ISO27001詳細(xì)介紹PPT課件.ppt

1、2020/8/15,ISO/IEC 27001簡介,Page 2,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點(diǎn)內(nèi)容 重點(diǎn)章節(jié) 認(rèn)證流程 17799&27001,Page 3,BS7799,BS7799 是英國標(biāo)準(zhǔn)協(xié)會(huì)（British Standards Institute，BSI）針對信息安全管理而制定的一個(gè)標(biāo)準(zhǔn)。 1995 年，BS7799-1:1995信息安全管理實(shí)施細(xì)則首次出版，它提供了一套綜合性的、由信息安全最佳慣例構(gòu)成的實(shí)施細(xì)則，目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考基準(zhǔn)。 1998 年，BS7799-2:1998信息安全管理體系規(guī)范公布，這是

2、對BS7799-1 的有效補(bǔ)充，它規(guī)定了信息安全管理體系的要求和對信息安全控制的要求，是一個(gè)組織信息安全管理體系評估的基礎(chǔ)，可以作為認(rèn)證的依據(jù)。 1999 年4 月，BS7799 的兩個(gè)部分被重新修訂和擴(kuò)展，形成了一個(gè)完整版的BS7799:1999。新版本充分考慮了信息處理技術(shù)應(yīng)用的最新發(fā)展，特別是在網(wǎng)絡(luò)和通信領(lǐng)域。除了涵蓋以前版本所有內(nèi)容之外，新版本還補(bǔ)充了很多新的控制，包括電子商務(wù)、移動(dòng)計(jì)算、遠(yuǎn)程工作等。,Page 4,ISO/IEC 27002(17799),2000 年12 月，國際標(biāo)準(zhǔn)化組織ISO/IEC JTC 1/SC27 工作組認(rèn)可BS7799-1:1999，正式將其轉(zhuǎn)化為國際

3、標(biāo)準(zhǔn)，即所頒布的ISO/IEC 17799:2000信息技術(shù)信息安全管理實(shí)施細(xì)則。 2005 年6 月，ISO/IEC 17799:2000 經(jīng)過改版，形成了新的ISO/IEC 17799:2005，新版本較老版本無論是組織編排還是內(nèi)容完整性上都有了很大增強(qiáng)和提升。 ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式發(fā)布為 ISO/IEC 27002:2005，這次更新只在于標(biāo)準(zhǔn)上的號碼, 內(nèi)容并沒有改變。,Page 5,ISO/IEC 27001,2002 年，BSI 對BS7799:2-1999 進(jìn)行了重新修訂，正式引入PDCA 過程模型，2004 年9 月5 日，

4、BS7799-2:2002 正式發(fā)布。 2005年，BS7799-2:2002 終于被ISO 組織所采納，于同年10 月推出了ISO/IEC 27001:2005。,Page 6,對應(yīng)國內(nèi)標(biāo)準(zhǔn),大陸 2005年6月15日，我國發(fā)布了國家標(biāo)準(zhǔn)信息安全管理實(shí)用規(guī)則(GB/T 19716-2005)。該標(biāo)準(zhǔn)修改采用了ISO/IEC 17799:2000標(biāo)準(zhǔn)。 2008年6月19日， GB/T 19716-2005作廢，改為GB/T 22081-2008 。 臺(tái)灣省 在臺(tái)灣，BS7799-1:1999 被引用為CNS 17799，而BS7799-2:2002 則被引用為CNS 17800。,Page

5、7,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點(diǎn)內(nèi)容 重點(diǎn)章節(jié) 認(rèn)證流程 17799&27001,Page 8,17799標(biāo)準(zhǔn)內(nèi)容,ISO/IEC 17799:2005版包括11 個(gè)方面、39 個(gè)控制目標(biāo)和133 項(xiàng)控制措施 1) 安全方針7) 訪問控制 2) 信息安全組織8) 信息系統(tǒng)獲取、開發(fā)和維護(hù) 3) 資產(chǎn)管理9) 信息安全事故管理 4) 人力資源安全10) 業(yè)務(wù)連續(xù)性管理 5) 物理和環(huán)境安全11) 符合性 6) 通信和操作管理,Page 9,17799:2000 Vs 17799:2005,ISO/IEC 17799:2005版的內(nèi)容與2000版相比

6、，新增加了17 項(xiàng)控制，在客戶往來安全、資產(chǎn)屬主定義、人員離職管理、第三方服務(wù)交付管理、漏洞管理、取證等方面對原標(biāo)準(zhǔn)做了全新闡釋或補(bǔ)充。去掉了原標(biāo)準(zhǔn)中的9 項(xiàng)控制，這些控制或者是不再適應(yīng)信息通信技術(shù)的發(fā)展，或者是已經(jīng)并入到新標(biāo)準(zhǔn)的其他控制內(nèi)容中了。,Page 10,17799的適用性,本實(shí)用規(guī)則可認(rèn)為是組織開發(fā)其詳細(xì)指南的起點(diǎn)。對一個(gè)組織來說，本實(shí)用規(guī)則中的控制措施和指南并非全部適用，此外，很可能還需要本標(biāo)準(zhǔn)中未包括的另外的控制措施和指南。為便于審核員和業(yè)務(wù)伙伴進(jìn)行符合性檢查，當(dāng)開發(fā)包含另外的指南或控制措施的文件時(shí)，對本標(biāo)準(zhǔn)中條款的相互參考可能是有用的。 （引用自ISO/IEC 17799:2

7、005中 “0.8 開發(fā)你自己的指南” ）,Page 11,信息安全起點(diǎn),實(shí)施細(xì)則中有些內(nèi)容可能并不使用于所有組織和企業(yè)，但是有些措施可以使用于大多數(shù)的組織，他們被成為“信息安全起點(diǎn)”。 從法律的觀點(diǎn)看，根據(jù)適用的法律，對某個(gè)組織重要的控制措施包括： a) 數(shù)據(jù)保護(hù)和個(gè)人信息的隱私（見15.1.4）； b) 保護(hù)組織的記錄（見15.1.3）； c) 知識(shí)產(chǎn)權(quán)（見15.1.2）。 被認(rèn)為是信息安全的常用慣例的控制措施包括： a) 信息安全方針文件（見5.1.1）； b) 信息安全職責(zé)的分配（見6.1.3）； c) 信息安全意識(shí)、教育和培訓(xùn)（見8.2.2）； d) 應(yīng)用中的正確處理（見12.2）；

8、 e) 技術(shù)脆弱性管理（見12.6）； f) 業(yè)務(wù)連續(xù)性管理（見14）； g) 信息安全事故和改進(jìn)管理（見13.2）。 這些控制措施適用于大多數(shù)組織和環(huán)境。,（引用自ISO/IEC 17799:2005中 “0.6 信息安全起點(diǎn)” ）,Page 12,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點(diǎn)內(nèi)容 重點(diǎn)章節(jié) 認(rèn)證流程 17799&27001,Page 13,ISMS(信息安全管理系統(tǒng)),ISO/IEC 27001:2005版通篇就在講一件事，ISMS(信息安全管理系統(tǒng))。 本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系（Informati

9、onSecurity Management System，簡稱ISMS）提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需要實(shí)施ISMS，是本標(biāo)準(zhǔn)所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。 本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評估。 （引用自ISO/IEC 27001:2005中 “0.1 總則” ）,Page 14,PDCA（戴明環(huán)）,PDCA（Plan、Do、Check 和Act）是管理學(xué)慣用的一個(gè)過程模型，最早是由休哈特（Wal

10、terShewhart）于19 世紀(jì)30 年代構(gòu)想的，后來被戴明（Edwards Deming）采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程當(dāng)中。 1、P（Plan）-計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃； 2、D（Do）-執(zhí)行，實(shí)地去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容； 3、C（Check）-檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效 果，找出問題； 4、A（Action）-行動(dòng)，對總結(jié)檢查的結(jié)果進(jìn)行處理， 成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教 訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問題放到下一個(gè) PDCA循環(huán)。,Page 15,PDCA特點(diǎn),大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán) PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅

11、適用于整個(gè)工程項(xiàng)目，也適應(yīng)于整個(gè)企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個(gè)人。各級部門根據(jù)企業(yè)的方針目標(biāo)，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來，彼此協(xié)同，互相促進(jìn)。以上特點(diǎn)。,Page 16,PDCA特點(diǎn)(續(xù)),不斷前進(jìn)、不斷提高 PDCA循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個(gè)螺旋式上升的過程。,P,D,C,A,質(zhì)量水平,螺旋上

12、升的PDCA,Page 17,PDCA和ISMS的結(jié)合,Page 18,與其他標(biāo)準(zhǔn)的兼容性,本標(biāo)準(zhǔn)與GB/T 19001-2000及GB/T 24001-1996相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí)施和運(yùn)行。因此，一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1說明了本標(biāo)準(zhǔn)、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO14001:2004）的各條款之間的關(guān)系。 本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來。 （引用自ISO/IEC 27001:2005中 “0.3與其它管理體系的兼容性”

13、） 注：ISO 14001:2004環(huán)境管理體系規(guī)范及使用指南 ISO 9001:2000國際性質(zhì)量管理標(biāo)準(zhǔn),Page 19,與其他標(biāo)準(zhǔn)的兼容性(續(xù)),Page 20,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點(diǎn)內(nèi)容 重點(diǎn)章節(jié) 認(rèn)證流程 17799&27001,Page 21,重點(diǎn)章節(jié),本標(biāo)準(zhǔn)的重點(diǎn)章節(jié)是48章。 前三章的內(nèi)容結(jié)構(gòu)如下所示： 引言 0.1 總則 0.2 過程方法 0.3 與其他管理體系的兼容性 1 范圍 1.1 總則 1.2 應(yīng)用 2 規(guī)范性引用文件 3 術(shù)語和定義,Page 22,第四章 信息安全管理體系,4.1 總要求 一個(gè)組織應(yīng)在其整體業(yè)務(wù)

14、活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的PDCA模型。 4. 2 建立和管理ISMS 4.2.1 建立ISMS(PLAN) 定義ISMS 的范圍 定義ISMS 策略 定義系統(tǒng)的風(fēng)險(xiǎn)評估途徑 識(shí)別風(fēng)險(xiǎn) 評估風(fēng)險(xiǎn) 識(shí)別并評價(jià)風(fēng)險(xiǎn)處理措施 選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制 準(zhǔn)備適用性聲明（SoA） 取得管理層對殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMS,P,D,C,A,Page 23,第四章 信息安全管理體系(續(xù)),4.2.2 實(shí)施和運(yùn)行ISMS(DO) 制定風(fēng)險(xiǎn)處理計(jì)劃 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃 實(shí)施所選的控制措施以滿足控制目標(biāo)

15、 實(shí)施培訓(xùn)和意識(shí)程序 管理操作 管理資源（參見5.2） 實(shí)施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制,P,D,C,A,Page 24,第四章 信息安全管理體系(續(xù)),4.2.3 監(jiān)控和評審ISMS(CHECK) 執(zhí)行監(jiān)視程序和控制 對ISMS 的效力進(jìn)行定期復(fù)審 復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平 按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS 審計(jì) 定期對ISMS 進(jìn)行管理復(fù)審 記錄活動(dòng)和事件可能對ISMS 的效力或執(zhí)行力度造成影響,P,D,C,A,Page 25,第四章 信息安全管理體系(續(xù)),4.2.4 保持和改進(jìn)ISMS(ACT) 對ISMS 實(shí)施可識(shí)別的改進(jìn) 采取恰當(dāng)?shù)募m正和預(yù)防措施 與所有利益伙伴溝通 確

16、保改進(jìn)成果滿足其預(yù)期目標(biāo),P,D,C,A,Page 26,第四章 信息安全管理體系(續(xù)),4.3 文件要求 總則 文件控制 記錄控制,ISO27001 標(biāo)準(zhǔn)所要求建立的ISMS 是一個(gè)文件化的體系，ISO27001 認(rèn)證第一階段就是進(jìn)行文件審核，文件是否完整、足夠、有效，都關(guān)乎審核的成敗，所以，在整個(gè)ISO27001認(rèn)證項(xiàng)目實(shí)施過程中，逐步建立并完善文件體系非常重要。,Page 27,第四章 信息安全管理體系(續(xù)),ISO27001 標(biāo)準(zhǔn)要求的ISMS 文件體系應(yīng)該是一個(gè)層次化的體系，通常是由四個(gè)層次構(gòu)成的： 信息安全手冊：該手冊由信息安全委員會(huì)負(fù)責(zé)制定和修改，是對信息安全管理體系框架的整體描

17、述，以此表明確定范圍內(nèi)ISMS 是按照ISO27001 標(biāo)準(zhǔn)要求建立并運(yùn)行的。信息安全手冊包含各個(gè)一級文件。 一級文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等。一級文件至少包括（可能不限于此）： 信息安全方針 風(fēng)險(xiǎn)評估報(bào)告 適用性聲明（SoA） 二級文件：各類程序文件。至少包括（可能不限于此）： 風(fēng)險(xiǎn)評估流程風(fēng)險(xiǎn)管理流程風(fēng)險(xiǎn)處理計(jì)劃管理評審程序 信息設(shè)備管理程序信息安全組織建設(shè)規(guī)定新設(shè)施管理程序內(nèi)部審核程序 第三方和外包管理規(guī)定信息資產(chǎn)管理規(guī)定工作環(huán)境安全管理規(guī)定介質(zhì)處理與安全規(guī)定 系統(tǒng)開發(fā)與維護(hù)程序業(yè)務(wù)連續(xù)性管理程序法律符合性管理規(guī)定信息系統(tǒng)安全審計(jì)規(guī)定 文件及材料控制程序

18、安全事件處理流程 三級文件：具體的作業(yè)指導(dǎo)書。描述了某項(xiàng)任務(wù)具體的操作步驟和方法，是對各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。 四級文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS 得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。,Page 28,第五章 管理職責(zé),5.1 管理層責(zé)任 說明管理層在ISMS 建設(shè)過程中應(yīng)該承擔(dān)的責(zé)任。 5.2 對資源的管理 5.2.1 資源提供 組織應(yīng)該確定并提供ISMS 相關(guān)所有活動(dòng)必要的資源 5.2.2 培訓(xùn)、意識(shí)和能力 通過培訓(xùn)，組織應(yīng)該確保所有在ISMS 中承擔(dān)責(zé)任的人能夠勝任其職,Page 29,第六章 ISM

19、S 內(nèi)部審計(jì),組織應(yīng)該通過定期的內(nèi)部審計(jì)來確定ISMS 的控制目標(biāo)、控制、過程和程序滿足相關(guān)要求。,Page 30,第七章 ISMS 的管理評審,7.1 概要 管理層應(yīng)該對組織的ISMS 定期進(jìn)行評審，確保其持續(xù)適宜、充分和有效。 7.2 評審輸入 評審時(shí)需要的輸入資料，包括內(nèi)審結(jié)果。 7.3 評審輸出 評審成果，應(yīng)該包含任何決策及相關(guān)行動(dòng)。,Page 31,第八章 ISMS 改進(jìn),8.1 持續(xù)改進(jìn) 組織應(yīng)該借助信息安全策略、安全目標(biāo)、審計(jì)結(jié)果、受監(jiān)視的事件分析、糾正性和預(yù)防性措施、管理復(fù)審來持續(xù)改進(jìn)ISMS 的效力。 8.2 糾正措施 組織應(yīng)該采取措施，消除并實(shí)施和操作ISMS 相關(guān)的不一致

20、因素，避免其再次出現(xiàn)。 8.3 預(yù)防措施 為了防止將來出現(xiàn)不一致，應(yīng)該確定防護(hù)措施。所采取的預(yù)防措施應(yīng)與潛在問題的影響相適宜。,Page 32,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點(diǎn)內(nèi)容 重點(diǎn)章節(jié) 認(rèn)證流程 17799&27001,Page 33,建設(shè)ISMS,第一步工作是建設(shè)ISMS系統(tǒng)，這部分工作可以由組織或者公司自己進(jìn)行，前提是該組織擁有專業(yè)的人才。大部分的公司不具備這樣的能力，這就需要一些專業(yè)的咨詢公司或者安全公司等有27001專業(yè)實(shí)施經(jīng)驗(yàn)的公司協(xié)助進(jìn)行。 建設(shè)ISMS的工作不是一個(gè)純粹的IT建設(shè)，而是建立一個(gè)循序漸進(jìn)的體系，需要公司的全員配合，特

21、別是公司領(lǐng)導(dǎo)層重視，需要成立專門的團(tuán)隊(duì)來負(fù)責(zé)這項(xiàng)工作。,Page 34,建設(shè)ISMS（續(xù)）,文件化很重要，針對標(biāo)準(zhǔn)4.3的內(nèi)容，各個(gè)層次的文件和記錄都需要編寫完備，這些工作也可以由第三方來協(xié)助進(jìn)行。 風(fēng)險(xiǎn)評估，培訓(xùn)等工作的進(jìn)行也需要在咨詢公司的協(xié)助下進(jìn)行。 ISMS初步建立之后，需要運(yùn)行一段時(shí)間，針對出現(xiàn)的問題進(jìn)行修正。,Page 35,提出申請,待ISMS穩(wěn)定運(yùn)行一段時(shí)間之后，可以考慮提出審核申請?？梢赃M(jìn)行27001審核的機(jī)構(gòu)在國內(nèi)有BSI(英國標(biāo)準(zhǔn)化協(xié)會(huì))和DNV(挪威船級社) 等。,Page 36,認(rèn)證審核預(yù)審,預(yù)審核（Pre-assessment Audit）也稱預(yù)審，是在第一階段審核之前執(zhí)行的一種非強(qiáng)制性要求的非正式審核。從本質(zhì)上看，預(yù)審是正式審核的預(yù)演或排練。許多組織都沒有采用預(yù)審核。 預(yù)審是審核員通過使用“差距分析”方法，分析和檢查組織的ISMS與ISO/IEC 27001：2005要求的差距，包括(但不僅限于)： 分析ISMS方針與程序，組織當(dāng)前的業(yè)務(wù)保護(hù)情況； 檢查ISMS是否與其實(shí)際業(yè)務(wù)融合一起； 檢查ISMS是否符合正式審核的基本條件； 檢查組織還有哪些未能按照標(biāo)準(zhǔn)要求進(jìn)行運(yùn)行的領(lǐng)域，包括員工的安全意識(shí)和員工是否知道IS