信息安全、信息技術(shù)IT服務管理體系簡介

信息安全、信息技術(shù)（IT）服務

管理體系簡介

2024/9/242本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹21一、背景介紹3三、體系比較4四、概括總結(jié)2024/9/243本次交流的主要內(nèi)容交流內(nèi)容1一、背景介紹2024/9/244背景介紹我們身邊的信息化：●電腦→筆記本→寬帶●露天電影→家庭影院●銀行取款→刷卡購物●電話→手機→可視電話●手寫情書→依妹兒●電子商務、電子政務……“信息”是有意義的數(shù)據(jù)Internet技術(shù)的飛速增長2024/9/245背景介紹復雜程度InternetEmailWeb瀏覽Intranet站點電子商務電子政務電子交易時間2024/9/246背景介紹信息化出現(xiàn)的新問題：●網(wǎng)上信息可信度差●垃圾電子郵件●信息竊取●網(wǎng)絡入侵●……人們享受信息化便利的同時遭受信息安全問題的困擾?。≡贗nternet上誰又知道我是只狗呢？^Q^2024/9/247背景介紹●基于互聯(lián)網(wǎng)的信息安全問題●基于物理環(huán)境的信息安全問題（靜電、灰塵、鼠蟻蟲害…）●基于自然災害的信息安全問題●基于人為因素的信息安全問題……2024/9/248體系介紹安全涉及的因素：網(wǎng)絡安全信息安全物理安全文化安全2024/9/249體系介紹物理安全容災集群備份環(huán)境溫度電磁濕度2024/9/2410體系介紹網(wǎng)絡安全因特網(wǎng)安全漏洞危害在增大信息對抗的威脅在增加研究安全漏洞以防之電力交通通訊控制廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之網(wǎng)絡對國民經(jīng)濟的影響在加強因特網(wǎng)2024/9/2411體系介紹信息安全信息竊取信息傳遞信息冒充信息篡改信息抵賴加密技術(shù)完整性技術(shù)認證技術(shù)數(shù)字簽名2024/9/2412背景介紹典型案例：★1999年1月，美國黑客組織“美國地下軍團”聯(lián)合了波蘭、英國等黑客組織有組織地對我國的政府網(wǎng)站進行了攻擊。★伊朗核電站被“末日炸彈”病毒攻擊，夾在win32中運行，攻擊公控設備。和U盤使用有關(guān)。2024/9/2413背景介紹典型案例：★2005年6月19日，萬事達公司儲存有大約4千萬信用卡客戶信息的電腦系統(tǒng)遭到一名黑客入侵。被盜賬號的信息資料在互聯(lián)網(wǎng)上公開出售，每條100美元，并被用于金融欺詐活動?！?005年7月12日下午2時35分，承載著超過200萬用戶的北京網(wǎng)通ADSL和LAN寬帶網(wǎng)，突然同時大面積中斷。經(jīng)緊急搶修，至3時30分左右開始網(wǎng)絡逐漸恢復正常。這次事故大約影響了20萬北京網(wǎng)民。2024/9/2414背景介紹典型案例：★中國電子商務協(xié)會等機構(gòu)聯(lián)合發(fā)布《2012年中國網(wǎng)站可信驗證行業(yè)發(fā)展報告》顯示，截止2012年6月底，在過去的一年間，在網(wǎng)購用戶中，有31.8%的網(wǎng)民（6169萬人）曾直接遭遇詐騙網(wǎng)站。每年因詐騙網(wǎng)站給網(wǎng)民造成的損失不低于308億元。截止2012年6月底，全國團購網(wǎng)站累計誕生總數(shù)高達6069家，累計關(guān)閉2859家，死亡率達48%。2024/9/2415背景介紹汶川地震“艷照門”事件互聯(lián)網(wǎng)、微博信息（虛假、色情、反動言論等）景泰藍技術(shù)（掐絲琺瑯）的泄露高考志愿篡改、作弊個人信息、網(wǎng)銀信息泄露……其他典型案例：2024/9/2416背景介紹信息安全的根源：內(nèi)因：網(wǎng)絡和系統(tǒng)的自身缺陷與脆弱性。外因：國家、政治、商業(yè)和個人利益沖突。2024/9/2417背景介紹常用攻擊技術(shù)見下圖：利用弱口令入侵利用系統(tǒng)漏洞入侵利用網(wǎng)絡監(jiān)聽入侵利用網(wǎng)絡欺騙入侵拒絕訪問服務攻擊利用網(wǎng)絡病毒攻擊其它網(wǎng)絡入侵方式典型網(wǎng)絡入侵技術(shù)2024/9/2418背景介紹信息丟失、篡改、銷毀內(nèi)部、外部泄密拒絕服務攻擊邏輯炸彈黑客攻擊計算機病毒后門、隱蔽通道蠕蟲特洛伊木馬網(wǎng)絡2024/9/2419背景介紹產(chǎn)生的背景：

以上案例僅僅是冰山一角。從這些案例可以看出，信息資產(chǎn)一旦遭到破壞，將給組織或個人帶來直接的經(jīng)濟損失，損害聲譽和公眾形象，喪失市場機會和競爭力，更為甚者，會威脅到組織的生存甚至國家安全。信息安全問題出現(xiàn)的初期，人們主要依靠信息安全的技術(shù)和產(chǎn)品來解決信息安全問題。但人們發(fā)現(xiàn)僅僅靠這些產(chǎn)品和技術(shù)還不夠，即使采購和使用了足夠先進、足夠多的信息安全產(chǎn)品，如防病毒、防火墻、入侵檢測、隱患掃描等，仍然無法避免一些信息安全事件的發(fā)生。2024/9/2420背景介紹三分技術(shù)七分管理2024/9/2421背景介紹體系的誕生：

人們開始逐漸意識到管理在解決信息安全問題中的作用。于是ISMS應運而生。2000年12月，國際標準化組織發(fā)布一個信息安全管理的標準－ISO/IEC17799:2000“信息安全管理實用規(guī)則，2005年6月，對該標準進行了修訂，頒布了ISO/IEC17799:2005（現(xiàn)已更名為ISO/IEC27002:2005），10月，又發(fā)布了ISO/IEC27001:2005“信息安全管理體系要求”。之后又發(fā)布了IS0／IEC20000一1：2005“信息技術(shù)服務管理第1部分：規(guī)范”和IS0／IEC20000一2：2005“信息技術(shù)服務管理第2部分：實踐規(guī)則”2024/9/2422背景介紹體系的產(chǎn)生：

信息安全管理體系（InformationSecurityManagementSystem，簡稱為ISMS）是1998年前后從英國發(fā)展起來的信息安全領(lǐng)域中的一個新概念，是管理體系思想和方法在信息安全領(lǐng)域的應用。IT服務管理體系（Informationtechnology—ServiceManagementSystem，簡稱為ITSMS），從2002年開始提出此理念。2024/9/2423背景介紹體系的重要性：如今，我們已經(jīng)身處信息和網(wǎng)絡時代，“計算機和網(wǎng)絡”已經(jīng)成為組織重要的生產(chǎn)工具，“信息”成為主要的生產(chǎn)資料和產(chǎn)品，組織的業(yè)務越來越依賴計算機、網(wǎng)絡和信息，它們共同成為組織賴以生存的重要信息資產(chǎn)?？墒牵嬎銠C、網(wǎng)絡和信息等信息資產(chǎn)在服務于組織業(yè)務的同時，也受到越來越多的安全威脅。病毒破壞、黑客攻擊、信息系統(tǒng)癱瘓、網(wǎng)絡欺詐、重要信息資料丟失以及利用計算機網(wǎng)絡實施的各種犯罪行為，人們已不再陌生，隨時在我們身邊發(fā)生。2024/9/2424背景介紹體系的重要性：

ISMS迅速被全球接受和認可，成為世界各國、各種類型、各種規(guī)模的組織解決信息安全問題的一個有效方法。目前，在信息安全管理體系方面，ISMS標準已經(jīng)成為世界上應用最廣泛與典型的信息安全管理標準。ITSMS標準成為信息技術(shù)服務管理的典型規(guī)范和實踐規(guī)則。這兩體系認證成為組織向社會及其相關(guān)方證明其信息安全水平和服務能力的一種有效途徑。建立體系是組織的一項戰(zhàn)略性決策,保障信息安全和信息技術(shù)服務是一種系統(tǒng)性的工作。2024/9/2425背景介紹體系的重要性：

另外，在實際運行中，體系認證已經(jīng)成為招投標項目中的重要組成部分。傳統(tǒng)三個體系一般各占一分，ISMS在招投標中也越來越受到重視，除了金融、銀行、IT相關(guān)行業(yè)是必然加分項之外，其他行業(yè)也逐漸成為加分項，例如印刷行業(yè)（母嬰三證招投標中，除了國家秘密載體復制證之外，ISMS認證單獨占一分）。ISMS認證和ITSMS認證會在今后招投標項目中更多的引用。2024/9/2426背景介紹體系的現(xiàn)狀：

我們國家非常重視信息安全。2002年4月,我國成立了“全國信息安全標準化技術(shù)委員會(TC260)”。2006年3月，認監(jiān)委批準4家ISMS試點認證機構(gòu)。CNCA于2009年發(fā)布第47號公告《關(guān)于正式開展信息安全管理體系認證工作的公告》。到目前為止，經(jīng)CNAS批準的ISMS認證機構(gòu)有5家，經(jīng)CNCA批準的ISMS認證機構(gòu)有14家。2024/9/2427背景介紹體系的現(xiàn)狀：

2010年8月12日，由工業(yè)和信息化部、國家質(zhì)量監(jiān)督檢驗檢疫總局、中國人民銀行、國務院國有資產(chǎn)監(jiān)督管理委員會、國家保密局、國家認證認可監(jiān)督管理委員會等6部委聯(lián)合下發(fā)了《關(guān)于加強信息安全管理體系認證安全管理的通知》的394號文件。目前，ITSMS還沒有單獨成為體系進行認證，一般和ISMS結(jié)合進行，2012年8月CNCA已經(jīng)正式啟動ITSMS認證機構(gòu)申請材料上報工作。2024/9/2428背景介紹體系的現(xiàn)狀：截止2009年9月，全球有5941個組織獲得了ISMS認證；截止到2009年4月，我國獲得信息安全管理體系認證證書的機構(gòu)約有200家。獲得認證組織的數(shù)量正在呈快速增長趨勢。我們埃爾維已經(jīng)正式提交申請ISMS認證資格的申報材料，不久就能獲得CNCA的批準，隨后我們將繼續(xù)申請ITSMS的認證資格，讓我們共同期待。2024/9/2429背景介紹體系的不足：

ISMS和ITSMS標準是2005年正式發(fā)布的，7年來信息技術(shù)有了飛速的發(fā)展和變化，有些條款和措施已經(jīng)不完全符合現(xiàn)實情況，不能完全滿足現(xiàn)在的要求。ISO組織正對ISMS進行修訂之中，預計明后年就會發(fā)布新版的標準，ITSMS也會隨之更新。2024/9/2430本次交流的主要內(nèi)容交流內(nèi)容二、體系介紹2什么是ISMS？2024/9/2432體系介紹信息安全管理體系（ISMS）：基于業(yè)務風險方法，建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的體系，是一個組織整個管理體系的一部分，注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責、實踐、規(guī)程、過程和資源。信息安全是指：保護信息的保密性(C)、完整性(I)、可用性(A)；另外也可包括如：真實性、可核查性、不可否認性和可靠性等。信息資產(chǎn)的安全屬性：保密性：信息不能被未授權(quán)的個人、實體或者過程利用或知悉的特性。完整性：保護資產(chǎn)的準確和完整的特性?？捎眯裕焊鶕?jù)授權(quán)實體的要求可訪問和利用的特性。真實性：保證主體或資源確系其所聲稱的身份的特性。可核查性：確保實體行為能被有效跟蹤的特性。可靠性：與預想的行為和結(jié)果相一致的特性。是信息資產(chǎn)最重要的三個屬性，國際上稱之為信息的CIA屬性或者信息安全金三角。保密性完整性可用性安全2024/9/2434體系標準介紹

ISO/IEC27000族系列標準1.ISO/IEC27000：2009《信息安全管理體系原理和術(shù)語》2.ISO/IEC27001：2005《信息安全管理體系要求》=GB/T22080-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》3.ISO/IEC27002：2005《信息安全管理實踐規(guī)則》

4.ISO/IEC27003：2008《信息安全管理體系實施指南》5.ISO/IEC27004：2008《信息安全管理測量與指標》

2024/9/2435體系標準介紹

ISO/IEC27000族系列標準6.ISO/IEC27005：2011《信息安全風險管理》7.ISO/IEC27006：2007《信息安全管理體系審核認證機構(gòu)要求》=CNAS-CC17：20128.ISO/IEC27007：2011《信息安全管理體系審核指南》9.ISO/IEC27008：2011《ISMS控制措施審核員指南》10.ISO/IEC27010：2012《部門間和組織間通信的信息安全管理》11.ISO/IEC27011：2009《電信業(yè)信息安全管理指南》2024/9/2436體系標準介紹前言引言1、范圍2、規(guī)范性引用文件3、術(shù)語和定義4、信息安全管理體系（ISMS）5、管理職責6、ISMS內(nèi)部審核7、ISMS的管理評審8、ISMS改進附錄A（規(guī)范性附錄）控制目標和控制措施附錄B（資料性附錄）OECD原則和本標準附錄C（資料性附錄）GB/T19001-2000，GB/T24001-2004和本標準之間的對照參考文獻組織聲稱符合本標準時，對于第4章、第5章、第6章、第7章和第8章的要求不能刪減。2024/9/2437體系標準介紹

ISMS標準刪減要求：此標準特別強調(diào)：對于第4章信息安全管理體系（ISMS）、第5章管理職責、第6章ISMS內(nèi)部審核、第7章ISMS的管理評審和第8章ISMS改進的要求不能刪減。只有針對附錄A的控制措施可以進行必要的刪減，但必須證明是合理的，且需要提供證據(jù)。2024/9/2438體系標準介紹相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do處置Act此標準采用PDCA模型：2024/9/2439體系標準介紹GB/T22080-2008的主體：4-8章4信息安全管理體系（ISMS)4.1總要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2實施和運行ISMS4.2.3監(jiān)視和評審ISMS4.2.4保持和改進ISMS4.3文件要求4.3.1總則4.3.2文件控制4.3.3記錄控制PDCA循環(huán)2024/9/2440體系標準介紹GB/T22080-2008的主體：4-8章5管理職責5.1管理承諾5.2資源管理5.2.1資源提供5.2.2培訓、意識和能力6ISMS內(nèi)部審核7ISMS的管理評審7.1總則7.2評審輸入7.3評審輸出8ISMS改進8.1持續(xù)改進8.2糾正措施8.3預防措施2024/9/2441體系標準介紹ISMS的適用范圍：適用于各種類型、規(guī)模和特性的組織（例如：商業(yè)企業(yè)、政府機構(gòu)、非盈利組織等），規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求（絕不只針對IT行業(yè)和組織的IT部門）。如：金融、銀行……印刷該標準僅僅指出應該使用體系化的方法進行風險評估（風險評估的方法、法律要求、降低風險到可接受級別的策略和目標）。該標準并沒有規(guī)定一個特定的方法論。2024/9/2442體系標準介紹ISMS的適用范圍：按照394號文件要求：為加強信息安全管理體系認證的安全管理,減少信息安全風險，各級政府機關(guān)和政府信息系統(tǒng)運行單位,不得利用社會第三方認證機構(gòu)開展ISMS認證。為確保國家秘密安全,涉密信息系統(tǒng)建設使用單位不得申請ISMS認證。應選擇國家認證認可監(jiān)督管理部門批準從事ISMS認證的認證機構(gòu)進行認證,并簽訂安全和保密協(xié)議,履行不泄露、不擴散、不轉(zhuǎn)讓認證信息的義務,保證重要敏感信息不出境。2024/9/2443體系標準介紹ISMS標準的特點：ISO/IEC27001標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進ISMS提供模型。采用ISMS應當是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS的設計和實施受業(yè)務需求和目標、安全需求、經(jīng)營狀況、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持過程會不斷發(fā)生變化。按照組織的實際需要實施ISMS是該標準所期望的，例如簡單的情況可采用簡單的ISMS解決方案?！ㄗ罴押侠砜尚校?024/9/2444體系標準介紹ISMS標準的特點：ISO27001標準可以作為評估組織滿足顧客、組織本身及法律法規(guī)的信息安全要求的能力的依據(jù)，無論是組織自我評估還是評估供方能力，都可以采用，也可以用作獨立第三方認證的依據(jù)。標準的特點為：*注重體系的完整性，是一套科學的ISMS

*強調(diào)對法律法規(guī)的符合性*以風險評估為基礎，采用PDCA的過程方法*適用于各種類型、不同規(guī)模和業(yè)務性質(zhì)的組織*與其他管理體系兼容（例如ISO9000標準等）2024/9/2445體系標準介紹附錄A內(nèi)容簡介：附錄A——《控制目標和控制措施》包括11大控制領(lǐng)域（見圖1）、39個控制目標和133項控制措施，為組織提供全方位的信息安全保障。附錄A是規(guī)范性附錄，和標準等同使用，可以作為認證時判標的依據(jù)。附錄A中所列的控制目標和控制措施是直接源自并與GB/T22081-2008(ISO/IEC27002:2005)第5章到第15章一致。附錄A中的清單并不詳盡，一個組織可能考慮另外必要的控制目標和控制措施。在附錄A中選擇控制目標和控制措施是條款4.2.1規(guī)定的ISMS過程的一部分。2024/9/2446體系標準介紹2024/9/2447體系標準介紹附錄A小結(jié)：包括11個域，匯集了39個控制目標、133個控制措施；目的是保護信息免受各種威脅的損害，以確保業(yè)務連續(xù)性、業(yè)務風險最小化、投資回報和商業(yè)機遇最大化；是實施GB/T22080-2008的支持標準，給出了組織建立信息安全管理體系（ISMS）時可選擇實施的控制目標和控制措施集；是一個信息安全最佳實踐的匯總；值得注意的是，標準中推薦的這133個控制措施，并非信息安全控制措施的全部。組織可以根據(jù)自己的情況選擇使用標準以外的控制措施來實現(xiàn)組織的信息安全目標。

2024/9/2448體系標準介紹信息安全基本觀點：絕對的安全不存在

任何安全機制的作用，都是為了在既定的安全目標和允許的投資規(guī)模下，有效地抑制和避免系統(tǒng)當前所面臨的安全風險，而不是一勞永逸地解決所有的問題。依據(jù)業(yè)務需求和運營需求，保密性(C)，完整性(I)，可用性(A)三者追求一種平衡，不能把其一搞成極致。否則，會導致無法運行。2024/9/2449體系標準介紹

ISMS標準重點內(nèi)容：體系的核心理念是通過“風險評估”、“風險管理”切入企業(yè)的信息安全需求，經(jīng)由完整的控制措施選擇及落實，有效降低企業(yè)面臨的風險。風險評估是識別風險（資產(chǎn)、威脅、脆弱性、影響）的過程，該過程包括分析威脅,確定影響范圍，發(fā)現(xiàn)信息、信息系統(tǒng)和過程機制中的脆弱性，并判斷發(fā)生的可能性。風險評估有不同方法，在ISO/IECTR13335-3中描述了風險評估方法的例子。2024/9/2450體系標準介紹風險管理關(guān)系圖：風險分析風險評估風險管理風險評價

風險處置

2024/9/2451體系標準介紹

ISMS標準重點術(shù)語：風險管理：指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動。風險評估：風險分析和風險評價的整個過程。（有多種風險評估方法和工具可以選擇）風險分析：系統(tǒng)地使用信息來識別風險來源和估計風險。（可以是定性、定量或二者結(jié)合）風險評價：將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程。（賦值）R（風險值）=L（可能性）×S（后果嚴重性）2024/9/2452體系標準介紹

ISMS標準重點術(shù)語：風險處置：選擇并且執(zhí)行措施來更改風險的過程。風險處置方法有：接受風險、轉(zhuǎn)移風險、規(guī)避風險和降低風險。威脅：可能導致對系統(tǒng)或組織的損害的任何不期望事件的潛在原因。脆弱性：資產(chǎn)可被威脅利用的弱點。（如技術(shù)脆弱性中的系統(tǒng)軟件XP→VISTA→WIN7打補丁）風險水平：風險等級，可用后果和可能性的組合來表示。R（風險值）=L（可能性）×S（后果嚴重性）2024/9/2453體系標準介紹

ISMS標準重點術(shù)語：適用性聲明(SOA)：描述與組織的信息安全管理體系相關(guān)的和適用的控制目標和控制措施的文件。注：控制目標和控制措施是基于風險評估和風險處置過程的結(jié)果和結(jié)論、法律法規(guī)要求、合同義務以及組織對信息安全的業(yè)務要求。1、適用于組織需要的目標和控制的評述。2、適用性聲明是一個包含組織所選擇的控制目標和控制方式的文件，相當于一個控制目標與方式清單：其中應闡述選擇與不選擇的理由。2024/9/2454體系標準介紹

ISMS標準重點內(nèi)容：ISMS范圍的復雜性：應依據(jù)組織的：雇員+簽約人員的數(shù)量、用戶數(shù)量、場所數(shù)量、服務器數(shù)量、工作站+PC+便攜式計算機的數(shù)量、應用開發(fā)與維護人員的數(shù)量、網(wǎng)絡與密碼技術(shù)、法律符合性的重要性、行業(yè)特定風險的適用性等因素去確定。ISMS范圍的復雜性的整體有效類別可以是所識別的全部復雜性因素的類別中最高的那個，結(jié)果即為：“高”、“中”或“低”。2024/9/2455體系標準介紹

ISMS標準重點內(nèi)容：不同組織的風險準則、風險分析的方法和風險評價的結(jié)果會有所不同，對于資產(chǎn)賦值、威脅賦值、脆弱性賦值也會有所不同。同樣一個風險在不同組織可能評價的風險程度會有所不同。由于風險的不確定性，不要期望完全消除風險。2024/9/2456體系標準介紹什么是ITSMS？2024/9/2458體系介紹信息技術(shù)服務管理體系（ITSMS）：

IT服務管理是一套以流程為導向、以客戶為中心的方法，通過整合IT服務與組織業(yè)務，提高企業(yè)提供IT服務和對IT服務進行支持的能力的水準。信息技術(shù)服務管理（ITSM）是一套幫助企業(yè)對IT系統(tǒng)的規(guī)劃、研發(fā)、實施和運營進行有效管理的方法，是一套方法論。這套標準已經(jīng)被歐洲、美洲和澳洲的很多企業(yè)采用，目前在歐洲40-60%的IT經(jīng)理都知道ITSM，在美國有20-30%的IT經(jīng)理了解ITSM,而在國內(nèi)了解ITSM的人還很少。2024/9/2459體系介紹信息技術(shù)服務管理體系（ITSMS）：ITSM起源于ITIL（IT基礎架構(gòu)標準庫），ITIL是CCTA（英國國家電腦局）于1980年開發(fā)的一套IT服務管理標準庫。它把英國在IT管理方面的方法歸納起來，變成規(guī)范，為企業(yè)的IT部門提供一套從計劃、研發(fā)、實施到運維的標準方法。信息技術(shù)服務管理體系（ITSMS）是能夠提供ITSM的體系，是整個管理體系的一部分。2024/9/2460體系標準介紹

ISO/IEC20000系列標準1.IS0／IEC20000一1：2005=GB／T24405．1—2009《信息技術(shù)服務管理第1部分：規(guī)范》——認證的依據(jù)2.IS0／IEC20000一2：2005=GB／T24405．2—2010《信息技術(shù)服務管理第2部分：實踐規(guī)則》——主要涉及IT服務管理過程的最佳實踐指南，旨在為審核員提供指南，也為服務提供方策劃服務改進或依據(jù)GB／T24405-1進行審核提供幫助2024/9/2461體系標準介紹

ITSMS-1部分標準內(nèi)容簡介：ISO/IEC20000系列標準是基于全球公認的ITIL最佳實踐，于2005年12月15日由ISO/IEC對外正式頒布與執(zhí)行的IT服務管理國際標準。它是全球第一部最具國際影響力的IT服務管理體系標準規(guī)范。秉承“以客戶為導向，以流程為中心”的先進理念，強調(diào)按照PDCA的方法論持續(xù)改進組織所提供的IT服務，通過采用系統(tǒng)的流程方法，有效的向客戶提供滿足業(yè)務與客戶需求的高質(zhì)量服務，從而最終保證以最低的成本提供質(zhì)量穩(wěn)定的IT服務，保證業(yè)務持續(xù)運作的能力。2024/9/2462體系標準介紹

ITSMS-1部分標準內(nèi)容簡介：幾個重要術(shù)語：1、基線：在某個時間點上服務或各個配置項的狀態(tài)。2、配置項：處于或?qū)⑻幱谂渲霉芾碇碌幕A設施部件或項。注：配置項在復雜性、規(guī)模和類型方面變化可能很大，配置項可以是整個系統(tǒng)，包括所有的硬件、軟件和文檔，也可以是單個模塊或很小的硬件部件。3、發(fā)布：經(jīng)測試且被引入實際運行環(huán)境的新配置項和（或）變更的配置項的集合。2024/9/2463體系標準介紹

ITSMS-1部分標準內(nèi)容簡介：幾個重要術(shù)語：4、服務臺：面向顧客的、完成大部分支持工作的支持組。5、服務級別協(xié)議（SLA）：服務提供方與顧客之間簽署的、描述服務和約定服務級別的協(xié)議。6、可用性：在規(guī)定時刻或規(guī)定時間段內(nèi)，部件或服務執(zhí)行要求功能的能力。注：可用性通常用機構(gòu)使用的實際可用服務時間與約定服務時間的比率來表示。2024/9/2464體系標準介紹ITSMS-1標準主要內(nèi)容簡介：1范圍2術(shù)語和定義3管理體系要求3.1管理職責3.2文件要求3.3能力、意識和培訓4策劃和實施服務管理4.1策劃服務管理（策劃）4.2實施服務管理和提供服務（實施）4.3監(jiān)視、測量和評審（檢查）4.4持續(xù)改進（處置）2024/9/2465體系標準介紹此標準采用PDCA模型：2024/9/2466體系標準介紹

ITSMS-1標準主要內(nèi)容簡介：5策劃和實施新服務或變更的服務6服務交付過程6.1服務級別管理6.2服務報告6.3服務連續(xù)性和可用性管理6.4IT服務的預算與核算6.5能力管理6.6信息安全管理7關(guān)系過程7.1概述7.2業(yè)務關(guān)系管理7.3供方管理2024/9/2467體系標準介紹

ITSMS-1標準主要內(nèi)容簡介：8解決過程8.1背景8.2事件管理8.3問題管理9控制過程9.1配置管理9.2變更管理10發(fā)布過程10.1發(fā)布管理2024/9/2468體系標準介紹2024/9/2469體系標準介紹

ITSMS-2部分標準內(nèi)容簡介：作為實踐規(guī)則此部分采用指南和建議的形式針對第一部分（規(guī)范）的10項主要內(nèi)容提出了具體要求。描述了在ISO/IEC20000的第1部分中的服務管理的最佳實踐，對如何實現(xiàn)第1部分提供了建議和指導?？捎糜诖笠?guī)模也可用于小規(guī)模的服務提供方。此部分不宜作為規(guī)范引用。2024/9/2470體系標準介紹ITSMS標準的適用范圍：*將以其服務進行投標的機構(gòu)；*要求供應鏈中的所有服務提供方采用一致的方法的機構(gòu)；*要確定IT服務管理基準的服務提供方；*獨立評估的基礎；*需要證明其可提供滿足顧客要求的服務的能力的組織；*意欲通過過程的有效應用來監(jiān)視和提高服務質(zhì)量，從而改善服務的組織。2024/9/2471體系標準介紹ITSMS標準的特點：*

標準為服務提供方定義了向其顧客交付可接受質(zhì)量的管理服務的要求，規(guī)定了一些緊密相關(guān)的服務管理過程，這些過程之間的關(guān)系取決于組織內(nèi)的應用。*

作為基于過程的標準，ISO/IEC20000-1的目的并非用于產(chǎn)品評估。但是開發(fā)服務管理工具、產(chǎn)品和系統(tǒng)的組織可以使用本標準及其實踐規(guī)則來幫助他們開發(fā)支持最佳實踐服務管理的工具、產(chǎn)品和系統(tǒng)。2024/9/2472體系標準介紹ITSMS標準的特點：*

標準與《信息技術(shù)---服務管理---第2部分:實踐規(guī)則》一起覆蓋了ITIL中的全部最佳實踐集，便于已實施ITIL的企業(yè)轉(zhuǎn)化應用，易于對實施ITIL有經(jīng)驗的人士理解和接受；*

與MOF(微軟運作構(gòu)架)、COBIT（信息和相關(guān)技術(shù)的控制目標）等IT服務管理模型有共同的技術(shù)及管理方法基礎；*

與ISO9000、CMMI（軟件能力成熟度模型）、ISO/IEC27001等具有良好的兼容性。2024/9/2473本次交流的主要內(nèi)容交流內(nèi)容3三、體系比較2024/9/2474體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點：*

互相兼容；*

均采用PDCA（“戴明環(huán)”）過程方法；*

均以CNAS-CC01:2011管理體系認證機構(gòu)要求作為基本要求；*

只要ISMS以及與其他管理體系的適當接口能夠清楚地被識別，客戶組織可以將ISMS文件與其他管理體系文件（例如，質(zhì)量、環(huán)境和健康與安全）相結(jié)合。2024/9/2475體系比較ISMS、QMS、EMS、OHSMS、ITSMS等體系之間共同點：*

都必須具備體系文件、程序、職責、方針、目標指標、內(nèi)審、管理評審、相關(guān)法律法規(guī)、糾正措施、預防措施等文件和過程；*

可以相互組合建立一體化管理體系，實現(xiàn)多體系結(jié)合認證；*

認證證書的使用與管理相同（3年有效，1年之內(nèi)監(jiān)督審核，認證標志不能用于產(chǎn)品等）；*

審核人日安排的基本準則相同；*

都是體系認證，認證流程相同。2024/9/2476體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點：*

領(lǐng)域不同；*

適用范圍有所不同（Q/E/H/IS全部適用，IT有些局限）；*

關(guān)注的側(cè)重點有所不同；*

條款的刪減有所不同（Q7.3、E/H/IT不允許刪減、IS只能對附錄A有所刪減）；2024/9/2477體系比較ISMS、QMS、EMS、OHSMA、ITSMS等體系之間不同點：*

對審核員的能力要求有所不同（ISMS、ITSMS對專業(yè)要求更嚴格）；*

認證費用有所不同；*

ISMS需要提供適用性聲明（SOA）文件；*ITSMS暫時還沒有成為單獨體系。2024/9/2478信息安全、質(zhì)量、環(huán)境、IT服務管理體系對應表2024/9/2479信息安全、質(zhì)量、環(huán)境、IT服務管理體系對應表2024/9/2480信息安全、質(zhì)量、環(huán)境、IT服務管理體系對應表2024/9/2481本次交流的主要內(nèi)容交流內(nèi)容4四、概括總結(jié)2024/9/2482概括總結(jié)建立信息安全管理體系的作用：任何組織，不論它在信息技術(shù)方面如何努力以及采納如何新的信息安全技術(shù)，實際上在信息安全管理方面都還存在漏洞，例如：

缺少信息安全管理論壇，安全導向不明確，管理支持不明顯；

缺少跨部門的信息安全協(xié)調(diào)機制；

保護特定資產(chǎn)以及完成特定安全過程的職責還不明確；

雇員信息安全意識薄弱，缺少防范意識，外來人員很容易直接進入生產(chǎn)和工作場所；2024/9/2483概括總結(jié)建立信息安全管理體系的作用：

組織信息系統(tǒng)管理制度不夠健全；

組織信息系統(tǒng)主機房安全存在隱患，如：防火設施存在問題，與危險品倉庫同處一幢辦公樓等；

組織信息系統(tǒng)備份設備仍有欠缺；

組織信息系統(tǒng)安全防范技術(shù)投入欠缺；

軟件知識產(chǎn)權(quán)保護欠缺；

計算機房、辦公場所等物理防范措施欠缺；2024/9/2484概括總結(jié)建立信息安全管理體系的作用：

檔案、記錄等缺少可靠貯存場所；

缺少一旦發(fā)生意外時的保證生產(chǎn)經(jīng)營連續(xù)性的措施和計劃；

……等等。建立ISMS和ITSMS就可以有效解決以上問題。2024/9/2485概括總結(jié)

ISMS認證對企業(yè)的好處：

符合法律法規(guī)要求，降低法律風險；

強化員工的信息安全意識，規(guī)范組織信息安全行為；

增強客戶、合作伙伴等相關(guān)方的信任和信心；

保持組織良好的競爭力和成功運作的狀態(tài)，提高在公眾中的形象和聲譽，提高組織的品牌、知名度與信任度，最大限度的增加投資回報和商業(yè)機會；

促使管理層堅持貫徹信息安全保障體系，履行信息安全管理責任；2024/9/2486概括總結(jié)

ISMS認證對企業(yè)的好處：

實現(xiàn)風險管理，預防信息安全事故，保證組織業(yè)務的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價值