信息安全管理標(biāo)準(zhǔn)及規(guī)范課件

1、信息安全管理標(biāo)準(zhǔn)及規(guī)范2022/8/61宋建華湖北大學(xué)計(jì)算機(jī)與信息工程學(xué)院提 綱 一 信息安全管理體系 二 信息安全標(biāo)準(zhǔn)化分類(lèi)及體系 三 信息安全管理國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn) 四 信息安全管理案例分析2022/8/62一、信息安全管理體系2022/8/63信息面臨安全威脅2022/8/64信息資產(chǎn)拒絕服務(wù)邏輯炸彈黑客滲透內(nèi)部人員威脅木馬后門(mén)病毒和蠕蟲(chóng)社會(huì)工程系統(tǒng)Bug硬件故障網(wǎng)絡(luò)通信故障供電中斷失火雷雨地震信息安全2022/8/65信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名保障信息安全的三大支柱2022/8/66信息安全保障是一個(gè)復(fù)雜的系統(tǒng)工程，需要多管齊下，綜合治理。三大

2、支柱：信息安全技術(shù)信息安全法律法規(guī)信息安全標(biāo)準(zhǔn)2022/8/67安全管理技術(shù)安全集成技術(shù)防病毒技術(shù)防火墻技術(shù)VPN技術(shù)入侵檢測(cè)技術(shù)安全評(píng)估技術(shù)審計(jì)分析技術(shù)主機(jī)安全技術(shù)身份認(rèn)證技術(shù)訪問(wèn)控制技術(shù)密碼技術(shù)備份與恢復(fù)技術(shù)信息安全的關(guān)鍵技術(shù)信息安全法律法規(guī)從法律層面規(guī)范人們的行為，使信息安全工作有法可依，使相關(guān)違法犯罪得到處罰，促使組織和個(gè)人依法制作、發(fā)布、傳播和使用信息2022/8/68信息安全標(biāo)準(zhǔn)目的是為信息安全產(chǎn)品的制造、安全的信息系統(tǒng)的構(gòu)建、企業(yè)或組織安全策略的制定、安全管理體系的構(gòu)建以及安全工作評(píng)估等提供統(tǒng)一的科學(xué)依據(jù)2022/8/69信息安全管理三分技術(shù)、七分管理木桶原理二八原則2022/8

3、/610安全是個(gè)過(guò)程安全存在于過(guò)程（高層管理者必須明白：信息安全不是一蹴而就的）安全不僅僅是一個(gè)產(chǎn)品，它是一個(gè)匯集了硬件、軟件、網(wǎng)絡(luò)、人以及他們之間相互關(guān)系和接口的系統(tǒng)。安全最主要的問(wèn)題不是安全技術(shù)、安全工具或者是安全產(chǎn)品上的缺乏，而是單位負(fù)責(zé)人、網(wǎng)絡(luò)管理人員和用戶對(duì)安全知識(shí)的忽視。2022/8/611安全層次體系結(jié)構(gòu)2022/8/612防火墻安全網(wǎng)關(guān)VPN網(wǎng)絡(luò)安全層反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析系統(tǒng)安全層用戶/組管理單機(jī)登錄身份認(rèn)證用戶安全層訪問(wèn)控制授權(quán)應(yīng)用安全層加密數(shù)據(jù)安全層存儲(chǔ)備份物理安全層安全產(chǎn)品類(lèi)型2022/8/613 密鑰管理產(chǎn)品高性能加密芯片產(chǎn)品密碼加密產(chǎn)品數(shù)字 簽名產(chǎn)品安全授權(quán)

4、認(rèn)證產(chǎn)品信息保密產(chǎn)品數(shù)字證書(shū)管理系統(tǒng)用戶安全認(rèn)證卡智能IC卡鑒別與授權(quán)服務(wù)器安全平臺(tái)/系統(tǒng)安全操作系統(tǒng)安全數(shù)據(jù)庫(kù)系統(tǒng)Web安全平臺(tái)安全路由器與虛擬專(zhuān)用網(wǎng)絡(luò)產(chǎn)品網(wǎng)絡(luò)病毒檢查預(yù)防和清除產(chǎn)品安全檢測(cè)與監(jiān)控產(chǎn)品網(wǎng)絡(luò)安全隱患掃描檢測(cè)工具網(wǎng)絡(luò)安全監(jiān)控及預(yù)警設(shè)備網(wǎng)絡(luò)信息遠(yuǎn)程監(jiān)控系統(tǒng)網(wǎng)絡(luò)輿情分析系統(tǒng)信息安全管理體系ISMS信息安全管理體系是保障組織信息安全的一套管理體系，專(zhuān)門(mén)負(fù)責(zé)組織信息資產(chǎn)的風(fēng)險(xiǎn)管理、確保組織的信息安全涉及到人員、技術(shù)和操作三個(gè)層面2022/8/614人員技術(shù)操作 培訓(xùn) 意識(shí)培養(yǎng) 物理安全 人事安全 系統(tǒng)安全管理 縱深防御技術(shù)領(lǐng)域 安全標(biāo)準(zhǔn) IT 采購(gòu) 風(fēng)險(xiǎn)評(píng)估 認(rèn)證和認(rèn)可 評(píng)估 監(jiān)視 入侵

5、檢測(cè) 警告 響應(yīng) 恢復(fù)信息安全管理體系模型2022/8/615形成規(guī)范化文檔Step1:定義信息安全策略Step2:定義ISMS實(shí)施范圍Step3:進(jìn)行風(fēng)險(xiǎn)評(píng)估Step4:風(fēng)險(xiǎn)管理Step5:選擇控制目標(biāo)和控制措施Step6:準(zhǔn)備適用申明信息資源結(jié)論選擇控制策略控制目標(biāo)綱領(lǐng)性的統(tǒng)籌規(guī)劃對(duì)信息安全的總體目標(biāo)、要求和規(guī)范的說(shuō)明。例如：符合法律規(guī)定和合同要求；信息安全崗位及職責(zé)；安全教育的需求；業(yè)務(wù)連續(xù)性管理；病毒和其它惡意軟件的阻止及檢測(cè)；違反安全管理策略的后果。信息安全管理的實(shí)施范圍：資產(chǎn)清單的編寫(xiě)；資產(chǎn)的分類(lèi)；信息的分類(lèi)、標(biāo)記和處理；物理和環(huán)境的安全評(píng)估信息系統(tǒng)中存在的安全隱患：資產(chǎn)價(jià)值量化及

6、評(píng)估資產(chǎn)中的潛在威脅及可能性評(píng)估；資產(chǎn)脆弱性評(píng)估；已有安全措施評(píng)估確定、控制和降低或消除潛在安全風(fēng)險(xiǎn)，需考慮因素：技術(shù)和成本的約束；事務(wù)和操作的需要；IT安全框架和基礎(chǔ)設(shè)施 信息安全風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估應(yīng)考慮的因素：信息資產(chǎn)的脆弱性信息資產(chǎn)的威脅及其發(fā)生的可能性信息資產(chǎn)的價(jià)值已有安全措施2022/8/6162022/8/617信息安全風(fēng)險(xiǎn)評(píng)估流程2022/8/618信息安全風(fēng)險(xiǎn)評(píng)估流程資產(chǎn)的識(shí)別與估價(jià) 為了明確被保護(hù)的信息資產(chǎn)，組織應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單，對(duì)每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u(píng)估。 為了防止資產(chǎn)被忽略或遺漏，在識(shí)別資產(chǎn)之前應(yīng)確定風(fēng)險(xiǎn)評(píng)估范圍。所有在評(píng)估范圍之內(nèi)的資產(chǎn)

7、都應(yīng)該被識(shí)別，因此要列出對(duì)組織或組織的特定部門(mén)的業(yè)務(wù)過(guò)程有價(jià)值的任何事物，以便根據(jù)組織的業(yè)務(wù)流程來(lái)識(shí)別信息資產(chǎn)。2022/8/619 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估（一）2022/8/620故意破壞（網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問(wèn)等）和無(wú)意失誤（如誤操作、維護(hù)錯(cuò)誤）人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識(shí)別產(chǎn)生威脅的原因 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估（二）威脅識(shí)別與評(píng)估2022/8/621系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障（軟件故障、硬件故障、介質(zhì)老化等）電源故障、污染、液體泄漏、火災(zāi)等洪水、地震、臺(tái)風(fēng)、滑坡、雷電等威脅識(shí)別與評(píng)估2022/8/622識(shí)別產(chǎn)生威脅的原因確認(rèn)威脅的目標(biāo)威脅識(shí)別與評(píng)估的主要任

8、務(wù)威脅發(fā)生造成的后果或潛在影響評(píng)估威脅發(fā)生的可能性2022/8/623脆弱性識(shí)別與評(píng)估 僅有威脅還構(gòu)不成風(fēng)險(xiǎn)。由于組織缺乏充分的安全控制，組織需要保護(hù)的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)，即脆弱性。威脅只有利用了特定的脆弱性或者弱點(diǎn)，才可能對(duì)資產(chǎn)造成影響。2022/8/624 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估（三）脆弱性識(shí)別與評(píng)估脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。脆弱性識(shí)別可以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性；也可分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別。202

9、2/8/625脆弱性識(shí)別與評(píng)估2022/8/626系統(tǒng)、程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計(jì)問(wèn)題和編程漏洞等技術(shù)脆弱性12操作脆弱性管理脆弱性3軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習(xí)慣、審計(jì)或備份的缺乏等策略、程序和規(guī)章制度等方面的弱點(diǎn)。脆弱性的分類(lèi)脆弱性識(shí)別與評(píng)估評(píng)估脆弱性需要考慮的因素脆弱性的嚴(yán)重程度（Severity）；脆弱性的暴露程度（Exposure），即被威脅利用的可能性P， 這兩個(gè)因素可采用分級(jí)賦值的方法。 例如對(duì)于脆弱性被威脅利用的可能性可以分級(jí)為：非?？赡? 4，很可能= 3，可能= 2，不太可能= 1，不可能= 0。2022/8/6272022

10、/8/628 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估（四）確認(rèn)現(xiàn)有安全控制 在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點(diǎn)，再就是組織現(xiàn)有的安全控制措施。 在風(fēng)險(xiǎn)評(píng)估過(guò)程中，應(yīng)當(dāng)識(shí)別已有的（或已計(jì)劃的）安全控制措施，分析安全控制措施的效力，有效的安全控制繼續(xù)保持，而對(duì)于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否應(yīng)被取消，或者用更合適的控制代替。2022/8/629確認(rèn)現(xiàn)有安全控制2022/8/630對(duì)系統(tǒng)開(kāi)發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障和系統(tǒng)生命周期管理等管理性安全控制12操作性安全控制技術(shù)性安全控制3用來(lái)保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理，安全意識(shí)培

11、訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等身份識(shí)別與認(rèn)證、訪問(wèn)控制、日志審計(jì)和加密等安全控制方式的分類(lèi)(依據(jù)目標(biāo)和針對(duì)性分類(lèi))2022/8/631 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估（五）風(fēng)險(xiǎn)評(píng)價(jià) 風(fēng)險(xiǎn)評(píng)價(jià)就是利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法或工具確定風(fēng)險(xiǎn)的大小與等級(jí)，對(duì)組織信息安全管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來(lái)的任何影響做出一個(gè)風(fēng)險(xiǎn)測(cè)量的列表，以便識(shí)別與選擇適當(dāng)和正確的安全控制方式。2022/8/632風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)度量常用方法預(yù)定義價(jià)值矩陣法威脅發(fā)生的可能性PT低 0中 1高 2脆弱性被利用的可能性PV低 0中 1高 2低 0中 1高 2低 0中 1高 2資產(chǎn)相對(duì)價(jià)值V0012123234

12、1123234345223434545633454565674456567678332022/8/6 該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產(chǎn)的相對(duì)價(jià)值三者預(yù)定義的三維矩陣來(lái)確定風(fēng)險(xiǎn)的大小。2+1+2=52022/8/634 信息安全風(fēng)險(xiǎn)識(shí)別與評(píng)估（六）安全措施建議 信息安全風(fēng)險(xiǎn)評(píng)估人員通過(guò)以上評(píng)估得到了不同信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)，他們?cè)谶@一步驟中根據(jù)風(fēng)險(xiǎn)等級(jí)和其他評(píng)估結(jié)論，結(jié)合被評(píng)估組織當(dāng)前信息安全防護(hù)措施的狀況，為被評(píng)估組織提供加強(qiáng)信息安全防護(hù)的建議。二、信息安全標(biāo)準(zhǔn)化分類(lèi)及體系2022/8/636標(biāo)準(zhǔn)分類(lèi)國(guó)家標(biāo)準(zhǔn)：對(duì)需要在全國(guó)范圍內(nèi)統(tǒng)一的技術(shù)要求(含標(biāo)準(zhǔn)樣品的制作）。GB/

13、T XXXX.X-200X GB XXXX-200X行業(yè)標(biāo)準(zhǔn)：沒(méi)有國(guó)家標(biāo)準(zhǔn)，需要在全國(guó)某個(gè)行業(yè)范圍內(nèi)統(tǒng)一的技術(shù)要求。GA ,SJ地方標(biāo)準(zhǔn)：沒(méi)有國(guó)家標(biāo)準(zhǔn) 、行業(yè)標(biāo)準(zhǔn)而又需要在省、自治區(qū)、直轄市范圍內(nèi)統(tǒng)一的工業(yè)產(chǎn)品的安全、衛(wèi)生要求。 DBXX/T XXX-200X DBXX/XXX-200X企業(yè)標(biāo)準(zhǔn)：對(duì)企業(yè)范圍內(nèi)需要統(tǒng)一的技術(shù)要求、管理要求和工作要求。QXXX-XXX-200X2022/8/637標(biāo)準(zhǔn)的三要素（對(duì)象、內(nèi)容和級(jí)別）2022/8/638國(guó)際級(jí)區(qū)域級(jí)國(guó)家級(jí)行業(yè)級(jí)地方級(jí)企業(yè)級(jí)人員服務(wù)系統(tǒng)產(chǎn)品過(guò)程管理應(yīng)用技術(shù)機(jī)制體系、框架術(shù)語(yǔ)XYZX軸代表標(biāo)準(zhǔn)化對(duì)象，Y軸代表標(biāo)準(zhǔn)化的內(nèi)容，Z軸代表標(biāo)準(zhǔn)化的級(jí)

14、別。我國(guó)標(biāo)準(zhǔn)工作歸口單位2001年10月11日成立國(guó)家標(biāo)準(zhǔn)化委員會(huì)-信息技術(shù)標(biāo)準(zhǔn)委員會(huì)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（簡(jiǎn)稱(chēng)信息安全標(biāo)委會(huì)，TC260）于2002年4月15日在北京正式成立，是在信息安全技術(shù)專(zhuān)業(yè)領(lǐng)域內(nèi)從事信息安全標(biāo)準(zhǔn)化工作的技術(shù)工作組織。2022/8/639信息安全標(biāo)委會(huì)工作組設(shè)置 信息安全標(biāo)準(zhǔn)體系與協(xié)調(diào)工作組（WG1）涉密信息系統(tǒng)安全保密標(biāo)準(zhǔn)工作組（WG2） 密碼技術(shù)標(biāo)準(zhǔn)工作組（WG3） 鑒別與授權(quán)標(biāo)準(zhǔn)工作組（WG4） 信息安全評(píng)估標(biāo)準(zhǔn)工作組（WG5） 通信安全標(biāo)準(zhǔn)工作組（WG6） 信息安全管理標(biāo)準(zhǔn)工作組（WG7）大數(shù)據(jù)安全特別工作組（ SWG-BDS ） 2022/8/6402

15、022/8/641信息安全標(biāo)準(zhǔn)體系基礎(chǔ)標(biāo)準(zhǔn)技術(shù)與機(jī)制管理標(biāo)準(zhǔn)測(cè)評(píng)標(biāo)準(zhǔn)密碼標(biāo)準(zhǔn)保密標(biāo)準(zhǔn)通信安全標(biāo)準(zhǔn)安全術(shù)語(yǔ)體系結(jié)構(gòu)模型框架標(biāo)識(shí)鑒別授權(quán)電子簽名實(shí)體管理物理安全管理基礎(chǔ)ISMS管理支撐技術(shù)信息安全服務(wù)管理個(gè)人信息保護(hù)測(cè)評(píng)基礎(chǔ)產(chǎn)品測(cè)評(píng)系統(tǒng)測(cè)評(píng)能力評(píng)估通信基礎(chǔ)通信安全技術(shù)通信設(shè)備安全測(cè)評(píng)通信管理與服務(wù)信息安全標(biāo)準(zhǔn)體系信息安全技術(shù)與機(jī)制類(lèi)標(biāo)準(zhǔn)主要包括標(biāo)識(shí)、鑒別、授權(quán)、電子簽名等領(lǐng)域的標(biāo)準(zhǔn)。具體諸如實(shí)體鑒別、抗抵賴、消息鑒別碼、帶附錄的數(shù)字簽名、PKI、電子簽名等。信息安全管理類(lèi)標(biāo)準(zhǔn)主要包括信息安全管理概念和模型、信息安全管理體系（ISMS）、信息安全服務(wù)管理、個(gè)人信息保護(hù)管理以及安全管理支撐等領(lǐng)域的標(biāo)準(zhǔn)

16、。信息安全評(píng)估類(lèi)標(biāo)準(zhǔn)主要包括測(cè)評(píng)基礎(chǔ)、信息安全產(chǎn)品測(cè)評(píng)、信息系統(tǒng)安全測(cè)評(píng)，以及有關(guān)測(cè)評(píng)機(jī)構(gòu)及服務(wù)能力評(píng)估等標(biāo)準(zhǔn)。其他標(biāo)準(zhǔn)。主要包括術(shù)語(yǔ)、可信計(jì)算、保密、密碼、通信安全相關(guān)標(biāo)準(zhǔn)。2022/8/642三、ISO 27001國(guó)際標(biāo)準(zhǔn)及國(guó)標(biāo)GB/T 22080-20162022/8/643國(guó)內(nèi)標(biāo)準(zhǔn)2005年6月15日，我國(guó)發(fā)布了國(guó)家標(biāo)準(zhǔn)信息安全管理實(shí)用規(guī)則(GB/T 19716-2005)。該標(biāo)準(zhǔn)修改采用了ISO/IEC 17799:2000標(biāo)準(zhǔn)。2008年6月19日， GB/T 19716-2005作廢，改為GB/T 22080-2008/ISO/IEC 27001:2005 。2016年8月29日

17、，國(guó)家標(biāo)準(zhǔn)委批準(zhǔn)發(fā)布了ISO 27001:2013版對(duì)應(yīng)的國(guó)家標(biāo)準(zhǔn)GB/T 22080-2016（信息技術(shù)-安全技術(shù)-信息安全管理體系-要求）。2022/8/644 BS7799信息安全管理標(biāo)準(zhǔn)BS7799 是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）針對(duì)信息安全管理而制定的一個(gè)標(biāo)準(zhǔn)。1995 年，BS7799-1:1995信息安全管理實(shí)施細(xì)則首次出版，它提供了一套綜合性的、由信息安全最佳慣例構(gòu)成的實(shí)施細(xì)則，目的是為確定各類(lèi)信息系統(tǒng)通用控制提供唯一的參考基準(zhǔn)。1998 年，BS7799-2:1998信息安全管理體系規(guī)范公布，這是對(duì)BS7799-1 的有效補(bǔ)充

18、，它規(guī)定了信息安全管理體系的要求和對(duì)信息安全控制的要求，是一個(gè)組織信息安全管理體系評(píng)估的基礎(chǔ)，可以作為認(rèn)證的依據(jù)。1999 年4 月，BS7799 的兩個(gè)部分被重新修訂和擴(kuò)展，形成了一個(gè)完整版的BS7799:1999。新版本充分考慮了信息處理技術(shù)應(yīng)用的最新發(fā)展，特別是在網(wǎng)絡(luò)和通信領(lǐng)域。除了涵蓋以前版本所有內(nèi)容之外，新版本還補(bǔ)充了很多新的控制，包括電子商務(wù)、移動(dòng)計(jì)算、遠(yuǎn)程工作等。2022/8/645ISO/IEC 270012002 年，BSI 對(duì)BS7799:2-1999 進(jìn)行了重新修訂，正式引入PDCA 過(guò)程模型，2004 年9 月5 日，BS7799-2:2002 正式發(fā)布。2005年，B

19、S7799-2:2002 終于被ISO 組織所采納，于同年10 月推出了ISO/IEC 27001:2005。2022/8/646注：ISO27001是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類(lèi)似于質(zhì)量管理體系認(rèn)證的 ISO9000標(biāo)準(zhǔn)。當(dāng)您的組織通過(guò)了ISO27001的認(rèn)證，表示您的組織信息安全管理已建立了一套科學(xué)有效的管理體系作為保障。ISMS(信息安全管理系統(tǒng))建設(shè)2022/8/647ISO/IEC 27001主要講的是ISMS(信息安全管理系統(tǒng))。 本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系（Information Security Management System，簡(jiǎn)

20、稱(chēng)ISMS）提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受其需求和目標(biāo)、安全要求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需求實(shí)施ISMS，是本標(biāo)準(zhǔn)所期望的。 本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評(píng)估。ISO27001:2005標(biāo)準(zhǔn)內(nèi)容二、組織安全（Organizing Information Security）一、安全方針（Security Policy）三、資產(chǎn)管理（Asset Management）六、通信與操作管理（ Communications and Operations Management）五

21、、物理及環(huán)境安全（Physical and Environmental Security ）四、人員安全（Human Resource Security）八、信息系統(tǒng)獲得、開(kāi)發(fā)和維護(hù)（Information System Acquisition，Development and Maintenance）九、信息安全事件管理（ Information Security Incident Management）十、業(yè)務(wù)連續(xù)性管理（Business Continuity Management）十一、符合性（Compliance）七、訪問(wèn)控制（Access Control）2022/8/648ISO 2

22、7001:2013標(biāo)準(zhǔn)的結(jié)構(gòu)變化2022/8/649ISO 27001:2005版ISO 27001:2013版ISO 27001:2013控制域的變化2022/8/650ISO 27001:2005標(biāo)準(zhǔn)包括11 個(gè)控制領(lǐng)域和133 項(xiàng)控制措施ISO 27001:2013標(biāo)準(zhǔn)包括14個(gè)控制領(lǐng)域和113 項(xiàng)控制措施實(shí)施ISO 27001信息安全管理體系的方法PDCA模型2022/8/651實(shí)施所選的安全控制措施Action糾正Check檢查Do執(zhí)行Plan計(jì)劃 針對(duì)檢查結(jié)果采取應(yīng)對(duì)措施，改進(jìn)安全狀況 依據(jù)策略、程序、標(biāo)準(zhǔn)和法律法規(guī)，對(duì)安全措施的實(shí)施情況進(jìn)行符合性檢查根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、法律法規(guī)要求

23、、組織業(yè)務(wù)運(yùn)作自身需要來(lái)確定控制目標(biāo)與控制措施戴明環(huán)PDCA（Plan、Do、Check 和Act）是管理學(xué)慣用的一個(gè)過(guò)程模型，最早是由休哈特（WalterShewhart）于19 世紀(jì)30 年代構(gòu)想的，后來(lái)被戴明（Edwards Deming）采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過(guò)程當(dāng)中。PDCA特點(diǎn)2022/8/652 大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán) PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個(gè)工程項(xiàng)目，也適應(yīng)于整個(gè)企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個(gè)人。各級(jí)部門(mén)根據(jù)企業(yè)的方針目標(biāo)，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小

24、環(huán)是大環(huán)的分解和保證。各級(jí)部門(mén)的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過(guò)循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來(lái)，彼此協(xié)同，互相促進(jìn)。PDCA特點(diǎn)(續(xù))2022/8/653 不斷前進(jìn)、不斷提高 PDCA循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個(gè)螺旋式上升的過(guò)程。PDCA質(zhì)量水平螺旋上升的PDCAPDCA和ISMS的結(jié)合2022/8/654ISO27001：2013標(biāo)準(zhǔn)正文內(nèi)容簡(jiǎn)介2022/8/655ISO27001 信息安全管理體系建設(shè)內(nèi)容2022/8/656總要求 一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所

25、面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基于下圖所示的PDCA模型。 建立和管理ISMS建立ISMS(PLAN)定義ISMS 的范圍定義ISMS 策略定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)準(zhǔn)備適用性聲明（SoA）取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMSPDCAISO27001 信息安全管理體系建設(shè)(續(xù))2022/8/657實(shí)施和運(yùn)行ISMS(DO)制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)處理計(jì)劃實(shí)施所選的控制措施以滿足控制目標(biāo)實(shí)施培訓(xùn)和意識(shí)程序管理操作管理資源實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程

26、序和控制PDCAISO27001 信息安全管理體系建設(shè)(續(xù))2022/8/658 監(jiān)控和評(píng)審ISMS(CHECK)執(zhí)行監(jiān)視程序和控制對(duì)ISMS 的效力進(jìn)行定期復(fù)審復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS 審計(jì)定期對(duì)ISMS 進(jìn)行管理復(fù)審記錄活動(dòng)和事件可能對(duì)ISMS 的效力或執(zhí)行力度造成影響PDCAISO27001 信息安全管理體系建設(shè)(續(xù))2022/8/659 保持和改進(jìn)ISMS(ACT)對(duì)ISMS 實(shí)施可識(shí)別的改進(jìn)采取恰當(dāng)?shù)募m正和預(yù)防措施與所有利益伙伴溝通確保改進(jìn)成果滿足其預(yù)期目標(biāo)PDCAISO27001 信息安全管理體系建設(shè)(續(xù))2022/8/660 文件要求總則文件控制

27、記錄控制 ISO27001 標(biāo)準(zhǔn)所要求建立的ISMS 是一個(gè)文件化的體系，ISO27001 認(rèn)證第一階段就是進(jìn)行文件審核，文件是否完整、足夠、有效，都關(guān)乎審核的成敗，所以，在整個(gè)ISO27001認(rèn)證項(xiàng)目實(shí)施過(guò)程中，逐步建立并完善文件體系非常重要。ISO27001 信息安全管理體系建設(shè)(續(xù))2022/8/661ISO27001 標(biāo)準(zhǔn)要求的ISMS 文件體系應(yīng)該是一個(gè)層次化的體系，由四個(gè)層次構(gòu)成：信息安全手冊(cè)：該手冊(cè)由信息安全委員會(huì)負(fù)責(zé)制定和修改，是對(duì)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)ISMS 是按照ISO27001 標(biāo)準(zhǔn)要求建立并運(yùn)行的。信息安全手冊(cè)包含各個(gè)一級(jí)文件。一級(jí)文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等。一級(jí)文件至少包括（可能不限于此）：信息安全方針風(fēng)險(xiǎn)評(píng)估報(bào)告適用性聲明（SoA）二級(jí)文件：各類(lèi)程序文件。至少包括（可能不限于此）：風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)管理流程風(fēng)險(xiǎn)處理計(jì)劃 管理評(píng)審程序信息設(shè)備管理程序信息安全組織建設(shè)規(guī)定新設(shè)施管理程序內(nèi)部審核程序第三方和外包管理規(guī)定信息資產(chǎn)管理規(guī)定工作環(huán)境安全管理規(guī)定介質(zhì)處理與安全規(guī)定系統(tǒng)開(kāi)發(fā)與維護(hù)程序業(yè)務(wù)連續(xù)性管理程序法律符合性管理規(guī)定信息系統(tǒng)安全審計(jì)規(guī)定文件及