ISO27001 信息安全管理體系.ppt

1、,ISO17799/BS7799 信息安全管理體系簡介,什么是信息？,Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected. 信息是一種資產(chǎn)，就如同其他的商業(yè)資產(chǎn)一樣，對一個組織而言是具有價值的，因而需要妥善保護。 ISO17799/BS7799 Part 1:1999,2,信息的類型,政府信息-國內(nèi)重要的信息 內(nèi)部信息-不希望競爭對手得到的信息 客戶信息-不希望

2、被泄露的信息 與貿(mào)易伙伴共享的信息 公開信息-任何人都可以自由使用的 列印或?qū)懺诩垙埳系?用電子方式儲存的 以郵件傳輸（包括電子郵件） 以影視或膠片方式表現(xiàn)的 語言交談,3,什么需要保護？,保護重要的商業(yè)“信息”資產(chǎn) 維持競爭優(yōu)勢 法律的要求 商業(yè)形象 安全威脅 安全脆弱 分瘠的安全技術(shù),4,信息-成長及成功的關(guān)鍵因素 15000份的醫(yī)療日志培圾桶中在被發(fā)現(xiàn) 30000個用戶密碼在Internet上公布 推廣的照片提前出現(xiàn)在新聞書刊上 銀行支付數(shù)百萬元給勒索者 25位開發(fā)部的同事跳槽至競爭者公司,為何信息安全是如此重要？,5,盜竊：每失竊或損壞價值一英鎊的信息技術(shù)設(shè)備，將造成十英鎊商業(yè)損失。英

3、國工業(yè)在1996年由電腦失竊而造成的損失超過460億英鎊。 INTERNET：美國五角大樓每日可偵測到80至100個駭客入侵。 電 腦 入 侵：電腦駭客入侵每年以45%的速率在增長。 電 子 郵 件：10%信息無意義，9%包含機密信息，2%笑話及2%帶病毒。 病 毒：起過10000個病毒經(jīng)常性的影響我的電腦及每月有150-200新的病毒產(chǎn)生。 Source:Worldtalk Corporation E-mail surveillance programme.& Computer weekly 1999/09/19,為何信息安全是如此重要？（續(xù)）,6,安全風(fēng)險 法律和合約的需求 內(nèi)部的原則，目

4、標(biāo)和需求 從收集控制方式與適當(dāng)?shù)男枨蟮燃夐_始！,安全需求,7,ISMS發(fā)展歷史,8,2000,1993,1995,1998,1999,ISO17799/BS7799發(fā)布,瑞典開始試點認(rèn)證 瑞典標(biāo)準(zhǔn)SS 62 77 99 Part 12發(fā)布 新版英國標(biāo)準(zhǔn)BS 7799 Part 12發(fā)布,英國開始試點認(rèn)證,英國公布BS 7799第二部份（Part2）,英國公布BS 7799第一部份（Part2）,率先由英國貿(mào)工部倡導(dǎo),ISO17799/BS7799 Structure,Management overview,ISO17799/BS7799,Part1-Guidelines,Index to un

5、derlying level(s),Web With links,Standards for“Best practise”,Specifications for Certification,ISO17799/BS7799,Part2 Requirements standard,Guidelines for Certification,10,Confidentiality 保密性 Integrity 完整性 Availability 可用性,信息安全,11,ISO17799/BS7799 定義信息安全如下： 保密性：確保只有被授權(quán)的人員才能操作信息 完整性：確保信息的完整和正確 可用性：確保信息

6、在需要時隨時可以獲得,信息安全,12,管理者的承諾- 方針目標(biāo) 組織，包含定義職責(zé) 系統(tǒng)結(jié)構(gòu) 程序 文件管制,與ISO9000 相同之處,記錄管理 培訓(xùn) 管理評核 糾正與預(yù)防措施,13,風(fēng)險評估與適用性聲明 選擇適宜的控制 安全目標(biāo)實現(xiàn)的驗證 安全產(chǎn)品正確執(zhí)行的驗證 堅持程序作業(yè)的驗證,與ISO9000 不同之處,14,風(fēng)險評估 業(yè)務(wù)持續(xù)計劃 兩個階段的認(rèn)證,與ISO14000及OHSAS1800 相同之處,15,ISO17799/BS7799 Part 1- 信息安全管理實施規(guī)則 ISO17799/BS7799 Part 2- 信息安全管理體系規(guī)范,ISO17799/BS7799 標(biāo)準(zhǔn),16

7、,Chapter 范圍 Chapter 術(shù)語和定義 Chapter 安全方針 Chapter 組織安全 Chapter 資產(chǎn)分類和控制 Chapter 人員安全,第一部份-章節(jié),Chapter 實物和環(huán)境安全 Chapter 通信和操作管理 Chapter 訪問控制 Chapter 系統(tǒng)開發(fā)和維護 Chapter 商務(wù)連續(xù)性管理 Chapter 符合性,17,信息安全管理體系需求： 10項控制細(xì)則 36個控制目標(biāo) 127個控制方式,第二部分的內(nèi)容,18,Chapter 范圍 Chapter 術(shù)語和定義 Chapter 信息安全管理體系要求 Chapter 控制細(xì)則（與第一部份對應(yīng)）,第二部份-章節(jié),19,4 1安全方針 42組織安全 43資產(chǎn)分類和控制 44人員安全 45實物和環(huán)境安全,第二部份-章節(jié),46通信和操作管理 47訪問控制 48系統(tǒng)開發(fā)和維護 49商務(wù)連續(xù)性管理 410符合性,20,信息安全管理體系的實施,21,持續(xù)改善,安全方針,評估,檢查,執(zhí)行,計劃,管理評審,確定范圍 風(fēng)險分析 控制目標(biāo)與控制方式 適用性聲明 業(yè)務(wù)持續(xù)計劃,組織安全 資產(chǎn)分類與控制 人員安全 實物與環(huán)境安全 重要作業(yè)的保護包含保護的資料