ISO27001標(biāo)準(zhǔn)詳解課件

ISO27001標(biāo)準(zhǔn)詳解ISO27001標(biāo)準(zhǔn)詳解

信息安全管理體系背景介紹

信息作為組織的重要資產(chǎn)，需要得到妥善保護(hù)。但隨著信息技術(shù)的高速發(fā)展，特別是Internet的問世及網(wǎng)上交易的啟用，許多信息安全的問題也紛紛出現(xiàn)：系統(tǒng)癱瘓、黑客入侵、病毒感染、網(wǎng)頁改寫、客戶資料的流失及公司內(nèi)部資料的泄露等等。這些已給組織的經(jīng)營管理、生存甚至國家安全都帶來嚴(yán)重的影響。安全問題所帶來的損失遠(yuǎn)大于交易的帳面損失，它可分為三類，包括直接損失、間接損失和法律損失：

一.直接損失：丟失訂單，減少直接收入，損失生產(chǎn)率；

二.間接損失：恢復(fù)成本，競爭力受損，品牌、聲譽(yù)受損，負(fù)面的公眾影響，失去未來的業(yè)務(wù)機(jī)會，影響股票市值或政治聲譽(yù)；

三.法律損失：法律、法規(guī)的制裁，帶來相關(guān)聯(lián)的訴訟或追索等。

ISO27001的內(nèi)容ISO27001標(biāo)準(zhǔn)詳解

信息安全管理體系背景介紹

所以，在享用現(xiàn)代信息系統(tǒng)帶來的快捷、方便的同時，如何充分防范信息的損壞和泄露，已成為當(dāng)前企業(yè)迫切需要解決的問題。

俗話說"三分技術(shù)七分管理"。目前組織普遍采用現(xiàn)代通信、計(jì)算機(jī)、網(wǎng)絡(luò)技術(shù)來構(gòu)建組織的信息系統(tǒng)。但大多數(shù)組織的最高管理層對信息資產(chǎn)所面臨的威脅的嚴(yán)重性認(rèn)識不足，缺乏明確的信息安全方針、完整的信息安全管理制度、相應(yīng)的管理措施不到位，如系統(tǒng)的運(yùn)行、維護(hù)、開發(fā)等崗位不清，職責(zé)不分，存在一人身兼數(shù)職的現(xiàn)象。這些都是造成信息安全事件的重要原因。缺乏系統(tǒng)的管理思想也是一個重要的問題。所以，我們需要一個系統(tǒng)的、整體規(guī)劃的信息安全管理體系，從預(yù)防控制的角度出發(fā)，保障組織的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。

ISO27001的內(nèi)容ISO27001標(biāo)準(zhǔn)詳解

信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史

目前，在信息安全管理體系方面，ISO/IEC27001:2005--信息安全管理體系標(biāo)準(zhǔn)已經(jīng)成為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)。ISO/IEC27001是由英國標(biāo)準(zhǔn)BS7799轉(zhuǎn)換而成的。

BS7799標(biāo)準(zhǔn)于1993年由英國貿(mào)易工業(yè)部立項(xiàng)，于1995年英國首次出版BS7799-1：1995《信息安全管理實(shí)施細(xì)則》，它提供了一套綜合的、由信息安全最佳慣例組成的實(shí)施規(guī)則，其目的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的參考基準(zhǔn)，適用于大、中、小組織。2000年12月，BS7799-1：1999《信息安全管理實(shí)施細(xì)則》通過了國際標(biāo)準(zhǔn)化組織ISO的認(rèn)可，正式成為國際標(biāo)準(zhǔn)ISO/IEC17799：2000《信息技術(shù)-信息安全管理實(shí)施細(xì)則》，后來該標(biāo)準(zhǔn)已升版為

ISO27001的內(nèi)容ISO27001標(biāo)準(zhǔn)詳解

信息安全管理體系標(biāo)準(zhǔn)發(fā)展歷史

ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式發(fā)布，2002版標(biāo)準(zhǔn)主要在結(jié)構(gòu)上做了修訂，引入了PDCA(Plan-Do-Check-Act)的過程管理模式，建立了與ISO9001、ISO14001和OHSAS18000等管理體系標(biāo)準(zhǔn)相同的結(jié)構(gòu)和運(yùn)行模式。2005年，BS7799-2:2002正式轉(zhuǎn)換為國際標(biāo)準(zhǔn)ISO/IEC27001：2005。

ISO27001的內(nèi)容ISO27001標(biāo)準(zhǔn)詳解

信息安全管理體系要求11個控制領(lǐng)域39個控制目標(biāo)

133個控制措施

ISO27001的內(nèi)容ISO27001標(biāo)準(zhǔn)詳解

必須的ISMS文件：

1、ISMS方針文件，包括ISMS的范圍；

2、風(fēng)險評估程序和風(fēng)險處理程序；

3、文件控制程序和記錄控制程序；

4、內(nèi)部審核程序和管理評審程序（盡管沒有強(qiáng)制）；

5、糾正措施和預(yù)防措施控制程序；

6、控制措施有效性的測量程序；

7、適用性聲明

ISO27001的內(nèi)容ISO27001標(biāo)準(zhǔn)詳解對外

增強(qiáng)顧客信心和滿意

改善對安全方針及要求的符合性

提供競爭優(yōu)勢對內(nèi)

改善總體安全

管理并減少安全事件的影響

便利持續(xù)改進(jìn)

提高員工動力與參與

提高盈利能力

形成文件的ISMS的益處ISO27001標(biāo)準(zhǔn)詳解

PDCA方法

糾正和預(yù)防措施

內(nèi)部審核

ISMS管理評審

ISMS的持續(xù)改進(jìn)ISO27001標(biāo)準(zhǔn)詳解PDCA（戴明環(huán)）PDCA（Plan、Do、Check和Act）是管理學(xué)慣用的一個過程模型，最早是由休哈特（WalterShewhart）于19世紀(jì)30年代構(gòu)想的，后來被戴明（EdwardsDeming）采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程當(dāng)中。1、P（Plan）--計(jì)劃，確定方針和目標(biāo)，確定活動計(jì)劃；2、D（Do）--執(zhí)行，實(shí)地去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；3、C（Check）--檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問題；4、A（Action）--行動，對總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問題放到下一個PDCA循環(huán)。Page10ISO27001標(biāo)準(zhǔn)詳解PDCA特點(diǎn)

大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動大循環(huán)PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個工程項(xiàng)目，也適應(yīng)于整個企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個人。各級部門根據(jù)企業(yè)的方針目標(biāo)，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動。通過循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來，彼此協(xié)同，互相促進(jìn)。以上特點(diǎn)。

Page11ISO27001標(biāo)準(zhǔn)詳解PDCA特點(diǎn)(續(xù))

不斷前進(jìn)、不斷提高

PDCA循環(huán)就像爬樓梯一樣，一個循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會提高一步，然后再制定下一個循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個螺旋式上升的過程。PDCA質(zhì)量水平螺旋上升的PDCAPage12ISO27001標(biāo)準(zhǔn)詳解PDCA和ISMS的結(jié)合Page13ISO27001標(biāo)準(zhǔn)詳解重點(diǎn)章節(jié)本標(biāo)準(zhǔn)的重點(diǎn)章節(jié)是4－8章。前三章的內(nèi)容結(jié)構(gòu)如下所示：

引言 0.1總則 0.2過程方法 0.3與其他管理體系的兼容性 1范圍 1.1總則 1.2應(yīng)用 2規(guī)范性引用文件 3術(shù)語和定義Page14ISO27001標(biāo)準(zhǔn)詳解

0.1總則

0.2過程方法

過程方法的定義：組織內(nèi)各過程系統(tǒng)的應(yīng)用，連同這些過程 的識別和相互作用及其管理，可以被稱為“過程方法”。

過程方法鼓勵其使用者以強(qiáng)調(diào)以下方面的重要性：

理解業(yè)務(wù)信息安全要求以及建立信息安全方針和目標(biāo)的需求在管理組織的整體業(yè)務(wù)風(fēng)險中實(shí)施并運(yùn)作控制監(jiān)控并評審ISMS的績效及有效性在客觀測量基礎(chǔ)上持續(xù)改進(jìn)0引言ISO27001標(biāo)準(zhǔn)詳解

1.1總則

本標(biāo)準(zhǔn)規(guī)定了在組織整體業(yè)務(wù)風(fēng)險的范圍內(nèi)制定、實(shí)施、運(yùn)行、監(jiān)控、評審、保持和改進(jìn)文件化信息安全管理系統(tǒng)的要求

1.2應(yīng)用

適用于各種類型、不同規(guī)模和提供不同產(chǎn)品的組織

可以考慮刪減，但條款4、5、6、7和8是不能刪減的

1范圍ISO27001標(biāo)準(zhǔn)詳解

ISO/IEC17799：2005信息技術(shù)－安全技術(shù)－信息安全管理實(shí)施指南2引用標(biāo)準(zhǔn)ISO27001標(biāo)準(zhǔn)詳解

信息是經(jīng)過加工的數(shù)據(jù)或消息，信息是對決策者有價值的數(shù)據(jù)

資產(chǎn)

任何對組織有價值的事物

可用性

確保授權(quán)用戶可以在需要時可以獲得信息和相關(guān)資產(chǎn)

保密性

確保信息僅為被授權(quán)的用戶獲得

3術(shù)語和定義ISO27001標(biāo)準(zhǔn)詳解

完整性

確保信息及其處理方法的準(zhǔn)確性和完整性

信息安全

保護(hù)信息的保密性、完整性、可用性；另外也包括其他屬性，如：真實(shí)性、可核查性、不可抵賴性和可靠性

信息安全事件

已識別出的發(fā)生的系統(tǒng)、服務(wù)或網(wǎng)絡(luò)狀態(tài)表明可能違反信息安全策略或防護(hù)措施失效的事件，或以前未知的與安全相關(guān)的情況

3術(shù)語和定義（續(xù)）ISO27001標(biāo)準(zhǔn)詳解

信息安全事故

信息安全事故是指一個或系列非期望的或非預(yù)期的信息安全事件，這些信息安全事件可能對業(yè)務(wù)運(yùn)營造成嚴(yán)重影響或威脅信息安全。

信息安全管理體系（ISMS）

全面管理體系的一部分，基于業(yè)務(wù)風(fēng)險方法，旨在建立、實(shí)施、運(yùn)行、監(jiān)控、評審、維持和改進(jìn)信息安全

適用性聲明

基于風(fēng)險評估和風(fēng)險處理過程的結(jié)果和結(jié)論，描述與組織的信息安全管理體系相關(guān)并適用的控制目標(biāo)和控制的文件

3術(shù)語和定義（續(xù)）ISO27001標(biāo)準(zhǔn)詳解

殘余風(fēng)險

實(shí)施風(fēng)險處置后仍舊殘留的風(fēng)險

風(fēng)險接受

接受風(fēng)險的決定。

風(fēng)險分析

系統(tǒng)地使用信息以識別來源和估計(jì)風(fēng)險。

3術(shù)語和定義（續(xù)）ISO27001標(biāo)準(zhǔn)詳解

風(fēng)險評估

風(fēng)險分析和風(fēng)險評價的全過程。

風(fēng)險評價

將估計(jì)的風(fēng)險與既定的風(fēng)險準(zhǔn)則進(jìn)行比較以確定重要風(fēng)險的過程。

風(fēng)險管理

指導(dǎo)和控制一個組織關(guān)于風(fēng)險的協(xié)調(diào)活動。

風(fēng)險處置

選擇和實(shí)施措施以改變風(fēng)險的過程。

3術(shù)語和定義（續(xù)）ISO27001標(biāo)準(zhǔn)詳解4信息安全管理體系4.1總要求

一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風(fēng)險的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的PDCA模型。4.2建立和管理ISMS4.2.1建立ISMS(PLAN)定義ISMS的范圍定義ISMS策略定義系統(tǒng)的風(fēng)險評估途徑識別風(fēng)險評估風(fēng)險識別并評價風(fēng)險處理措施選擇用于風(fēng)險處理的控制目標(biāo)和控制準(zhǔn)備適用性聲明（SoA）取得管理層對殘留風(fēng)險的承認(rèn)，并授權(quán)實(shí)施和操作ISMSPDCAPage23ISO27001標(biāo)準(zhǔn)詳解4信息安全管理體系(續(xù))4.2.2實(shí)施和運(yùn)行ISMS(DO)制定風(fēng)險處理計(jì)劃實(shí)施風(fēng)險處理計(jì)劃實(shí)施所選的控制措施以滿足控制目標(biāo)實(shí)施培訓(xùn)和意識程序管理操作管理資源（參見5.2）實(shí)施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制PDCAPage24ISO27001標(biāo)準(zhǔn)詳解4信息安全管理體系(續(xù))4.2.3監(jiān)控和評審ISMS(CHECK)執(zhí)行監(jiān)視程序和控制對ISMS的效力進(jìn)行定期復(fù)審復(fù)審殘留風(fēng)險和可接受風(fēng)險的水平按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS審計(jì)定期對ISMS進(jìn)行管理復(fù)審記錄活動和事件可能對ISMS的效力或執(zhí)行力度造成影響PDCAPage25ISO27001標(biāo)準(zhǔn)詳解4信息安全管理體系(續(xù))4.2.4保持和改進(jìn)ISMS(ACT)對ISMS實(shí)施可識別的改進(jìn)采取恰當(dāng)?shù)募m正和預(yù)防措施與所有利益伙伴溝通確保改進(jìn)成果滿足其預(yù)期目標(biāo)PDCAPage26ISO27001標(biāo)準(zhǔn)詳解4信息安全管理體系(續(xù))4.3文件要求總則文件控制記錄控制ISO27001標(biāo)準(zhǔn)所要求建立的ISMS是一個文件化的體系，ISO27001認(rèn)證第一階段就是進(jìn)行文件審核，文件是否完整、足夠、有效，都關(guān)乎審核的成敗，所以，在整個ISO27001認(rèn)證項(xiàng)目實(shí)施過程中，逐步建立并完善文件體系非常重要。Page27ISO27001標(biāo)準(zhǔn)詳解ISMS文件

方針范圍、風(fēng)險評價 適用性聲明描述過程：who,what,when,where描述任務(wù)及具體的活動如何 完成提供符合ISMS條款3.6要求的可感證據(jù)第一層次第二層次第三層次第四層次安全手冊程序作業(yè)指導(dǎo)書檢查表、表格記錄管理框架與ISO27001條款

4有關(guān)的方針I(yè)SO27001標(biāo)準(zhǔn)詳解4信息安全管理體系(續(xù))ISO27001標(biāo)準(zhǔn)要求的ISMS文件體系應(yīng)該是一個層次化的體系，通常是由四個層次構(gòu)成的：信息安全手冊：該手冊由信息安全委員會負(fù)責(zé)制定和修改，是對信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)ISMS是按照ISO27001標(biāo)準(zhǔn)要求建立并運(yùn)行的。信息安全手冊包含各個一級文件。一級文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個方面的策略方針等。一級文件至少包括（可能不限于此）：信息安全方針風(fēng)險評估報告適用性聲明（SoA）二級文件：各類程序文件。至少包括（可能不限于此）：風(fēng)險評估流程 風(fēng)險管理流程 風(fēng)險處理計(jì)劃 管理評審程序信息設(shè)備管理程序 信息安全組織建設(shè)規(guī)定 新設(shè)施管理程序 內(nèi)部審核程序第三方和外包管理規(guī)定 信息資產(chǎn)管理規(guī)定 工作環(huán)境安全管理規(guī)定 介質(zhì)處理與安全規(guī)定系統(tǒng)開發(fā)與維護(hù)程序 業(yè)務(wù)連續(xù)性管理程序 法律符合性管理規(guī)定 信息系統(tǒng)安全審計(jì)規(guī)定文件及材料控制程序 安全事件處理流程三級文件：具體的作業(yè)指導(dǎo)書。描述了某項(xiàng)任務(wù)具體的操作步驟和方法，是對各個程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。四級文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS得以持續(xù)運(yùn)行的有力證據(jù)，由各個相關(guān)部門自行維護(hù)。Page29ISO27001標(biāo)準(zhǔn)詳解5.1管理承諾5.2資源管理

5.2.1提供資源

5.2.2培訓(xùn)、意識和能力

5管理職責(zé)ISO27001標(biāo)準(zhǔn)詳解

管理者應(yīng)通過如下所示向ISMS的建立、實(shí)施、運(yùn)作、監(jiān)管、審核、維持和改進(jìn)提供承諾的證據(jù)：a)建立信息安全方針；b)確保信息安全目標(biāo)和計(jì)劃的建立；c)為信息安全定崗并建立崗位職責(zé)；d)向本組織宣傳達(dá)到信息安全目標(biāo)和符合信息安全方針的重要性， 以及本組織的法律責(zé)任和持續(xù)改進(jìn)的需求；e)為ISMS的發(fā)展、實(shí)施、運(yùn)作和維持提供充足的資源；f)確定接受風(fēng)險的準(zhǔn)則和可接受的風(fēng)險等級；g)確保ISMS內(nèi)部審核的實(shí)施；h)進(jìn)行ISMS管理評審。5.1管理承諾ISO27001標(biāo)準(zhǔn)詳解

組織應(yīng)確定并提供以下方面所需資源：

建立、實(shí)施、運(yùn)作和維持ISMS；

確保信息安全程序支持業(yè)務(wù)需要；

識別和定位法律法規(guī)要求和合同安全責(zé)任；

通過正確的應(yīng)用所有的已被實(shí)施的控制方法來維持適當(dāng)?shù)陌? 全；

必要時進(jìn)行評審，并對審核結(jié)果采取適當(dāng)?shù)男袆樱?/p>

在有需要的地方改進(jìn)ISMS的有效性

5.2.1提供資源ISO27001標(biāo)準(zhǔn)詳解

確定員工在執(zhí)行與ISMS相關(guān)的工作時所必需具備的能力；提供能力培訓(xùn)，必要時，聘請專業(yè)人士以滿足需要；評價所提供的培訓(xùn)和采取的行動的有效性；保持教育、培訓(xùn)、技能、經(jīng)驗(yàn)和資格的記錄組織應(yīng)確保所有相關(guān)人員認(rèn)識其信息安全活動的相關(guān)性和重要性，并知道怎樣為實(shí)現(xiàn)ISMS的目標(biāo)做出貢獻(xiàn)

5.2.2培訓(xùn)、意識和能力ISO27001標(biāo)準(zhǔn)詳解

組織應(yīng)按策劃的時間間隔對ISMS進(jìn)行內(nèi)審,以決定ISMS的控制目標(biāo)、控制行為、過程和程序是否

與本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)相適應(yīng)

與已識別信息安全需求相適應(yīng)

有效地實(shí)施和維護(hù)

達(dá)到預(yù)期目標(biāo)

文件化內(nèi)審程序、保持內(nèi)審記錄

6ISMS內(nèi)部審核ISO27001標(biāo)準(zhǔn)詳解

7.1總則

7.2評審輸入

7.3評審輸出

7ISMS的管理評審ISO27001標(biāo)準(zhǔn)詳解

定期管理評審，以確保適宜性、充分性和有效性

評審應(yīng)包括評價ISMS的改進(jìn)機(jī)會和變更需要，包括安全方針和安全目標(biāo)

評審結(jié)果應(yīng)清楚地寫入文件，保持評審的記錄

7.1總則ISO27001標(biāo)準(zhǔn)詳解

ISMS審核和評審的結(jié)果；相關(guān)方的反饋；在組織中被用于改進(jìn)ISMS性能和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以前風(fēng)險評估中沒有準(zhǔn)確定位的薄弱點(diǎn)或威脅；有效性測量的結(jié)果；以往管理評審的跟蹤措施；任何可能影響ISMS的變更；改進(jìn)的建議7.2評審輸入ISO27001標(biāo)準(zhǔn)詳解

ISMS有效性的改進(jìn)信息

風(fēng)險評估和風(fēng)險處理計(jì)劃的更新

修改影響信息安全的程序，必要時，對可能影響ISMS的內(nèi)部或外部事件做出反應(yīng)，變更包括如下：

業(yè)務(wù)需求安全需求影響現(xiàn)有業(yè)務(wù)需求的業(yè)務(wù)過程法律法規(guī)環(huán)境風(fēng)險等級或/和可接受風(fēng)險水平

資源需求

對如何測量控制措施的有效性的改進(jìn)

7.3評審輸出ISO27001標(biāo)準(zhǔn)詳解8.1持續(xù)改進(jìn)8.2糾正措施8.3預(yù)防措施

8ISMS的改進(jìn)ISO27001標(biāo)準(zhǔn)詳解

組織應(yīng)通過信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)督事件的分析、糾正和預(yù)防措施以及管理評審來持續(xù)改進(jìn)ISMS的有效性

8.1持續(xù)改進(jìn)ISO27001標(biāo)準(zhǔn)詳解

建立文件化的糾正措施程序以滿足如下要求

識別ISMS的實(shí)施和/或運(yùn)行的不合格

確定不合格原因

評價確保不合格不再發(fā)生的措施的需求

確定和實(shí)施所需的糾正措施

記錄所采取的措施結(jié)果

評審所采取的糾正措施

8.2糾正措施ISO27001標(biāo)準(zhǔn)詳解

建立文件化的預(yù)防措施程序以滿足如下要求：

識別潛在的不合格及其原因

評價預(yù)防不符合發(fā)生所需的措施

確定和實(shí)施所需的預(yù)防措施

記錄所采取的措施的結(jié)果

評審所采取的預(yù)防措施

8.3預(yù)防措施ISO27001標(biāo)準(zhǔn)詳解

預(yù)防

預(yù)防是主動的

意圖為防止問題發(fā)生

在過程策劃和設(shè)計(jì)階段 控制

增值

成本更低

更大的顧客信心

所有ISO標(biāo)準(zhǔn)的主要關(guān) 注點(diǎn)預(yù)防與探測

探測

探測是被動的

意圖為探測發(fā)生的問題

在過程輸出階段控制

不增加價值

成本很大

顧客信心有限

需要，但遠(yuǎn)不是重點(diǎn)ISO27001標(biāo)準(zhǔn)詳解

管理者承諾組織資源關(guān)注預(yù)防培訓(xùn)溝通參與系統(tǒng)評審ISMS的有效實(shí)施ISO27001標(biāo)準(zhǔn)詳解ISO27001:2005控制目標(biāo)和控制方法附錄：AISO27001標(biāo)準(zhǔn)詳解11大控制域信息資產(chǎn)保密性完整性可用性安全方針信息安全組織資產(chǎn)管理

人力資源安全 物理和環(huán)境安全通信與操作安全信息安全事件管理

信息系統(tǒng)的獲取 開發(fā)和維護(hù)

訪問控制業(yè)務(wù)持續(xù)性管理符合性ISO27001標(biāo)準(zhǔn)詳解

評審與評價

A.5信息安全方針方針積極預(yù)防、全面管理、控制風(fēng)險、保障安全。目標(biāo)：根據(jù)業(yè)務(wù)需求和相關(guān)法律、法規(guī)，為信息安全提供管理指

導(dǎo)和支持。

信息安全方針文件ISO27001標(biāo)準(zhǔn)詳解A.6信息安全組織ISO27001標(biāo)準(zhǔn)詳解A.6.1內(nèi)部組織目標(biāo)：在組織內(nèi)部管理信息安全。

信息安全的管理承諾

信息安全協(xié)調(diào)

信息安全職責(zé)劃分

信息處理設(shè)備的授權(quán)過程

保密協(xié)議

與權(quán)威機(jī)構(gòu)的聯(lián)系

與專業(yè)的利益團(tuán)體保持聯(lián)系

信息安全的獨(dú)立評審

ISO27001標(biāo)準(zhǔn)詳解A.6.2外部組織目標(biāo)：保持被外部組織訪問、處理、通信或管 理的組織信息和信息處理設(shè)施的安全。

關(guān)于外部組織風(fēng)險的識別

當(dāng)與顧客接觸時強(qiáng)調(diào)安全

第三方合同中的安全要求

ISO27001標(biāo)準(zhǔn)詳解A.7資產(chǎn)管理ISO27001標(biāo)準(zhǔn)詳解A.7.1資產(chǎn)責(zé)任目標(biāo)：實(shí)現(xiàn)并保持組織資產(chǎn)的適當(dāng)保護(hù)。

資產(chǎn)的清單

資產(chǎn)所有者關(guān)系

可接受的資產(chǎn)使用

ISO27001標(biāo)準(zhǔn)詳解

分類指南

信息的標(biāo)識與處理目標(biāo)：確保信息受到適當(dāng)程度的保護(hù)。限制高度機(jī)密秘保密密限制直到2007/1/1

保護(hù)標(biāo)識

A.7.2資產(chǎn)分類與控制ISO27001標(biāo)準(zhǔn)詳解A.8人力資源安全I(xiàn)SO27001標(biāo)準(zhǔn)詳解目標(biāo)：確保員工、合同方和第三方用戶明白他們的職責(zé)， 適合于他們被賦予的任務(wù)，減少因盜竊、欺詐或設(shè)施 誤用造成的風(fēng)險。

任務(wù)和職責(zé)

人員考察

雇用條款和條件

A.8.1雇傭前ISO27001標(biāo)準(zhǔn)詳解A.8.2雇傭期間目標(biāo)：確保所有的員工、合同方和第三方用戶了解信息安全威脅和相關(guān)事宜、他們的責(zé)任和義務(wù)，并在他們的日常工作中支持組織的信息安全方針，

減少人為錯誤的風(fēng)險。

管理職責(zé)信息安全意識、教育與培訓(xùn)懲戒程序

ISO27001標(biāo)準(zhǔn)詳解A.8.3雇傭的終止或變更目標(biāo)：確保員工、合同方和第三方用戶離開組織或雇傭變更時以一種有序的方式進(jìn)行應(yīng)有合適的職責(zé)確保管理雇員、合同方和第三方用戶從組織的退出，并確保他們歸還所有設(shè)備及刪除他們的所有訪問權(quán)力。

終止職責(zé)

資產(chǎn)歸還

撤銷訪問權(quán)限

ISO27001標(biāo)準(zhǔn)詳解A.9物理與環(huán)境安全I(xiàn)SO27001標(biāo)準(zhǔn)詳解A.9.1安全區(qū)域目標(biāo)：防止對組織辦公場所和信息的非授權(quán)物理 訪問、破壞和干擾。

物理安全邊界

物理進(jìn)入控制

辦公室、房間和設(shè)施的安全

防范外部和環(huán)境的威脅

在安全區(qū)域工作

公共訪問和裝卸區(qū)域

ISO27001標(biāo)準(zhǔn)詳解A.9.2設(shè)備安全目標(biāo)：防止資產(chǎn)的丟失、損壞或被盜，以及對組織活動的中斷。

設(shè)備的定置和保護(hù)

支持性設(shè)施

線纜安全

設(shè)備維護(hù)

場外設(shè)備的安全

設(shè)備的安全處理或再利用

資產(chǎn)遷移

ISO27001標(biāo)準(zhǔn)詳解A.10通信與操作管理ISO27001標(biāo)準(zhǔn)詳解A.10.1操作程序及職責(zé)目標(biāo)：確保信息處理設(shè)施的正確和安全操作。

文件化的操作程序

變更管理

職責(zé)分離

開發(fā)、測試和運(yùn)營設(shè)施的 分離

ISO27001標(biāo)準(zhǔn)詳解A.10.2第三方服務(wù)交付管理目標(biāo)：實(shí)施并保持信息安全的適當(dāng)水平，確保第三方交付的服務(wù)符合協(xié)議要求。

服務(wù)交付

監(jiān)控和評審第三方服務(wù)

管理第三方服務(wù)的變更

ISO27001標(biāo)準(zhǔn)詳解A.10.3系統(tǒng)規(guī)劃和驗(yàn)收目標(biāo)：最小化系統(tǒng)失效的風(fēng)險。

容量管理

系統(tǒng)驗(yàn)收

ISO27001標(biāo)準(zhǔn)詳解A.10.4防范惡意代碼和移動代碼目標(biāo)：保護(hù)軟件和信息的完整性。

防范惡意代碼

防范移動代碼

ISO27001標(biāo)準(zhǔn)詳解A.10.5備份目標(biāo)：保持信息和信息處理設(shè)施的完整性和可用性。

信息備份ISO27001標(biāo)準(zhǔn)詳解

網(wǎng)絡(luò)控制

網(wǎng)絡(luò)服務(wù)的安全

A.10.6網(wǎng)絡(luò)安全管理目標(biāo)：確保網(wǎng)絡(luò)中的信息和支持性基礎(chǔ)設(shè)施得到保護(hù)。ISO27001標(biāo)準(zhǔn)詳解A.10.7媒介處置目標(biāo)：防止對資產(chǎn)的未授權(quán)泄漏、修改、移動 或損壞，及對業(yè)務(wù)活動的干擾。

可移動計(jì)算機(jī)介質(zhì)的管理

介質(zhì)處理

信息處理程序

系統(tǒng)文檔的安全

ISO27001標(biāo)準(zhǔn)詳解A.10.8信息交換目標(biāo)：應(yīng)保持組織內(nèi)部或組織與外部 組織之間交換信息和軟件的安全。

信息交換策略和程序

交換協(xié)議

物理媒體傳輸

電子信息

業(yè)務(wù)信息系統(tǒng)

ISO27001標(biāo)準(zhǔn)詳解

在線交易

公共可用信息A.10.9電子商務(wù)服務(wù)

目標(biāo)：確保電子商務(wù)的安全及他們的安全使用。

電子商務(wù)ISO27001標(biāo)準(zhǔn)詳解A.10.10監(jiān)控目標(biāo)：檢測非授權(quán)的信息處理活動。

審計(jì)日志

監(jiān)視系統(tǒng)的使用

日志信息保護(hù)

管理員和操作者日志

故障記錄

時鐘同步

ISO27001標(biāo)準(zhǔn)詳解A.11訪問控制ISO27001標(biāo)準(zhǔn)詳解A.11.1訪問控制業(yè)務(wù)需求

目標(biāo)：控制對信息的訪問。

訪問控制策略

系統(tǒng)管理員 菜單ISO27001標(biāo)準(zhǔn)詳解

用戶注冊

特權(quán)管理

用戶口令管理

用戶訪問權(quán)限的評審

A.11.2用戶訪問管理你無權(quán)訪問 本系統(tǒng)目標(biāo)：確保授權(quán)用戶的訪問，并預(yù)防信息系統(tǒng)的非授權(quán)訪問。ISO27001標(biāo)準(zhǔn)詳解A.11.3用戶責(zé)任目標(biāo)：預(yù)防未授權(quán)用戶的訪問，信息和信 息處理設(shè)施的破壞或被盜。

口令使用

無人值守的用戶設(shè)備

清理桌面及清除屏幕 策略ISO27001標(biāo)準(zhǔn)詳解A.11.4網(wǎng)絡(luò)訪問控制

目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)未經(jīng)授權(quán)的訪問。

網(wǎng)絡(luò)服務(wù)使用策略

外部連接用戶的鑒別

網(wǎng)絡(luò)設(shè)備的識別

遠(yuǎn)程診斷和配置端口保護(hù)

網(wǎng)內(nèi)隔離

網(wǎng)絡(luò)連接控制

網(wǎng)絡(luò)路由控制

ISO27001標(biāo)準(zhǔn)詳解A.11.5操作系統(tǒng)訪問控制目標(biāo)：防止對操作系統(tǒng)的非授權(quán)訪問。

安全登陸程序

用戶標(biāo)識和鑒別

口令管理系統(tǒng)

系統(tǒng)實(shí)用程序的使用

終端時限

連接時間限制

ISO27001標(biāo)準(zhǔn)詳解A.11.6應(yīng)用系統(tǒng)和信息訪問控制目標(biāo)：防止對應(yīng)用系統(tǒng)中信息的非授權(quán)訪問。

信息訪問限制

敏感系統(tǒng)隔離

ISO27001標(biāo)準(zhǔn)詳解A.11.7移動計(jì)算與遠(yuǎn)程工作目標(biāo)：確保在使用移動計(jì)算和遠(yuǎn)程工作設(shè)施時信息的安全。

移動計(jì)算和通信

遠(yuǎn)程工作

ISO27001標(biāo)準(zhǔn)詳解A.12信息系統(tǒng)的獲取、開發(fā)和維護(hù)ISO27001標(biāo)準(zhǔn)詳解A.12.2應(yīng)用系統(tǒng)的正確處理√√√目標(biāo)：防止應(yīng)用系統(tǒng)信息的錯誤、丟失、非授 權(quán)的修改或誤用。

輸入數(shù)據(jù)確認(rèn)

內(nèi)部處理的控制

消息完整性

輸出數(shù)據(jù)確認(rèn)ISO27001標(biāo)準(zhǔn)詳解A.12.3加密控制保密信息34dfjon45?P目標(biāo)：通過加密手段來保護(hù)信息的保密性、真 實(shí)性或完整性。

使用加密控制的策略

密鑰管理ISO27001標(biāo)準(zhǔn)詳解A.12.4系統(tǒng)文檔的安全目標(biāo)：確保系統(tǒng)文檔的安全。

操作軟件的控制

系統(tǒng)測試數(shù)據(jù)的保護(hù)

源代碼的訪問控制

ISO27001標(biāo)準(zhǔn)詳解

變更控制程序操作系統(tǒng)變更后的技術(shù)評審軟件包變更限制信息泄漏軟件開發(fā)外包A.12.5