信息安全管理体系策划

• 在完成现状调查与风险评估工作之后，组织要根据已确立的信息安全方针的总体要求与信息安全管理体系范围、风险评估的结果，明确组织信息安全结构与职责、选择控制目标与控制方式、编写控制概要、制定业务持续性计划。

十九、对组织内部成功实施ISMS至关重要的因素有哪些？

1. 经验表明，下列因素通常对组织内部成功实施信息安全体系至关重要：

• 反映业务目标的信息安全方针、目标和活动；
• 与组织文化一致的实施安全的方法；
• 来自管理层的有形的支持和承诺；
• 对安全要求、风险评估和风险管理的良好理解；
• 向所有管理者及雇员推行安全意识；
• 向所有雇员和承包商分发信息安全方针和相关指南；
• 提供适当的培训和教育；
• 用于评价信息安全管理绩效及反馈改进建议的综合的平衡测量系统。

二十、ISMS建立过程中培训教育工作如何开展？

1. 培训工作要分层次、分阶段、循序渐进的进行，而且必须是全员培训。分层次培训是指对不同层次的人员开展有针对性的培训，这包括对管理层（包括决策层）、审核人员及操作执行人员的培训，而且培训的内容也各有侧重；分阶段是指在信息安全管理体系的建立、实施与保持的不同阶段，培训工作要有计划地安排实施，如在体系建立初期对管理层的宣贯培训、在风险评估前对评估人员所进行的风险评估方法的培训等；培训可以采用外部与内部相结合的方式进行。

二十一、ISMS运行过程中，组织应注意哪些方面？

    信息安全管理体系文件编制完成以后，组织应按照文件的控制要求进行审核与批准，并发布实施，至此，信息安全管理体系将进入运行阶段。体系运行初期一般称为试运行期或磨合期，在此期间体系运行的目的是要在实践中检验体系的充分性、适用性和有效性。在体系运行初期，组织应加强运作力度，通过实施其手册、程序和各种作业指导性文件等一系列体系文件，充分发挥体系本身的各项功能，及时发现体系策划本身存在的问题，找出问题根源，采取纠正措施，纠正各种不符合，并按照更改控制程序要求对体系予以更改，以达到进一步完善信息安全管理体系的目的。

• 有针对性地宣贯信息安全管理体系文件。

    体系文件的培训工作是体系运行的首要任务，培训工作的质量直接影响体系运行的结果。组织应根据培训工作计划的安排并按照培训程序的要求对全体员工实施培训。通过培训使全体员工认识到新建立或完善的信息安全管理体系是对过去信息安全管理体系的变革，是为了向国际先进的信息安全管理标准接轨，要适应这种变革和新管理体系的运行，就必须认真学习、贯彻信息安全管理体系文件。

• 实践是检验真理的唯一标准。

    体系文件通过试运行必然会出现一些问题，全体员工应将实践中出现的问题和改进意见如实反馈给有关部门，以便采取纠正措施。

• 将体系试运行中暴露出的问题，如体系设计不周、项目不全等进行协调、改进。

    信息安全管理体系的运行涉及组织体系范围的各个部门，在运行过程中，各项活动往往不可避免的发生偏离标准的现象，因此，组织应按照严密、协调、高效、精简、统一的原则，建立信息反馈与信息安全协调机制对异常信息反馈和处理，对出现的问题加以改进，并保证体系的持续正常运行。

• 加强有关体系运行信息的管理，不仅是信息安全管理体系试运行本身的需要，也是保证试运行成功的关键。

    所有与信息安全管理体系活动有关的人员都应按体系文件要求，做好信息安全的信息收集、分析、传递、反馈、处理和归档等工作。
    信息安全体系文件属于组织的信息资产，包含有关组织的全部安全管理等敏感信息，组织应按照信息分类的原则对其进行分类、进行密级标注并实行严格的安全控制，未经授权不得随意复制或借阅。

二十二、最高管理者如何支持信息安全管理体系？

1. 最高管理者应该通过以下活动，对建立、实施信息安全管理体系并持续改进其有效性所做出的承诺提供证据：

• 向组织传达满足信息安全目标，以及法律法规要求和持续改进需要的重要性；
• 建立安全方针、目标和计划；
• 确定风险的可接收等级；
• 进行信息安全管理体系的管理评审。

二十三、什么是管理评审？

1. ISO/IEC 27001中没有明确提出管理评审的概念，但ISO/IEC 27001:2005条款6.1中提出：管理者应定期对信息安全管理体系进行评审，评审应该被文件化。信息安全管理体系评审应该准确评价组织的信息安全管理现状，确保信息安全管理体系的持续适宜性、充分性与有效性。
2. 信息安全管理体系评审是组织持续改进信息安全管理体系的重要过程。

二十四、信息安全管理体系评审的步骤是怎样的？

（1）编制评审计划
信息安全主管部门拟定体系评审计划，提交给最高管理者批准之后，提前通知参加评审人员。
（2）准备评审资料
信息安全主管部门组织有关部门按照评审计划的要求准备体系评审输入所要求的各方面评审资料，评审资料应尽可能充分、全面。
（3）召开评审会议
最高管理者主持管理评审会议，评审会议应采用开放的形式，充分听取与体系有关的各方面的意见与建议，由信息安全主管部门记录评审会议结果并编制评审报告。
（4）评审报告分发与保存
评审报告经最高管理者批准后，分发给参加评审的人员和相关部门。评审记录及报告由主管部门按照规定的保存期限予以保存并归档。
（5）评审后要求
对于评审报告中有关决议和措施要求（包括预防/纠正措施），责任部门应在规定的时间内予以实施，信息安全主管部门应对实施的结果进行验证。

二十五、管理评审的输入有哪些？

   信息安全管理体系评审的输入包括以下方面的信息：

• 信息安全方针的适宜性；
• 内部审核和外部审核结果；
• 纠正和预防措施的实施情况；
• 各信息系统安全运行情况；
• 风险评估的结果与风险管理情况；
• 安全事件与故障的处理情况；
• 法律法规的符合性与法律法规要求的变化；
• 改进的建议。

二十六、管理评审的输出有哪些？

   信息安全管理体系评审的输出包括与以下方面有关的任何决定和措施：

• 信息安全管理体系有效性的改进；
• 控制目标与控制方式的增加与完善；
• 信息安全方针的调整；
• 资源需求。

二十七、通过哪些方法持续改进信息安全管理体系？

   按照ISO/IEC 27001:2005建立的信息安全管理体系通过使用安全方针、安全目标、安全审核、纠正和预防措施以及管理评审，寻求持续改进信息安全管理体系有效性的途径，采用基于PDCA模式的过程方法，能够保证信息安全管理体系自我调整，自我改进。在信息安全生命周期内，Plan-Do-Check-Act四个阶段的工作内容分布如下图所示：

http://www.cofly.com/isms/know/27001/28.gif

二十八、什么是纠正措施？

   纠正措施是为消除已发现的不符合或其他不期望情况的原因所采取的措施。一个不符合可能有若干个原因，采取纠正措施就是要找出问题的原因，消除原因，防止再发生。

二十九、纠正措施的文件化程序应该规定以下方面的要求：

• 识别信息安全管理体系实施、运作过程中的不符合；
• 确定不符合的原因；
• 评价确保不符合不再发生的措施需求；
• 确定并实施所需的纠正措施；
• 记录所采取措施的结果；
• 评审所采取措施的有效性。  

三十、什么是预防措施？

    预防措施是为消除潜在不符合的原因，防止其发生而采取的措施。预防措施是在问题出现之前采取的措施，是为了防止发展为不符合。预防措施应与潜在问题的影响程度相适应。

三十一、预防措施的具体步骤是怎样的？

   预防措施的文件化程序应该规定以下方面的要求：

• 识别潜在不符合及其原因；
• 确定并实施所需的预防措施；
• 记录所采取措施的结果；
• 评审所采取的预防措施；
• 识别已变化的风险，并确保对发生重大变化的风险予以关注。