版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
信息安全、信息技術(shù)(IT)服務(wù)
管理體系簡介
二零一二年九月八日信息安全、信息技術(shù)(IT)服務(wù)
管理體系簡介
二零一二年九2022/12/122本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹21一、背景介紹3三、體系比較4四、概括總結(jié)2022/12/112本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹2022/12/123本次交流的主要內(nèi)容交流內(nèi)容1一、背景介紹2022/12/113本次交流的主要內(nèi)容交流內(nèi)容1一、背景介2022/12/124背景介紹我們身邊的信息化:●電腦→筆記本→寬帶●露天電影→家庭影院●銀行取款→刷卡購物●電話→手機(jī)→可視電話●手寫情書→依妹兒●電子商務(wù)、電子政務(wù)……“信息”是有意義的數(shù)據(jù)2022/12/114背景介紹我們身邊的信息化:“信息”2022/12/125背景介紹復(fù)雜程度Internet技術(shù)的飛速增長InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時間2022/12/115背景介紹復(fù)雜程度Internet技術(shù)2022/12/126背景介紹信息化出現(xiàn)的新問題:●網(wǎng)上信息可信度差●垃圾電子郵件●信息竊取●網(wǎng)絡(luò)入侵●……人們享受信息化便利的同時遭受信息安全問題的困擾!!在Internet上誰又知道我是只狗呢?^Q^2022/12/116背景介紹信息化出現(xiàn)的新問題:在Inte2022/12/127背景介紹●基于互聯(lián)網(wǎng)的信息安全問題●基于物理環(huán)境的信息安全問題(靜電、灰塵、鼠蟻蟲害…)●基于自然災(zāi)害的信息安全問題●基于人為因素的信息安全問題……2022/12/117背景介紹●基于互聯(lián)網(wǎng)的信息安全問題2022/12/128體系介紹安全涉及的因素:網(wǎng)絡(luò)安全信息安全物理安全文化安全2022/12/118體系介紹安全涉及的因素:網(wǎng)絡(luò)安2022/12/129體系介紹物理安全容災(zāi)集群備份環(huán)境溫度電磁濕度2022/12/119體系介紹物理安全容災(zāi)集群備份環(huán)2022/12/1210體系介紹網(wǎng)絡(luò)安全因特網(wǎng)安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之網(wǎng)絡(luò)對國民經(jīng)濟(jì)的影響在加強(qiáng)因特網(wǎng)2022/12/1110體系介紹網(wǎng)絡(luò)安全因特網(wǎng)安全漏2022/12/1211體系介紹信息安全信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名2022/12/1111體系介紹信息安全信息竊取信息2022/12/1212背景介紹典型案例:★1999年1月,美國黑客組織“美國地下軍團(tuán)”聯(lián)合了波蘭、英國等黑客組織有組織地對我國的政府網(wǎng)站進(jìn)行了攻擊?!镆晾屎穗娬颈弧澳┤照◤棥辈《竟簦瑠A在win32中運(yùn)行,攻擊公控設(shè)備。和U盤使用有關(guān)。2022/12/1112背景介紹典型案例:2022/12/1213背景介紹典型案例:★2005年6月19日,萬事達(dá)公司儲存有大約4千萬信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號的信息資料在互聯(lián)網(wǎng)上公開出售,每條100美元,并被用于金融欺詐活動?!?005年7月12日下午2時35分,承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng),突然同時大面積中斷。經(jīng)緊急搶修,至3時30分左右開始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了20萬北京網(wǎng)民。2022/12/1113背景介紹典型案例:2022/12/1214背景介紹典型案例:★中國電子商務(wù)協(xié)會等機(jī)構(gòu)聯(lián)合發(fā)布《2012年中國網(wǎng)站可信驗(yàn)證行業(yè)發(fā)展報告》顯示,截止2012年6月底,在過去的一年間,在網(wǎng)購用戶中,有31.8%的網(wǎng)民(6169萬人)曾直接遭遇詐騙網(wǎng)站。每年因詐騙網(wǎng)站給網(wǎng)民造成的損失不低于308億元。截止2012年6月底,全國團(tuán)購網(wǎng)站累計(jì)誕生總數(shù)高達(dá)6069家,累計(jì)關(guān)閉2859家,死亡率達(dá)48%。2022/12/1114背景介紹典型案例:2022/12/1215背景介紹汶川地震“艷照門”事件互聯(lián)網(wǎng)、微博信息(虛假、色情、反動言論等)景泰藍(lán)技術(shù)(掐絲琺瑯)的泄露高考志愿篡改、作弊個人信息、網(wǎng)銀信息泄露……其他典型案例:2022/12/1115背景介紹汶川地震其他典型案例:2022/12/1216背景介紹信息安全的根源:內(nèi)因:網(wǎng)絡(luò)和系統(tǒng)的自身缺陷與脆弱性。外因:國家、政治、商業(yè)和個人利益沖突。2022/12/1116背景介紹信息安全的根源:2022/12/1217背景介紹常用攻擊技術(shù)見下圖:利用弱口令入侵利用系統(tǒng)漏洞入侵利用網(wǎng)絡(luò)監(jiān)聽入侵利用網(wǎng)絡(luò)欺騙入侵拒絕訪問服務(wù)攻擊利用網(wǎng)絡(luò)病毒攻擊其它網(wǎng)絡(luò)入侵方式典型網(wǎng)絡(luò)入侵技術(shù)2022/12/1117背景介紹常用攻擊技術(shù)見下圖:利用弱口2022/12/1218背景介紹信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲特洛伊木馬網(wǎng)絡(luò)2022/12/1118背景介紹信息丟失、篡改、銷毀內(nèi)部、外2022/12/1219背景介紹產(chǎn)生的背景:
以上案例僅僅是冰山一角。從這些案例可以看出,信息資產(chǎn)一旦遭到破壞,將給組織或個人帶來直接的經(jīng)濟(jì)損失,損害聲譽(yù)和公眾形象,喪失市場機(jī)會和競爭力,更為甚者,會威脅到組織的生存甚至國家安全。信息安全問題出現(xiàn)的初期,人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題。但人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠,即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品,如防病毒、防火墻、入侵檢測、隱患掃描等,仍然無法避免一些信息安全事件的發(fā)生。2022/12/1119背景介紹產(chǎn)生的背景:2022/12/1220背景介紹三分技術(shù)七分管理2022/12/1120背景介紹三分技術(shù)七分管理2022/12/1221背景介紹體系的誕生:
人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月,國際標(biāo)準(zhǔn)化組織發(fā)布一個信息安全管理的標(biāo)準(zhǔn)-ISO/IEC17799:2000“信息安全管理實(shí)用規(guī)則,2005年6月,對該標(biāo)準(zhǔn)進(jìn)行了修訂,頒布了ISO/IEC17799:2005(現(xiàn)已更名為ISO/IEC27002:2005),10月,又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求”。之后又發(fā)布了IS0/IEC20000一1:2005“信息技術(shù)服務(wù)管理第1部分:規(guī)范”和IS0/IEC20000一2:2005“信息技術(shù)服務(wù)管理第2部分:實(shí)踐規(guī)則”2022/12/1121背景介紹體系的誕生:2022/12/1222背景介紹體系的產(chǎn)生:
信息安全管理體系(InformationSecurityManagementSystem,簡稱為ISMS)是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念,是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用。IT服務(wù)管理體系(Informationtechnology—ServiceManagementSystem,簡稱為ITSMS),從2002年開始提出此理念。2022/12/1122背景介紹體系的產(chǎn)生:2022/12/1223背景介紹體系的重要性:如今,我們已經(jīng)身處信息和網(wǎng)絡(luò)時代,“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具,“信息”成為主要的生產(chǎn)資料和產(chǎn)品,組織的業(yè)務(wù)越來越依賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息,它們共同成為組織賴以生存的重要信息資產(chǎn)??墒?,計(jì)算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時,也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為,人們已不再陌生,隨時在我們身邊發(fā)生。2022/12/1123背景介紹體系的重要性:2022/12/1224背景介紹體系的重要性:
ISMS迅速被全球接受和認(rèn)可,成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。目前,在信息安全管理體系方面,ISMS標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ITSMS標(biāo)準(zhǔn)成為信息技術(shù)服務(wù)管理的典型規(guī)范和實(shí)踐規(guī)則。這兩體系認(rèn)證成為組織向社會及其相關(guān)方證明其信息安全水平和服務(wù)能力的一種有效途徑。建立體系是組織的一項(xiàng)戰(zhàn)略性決策,保障信息安全和信息技術(shù)服務(wù)是一種系統(tǒng)性的工作。2022/12/1124背景介紹體系的重要性:2022/12/1225背景介紹體系的重要性:
另外,在實(shí)際運(yùn)行中,體系認(rèn)證已經(jīng)成為招投標(biāo)項(xiàng)目中的重要組成部分。傳統(tǒng)三個體系一般各占一分,ISMS在招投標(biāo)中也越來越受到重視,除了金融、銀行、IT相關(guān)行業(yè)是必然加分項(xiàng)之外,其他行業(yè)也逐漸成為加分項(xiàng),例如印刷行業(yè)(母嬰三證招投標(biāo)中,除了國家秘密載體復(fù)制證之外,ISMS認(rèn)證單獨(dú)占一分)。ISMS認(rèn)證和ITSMS認(rèn)證會在今后招投標(biāo)項(xiàng)目中更多的引用。2022/12/1125背景介紹體系的重要性:2022/12/1226背景介紹體系的現(xiàn)狀:
我們國家非常重視信息安全。2002年4月,我國成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)”。2006年3月,認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)。CNCA于2009年發(fā)布第47號公告《關(guān)于正式開展信息安全管理體系認(rèn)證工作的公告》。到目前為止,經(jīng)CNAS批準(zhǔn)的ISMS認(rèn)證機(jī)構(gòu)有5家,經(jīng)CNCA批準(zhǔn)的ISMS認(rèn)證機(jī)構(gòu)有14家。2022/12/1126背景介紹體系的現(xiàn)狀:2022/12/1227背景介紹體系的現(xiàn)狀:
2010年8月12日,由工業(yè)和信息化部、國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國人民銀行、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會、國家保密局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會等6部委聯(lián)合下發(fā)了《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》的394號文件。目前,ITSMS還沒有單獨(dú)成為體系進(jìn)行認(rèn)證,一般和ISMS結(jié)合進(jìn)行,2012年8月CNCA已經(jīng)正式啟動ITSMS認(rèn)證機(jī)構(gòu)申請材料上報工作。2022/12/1127背景介紹體系的現(xiàn)狀:2022/12/1228背景介紹體系的現(xiàn)狀:截止2009年9月,全球有5941個組織獲得了ISMS認(rèn)證;截止到2009年4月,我國獲得信息安全管理體系認(rèn)證證書的機(jī)構(gòu)約有200家。獲得認(rèn)證組織的數(shù)量正在呈快速增長趨勢。我們埃爾維已經(jīng)正式提交申請ISMS認(rèn)證資格的申報材料,不久就能獲得CNCA的批準(zhǔn),隨后我們將繼續(xù)申請ITSMS的認(rèn)證資格,讓我們共同期待。2022/12/1128背景介紹體系的現(xiàn)狀:2022/12/1229背景介紹體系的不足:
ISMS和ITSMS標(biāo)準(zhǔn)是2005年正式發(fā)布的,7年來信息技術(shù)有了飛速的發(fā)展和變化,有些條款和措施已經(jīng)不完全符合現(xiàn)實(shí)情況,不能完全滿足現(xiàn)在的要求。ISO組織正對ISMS進(jìn)行修訂之中,預(yù)計(jì)明后年就會發(fā)布新版的標(biāo)準(zhǔn),ITSMS也會隨之更新。2022/12/1129背景介紹體系的不足:2022/12/1230本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹22022/12/1130本次交流的主要內(nèi)容交流內(nèi)容二、體系介什么是ISMS?什么是ISMS?2022/12/1232體系介紹信息安全管理體系(ISMS):基于業(yè)務(wù)風(fēng)險方法,建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全的體系,是一個組織整個管理體系的一部分,注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實(shí)踐、規(guī)程、過程和資源。信息安全是指:保護(hù)信息的保密性(C)、完整性(I)、可用性(A);另外也可包括如:真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。2022/12/1132體系介紹信息安全管理體系(I信息資產(chǎn)的安全屬性:保密性:信息不能被未授權(quán)的個人、實(shí)體或者過程利用或知悉的特性。完整性:保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性。可用性:根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性。真實(shí)性:保證主體或資源確系其所聲稱的身份的特性??珊瞬樾裕捍_保實(shí)體行為能被有效跟蹤的特性??煽啃裕号c預(yù)想的行為和結(jié)果相一致的特性。是信息資產(chǎn)最重要的三個屬性,國際上稱之為信息的CIA屬性或者信息安全金三角。保密性完整性可用性安全信息資產(chǎn)的安全屬性:是信息資產(chǎn)最重要的三個屬性,國際上稱之為2022/12/1234體系標(biāo)準(zhǔn)介紹
ISO/IEC27000族系列標(biāo)準(zhǔn)1.ISO/IEC27000:2009《信息安全管理體系原理和術(shù)語》2.ISO/IEC27001:2005《信息安全管理體系要求》=GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》3.ISO/IEC27002:2005《信息安全管理實(shí)踐規(guī)則》
4.ISO/IEC27003:2008《信息安全管理體系實(shí)施指南》5.ISO/IEC27004:2008《信息安全管理測量與指標(biāo)》
2022/12/1134體系標(biāo)準(zhǔn)介紹ISO/IEC272022/12/1235體系標(biāo)準(zhǔn)介紹
ISO/IEC27000族系列標(biāo)準(zhǔn)6.ISO/IEC27005:2011《信息安全風(fēng)險管理》7.ISO/IEC27006:2007《信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求》=CNAS-CC17:20128.ISO/IEC27007:2011《信息安全管理體系審核指南》9.ISO/IEC27008:2011《ISMS控制措施審核員指南》10.ISO/IEC27010:2012《部門間和組織間通信的信息安全管理》11.ISO/IEC27011:2009《電信業(yè)信息安全管理指南》2022/12/1135體系標(biāo)準(zhǔn)介紹ISO/IEC272022/12/1236體系標(biāo)準(zhǔn)介紹前言引言1、范圍2、規(guī)范性引用文件3、術(shù)語和定義4、信息安全管理體系(ISMS)5、管理職責(zé)6、ISMS內(nèi)部審核7、ISMS的管理評審8、ISMS改進(jìn)附錄A(規(guī)范性附錄)控制目標(biāo)和控制措施附錄B(資料性附錄)OECD原則和本標(biāo)準(zhǔn)附錄C(資料性附錄)GB/T19001-2000,GB/T24001-2004和本標(biāo)準(zhǔn)之間的對照參考文獻(xiàn)組織聲稱符合本標(biāo)準(zhǔn)時,對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。2022/12/1136體系標(biāo)準(zhǔn)介紹前言組織聲稱符合本標(biāo)準(zhǔn)時2022/12/1237體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)刪減要求:此標(biāo)準(zhǔn)特別強(qiáng)調(diào):對于第4章信息安全管理體系(ISMS)、第5章管理職責(zé)、第6章ISMS內(nèi)部審核、第7章ISMS的管理評審和第8章ISMS改進(jìn)的要求不能刪減。只有針對附錄A的控制措施可以進(jìn)行必要的刪減,但必須證明是合理的,且需要提供證據(jù)。2022/12/1137體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)刪減要求2022/12/1238體系標(biāo)準(zhǔn)介紹相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評審ISMS規(guī)劃Plan實(shí)施Do處置Act此標(biāo)準(zhǔn)采用PDCA模型:2022/12/1138體系標(biāo)準(zhǔn)介紹相關(guān)方受控的信息安全信息2022/12/1239體系標(biāo)準(zhǔn)介紹GB/T22080-2008的主體:4-8章4信息安全管理體系(ISMS)4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實(shí)施和運(yùn)行ISMS4.2.3監(jiān)視和評審ISMS4.2.4保持和改進(jìn)ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制PDCA循環(huán)2022/12/1139體系標(biāo)準(zhǔn)介紹GB/T22080-22022/12/1240體系標(biāo)準(zhǔn)介紹GB/T22080-2008的主體:4-8章5管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識和能力6ISMS內(nèi)部審核7ISMS的管理評審7.1總則7.2評審輸入7.3評審輸出8ISMS改進(jìn)8.1持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施2022/12/1140體系標(biāo)準(zhǔn)介紹GB/T22080-22022/12/1241體系標(biāo)準(zhǔn)介紹ISMS的適用范圍:適用于各種類型、規(guī)模和特性的組織(例如:商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織等),規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求(絕不只針對IT行業(yè)和組織的IT部門)。如:金融、銀行……印刷該標(biāo)準(zhǔn)僅僅指出應(yīng)該使用體系化的方法進(jìn)行風(fēng)險評估(風(fēng)險評估的方法、法律要求、降低風(fēng)險到可接受級別的策略和目標(biāo))。該標(biāo)準(zhǔn)并沒有規(guī)定一個特定的方法論。2022/12/1141體系標(biāo)準(zhǔn)介紹ISMS的適2022/12/1242體系標(biāo)準(zhǔn)介紹ISMS的適用范圍:按照394號文件要求:為加強(qiáng)信息安全管理體系認(rèn)證的安全管理,減少信息安全風(fēng)險,各級政府機(jī)關(guān)和政府信息系統(tǒng)運(yùn)行單位,不得利用社會第三方認(rèn)證機(jī)構(gòu)開展ISMS認(rèn)證。為確保國家秘密安全,涉密信息系統(tǒng)建設(shè)使用單位不得申請ISMS認(rèn)證。應(yīng)選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)從事ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證,并簽訂安全和保密協(xié)議,履行不泄露、不擴(kuò)散、不轉(zhuǎn)讓認(rèn)證信息的義務(wù),保證重要敏感信息不出境。2022/12/1142體系標(biāo)準(zhǔn)介紹ISMS的適2022/12/1243體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)的特點(diǎn):ISO/IEC27001標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS提供模型。采用ISMS應(yīng)當(dāng)是一個組織的一項(xiàng)戰(zhàn)略性決策。一個組織的ISMS的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)、安全需求、經(jīng)營狀況、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響,上述因素及其支持過程會不斷發(fā)生變化。按照組織的實(shí)際需要實(shí)施ISMS是該標(biāo)準(zhǔn)所期望的,例如簡單的情況可采用簡單的ISMS解決方案。——(最佳合理可行)2022/12/1143體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)2022/12/1244體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)的特點(diǎn):ISO27001標(biāo)準(zhǔn)可以作為評估組織滿足顧客、組織本身及法律法規(guī)的信息安全要求的能力的依據(jù),無論是組織自我評估還是評估供方能力,都可以采用,也可以用作獨(dú)立第三方認(rèn)證的依據(jù)。標(biāo)準(zhǔn)的特點(diǎn)為:*注重體系的完整性,是一套科學(xué)的ISMS
*強(qiáng)調(diào)對法律法規(guī)的符合性*以風(fēng)險評估為基礎(chǔ),采用PDCA的過程方法*適用于各種類型、不同規(guī)模和業(yè)務(wù)性質(zhì)的組織*與其他管理體系兼容(例如ISO9000標(biāo)準(zhǔn)等)2022/12/1144體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)2022/12/1245體系標(biāo)準(zhǔn)介紹附錄A內(nèi)容簡介:附錄A——《控制目標(biāo)和控制措施》包括11大控制領(lǐng)域(見圖1)、39個控制目標(biāo)和133項(xiàng)控制措施,為組織提供全方位的信息安全保障。附錄A是規(guī)范性附錄,和標(biāo)準(zhǔn)等同使用,可以作為認(rèn)證時判標(biāo)的依據(jù)。附錄A中所列的控制目標(biāo)和控制措施是直接源自并與GB/T22081-2008(ISO/IEC27002:2005)第5章到第15章一致。附錄A中的清單并不詳盡,一個組織可能考慮另外必要的控制目標(biāo)和控制措施。在附錄A中選擇控制目標(biāo)和控制措施是條款4.2.1規(guī)定的ISMS過程的一部分。2022/12/1145體系標(biāo)準(zhǔn)介紹附錄A內(nèi)容簡介:2022/12/1246體系標(biāo)準(zhǔn)介紹2022/12/1146體系標(biāo)準(zhǔn)介紹2022/12/1247體系標(biāo)準(zhǔn)介紹附錄A小結(jié):包括11個域,匯集了39個控制目標(biāo)、133個控制措施;目的是保護(hù)信息免受各種威脅的損害,以確保業(yè)務(wù)連續(xù)性、業(yè)務(wù)風(fēng)險最小化、投資回報和商業(yè)機(jī)遇最大化;是實(shí)施GB/T22080-2008的支持標(biāo)準(zhǔn),給出了組織建立信息安全管理體系(ISMS)時可選擇實(shí)施的控制目標(biāo)和控制措施集;是一個信息安全最佳實(shí)踐的匯總;值得注意的是,標(biāo)準(zhǔn)中推薦的這133個控制措施,并非信息安全控制措施的全部。組織可以根據(jù)自己的情況選擇使用標(biāo)準(zhǔn)以外的控制措施來實(shí)現(xiàn)組織的信息安全目標(biāo)。
2022/12/1147體系標(biāo)準(zhǔn)介紹附錄A小結(jié)2022/12/1248體系標(biāo)準(zhǔn)介紹信息安全基本觀點(diǎn):絕對的安全不存在
任何安全機(jī)制的作用,都是為了在既定的安全目標(biāo)和允許的投資規(guī)模下,有效地抑制和避免系統(tǒng)當(dāng)前所面臨的安全風(fēng)險,而不是一勞永逸地解決所有的問題。依據(jù)業(yè)務(wù)需求和運(yùn)營需求,保密性(C),完整性(I),可用性(A)三者追求一種平衡,不能把其一搞成極致。否則,會導(dǎo)致無法運(yùn)行。2022/12/1148體系標(biāo)準(zhǔn)介紹信息安全基本觀點(diǎn)2022/12/1249體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容:體系的核心理念是通過“風(fēng)險評估”、“風(fēng)險管理”切入企業(yè)的信息安全需求,經(jīng)由完整的控制措施選擇及落實(shí),有效降低企業(yè)面臨的風(fēng)險。風(fēng)險評估是識別風(fēng)險(資產(chǎn)、威脅、脆弱性、影響)的過程,該過程包括分析威脅,確定影響范圍,發(fā)現(xiàn)信息、信息系統(tǒng)和過程機(jī)制中的脆弱性,并判斷發(fā)生的可能性。風(fēng)險評估有不同方法,在ISO/IECTR13335-3中描述了風(fēng)險評估方法的例子。2022/12/1149體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容2022/12/1250體系標(biāo)準(zhǔn)介紹風(fēng)險管理關(guān)系圖:風(fēng)險分析風(fēng)險評估風(fēng)險管理風(fēng)險評價
風(fēng)險處置
2022/12/1150體系標(biāo)準(zhǔn)介紹風(fēng)險管理關(guān)系圖:2022/12/1251體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語:風(fēng)險管理:指導(dǎo)和控制一個組織相關(guān)風(fēng)險的協(xié)調(diào)活動。風(fēng)險評估:風(fēng)險分析和風(fēng)險評價的整個過程。(有多種風(fēng)險評估方法和工具可以選擇)風(fēng)險分析:系統(tǒng)地使用信息來識別風(fēng)險來源和估計(jì)風(fēng)險。(可以是定性、定量或二者結(jié)合)風(fēng)險評價:將估計(jì)的風(fēng)險與給定的風(fēng)險準(zhǔn)則加以比較以確定風(fēng)險嚴(yán)重性的過程。(賦值)R(風(fēng)險值)=L(可能性)×S(后果嚴(yán)重性)2022/12/1151體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語2022/12/1252體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語:風(fēng)險處置:選擇并且執(zhí)行措施來更改風(fēng)險的過程。風(fēng)險處置方法有:接受風(fēng)險、轉(zhuǎn)移風(fēng)險、規(guī)避風(fēng)險和降低風(fēng)險。威脅:可能導(dǎo)致對系統(tǒng)或組織的損害的任何不期望事件的潛在原因。脆弱性:資產(chǎn)可被威脅利用的弱點(diǎn)。(如技術(shù)脆弱性中的系統(tǒng)軟件XP→VISTA→WIN7打補(bǔ)丁)風(fēng)險水平:風(fēng)險等級,可用后果和可能性的組合來表示。R(風(fēng)險值)=L(可能性)×S(后果嚴(yán)重性)2022/12/1152體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語2022/12/1253體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語:適用性聲明(SOA):描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文件。注:控制目標(biāo)和控制措施是基于風(fēng)險評估和風(fēng)險處置過程的結(jié)果和結(jié)論、法律法規(guī)要求、合同義務(wù)以及組織對信息安全的業(yè)務(wù)要求。1、適用于組織需要的目標(biāo)和控制的評述。2、適用性聲明是一個包含組織所選擇的控制目標(biāo)和控制方式的文件,相當(dāng)于一個控制目標(biāo)與方式清單:其中應(yīng)闡述選擇與不選擇的理由。2022/12/1153體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)重點(diǎn)術(shù)語2022/12/1254體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容:ISMS范圍的復(fù)雜性:應(yīng)依據(jù)組織的:雇員+簽約人員的數(shù)量、用戶數(shù)量、場所數(shù)量、服務(wù)器數(shù)量、工作站+PC+便攜式計(jì)算機(jī)的數(shù)量、應(yīng)用開發(fā)與維護(hù)人員的數(shù)量、網(wǎng)絡(luò)與密碼技術(shù)、法律符合性的重要性、行業(yè)特定風(fēng)險的適用性等因素去確定。ISMS范圍的復(fù)雜性的整體有效類別可以是所識別的全部復(fù)雜性因素的類別中最高的那個,結(jié)果即為:“高”、“中”或“低”。2022/12/1154體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容2022/12/1255體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容:不同組織的風(fēng)險準(zhǔn)則、風(fēng)險分析的方法和風(fēng)險評價的結(jié)果會有所不同,對于資產(chǎn)賦值、威脅賦值、脆弱性賦值也會有所不同。同樣一個風(fēng)險在不同組織可能評價的風(fēng)險程度會有所不同。由于風(fēng)險的不確定性,不要期望完全消除風(fēng)險。2022/12/1155體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)重點(diǎn)內(nèi)容2022/12/1256體系標(biāo)準(zhǔn)介紹2022/12/1156體系標(biāo)準(zhǔn)介紹什么是ITSMS?什么是ITSMS?2022/12/1258體系介紹信息技術(shù)服務(wù)管理體系(ITSMS):
IT服務(wù)管理是一套以流程為導(dǎo)向、以客戶為中心的方法,通過整合IT服務(wù)與組織業(yè)務(wù),提高企業(yè)提供IT服務(wù)和對IT服務(wù)進(jìn)行支持的能力的水準(zhǔn)。信息技術(shù)服務(wù)管理(ITSM)是一套幫助企業(yè)對IT系統(tǒng)的規(guī)劃、研發(fā)、實(shí)施和運(yùn)營進(jìn)行有效管理的方法,是一套方法論。這套標(biāo)準(zhǔn)已經(jīng)被歐洲、美洲和澳洲的很多企業(yè)采用,目前在歐洲40-60%的IT經(jīng)理都知道ITSM,在美國有20-30%的IT經(jīng)理了解ITSM,而在國內(nèi)了解ITSM的人還很少。2022/12/1158體系介紹信息技術(shù)服務(wù)管理體系2022/12/1259體系介紹信息技術(shù)服務(wù)管理體系(ITSMS):ITSM起源于ITIL(IT基礎(chǔ)架構(gòu)標(biāo)準(zhǔn)庫),ITIL是CCTA(英國國家電腦局)于1980年開發(fā)的一套IT服務(wù)管理標(biāo)準(zhǔn)庫。它把英國在IT管理方面的方法歸納起來,變成規(guī)范,為企業(yè)的IT部門提供一套從計(jì)劃、研發(fā)、實(shí)施到運(yùn)維的標(biāo)準(zhǔn)方法。信息技術(shù)服務(wù)管理體系(ITSMS)是能夠提供ITSM的體系,是整個管理體系的一部分。2022/12/1159體系介紹信息技術(shù)服務(wù)管理體系2022/12/1260體系標(biāo)準(zhǔn)介紹
ISO/IEC20000系列標(biāo)準(zhǔn)1.IS0/IEC20000一1:2005=GB/T24405.1—2009《信息技術(shù)服務(wù)管理第1部分:規(guī)范》——認(rèn)證的依據(jù)2.IS0/IEC20000一2:2005=GB/T24405.2—2010《信息技術(shù)服務(wù)管理第2部分:實(shí)踐規(guī)則》——主要涉及IT服務(wù)管理過程的最佳實(shí)踐指南,旨在為審核員提供指南,也為服務(wù)提供方策劃服務(wù)改進(jìn)或依據(jù)GB/T24405-1進(jìn)行審核提供幫助2022/12/1160體系標(biāo)準(zhǔn)介紹ISO/IEC202022/12/1261體系標(biāo)準(zhǔn)介紹
ITSMS-1部分標(biāo)準(zhǔn)內(nèi)容簡介:ISO/IEC20000系列標(biāo)準(zhǔn)是基于全球公認(rèn)的ITIL最佳實(shí)踐,于2005年12月15日由ISO/IEC對外正式頒布與執(zhí)行的IT服務(wù)管理國際標(biāo)準(zhǔn)。它是全球第一部最具國際影響力的IT服務(wù)管理體系標(biāo)準(zhǔn)規(guī)范。秉承“以客戶為導(dǎo)向,以流程為中心”的先進(jìn)理念,強(qiáng)調(diào)按照PDCA的方法論持續(xù)改進(jìn)組織所提供的IT服務(wù),通過采用系統(tǒng)的流程方法,有效的向客戶提供滿足業(yè)務(wù)與客戶需求的高質(zhì)量服務(wù),從而最終保證以最低的成本提供質(zhì)量穩(wěn)定的IT服務(wù),保證業(yè)務(wù)持續(xù)運(yùn)作的能力。2022/12/1161體系標(biāo)準(zhǔn)介紹ITSMS-1部分標(biāo)2022/12/1262體系標(biāo)準(zhǔn)介紹
ITSMS-1部分標(biāo)準(zhǔn)內(nèi)容簡介:幾個重要術(shù)語:1、基線:在某個時間點(diǎn)上服務(wù)或各個配置項(xiàng)的狀態(tài)。2、配置項(xiàng):處于或?qū)⑻幱谂渲霉芾碇碌幕A(chǔ)設(shè)施部件或項(xiàng)。注:配置項(xiàng)在復(fù)雜性、規(guī)模和類型方面變化可能很大,配置項(xiàng)可以是整個系統(tǒng),包括所有的硬件、軟件和文檔,也可以是單個模塊或很小的硬件部件。3、發(fā)布:經(jīng)測試且被引入實(shí)際運(yùn)行環(huán)境的新配置項(xiàng)和(或)變更的配置項(xiàng)的集合。2022/12/1162體系標(biāo)準(zhǔn)介紹ITSMS-1部分標(biāo)2022/12/1263體系標(biāo)準(zhǔn)介紹
ITSMS-1部分標(biāo)準(zhǔn)內(nèi)容簡介:幾個重要術(shù)語:4、服務(wù)臺:面向顧客的、完成大部分支持工作的支持組。5、服務(wù)級別協(xié)議(SLA):服務(wù)提供方與顧客之間簽署的、描述服務(wù)和約定服務(wù)級別的協(xié)議。6、可用性:在規(guī)定時刻或規(guī)定時間段內(nèi),部件或服務(wù)執(zhí)行要求功能的能力。注:可用性通常用機(jī)構(gòu)使用的實(shí)際可用服務(wù)時間與約定服務(wù)時間的比率來表示。2022/12/1163體系標(biāo)準(zhǔn)介紹ITSMS-1部分標(biāo)2022/12/1264體系標(biāo)準(zhǔn)介紹ITSMS-1標(biāo)準(zhǔn)主要內(nèi)容簡介:1范圍2術(shù)語和定義3管理體系要求3.1管理職責(zé)3.2文件要求3.3能力、意識和培訓(xùn)4策劃和實(shí)施服務(wù)管理4.1策劃服務(wù)管理(策劃)4.2實(shí)施服務(wù)管理和提供服務(wù)(實(shí)施)4.3監(jiān)視、測量和評審(檢查)4.4持續(xù)改進(jìn)(處置)2022/12/1164體系標(biāo)準(zhǔn)介紹ITSMS-1標(biāo)準(zhǔn)主要2022/12/1265體系標(biāo)準(zhǔn)介紹此標(biāo)準(zhǔn)采用PDCA模型:2022/12/1165體系標(biāo)準(zhǔn)介紹此標(biāo)準(zhǔn)采用PDCA模型:2022/12/1266體系標(biāo)準(zhǔn)介紹
ITSMS-1標(biāo)準(zhǔn)主要內(nèi)容簡介:5策劃和實(shí)施新服務(wù)或變更的服務(wù)6服務(wù)交付過程6.1服務(wù)級別管理6.2服務(wù)報告6.3服務(wù)連續(xù)性和可用性管理6.4IT服務(wù)的預(yù)算與核算6.5能力管理6.6信息安全管理7關(guān)系過程7.1概述7.2業(yè)務(wù)關(guān)系管理7.3供方管理2022/12/1166體系標(biāo)準(zhǔn)介紹ITSMS-1標(biāo)準(zhǔn)主要2022/12/1267體系標(biāo)準(zhǔn)介紹
ITSMS-1標(biāo)準(zhǔn)主要內(nèi)容簡介:8解決過程8.1背景8.2事件管理8.3問題管理9控制過程9.1配置管理9.2變更管理10發(fā)布過程10.1發(fā)布管理2022/12/1167體系標(biāo)準(zhǔn)介紹ITSMS-1標(biāo)準(zhǔn)主要2022/12/1268體系標(biāo)準(zhǔn)介紹2022/12/1168體系標(biāo)準(zhǔn)介紹2022/12/1269體系標(biāo)準(zhǔn)介紹
ITSMS-2部分標(biāo)準(zhǔn)內(nèi)容簡介:作為實(shí)踐規(guī)則此部分采用指南和建議的形式針對第一部分(規(guī)范)的10項(xiàng)主要內(nèi)容提出了具體要求。描述了在ISO/IEC20000的第1部分中的服務(wù)管理的最佳實(shí)踐,對如何實(shí)現(xiàn)第1部分提供了建議和指導(dǎo)??捎糜诖笠?guī)模也可用于小規(guī)模的服務(wù)提供方。此部分不宜作為規(guī)范引用。2022/12/1169體系標(biāo)準(zhǔn)介紹ITSMS-2部分標(biāo)2022/12/1270體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)準(zhǔn)的適用范圍:*將以其服務(wù)進(jìn)行投標(biāo)的機(jī)構(gòu);*要求供應(yīng)鏈中的所有服務(wù)提供方采用一致的方法的機(jī)構(gòu);*要確定IT服務(wù)管理基準(zhǔn)的服務(wù)提供方;*獨(dú)立評估的基礎(chǔ);*需要證明其可提供滿足顧客要求的服務(wù)的能力的組織;*意欲通過過程的有效應(yīng)用來監(jiān)視和提高服務(wù)質(zhì)量,從而改善服務(wù)的組織。2022/12/1170體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)2022/12/1271體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)準(zhǔn)的特點(diǎn):*
標(biāo)準(zhǔn)為服務(wù)提供方定義了向其顧客交付可接受質(zhì)量的管理服務(wù)的要求,規(guī)定了一些緊密相關(guān)的服務(wù)管理過程,這些過程之間的關(guān)系取決于組織內(nèi)的應(yīng)用。*
作為基于過程的標(biāo)準(zhǔn),ISO/IEC20000-1的目的并非用于產(chǎn)品評估。但是開發(fā)服務(wù)管理工具、產(chǎn)品和系統(tǒng)的組織可以使用本標(biāo)準(zhǔn)及其實(shí)踐規(guī)則來幫助他們開發(fā)支持最佳實(shí)踐服務(wù)管理的工具、產(chǎn)品和系統(tǒng)。2022/12/1171體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)2022/12/1272體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)準(zhǔn)的特點(diǎn):*
標(biāo)準(zhǔn)與《信息技術(shù)---服務(wù)管理---第2部分:實(shí)踐規(guī)則》一起覆蓋了ITIL中的全部最佳實(shí)踐集,便于已實(shí)施ITIL的企業(yè)轉(zhuǎn)化應(yīng)用,易于對實(shí)施ITIL有經(jīng)驗(yàn)的人士理解和接受;*
與MOF(微軟運(yùn)作構(gòu)架)、COBIT(信息和相關(guān)技術(shù)的控制目標(biāo))等IT服務(wù)管理模型有共同的技術(shù)及管理方法基礎(chǔ);*
與ISO9000、CMMI(軟件能力成熟度模型)、ISO/IEC27001等具有良好的兼容性。2022/12/1172體系標(biāo)準(zhǔn)介紹ITSMS標(biāo)2022/12/1273本次交流的主要內(nèi)容交流內(nèi)容3三、體系比較2022/12/1173本次交流的主要內(nèi)容交流內(nèi)容3三、體系2022/12/1274體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點(diǎn):*
互相兼容;*
均采用PDCA(“戴明環(huán)”)過程方法;*
均以CNAS-CC01:2011管理體系認(rèn)證機(jī)構(gòu)要求作為基本要求;*
只要ISMS以及與其他管理體系的適當(dāng)接口能夠清楚地被識別,客戶組織可以將ISMS文件與其他管理體系文件(例如,質(zhì)量、環(huán)境和健康與安全)相結(jié)合。2022/12/1174體系比較ISMS、QMS、EMS、O2022/12/1275體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點(diǎn):*
都必須具備體系文件、程序、職責(zé)、方針、目標(biāo)指標(biāo)、內(nèi)審、管理評審、相關(guān)法律法規(guī)、糾正措施、預(yù)防措施等文件和過程;*
可以相互組合建立一體化管理體系,實(shí)現(xiàn)多體系結(jié)合認(rèn)證;*
認(rèn)證證書的使用與管理相同(3年有效,1年之內(nèi)監(jiān)督審核,認(rèn)證標(biāo)志不能用于產(chǎn)品等);*
審核人日安排的基本準(zhǔn)則相同;*
都是體系認(rèn)證,認(rèn)證流程相同。2022/12/1175體系比較ISMS、QMS、EMS、O2022/12/1276體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點(diǎn):*
領(lǐng)域不同;*
適用范圍有所不同(Q/E/H/IS全部適用,IT有些局限);*
關(guān)注的側(cè)重點(diǎn)有所不同;*
條款的刪減有所不同(Q7.3、E/H/IT不允許刪減、IS只能對附錄A有所刪減);2022/12/1176體系比較ISMS、QMS、EMS、O2022/12/1277體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點(diǎn):*
對審核員的能力要求有所不同(ISMS、ITSMS對專業(yè)要求更嚴(yán)格);*
認(rèn)證費(fèi)用有所不同;*
ISMS需要提供適用性聲明(SOA)文件;*ITSMS暫時還沒有成為單獨(dú)體系。2022/12/1177體系比較ISMS、QMS、EMS、O2022/12/1278信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體系對應(yīng)表2022/12/1178信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體2022/12/1279信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體系對應(yīng)表2022/12/1179信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體2022/12/1280信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體系對應(yīng)表2022/12/1180信息安全、質(zhì)量、環(huán)境、IT服務(wù)管理體2022/12/1281本次交流的主要內(nèi)容交流內(nèi)容4四、概括總結(jié)2022/12/1181本次交流的主要內(nèi)容交流內(nèi)容4四、概括2022/12/1282概括總結(jié)建立信息安全管理體系的作用:任何組織,不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù),實(shí)際上在信息安全管理方面都還存在漏洞,例如:
缺少信息安全管理論壇,安全導(dǎo)向不明確,管理支持不明顯;
缺少跨部門的信息安全協(xié)調(diào)機(jī)制;
保護(hù)特定資產(chǎn)以及完成特定安全過程的職責(zé)還不明確;
雇員信息安全意識薄弱,缺少防范意識,外來人員很容易直接進(jìn)入生產(chǎn)和工作場所;2022/12/1182概括總結(jié)建立信息安全管理體系的作用2022/12/1283概括總結(jié)建立信息安全管理體系的作用:
組織信息系統(tǒng)管理制度不夠健全;
組織信息系統(tǒng)主機(jī)房安全存在隱患,如:防火設(shè)施存在問題,與危險品倉庫同處一幢辦公樓等;
組織信息系統(tǒng)備份設(shè)備仍有欠缺;
組織信息系統(tǒng)安全防范技術(shù)投入欠缺;
軟件知識產(chǎn)權(quán)保護(hù)欠缺;
計(jì)算機(jī)房、辦公場所等物理防范措施欠缺;2022/12/1183概括總結(jié)建立信息安全管理體系的作用:2022/12/1284概括總結(jié)建立信息安全管理體系的作用:
檔案、記錄等缺少可靠貯存場所;
缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計(jì)劃;
……等等。建立ISMS和ITSMS就可以有效解決以上問題。2022/12/1184概括總結(jié)建立信息安全管理體系的作用:2022/12/1285概括總結(jié)
ISMS認(rèn)證對企業(yè)的好處:
符合法律法規(guī)要求,降低法律風(fēng)險;
強(qiáng)化員工的信息安全意識,規(guī)范組織信息安全行為;
增強(qiáng)客戶、合作伙伴等相關(guān)方的信任和信心;
保持組織良好的競爭力和成功運(yùn)作的狀態(tài),提高在公眾中的形象和聲譽(yù),提高組織的品牌、知名度與信任度,最大限度的增加投資回報和商業(yè)機(jī)會;
促使管理層堅(jiān)持貫徹信息安全保障體系,履行信息安全管理責(zé)任;2022/12/1185概括總結(jié)ISMS認(rèn)證對企業(yè)的好處:2022/12/1286概括總結(jié)
ISMS認(rèn)證對企業(yè)的好處:
實(shí)現(xiàn)風(fēng)險管理,預(yù)防信息安全事故,保證組織業(yè)務(wù)的連續(xù)性,使組織的重要信息資產(chǎn)受到與其價值相符的保護(hù),包括防范:*重要的商業(yè)秘密信息的泄漏、丟失、篡改和不可用;*重要業(yè)務(wù)所依賴的信息系統(tǒng)因故障、遭受病毒或攻擊而中斷;
在信息系統(tǒng)受到侵襲時,確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度;2022/12/1186概括總結(jié)ISMS認(rèn)證對企業(yè)的好處:2022/12/1287概括總結(jié)
ISMS認(rèn)證對企業(yè)的好處:
減少損失,降低成本,節(jié)省費(fèi)用。一個好的ISMS不僅可通過避免安全事故而使組織節(jié)省費(fèi)用,而且也能幫助組織合理籌劃信息安全費(fèi)用支出,包括:*依據(jù)信息資產(chǎn)的風(fēng)險級別,安排安全控制措施的投資優(yōu)先級;*對于可接受的信息資產(chǎn)的風(fēng)險,不投資或減少投資;ISMS認(rèn)證是實(shí)現(xiàn)信息安全目標(biāo)的最佳途徑,也是招投標(biāo)項(xiàng)目中的重要內(nèi)容。2022/12/1187概括總結(jié)ISMS認(rèn)證對企業(yè)的好處:2022/12/1288概括總結(jié)在現(xiàn)實(shí)的世界,保護(hù)信息的成本一定與安全漏洞的潛在成本進(jìn)行平衡。每個企業(yè)必須完全了解自身的安全風(fēng)險才能確定適當(dāng)?shù)墓芾矸绞?,并且選擇處理這些風(fēng)險的有效控制進(jìn)行實(shí)施。2022/12/1188概括總結(jié)2022/12/1289概括總結(jié)
ITSMS認(rèn)證的好處:*增強(qiáng)客戶信心,增加市場競爭力;*增加投標(biāo)籌碼;*保持IT服務(wù)業(yè)務(wù)的連續(xù)性;*預(yù)防為主,持續(xù)改進(jìn),節(jié)省IT成本;*明確接口,有效提高IT服務(wù)提供商管理水平;*改進(jìn)IT服務(wù)的有效性和效率。2022/12/1189概括總結(jié)ITSMS認(rèn)證的好處:2022/12/1290概括總結(jié)
ISMS和ITSMS的發(fā)展趨勢:“今后的時代,控制世界的國家將不是靠軍事,而是信息能力走在前面的國家?!?/p>
——美國前總統(tǒng)克林頓“誰掌握了信息,控制了網(wǎng)絡(luò),誰將擁有整個世界?!?/p>
——美國著名未來學(xué)家阿爾溫托爾勒“信息時代的出現(xiàn),將從根本上改變戰(zhàn)爭的進(jìn)行方式?!?/p>
——美國前陸軍參謀長沙利文上將2022/12/1190概括總結(jié)ISMS和ITSMS的發(fā)展2022/12/1291概括總結(jié)
ISMS和ITSMS的發(fā)展趨勢:隨著信息化、電子化、網(wǎng)絡(luò)化的快速發(fā)展和廣泛應(yīng)用,國家有關(guān)部門和各企事業(yè)單位以及個人對信息安全和IT服務(wù)越來越重視,ISMS和ITSMS的體系認(rèn)證是最佳途徑和選擇,這兩個體系的認(rèn)證相對競爭激烈的傳統(tǒng)三體系來講還比較新,大有方興未艾之勢,有很好的發(fā)展前景。2022/12/1191概括總結(jié)ISMS和ITSMS的發(fā)展2022/12/1292概括總結(jié)
ISMS和ITSMS的發(fā)展趨勢:所以,我們應(yīng)該充分認(rèn)識和利用這一大好形勢,積極投入到這兩個體系認(rèn)證中去,以ISMS和ITSMS認(rèn)證為契機(jī),依此來進(jìn)一步:促進(jìn)個人事業(yè)的發(fā)展和提高!促進(jìn)我們中心的發(fā)展和提高!促進(jìn)認(rèn)證行業(yè)的發(fā)展和提高!2022/12/1192概括總結(jié)ISMS和ITSMS的發(fā)展2022/12/1293概括總結(jié)對審核員的要求和希望:◆加強(qiáng)對ISMS和ITSMS的進(jìn)一步了解。◆加強(qiáng)對標(biāo)準(zhǔn)和專業(yè)知識的學(xué)習(xí)?!艏訌?qiáng)對ISMS和ITSMS審核知識的學(xué)習(xí)和了解?!粲邢嚓P(guān)專業(yè)的審核員積極參加培訓(xùn)和考試,成為該體系的審核員。(基本要求、注冊、實(shí)習(xí)等同其他體系)◆在以上基礎(chǔ)上加強(qiáng)對企業(yè)或組織的宣傳,打破只有IT行業(yè)才有必要做此認(rèn)證的誤區(qū)。◆進(jìn)一步增強(qiáng)安全、保密意識,防止由于審核造成敏感信息泄露。2022/12/1193概括總結(jié)對審核員的要求和希望:2022/12/1294概括總結(jié)學(xué)習(xí)是一種信仰!機(jī)會是留給有準(zhǔn)備人的!2022/12/1194概括總結(jié)學(xué)習(xí)是一種信仰!2022/12/1295概括總結(jié)美好祝愿:讓我們大家同心協(xié)力:◆為我國的信息安全和IT服務(wù)而努力!◆為我國認(rèn)證行業(yè)的可持續(xù)發(fā)展而努力!◆為EWC的蓬勃發(fā)展而努力!2022/12/1195概括總結(jié)美好祝愿:2022/12/1296概括總結(jié)美好祝愿:EWC明天更美好!2022/12/1196概括總結(jié)美好祝愿:2022/12/1297概括總結(jié)美好祝愿:祝愿大家:◆身體健康!◆闔家幸福!2022/12/1197概括總結(jié)美好祝愿:信息安全、信息技術(shù)(IT)服務(wù)
管理體系簡介
二零一二年九月八日信息安全、信息技術(shù)(IT)服務(wù)
管理體系簡介
二零一二年九2022/12/1299本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹21一、背景介紹3三、體系比較4四、概括總結(jié)2022/12/112本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹2022/12/12100本次交流的主要內(nèi)容交流內(nèi)容1一、背景介紹2022/12/113本次交流的主要內(nèi)容交流內(nèi)容1一、背景介2022/12/12101背景介紹我們身邊的信息化:●電腦→筆記本→寬帶●露天電影→家庭影院●銀行取款→刷卡購物●電話→手機(jī)→可視電話●手寫情書→依妹兒●電子商務(wù)、電子政務(wù)……“信息”是有意義的數(shù)據(jù)2022/12/114背景介紹我們身邊的信息化:“信息”2022/12/12102背景介紹復(fù)雜程度Internet技術(shù)的飛速增長InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時間2022/12/115背景介紹復(fù)雜程度Internet技術(shù)2022/12/12103背景介紹信息化出現(xiàn)的新問題:●網(wǎng)上信息可信度差●垃圾電子郵件●信息竊取●網(wǎng)絡(luò)入侵●……人們享受信息化便利的同時遭受信息安全問題的困擾!!在Internet上誰又知道我是只狗呢?^Q^2022/12/116背景介紹信息化出現(xiàn)的新問題:在Inte2022/12/12104背景介紹●基于互聯(lián)網(wǎng)的信息安全問題●基于物理環(huán)境的信息安全問題(靜電、灰塵、鼠蟻蟲害…)●基于自然災(zāi)害的信息安全問題●基于人為因素的信息安全問題……2022/12/117背景介紹●基于互聯(lián)網(wǎng)的信息安全問題2022/12/12105體系介紹安全涉及的因素:網(wǎng)絡(luò)安全信息安全物理安全文化安全2022/12/118體系介紹安全涉及的因素:網(wǎng)絡(luò)安2022/12/12106體系介紹物理安全容災(zāi)集群備份環(huán)境溫度電磁濕度2022/12/119體系介紹物理安全容災(zāi)集群備份環(huán)2022/12/12107體系介紹網(wǎng)絡(luò)安全因特網(wǎng)安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之網(wǎng)絡(luò)對國民經(jīng)濟(jì)的影響在加強(qiáng)因特網(wǎng)2022/12/1110體系介紹網(wǎng)絡(luò)安全因特網(wǎng)安全漏2022/12/12108體系介紹信息安全信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認(rèn)證技術(shù)數(shù)字簽名2022/12/1111體系介紹信息安全信息竊取信息2022/12/12109背景介紹典型案例:★1999年1月,美國黑客組織“美國地下軍團(tuán)”聯(lián)合了波蘭、英國等黑客組織有組織地對我國的政府網(wǎng)站進(jìn)行了攻擊?!镆晾屎穗娬颈弧澳┤照◤棥辈《竟?,夾在win32中運(yùn)行,攻擊公控設(shè)備。和U盤使用有關(guān)。2022/12/1112背景介紹典型案例:2022/12/12110背景介紹典型案例:★2005年6月19日,萬事達(dá)公司儲存有大約4千萬信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號的信息資料在互聯(lián)網(wǎng)上公開出售,每條100美元,并被用于金融欺詐活動。★2005年7月12日下午2時35分,承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng),突然同時大面積中斷。經(jīng)緊急搶修,至3時30分左右開始網(wǎng)絡(luò)逐漸恢復(fù)正常。這次事故大約影響了20萬北京網(wǎng)民。2022/12/1113背景介紹典型案例:2022/12/12111背景介紹典型案例:★中國電子商務(wù)協(xié)會等機(jī)構(gòu)聯(lián)合發(fā)布《2012年中國網(wǎng)站可信驗(yàn)證行業(yè)發(fā)展報告》顯示,截止2012年6月底,在過去的一年間,在網(wǎng)購用戶中,有31.8%的網(wǎng)民(6169萬人)曾直接遭遇詐騙網(wǎng)站。每年因詐騙網(wǎng)站給網(wǎng)民造成的損失不低于308億元。截止2012年6月底,全國團(tuán)購網(wǎng)站累計(jì)誕生總數(shù)高達(dá)6069家,累計(jì)關(guān)閉2859家,死亡率達(dá)48%。2022/12/1114背景介紹典型案例:2022/12/12112背景介紹汶川地震“艷照門”事件互聯(lián)網(wǎng)、微博信息(虛假、色情、反動言論等)景泰藍(lán)技術(shù)(掐絲琺瑯)的泄露高考志愿篡改、作弊個人信息、網(wǎng)銀信息泄露……其他典型案例:2022/12/1115背景介紹汶川地震其他典型案例:2022/12/12113背景介紹信息安全的根源:內(nèi)因:網(wǎng)絡(luò)和系統(tǒng)的自身缺陷與脆弱性。外因:國家、政治、商業(yè)和個人利益沖突。2022/12/1116背景介紹信息安全的根源:2022/12/12114背景介紹常用攻擊技術(shù)見下圖:利用弱口令入侵利用系統(tǒng)漏洞入侵利用網(wǎng)絡(luò)監(jiān)聽入侵利用網(wǎng)絡(luò)欺騙入侵拒絕訪問服務(wù)攻擊利用網(wǎng)絡(luò)病毒攻擊其它網(wǎng)絡(luò)入侵方式典型網(wǎng)絡(luò)入侵技術(shù)2022/12/1117背景介紹常用攻擊技術(shù)見下圖:利用弱口2022/12/12115背景介紹信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈黑客攻擊計(jì)算機(jī)病毒后門、隱蔽通道蠕蟲特洛伊木馬網(wǎng)絡(luò)2022/12/1118背景介紹信息丟失、篡改、銷毀內(nèi)部、外2022/12/12116背景介紹產(chǎn)生的背景:
以上案例僅僅是冰山一角。從這些案例可以看出,信息資產(chǎn)一旦遭到破壞,將給組織或個人帶來直接的經(jīng)濟(jì)損失,損害聲譽(yù)和公眾形象,喪失市場機(jī)會和競爭力,更為甚者,會威脅到組織的生存甚至國家安全。信息安全問題出現(xiàn)的初期,人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題。但人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠,即使采購和使用了足夠先進(jìn)、足夠多的信息安全產(chǎn)品,如防病毒、防火墻、入侵檢測、隱患掃描等,仍然無法避免一些信息安全事件的發(fā)生。2022/12/1119背景介紹產(chǎn)生的背景:2022/12/12117背景介紹三分技術(shù)七分管理2022/12/1120背景介紹三分技術(shù)七分管理2022/12/12118背景介紹體系的誕生:
人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應(yīng)運(yùn)而生。2000年12月,國際標(biāo)準(zhǔn)化組織發(fā)布一個信息安全管理的標(biāo)準(zhǔn)-ISO/IEC17799:2000“信息安全管理實(shí)用規(guī)則,2005年6月,對該標(biāo)準(zhǔn)進(jìn)行了修訂,頒布了ISO/IEC17799:2005(現(xiàn)已更名為ISO/IEC27002:2005),10月,又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求”。之后又發(fā)布了IS0/IEC20000一1:2005“信息技術(shù)服務(wù)管理第1部分:規(guī)范”和IS0/IEC20000一2:2005“信息技術(shù)服務(wù)管理第2部分:實(shí)踐規(guī)則”2022/12/1121背景介紹體系的誕生:2022/12/12119背景介紹體系的產(chǎn)生:
信息安全管理體系(InformationSecurityManagementSystem,簡稱為ISMS)是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念,是管理體系思想和方法在信息安全領(lǐng)域的應(yīng)用。IT服務(wù)管理體系(Informationtechnology—ServiceManagementSystem,簡稱為ITSMS),從2002年開始提出此理念。2022/12/1122背景介紹體系的產(chǎn)生:2022/12/12120背景介紹體系的重要性:如今,我們已經(jīng)身處信息和網(wǎng)絡(luò)時代,“計(jì)算機(jī)和網(wǎng)絡(luò)”已經(jīng)成為組織重要的生產(chǎn)工具,“信息”成為主要的生產(chǎn)資料和產(chǎn)品,組織的業(yè)務(wù)越來越依賴計(jì)算機(jī)、網(wǎng)絡(luò)和信息,它們共同成為組織賴以生存的重要信息資產(chǎn)??墒?,計(jì)算機(jī)、網(wǎng)絡(luò)和信息等信息資產(chǎn)在服務(wù)于組織業(yè)務(wù)的同時,也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡(luò)欺詐、重要信息資料丟失以及利用計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的各種犯罪行為,人們已不再陌生,隨時在我們身邊發(fā)生。2022/12/1123背景介紹體系的重要性:2022/12/12121背景介紹體系的重要性:
ISMS迅速被全球接受和認(rèn)可,成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。目前,在信息安全管理體系方面,ISMS標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ITSMS標(biāo)準(zhǔn)成為信息技術(shù)服務(wù)管理的典型規(guī)范和實(shí)踐規(guī)則。這兩體系認(rèn)證成為組織向社會及其相關(guān)方證明其信息安全水平和服務(wù)能力的一種有效途徑。建立體系是組織的一項(xiàng)戰(zhàn)略性決策,保障信息安全和信息技術(shù)服務(wù)是一種系統(tǒng)性的工作。2022/12/1124背景介紹體系的重要性:2022/12/12122背景介紹體系的重要性:
另外,在實(shí)際運(yùn)行中,體系認(rèn)證已經(jīng)成為招投標(biāo)項(xiàng)目中的重要組成部分。傳統(tǒng)三個體系一般各占一分,ISMS在招投標(biāo)中也越來越受到重視,除了金融、銀行、IT相關(guān)行業(yè)是必然加分項(xiàng)之外,其他行業(yè)也逐漸成為加分項(xiàng),例如印刷行業(yè)(母嬰三證招投標(biāo)中,除了國家秘密載體復(fù)制證之外,ISMS認(rèn)證單獨(dú)占一分)。ISMS認(rèn)證和ITSMS認(rèn)證會在今后招投標(biāo)項(xiàng)目中更多的引用。2022/12/1125背景介紹體系的重要性:2022/12/12123背景介紹體系的現(xiàn)狀:
我們國家非常重視信息安全。2002年4月,我國成立了“全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(TC260)”。2006年3月,認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)。CNCA于2009年發(fā)布第47號公告《關(guān)于正式開展信息安全管理體系認(rèn)證工作的公告》。到目前為止,經(jīng)CNAS批準(zhǔn)的ISMS認(rèn)證機(jī)構(gòu)有5家,經(jīng)CNCA批準(zhǔn)的ISMS認(rèn)證機(jī)構(gòu)有14家。2022/12/1126背景介紹體系的現(xiàn)狀:2022/12/12124背景介紹體系的現(xiàn)狀:
2010年8月12日,由工業(yè)和信息化部、國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局、中國人民銀行、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會、國家保密局、國家認(rèn)證認(rèn)可監(jiān)督管理委員會等6部委聯(lián)合下發(fā)了《關(guān)于加強(qiáng)信息安全管理體系認(rèn)證安全管理的通知》的394號文件。目前,ITSMS還沒有單獨(dú)成為體系進(jìn)行認(rèn)證,一般和ISMS結(jié)合進(jìn)行,2012年8月CNCA已經(jīng)正式啟動ITSMS認(rèn)證機(jī)構(gòu)申請材料上報工作。2022/12/1127背景介紹體系的現(xiàn)狀:2022/12/12125背景介紹體系的現(xiàn)狀:截止2009年9月,全球有5941個組織獲得了ISMS認(rèn)證;截止到2009年4月,我國獲得信息安全管理體系認(rèn)證證書的機(jī)構(gòu)約有200家。獲得認(rèn)證組織的數(shù)量正在呈快速增長趨勢。我們埃爾維已經(jīng)正式提交申請ISMS認(rèn)證資格的申報材料,不久就能獲得CNCA的批準(zhǔn),隨后我們將繼續(xù)申請ITSMS的認(rèn)證資格,讓我們共同期待。2022/12/1128背景介紹體系的現(xiàn)狀:2022/12/12126背景介紹體系的不足:
ISMS和ITSMS標(biāo)準(zhǔn)是2005年正式發(fā)布的,7年來信息技術(shù)有了飛速的發(fā)展和變化,有些條款和措施已經(jīng)不完全符合現(xiàn)實(shí)情況,不能完全滿足現(xiàn)在的要求。ISO組織正對ISMS進(jìn)行修訂之中,預(yù)計(jì)明后年就會發(fā)布新版的標(biāo)準(zhǔn),ITSMS也會隨之更新。2022/12/1129背景介紹體系的不足:2022/12/12127本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹22022/12/1130本次交流的主要內(nèi)容交流內(nèi)容二、體系介什么是ISMS?什么是ISMS?2022/12/12129體系介紹信息安全管理體系(ISMS):基于業(yè)務(wù)風(fēng)險方法,建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全的體系,是一個組織整個管理體系的一部分,注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責(zé)、實(shí)踐、規(guī)程、過程和資源。信息安全是指:保護(hù)信息的保密性(C)、完整性(I)、可用性(A);另外也可包括如:真實(shí)性、可核查性、不可否認(rèn)性和可靠性等。2022/12/1132體系介紹信息安全管理體系(I信息資產(chǎn)的安全屬性:保密性:信息不能被未授權(quán)的個人、實(shí)體或者過程利用或知悉的特性。完整性:保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性??捎眯裕焊鶕?jù)授權(quán)實(shí)體的要求可訪問和利用的特性。真實(shí)性:保證主體或資源確系其所聲稱的身份的特性??珊瞬樾裕捍_保實(shí)體行為能被有效跟蹤的特性??煽啃裕号c預(yù)想的行為和結(jié)果相一致的特性。是信息資產(chǎn)最重要的三個屬性,國際上稱之為信息的CIA屬性或者信息安全金三角。保密性完整性可用性安全信息資產(chǎn)的安全屬性:是信息資產(chǎn)最重要的三個屬性,國際上稱之為2022/12/12131體系標(biāo)準(zhǔn)介紹
ISO/IEC27000族系列標(biāo)準(zhǔn)1.ISO/IEC27000:2009《信息安全管理體系原理和術(shù)語》2.ISO/IEC27001:2005《信息安全管理體系要求》=GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》3.ISO/IEC27002:2005《信息安全管理實(shí)踐規(guī)則》
4.ISO/IEC27003:2008《信息安全管理體系實(shí)施指南》5.ISO/IEC27004:2008《信息安全管理測量與指標(biāo)》
2022/12/1134體系標(biāo)準(zhǔn)介紹ISO/IEC272022/12/12132體系標(biāo)準(zhǔn)介紹
ISO/IEC27000族系列標(biāo)準(zhǔn)6.ISO/IEC27005:2011《信息安全風(fēng)險管理》7.ISO/IEC27006:2007《信息安全管理體系審核認(rèn)證機(jī)構(gòu)要求》=CNAS-CC17:20128.ISO/IEC27007:2011《信息安全管理體系審核指南》9.ISO/IEC27008:2011《ISMS控制措施審核員指南》10.ISO/IEC27010:2012《部門間和組織間通信的信息安全管理》11.ISO/IEC27011:2009《電信業(yè)信息安全管理指南》2022/12/1135體系標(biāo)準(zhǔn)介紹ISO/IEC272022/12/12133體系標(biāo)準(zhǔn)介紹前言引言1、范圍2、規(guī)范性引用文件3、術(shù)語和定義4、信息安全管理體系(ISMS)5、管理職責(zé)6、ISMS內(nèi)部審核7、ISMS的管理評審8、ISMS改進(jìn)附錄A(規(guī)范性附錄)控制目標(biāo)和控制措施附錄B(資料性附錄)OECD原則和本標(biāo)準(zhǔn)附錄C(資料性附錄)GB/T19001-2000,GB/T24001-2004和本標(biāo)準(zhǔn)之間的對照參考文獻(xiàn)組織聲稱符合本標(biāo)準(zhǔn)時,對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。2022/12/1136體系標(biāo)準(zhǔn)介紹前言組織聲稱符合本標(biāo)準(zhǔn)時2022/12/12134體系標(biāo)準(zhǔn)介紹
ISMS標(biāo)準(zhǔn)刪減要求:此標(biāo)準(zhǔn)特別強(qiáng)調(diào):對于第4章信息安全管理體系(ISMS)、第5章管理職責(zé)、第6章ISMS內(nèi)部審核、第7章ISMS的管理評審和第8章ISMS改進(jìn)的要求不能刪減。只有針對附錄A的控制措施可以進(jìn)行必要的刪減,但必須證明是合理的,且需要提供證據(jù)。2022/12/1137體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)刪減要求2022/12/12135體系標(biāo)準(zhǔn)介紹相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評審ISMS規(guī)劃Plan實(shí)施Do處置Act此標(biāo)準(zhǔn)采用PDCA模型:2022/12/1138體系標(biāo)準(zhǔn)介紹相關(guān)方受控的信息安全信息2022/12/12136體系標(biāo)準(zhǔn)介紹GB/T22080-2008的主體:4-8章4信息安全管理體系(ISMS)4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實(shí)施和運(yùn)行ISMS4.2.3監(jiān)視和評審ISMS4.2.4保持和改進(jìn)ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制PDCA循環(huán)2022/12/1139體系標(biāo)準(zhǔn)介紹GB/T22080-22022/12/12137體系標(biāo)準(zhǔn)介紹GB/T22080-2008的主體:4-8章5管理職責(zé)5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓(xùn)、意識和能力6ISMS內(nèi)部審核7ISMS的管理評審7.1總則7.2評審輸入7.3評審輸出8ISMS改進(jìn)8.1持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施2022/12/1140體系標(biāo)準(zhǔn)介紹GB/T22080-22022/12/12138體系標(biāo)準(zhǔn)介紹ISMS的適用范圍:適用于各種類型、規(guī)模和特性的組織(例如:商業(yè)企業(yè)、政府機(jī)構(gòu)、非盈利組織等),規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求(絕不只針對IT行業(yè)和組織的IT部門)。如:金融、銀行……印刷該標(biāo)準(zhǔn)僅僅指出應(yīng)該使用體系化的方法進(jìn)行風(fēng)險評估(風(fēng)險評估的方法、法律要求、降低風(fēng)險到可接受級別的策略和目標(biāo))。該標(biāo)準(zhǔn)并沒有規(guī)定一個特定的方法論。2022/12/1141體系標(biāo)準(zhǔn)介紹ISMS的適2022/12/12139體系標(biāo)準(zhǔn)介紹ISMS的適用范圍:按照394號文件要求:為加強(qiáng)信息安全管理體系認(rèn)證的安全管理,減少信息安全風(fēng)險,各級政府機(jī)關(guān)和政府信息系統(tǒng)運(yùn)行單位,不得利用社會第三方認(rèn)證機(jī)構(gòu)開展ISMS認(rèn)證。為確保國家秘密安全,涉密信息系統(tǒng)建設(shè)使用單位不得申請ISMS認(rèn)證。應(yīng)選擇國家認(rèn)證認(rèn)可監(jiān)督管理部門批準(zhǔn)從事ISMS認(rèn)證的認(rèn)證機(jī)構(gòu)進(jìn)行認(rèn)證,并簽訂安全和保密協(xié)議,履行不泄露、不擴(kuò)散、不轉(zhuǎn)讓認(rèn)證信息的義務(wù),保證重要敏感信息不出境。2022/12/1142體系標(biāo)準(zhǔn)介紹ISMS的適2022/12/12140體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)的特點(diǎn):ISO/IEC27001標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)ISMS提供模型。采用ISMS應(yīng)當(dāng)是一個組織的一項(xiàng)戰(zhàn)略性決策。一個組織的ISMS的設(shè)計(jì)和實(shí)施受業(yè)務(wù)需求和目標(biāo)、安全需求、經(jīng)營狀況、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響,上述因素及其支持過程會不斷發(fā)生變化。按照組織的實(shí)際需要實(shí)施ISMS是該標(biāo)準(zhǔn)所期望的,例如簡單的情況可采用簡單的ISMS解決方案?!ㄗ罴押侠砜尚校?022/12/1143體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)2022/12/12141體系標(biāo)準(zhǔn)介紹ISMS標(biāo)準(zhǔn)的特點(diǎn):ISO27001標(biāo)準(zhǔn)可以作為評估組織滿足顧客、組織本身及法律法規(guī)的信息安全要求的能力的依據(jù),無論是組織自我評估還是評估供方能力,都可以采用,也可以用作獨(dú)立第三方認(rèn)證的依據(jù)。標(biāo)準(zhǔn)的特點(diǎn)為:*注重體系的完整性,是一套科學(xué)的ISMS
*強(qiáng)調(diào)對法律法規(guī)的符合性*以風(fēng)險評估為基礎(chǔ),采用PDCA的過程方法*適用于各種類型、不同規(guī)模和業(yè)務(wù)性質(zhì)的組織*與其他
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 廣東松山職業(yè)技術(shù)學(xué)院《數(shù)字圖像處理》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東生態(tài)工程職業(yè)學(xué)院《兒童詩的欣賞與教學(xué)》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東女子職業(yè)技術(shù)學(xué)院《分析化學(xué)(A類)》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東南華工商職業(yè)學(xué)院《電子商務(wù)導(dǎo)論》2023-2024學(xué)年第一學(xué)期期末試卷
- 工程力學(xué)(華中科技大學(xué))學(xué)習(xí)通測試及答案
- 教學(xué)工作上半年工作總結(jié):一個還不夠-必須繼續(xù)努力
- 【高考總動員】2022屆高三生物一輪復(fù)習(xí)課時提升練22-從雜交育種到基因工程-
- 2025年人教版七年級數(shù)學(xué)寒假預(yù)習(xí) 第06講 立方根
- 【創(chuàng)新設(shè)計(jì)】2021高考政治一輪復(fù)習(xí)提能檢測:第39課-創(chuàng)新意識與社會進(jìn)步
- 《康復(fù)統(tǒng)計(jì)精彩》課件
- 船舶維修搶修方案
- 轉(zhuǎn)科患者交接記錄單
- 現(xiàn)代漢語智慧樹知到期末考試答案章節(jié)答案2024年昆明學(xué)院
- 人教版六年級數(shù)學(xué)(上冊)期末調(diào)研題及答案
- 2023年人教版五年級上冊語文期末考試題(加答案)
- 舞蹈療法在減少壓力和焦慮中的作用
- 新中國史智慧樹知到期末考試答案2024年
- 計(jì)算機(jī)應(yīng)用專業(yè)大學(xué)生職業(yè)生涯規(guī)劃
- 設(shè)備的故障管理
- 女性婦科保健知識講座
- 《電力系統(tǒng)治安反恐防范要求 第3部分:水力發(fā)電企業(yè)》
評論
0/150
提交評論