信息安全管理體系

1、整理課件1 信息安全管理 （第二版） ， 信信 息息 安安 全全 管管 理理 信息安全管理 上節(jié)回顧上節(jié)回顧 6 上節(jié)回顧上節(jié)回顧 6 信息安全管理的重要性信息安全管理的重要性 信息安全管理國內(nèi)外現(xiàn)狀信息安全管理國內(nèi)外現(xiàn)狀 信息安全管理體系構(gòu)成信息安全管理體系構(gòu)成 本節(jié)內(nèi)容本節(jié)內(nèi)容 信息安全管理體系概述信息安全管理體系概述1 BS7799信息安全管理體系信息安全管理體系2 ISO27001信息安全管理體系信息安全管理體系 3 6 基于基于SSE-CMM的信息安全管理體系的信息安全管理體系4 人力資源人力資源 IT 信息管理信息管理 Finance財務管理財務管理 業(yè)務管理業(yè)務管理 職業(yè)安全職業(yè)

2、安全 質(zhì)量管理質(zhì)量管理 環(huán)境管理環(huán)境管理 戰(zhàn)略和投資管理戰(zhàn)略和投資管理 綜合管理體系綜合管理體系 市場市場/客戶滿意管理客戶滿意管理 黨務管理黨務管理 ISO 27000 信息安全信息安全 ISO 100015 培培 訓體系訓體系 人力資人力資 源管理體系源管理體系 財務管理體系財務管理體系 戰(zhàn)略和投資管理體系戰(zhàn)略和投資管理體系 ISO 14001 ISO 9000 BS8600客戶滿意管理體系客戶滿意管理體系 職業(yè)安全健康管理體系職業(yè)安全健康管理體系 ISO18000 Qs9000，ISMC 常見管理體系常見管理體系 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 信息安全管理體系

3、信息安全管理體系 （Information Security Management SystemInformation Security Management System，ISMSISMS） 是組織在整體或特定范圍內(nèi)建立的信息安全方針和目是組織在整體或特定范圍內(nèi)建立的信息安全方針和目 標，以及完整這些目標所用的方法和手段所構(gòu)成的體標，以及完整這些目標所用的方法和手段所構(gòu)成的體 系。系。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概

4、述信息安全管理體系概述 u強化員工的信息安全意識，規(guī)范組織信息安全行為；強化員工的信息安全意識，規(guī)范組織信息安全行為； u促使管理層貫徹信息安全保障體系；促使管理層貫徹信息安全保障體系； u對關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢；對關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢； u確保業(yè)務持續(xù)開展并將損失降到最低程度；確保業(yè)務持續(xù)開展并將損失降到最低程度； u使組織的生意伙伴和客戶對組織充滿信心；使組織的生意伙伴和客戶對組織充滿信心； u如果通過體系認證，可以提高組織的知名度與信任度。如果通過體系認證，可以提高組織的知名度與信任度。 2.1 2.1 信息安全管理體系概述信息安全管理體系

5、概述 P P（PlanPlan）計劃，確定方針、目標和活動計劃；計劃，確定方針、目標和活動計劃； D D（DoDo）實施，實現(xiàn)計劃中的內(nèi)容；實施，實現(xiàn)計劃中的內(nèi)容； C C（CheckCheck）檢查，檢查并總結(jié)執(zhí)行計劃的結(jié)果；檢查，檢查并總結(jié)執(zhí)行計劃的結(jié)果； A A（ActionAction）行動，對檢查總結(jié)的結(jié)果進行處理。行動，對檢查總結(jié)的結(jié)果進行處理。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *P P（PlanPlan） 分析目前現(xiàn)狀，找出存在的問題；分析目前現(xiàn)狀，找出存在的問題； 分析產(chǎn)生問題的各種原因以及影響因素；分析產(chǎn)生問題的各種原因以及影響因素； 分析并找出

6、管理中的主要問題；分析并找出管理中的主要問題； 制定管理計劃，確定管理要點。制定管理計劃，確定管理要點。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *D D（DoDo） 本階段的任務是在管理工作中全面執(zhí)行制定的方案。本階段的任務是在管理工作中全面執(zhí)行制定的方案。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *C C（CheckCheck） 它是對實施方案是否合理、是否可行以及有何不妥它是對實施方案是否合理、是否可行以及有何不妥 的檢查。的檢查。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *A A（ActionAction） 2.1 2.

7、1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 確定信息安全方針確定信息安全方針 確定信息安全管理體系的范圍確定信息安全管理體系的范圍 制定風險識別和評估計劃制定風險識別和評估計劃 制定風險控制計劃制定風險控制計劃 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 風險治理風險治理 保證資源、提供培訓、提高安全意識保證資源、提供培訓、提高安全意識 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 自治程序自治程序 日常檢查日常檢查 從其他處學習從其他處學習 內(nèi)部信息安全管理體系審核內(nèi)部信息安全管理體系審核 管理評審管理評審

8、 趨勢分析趨勢分析 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 PDCA循環(huán)是螺旋式上升和發(fā)展的。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 BS7799BS7799的發(fā)展歷史的發(fā)展歷史 * *19931993年，英國貿(mào)易工業(yè)部，年，英國貿(mào)易工業(yè)部，BS7799-1:1995BS7799-1:1995信息安信息安 全管理實施規(guī)則全管理實施規(guī)則； * *19981998年，年，BS7799-2:1998BS7799-2:1998信息安全管理體系規(guī)范信息安全管理體系規(guī)范； * *19991999年，年，BS77

9、99-1:1999BS7799-1:1999取代了取代了BS7799-1:1995BS7799-1:1995標準，標準， BS7799-2:1999BS7799-2:1999取代了取代了BS7799-2:1998BS7799-2:1998標準；標準； 2.2 BS77992.2 BS7799安全管理體系安全管理體系 BS7799BS7799的發(fā)展歷史的發(fā)展歷史 * *國際標準化組織于國際標準化組織于20002000年年1212月正式將月正式將BS7799BS7799轉(zhuǎn)化成轉(zhuǎn)化成 國際標準國際標準ISO/IEC17799ISO/IEC17799； * *20052005年年6 6月月1515日發(fā)

10、布了最新版本日發(fā)布了最新版本ISO/IEC17799:2005ISO/IEC17799:2005。 2.2 BS77992.2 BS7799安全管理體系安全管理體系 BS7799BS7799的發(fā)展歷史的發(fā)展歷史 BS7799BS7799標準的最大意義就在于它給管理層一整套標準的最大意義就在于它給管理層一整套 可可“量體裁衣量體裁衣”的信息安全管理要項、一套與技術負責的信息安全管理要項、一套與技術負責 人或組織高層進行溝通的共同語言，以及保護信息資人或組織高層進行溝通的共同語言，以及保護信息資 產(chǎn)的制度框架。產(chǎn)的制度框架。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系

11、 BS7799BS7799的內(nèi)容的內(nèi)容 * *BS7799-1:BS7799-1:信息安全管理實施規(guī)則信息安全管理實施規(guī)則 主要是給負責開發(fā)的人員作為參考文檔使用，從而主要是給負責開發(fā)的人員作為參考文檔使用，從而 在他們的機構(gòu)內(nèi)部實施和維護信息安全。在他們的機構(gòu)內(nèi)部實施和維護信息安全。 * *BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 詳細說明了建立、實施和維護信息安全管理體系的詳細說明了建立、實施和維護信息安全管理體系的 要求，指出實施組織需要通過風險評估來鑒定最適宜的要求，指出實施組織需要通過風險評估來鑒定最適宜的 控制對象，并根據(jù)自己的需求采取適當?shù)陌踩?/p>

12、控制?？刂茖ο?，并根據(jù)自己的需求采取適當?shù)陌踩刂啤?2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-1:BS7799-1:信息安全管理實施規(guī)則信息安全管理實施規(guī)則 BS7799-1: BS7799-1:信息安全管理實施規(guī)則信息安全管理實施規(guī)則作為國際信息作為國際信息 安全指導標準安全指導標準ISO/IEC17799ISO/IEC17799基礎的指導性文件，包括基礎的指導性文件，包括11 11大大 管理要項，管理要項，134134種控制方法。種控制方法。 2.2 BS77992.2 BS7799信息安全管理體系信息安全

13、管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-1:BS7799-1:信息安全管理實施規(guī)則信息安全管理實施規(guī)則 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 說明了建立、實施和維護信息安全管理體系（說明了建立、實施和維護信息安全管理體系（ISMSISMS） 的要求；的要求； 指出實施組織需要通過風險評估來鑒定最適宜的控制指出實施組織需要通過風險評估來鑒定最適宜的控制

14、 對象；對象； 根據(jù)自己的需求采取適當?shù)陌踩刂?。根?jù)自己的需求采取適當?shù)陌踩刂啤?2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005更注重更注重PDCAPDCA的過程管理模式，的過程管理模式， 能夠更好的與組織原有的管理體系，如質(zhì)量管理體系、能夠更好的與組織原有的管理

15、體系，如質(zhì)量管理體系、 環(huán)境管理體系等進行整合，減少組織的管理過程，降低環(huán)境管理體系等進行整合，減少組織的管理過程，降低 管理成本。管理成本。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 2005.10 2005.10，英國信息安全管理體系標準，英國信息安全管理體系標準BS7799-2BS7799-2：20022002 作為國際標準作

16、為國際標準ISO/IEC 27001ISO/IEC 27001：20052005采用，標志著信息安全采用，標志著信息安全 管理體系認證進入了一個新階段。管理體系認證進入了一個新階段。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 截至截至2005.112005.11，全球共簽發(fā)了，全球共簽發(fā)了18821882張認證證書，張認證證書， 如

17、：如：Siemens,NEC,CANONSiemens,NEC,CANON、EPONEPON、IBMIBM等。等。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 27001標準族標準族 27000 27001 27002 27003 27004 27005 27006 27007 ISMS原則和術語 ISMS要求 2005 17799：2005 ISMS最佳實踐 ISMS實施指南 管理度量 風險管理 信息安全管理體系 審核認證機構(gòu)要求 信息安全管理審計 2.3 ISO270002.3 ISO27000標準族標準族 p 每年成倍增長的全球ISMS認證證書 平均每天有1

18、0家組織機構(gòu)通過ISO27001體系認證. 全球全球ISMS的現(xiàn)狀的現(xiàn)狀 2.3 ISO270002.3 ISO27000標準族標準族 ISO 27001/ISO 27002標準發(fā)展 標準改版背景標準改版背景 國際標準化組織（ISO組織）遵循所有標準每隔5年必須進 行升級的原則。 當前版本的信息安全管理體系標準ISO 27001：2005與ISO 27002：2005已絆使用了8年。 ISO 27001：2005與ISO 27002：2005版在體系整合、控制 項邏輯性不充分性等方面都有改進的空間。 2000年4月將BS7799-1：1999 提交ISO組織，同年10月獲得 通過成為ISO 1

19、7799：2000 BS7799標準1992年 在英國首次作為行 業(yè)標準發(fā)布 ISO 17799 ： 2005 正 式 更名為ISO 27002 : 2007 2013年10月19日修訂 原版使用： ISO 27001：2013 ISO 27002：2013 2007 2013 BS 7799-2：2002成為國 際標準ISO 27001：2005 ISO 17799：2000修訂升 級為ISO 17799：2005版 2005 將BS7799-2：2000進行修 訂發(fā)布了BS7799-2：2002 2002 將BS 7799-2：1999進行修 訂發(fā)布了BS7799-2：2000 2001

20、2000 在1998年、1999年絆過 兩次修訂之后出版 BS7799-1：1999 BS7799-2：1999 1998 /1999 1992 標準改版特點標準改版特點 管理體系更容易整合：在新版標準中采取Annex SL做結(jié)構(gòu) 性要求，使信息安全管理體系更容易與其他管理體系融合。 融入企業(yè)面臨新安全挑戰(zhàn)：對部分控制項進行了合并、刪除， 并且新增了部分控制項以反映當前信息安全發(fā)展趨勢。 更多指引延伸參考：新增許多指引供企業(yè)參考，組織可以通 過不同的面以及風險進行深度的強化。 2.3 ISO270002.3 ISO27000標準族標準族 ISMS在中國在中國 2000年前后，ISMS開始被中國

21、用戶認識 2002年11月， ISMS國家標準開始被研究和制定 2005年6月15日，我國發(fā)布第一個ISMS國家標準“GB/T19716- 2005信息安全管理實用規(guī)則”，該標準修改采用ISO/IEC17799:2000 2006年3月，國信辦在5個單位開展ISMS標準應用試點工作 2006年4月，認監(jiān)委批準4家ISMS試點認證機構(gòu) 2006年11月，成立中國信息安全認證中心 2007年4月，中國向國際標準化組織ISO/IEC JTC1/SC27提出ISMS 審核標準提案 2008年 GB22080-2008-T信息技術 安全技術 信息安全 管理體系 要求 2008年 GB22081-2008

22、-T信息技術 安全技術 信息安全 管理實用 規(guī)則 2.3 ISO270002.3 ISO27000標準族標準族 u 可以強化員工的信息安全意識，規(guī)范組織信息安全行為。 u 對組織的關鍵信息資產(chǎn)進行全面系統(tǒng)的保護，維持競爭優(yōu)勢。 u 在信息系統(tǒng)受到侵害時，確保業(yè)務連續(xù)開展并將損失降到最低程度。 u 向貿(mào)易伙伴證明對信息安全的承諾，使貿(mào)易伙伴和客戶對組織充滿信心。 u 如果通過體系認證，表明組織的信息安全體系符合標準，證明組織有能力 保障重要信息，提高組織的知名度與信任度。 u 促使管理層堅持貫徹信息安全保障體系。 通過通過ISO27001認證的意義認證的意義 2.3 ISO270002.3 IS

23、O27000標準族標準族 ISMS核心思想核心思想 IS0/IEC27001:2005IS0/IEC27001:2005的要求的要求 2.3 ISO270002.3 ISO27000標準族標準族 相關方相關方 受控的受控的 信息安全信息安全 信息安全信息安全 要求和期望要求和期望 相關方相關方 檢查檢查Check 建立ISMS 實施和 運行 ISMS 保持和 改進ISMS 監(jiān)視和 評審ISMS 規(guī)劃規(guī)劃Plan 實施實施 Do 處置處置 Act IS0/IEC27001:2005的要求的要求 PDCAPDCA各階段各階段內(nèi)容內(nèi)容對應標準條款對應標準條款 P-規(guī)劃規(guī)劃 建立建立ISMS 建立與管

24、理風險和改進信息安全有關的建立與管理風險和改進信息安全有關的ISMSISMS方方 針、目標、過程和程序，以提供與組織整體方針、目標、過程和程序，以提供與組織整體方 針和目標相一致的結(jié)果針和目標相一致的結(jié)果 4.1 4.2.1 4.3 5 D-實施實施 實施和運行實施和運行 ISMS 實施和運行實施和運行ISMSISMS方針、控制措施、過程和程序方針、控制措施、過程和程序 4.2.2 C-檢查檢查 監(jiān)視和評審監(jiān)視和評審 ISMS 對照對照ISMSISMS方針、目標和實踐經(jīng)驗，評估并在適方針、目標和實踐經(jīng)驗，評估并在適 當時，測量過程的執(zhí)行情況，并將結(jié)果報告管當時，測量過程的執(zhí)行情況，并將結(jié)果報告

25、管 理者以供評審理者以供評審 4.2.3 6 7 A-處置處置 保持和改進保持和改進 ISMS 基于基于ISMSISMS內(nèi)部審核和管理評審的結(jié)果或者其他內(nèi)部審核和管理評審的結(jié)果或者其他 相關信息，采取糾正和預防措施，以持續(xù)改進相關信息，采取糾正和預防措施，以持續(xù)改進 ISMSISMS 4.2.4 8 2.3 ISO270002.3 ISO27000標準族標準族 11個控制域39個控制目標133個控制項 10個控制域36個控制目標127個控制項 對比ISO17799:2000老版 ISO27001系列標準的系列標準的ISMS主體內(nèi)容主體內(nèi)容 2.3 ISO270002.3 ISO27000標準族

26、標準族 uISO27001：源自BS7799-2框架體系 u是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范，一個完整的解決方案 安全策略安全策略 Security policy 人力資源安全人力資源安全 Human resources security 物理與環(huán)境安全物理與環(huán)境安全 Physical and environmental security 通信與操作管理通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開發(fā)和維信息系統(tǒng)獲取、開發(fā)和維 護護 Information systems acquisition, developm

27、ent and maintenance 組織信息安全組織信息安全 Organizing information security 資產(chǎn)管理資產(chǎn)管理 Asset management 訪問控制訪問控制 Access control 信息安全事件管理信息安全事件管理 Information security incident management 業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理 Business continuity management 符合性符合性 Compliance ISO27001的內(nèi)容框架的內(nèi)容框架 2.3 ISO270002.3 ISO27000標準族標準族 ISO/IEC27001的

28、要求的要求 pISO/IEC27001:2005 附錄附錄A的要求的要求 章節(jié)章節(jié)控制措施域控制措施域控制目標控制目標控制措施控制措施 A.5安全方針安全方針12 A.6信息安全組織信息安全組織211 A.7資產(chǎn)管理資產(chǎn)管理25 A.8人力資源安全人力資源安全39 A.9物理和環(huán)境安全物理和環(huán)境安全213 A.10通信和操作管理通信和操作管理1032 A.11訪問控制訪問控制725 A.12信息系統(tǒng)獲取、開發(fā)和維護信息系統(tǒng)獲取、開發(fā)和維護616 A.13信息安全事故管理信息安全事故管理25 A.14業(yè)務連續(xù)性管理業(yè)務連續(xù)性管理15 A.15符合性符合性310 合計合計39133 2.3 ISO

29、270002.3 ISO27000標準族標準族 ISMS實施過程實施過程 前期準備前期準備現(xiàn)狀調(diào)查現(xiàn)狀調(diào)查 搜集搜集 基本信息基本信息 現(xiàn)場訪談現(xiàn)場訪談 GAP 問卷調(diào)查問卷調(diào)查 運維現(xiàn)狀運維現(xiàn)狀 問卷調(diào)查問卷調(diào)查 技術安全技術安全 現(xiàn)場檢查現(xiàn)場檢查 資產(chǎn)清單資產(chǎn)清單 風險評估風險評估體系建立體系建立 IT資產(chǎn)評估資產(chǎn)評估 確定確定 風險水平風險水平 IT過程評估過程評估 (試點試點) 培訓培訓 風險管理風險管理 策略策略 體系運行體系運行 體系文檔體系文檔 編寫編寫 培訓培訓 完善治理完善治理 機制機制 建立建立 安全組織安全組織 資產(chǎn)保護資產(chǎn)保護 過程改進過程改進 體系試運行體系試運行 體

30、系體系 正式運行正式運行 建立體系建立體系 審核機制審核機制 體系調(diào)整體系調(diào)整 培訓培訓 體系體系 認證認證 成立成立 項目小組項目小組 宣傳動員宣傳動員 確定項目確定項目 實施方案實施方案 培訓培訓 2.3 ISO270002.3 ISO27000標準族標準族 領導重視領導重視:制定信息安全方針為信息安全管理提供導向和 支持 控制目標和控制方式的選擇建立在 風險評估風險評估 的基礎之 上 預防控制為主的思想原則 全員參與全員參與原則 動態(tài)管理原則 持續(xù)改進持續(xù)改進: :遵循管理的一般循環(huán)模式PDCA模式 持續(xù)性原則 文件化文件化 ISO27001 實施體現(xiàn)以下原則實施體現(xiàn)以下原則 2.3 I

31、SO270002.3 ISO27000標準族標準族 2.3 ISO270002.3 ISO27000標準族標準族 Procedures Work Instructions, checklists, forms, etc. Records Security Manual Policy, scope risk assessment, statement of applicability Describes processes who, what, when, where (4.1- 4.10) Describes how tasks and specific activities are done

32、 Provides objective evidence of compliance to ISMS requirements clause 3.6 Management framework policies relating to ISO27001:2005 Clause 4 Level 2 Level 3 Level 4 ISO27001體系要求基本文檔體系要求基本文檔 Level 1 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu) 運行記錄運行記錄 程序文件程序文件 方針方針 策略策略 作業(yè)文件作業(yè)文件/指導書指導書 第一級第一級 方針策略方針策略 信息安全管理手冊信息安全管理手冊是是XXXX

33、信信 息安全管理工作的綱領性文件息安全管理工作的綱領性文件 。 第二級第二級 管理規(guī)定、規(guī)范、程序文件用來規(guī)定所要求管理規(guī)定、規(guī)范、程序文件用來規(guī)定所要求 的管理制度或技術控制措施。的管理制度或技術控制措施。 第三級第三級 作業(yè)指導書解釋特殊工作和活動的細節(jié)作業(yè)指導書解釋特殊工作和活動的細節(jié) ； 場所文件規(guī)定某一工作區(qū)域的要求場所文件規(guī)定某一工作區(qū)域的要求 。 第四級第四級 記錄活動實行以符合等級記錄活動實行以符合等級1,2,和和3的文件的文件 要求的客觀證據(jù)，闡明所取得的結(jié)果或要求的客觀證據(jù)，闡明所取得的結(jié)果或 提供完成活動的證據(jù)提供完成活動的證據(jù) 2.3 ISO270002.3 ISO27

34、000標準族標準族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu)-主策略主策略 運行記錄運行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導書指導書 2.3 ISO270002.3 ISO27000標準族標準族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu)-程序文件程序文件 運行記錄運行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導書指導書 2.3 ISO270002.3 ISO27000標準族標準族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu)-操作流程操作流程 運行記錄運行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導書指導書 2.3 ISO270002.

35、3 ISO27000標準族標準族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu) 運行記錄運行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導書指導書 2.3 ISO270002.3 ISO27000標準族標準族 ISO27001 ISO27001 最新版本為最新版本為ISO 27001:2013ISO 27001:2013 20132013年年1010月正式發(fā)布月正式發(fā)布 對比：對比： ISO 27001:2013 1414個控制域個控制域 3535個控制目標個控制目標 114114個控制項個控制項 ISO 27001:2005 11 11個控制域個控制域 3939個控制目標個控制目

36、標 133133個控制項個控制項 2.3 ISO270002.3 ISO27000標準族標準族 ISO Guide 83：國際標準未來框架 單化，這也將使標準更易讀、易懂。 所 有 管 理 體 系 標 準 將 遵 循 ISO Supplement Annex SL 的要求，以便整 合其他標準文件中的不同主題和要求， 如： 統(tǒng)一定義，如：統(tǒng)一定義，如： 組織、相關方、方針、目標、能力、 符合性 統(tǒng)一的表述，如：統(tǒng)一的表述，如： 最高管理者應確保組織內(nèi)的職責、 權限得到規(guī)定和溝通。 1. Scope 范圍 2. Normative Reference 規(guī)范性引用文件 4. Context of t

37、he Organization 組織環(huán)境 5. Leadership 領導力 6. Planning 策劃 7. Support 支持 8. Operation 運行 9. Performance Evaluation 績效評價 10. Improvement 改進 ISO 27001 ISO 20000ISO 22301 . 導則導則83： 明確了明確了 ISO國際標準未來發(fā)展框架及方向國際標準未來發(fā)展框架及方向 3. Terms and Definitions 術語和定義 管理體系標準新結(jié)構(gòu)和格式 國際標準化組織對管理體系標準在 結(jié)構(gòu)、格式、通用短語和定義方面進 行了統(tǒng)一。這將確保今后編制

38、或修訂 管理體系標準的持續(xù)性、整合性和簡 PAS 99：整合管理體系 4. Context of the Organization 組織環(huán)境 PAS 99 Integrated Management Framework 5. Leadership 領導力 Plan 6. Planning 策劃 7. Support 支持 DO 8. Operation 運行 Check 10. Improvement 改進 Act 9. Performance Evaluation 績效評價 ISO 27001:2013標準結(jié)構(gòu)調(diào)整 相關方 相關方 信息安全 要求和期望 受控的 信息安全 輸入 組織環(huán)境 領導

39、力 策劃 支持 改進 績效評價 輸入 運行 文件信息 新標準正文內(nèi)容結(jié)構(gòu) 2.3 ISO270002.3 ISO27000標準族標準族 ISO27001:2013文檔結(jié)構(gòu)與PDCA 新標準正文結(jié)構(gòu)變化 0.前言 1.范圍 2.規(guī)范性引用文件 3.術語和定義 4.信息安全管理體系 4.1 總要求 4.2 建立和管理ISMS 4.3 文件要求 5.管理職責 6.ISMS內(nèi)部審核 7.ISMS的管理評審 8.ISMS 改進 0.前言 1.范圍 2.規(guī)范性引用文件 3.術語和定義 4. 組織環(huán)境 5. 領導力 6. 策劃 7. 支持 8. 運行 9. 績效評價 10. 改進 章節(jié) 描述 4.組織環(huán)境

40、屬于Plan階段的一個組成部分。 本章介紹了建立適用于組織信息安全管理環(huán)境的必要要求，包括需求、要求與范圍。 本章涉及了解組織現(xiàn)狀及背景、明確建立信息安全管理體系的目的、理解相關方的需求與期望、確定信 息安全管理體系范圍。 5.領導力 屬于Plan階段的一個組成部分。 本章總結(jié)了最高管理層在信息安全管理體系中承擔角色的具體要求，以及如何通過一件聲明的策略來向 組織傳達領導層的期望。 本章涉及了領導力和承諾、信息安全方針目標，以及角色、職責和承諾。 6.策劃 屬于Plan階段的一個組成部分。 本章介紹了處理風險和機遇的行動，以及可實現(xiàn)的信息安全目標與實現(xiàn)計劃。 本章涉及了信息安全風險評估、風險所

41、有者、信息安全風險處置、適用性聲明、信息安全目標。 7.支持 屬于Plan階段的一個組成部分。 參與人員的能力、意識、與利益相關方溝通、文檔化信息。 新標準正文內(nèi)容簡介 本章詳細敘述了建立、實施、保持和改進一個有效的信息安全管理體系所要求的支持。包括：資源要求、 章節(jié)描述 8.運行屬于Do階段的一個組成部分。 本章要求組織計劃并控制信息安全要求的運行。 本章涉及運行計劃及控制、信息安全風險評估、信息安全風險處置。 9.績效評價屬于Check階段的一個組成部分。 本章總結(jié)了度量ISMS執(zhí)行、ISMS國際標準及管理層期望的符合性、尋求管理層期望反饋的要求。 本章涉及監(jiān)控、度量、分析和評價，內(nèi)部審核

42、，管理評審。 10.改進屬于Act階段的一個組成部分。 本章定義了通過糾正行動來識別和改進不符合項。 本章涉及不符合項與糾正措施、持續(xù)改進。 新標準正文內(nèi)容簡介 新標準控制域變化 ISO 27001：2013 DIS A.5 安全方針 A.6 信息安全組織 A.7 人力資源安全 A.8 資產(chǎn)管理 A.9 訪問控制 A.10 密碼學(新增) A.11 物理與環(huán)境安全 A.12 操作安全(拆分） A.13 通信安全（拆分） A.14 信息系統(tǒng)獲取、開發(fā)和維護 A.15 供應關系(新增) A.16 信息安全事件管理 A.17 信息安全方面的業(yè)務連續(xù)性管理 A.18 符合性 ISO 27001：200

43、5 A.5 安全方針 A6 信息安全組織 A7 資產(chǎn)管理 A8 人力資源安全 A9 物理與環(huán)境安全 A10 通信和操作管理 A11 訪問控制 A12 信息系統(tǒng)獲取、開發(fā)和維護 A13 信息安全事件管理 A14 業(yè)務連續(xù)性管理 A15 符合性 Tips 2005版原本有11個領域、133項控制措施；新版標準目前調(diào)整為14個領域、113個控制措施. 控制措施變化：增加11個、刪除26個、合并減少5個，總計減少了20個。 控制項描述說明 A.6.1.4項目管理中的信息安全信息安全應融入項目管理中，與項目類型無關。加強項目中的安全管理。 A.12.6.2限制軟件安裝應建立規(guī)則來控制用戶安裝軟件控制版權

44、及技術漏洞風險。 A.14.2.1安全開發(fā)策略應制定及應用關于軟件和系統(tǒng)的開發(fā)規(guī)則加強信息系統(tǒng)生命周期中 的信息安全管理，建立安 全開發(fā)策略、程序與流程。 A.14.2.5系統(tǒng)開發(fā)程序應建立安全系統(tǒng)開發(fā)流程，記彔，維護并應用到任何信息系統(tǒng)開發(fā) 工作 A.14.2.6安全的開發(fā)環(huán)境組織應建立并適當保護開發(fā)環(huán)境安全，并集成涵蓋整個系統(tǒng)開發(fā)周 期的工作 A.14.2.8系統(tǒng)安全性測試在開發(fā)的過程中，必須測試功能的安全性 A.15.1.3ICT(信息和通信技術)供 應鏈 與供應商的協(xié)議應包括解決信息、通信技術服務、產(chǎn)品供應鏈相關 信 息安全風險的要求 控制供應鏈中斷風險。 A.16.1.4信息安全事件

45、的評估和 決策 信息安全事件應當被評估與決策，若其被歸類為信息安全事件。完善信息安全事件管理生 命周期。 A.16.1.5信息安全事故的響應信息安全事件應依照程序文件響應 A.17.1.2實現(xiàn)信息安全的連續(xù)性 組織應建立、記彔、實施并維護流程、程序、控制項，以保證在不 利情況下要求的信息安全連續(xù)性的等級。 加強可用性管理，完善原 BCM(業(yè)務連續(xù)性)管理的生 命周期。 A.17.2.1信息處理設施的可用性 信息處理設施應當實現(xiàn)冗余，以滿足可用性需求。 新增控制措施介紹 ISO 27001：2013 DISISO 27001：2005 A.6.1.1信息安全的角色和 職責A.6.1.3 信息安全

46、職責的分配 A.8.1.1 角色和職責 A.9.2.1用戶注冊和注銷A.11.2.1 用戶注冊 A.11.5.2 用戶標識和鑒別 A.9.4.2安全登彔程序A.11.5.1 安全登彔規(guī)程 A.11.5.5 會話超時 A.11.5.6 聯(lián)機時間的限定 A.12.4.2管理員和操作員日 志A.10.10.3 日志信息的保護 A.10.10.4 管理員和操作員日志 A.14.1.2保護公共網(wǎng)絡上的應用服務A.10.9.1 電子商務 A.10.9.3 公共可用信息 合并控制措施介紹 刪除控制措施理由 A.6.1.1信息安全的管理承諾在ISO 27001正文中管理層承諾中已絆包含其內(nèi)容 A.6.1.2信

47、息安全協(xié)調(diào)內(nèi)容與ISO 27003中關于ISMS建立與實施的內(nèi)容重復 A.6.1.4信息處理設施的授權過程在A6.1.1中的一部分，沒有必要再單獨出現(xiàn) A.6.2.1與外部各方相關風險的識別在ISO 27001正文風險評估與處理中已絆體現(xiàn) A.6.2.2處理與顧客有關的安全問題在ISO 27001正文風險評估與處理中已絆體現(xiàn) A.10.2.1服務交付沒有原因 A.10.7.4系統(tǒng)文件安全系統(tǒng)文件也屬于信息資產(chǎn)，他們?nèi)绾伪Ｗo取決于其風險 A.10.8.5業(yè)務信息系統(tǒng)該控制項幾乎涉及整個標準，控制效果不明顯 A.10.10.2監(jiān)視系統(tǒng)的使用是Event Logging（A12.4.1）控制措施的子

48、集 A.10.10.5故障日志是Event Logging（A12.4.1）控制措施的子集 刪除控制措施介紹 刪除控制措施理由 A.11.4.2外部連接的用戶鑒別被相關內(nèi)容被access control(A.9.1.1)涵蓋 A.11.4.3網(wǎng)絡上的設備識別相關內(nèi)容被 networks control（A.13.1.3）涵蓋 A.11.4.4 遠程診斷和配置端口的保護相關內(nèi)容被 networks control（A.13.1.3）涵蓋 A.11.4.6網(wǎng)絡連接控制相關內(nèi)容被 networks control（A.13.1.3）涵蓋 A.11.4.7 網(wǎng)絡路由控制相關內(nèi)容被 networks c

49、ontrol（A.13.1.3）涵蓋 A.11.6.2敏感系統(tǒng)隔離在互聯(lián)互通的世界這個控制措施的目標很難實現(xiàn) A.12.2.1輸入數(shù)據(jù)確訃相關內(nèi)容在System development procedures（A.14.2.5）體現(xiàn) A.12.2.2內(nèi)部處理的控制相關內(nèi)容在System development procedures（A.14.2.5）體現(xiàn) A.12.2.3消息完整性相關內(nèi)容在 Information transfer policies and procedures （A.13.2.1）體現(xiàn) A.12.2.4輸出數(shù)據(jù)確訃相關內(nèi)容在System development procedu

50、res（A.14.2.5）體現(xiàn) 刪除控制措施介紹 刪除控制措施理由 A.12.5.4信息泄露相關內(nèi)容在A.8.3.2/A.11.2.1/A.12.6.2/A.13.2.4和其他 區(qū)域都有涉及 A.14.1.1 在業(yè)務連續(xù)性管理過程中包含信息安全相關控制內(nèi)容在Implementing information security continuity（A.17.1.2）有體現(xiàn) A.14.1.3制定和實施包含信息安全的連續(xù)性計劃相關控制內(nèi)容在Implementing information security continuity（A.17.1.2）有體現(xiàn) A.14.1.4 業(yè)務連續(xù)性計劃框架相關控制內(nèi)

51、容在Implementing information security continuity（A.17.1.2）有體現(xiàn) A.15.1.5防止濫用信息處理設施該控制內(nèi)容與英國的一部法律相關 A.15.3.2信息系統(tǒng)審計工具的保護審計工具也屬于信息資產(chǎn)，其保護由其有風險決定 刪除控制措施介紹 序號標準編號標準名稱出版年件 1ISO/IEC 27000信息技術-安全技術-信息安全管理體系-概述與術語2009 2ISO/IEC 27001信息技術-安全技術-信息安全管理體系-要求2005 3ISO/IEC 27002信息技術-安全技術-信息安全管理實用規(guī)則2005 4ISO/IEC 27003信息技術

52、-安全技術-信息安全管理體系實施指南2010 5ISO/IEC 27004信息技術-安全技術-信息安全管理-度量2009 6ISO/IEC 27005信息技術-安全技術-信息安全風險管理2011 7ISO/IEC 27006信息技術-安全技術-信息安全管理體系訃證機構(gòu)要求2007 8ISO/IEC 27007信息技術-安全技術-信息安全管理體系審核指南2011 9ISO/IEC 27008信息技術-安全技術-ISMS控制措施的審核員指南2011 10ISO/IEC 27010信息技術-安全技術-部門間和組織間通信的信息安全管理2012 11ISO/IEC 27011信息技術-安全技術-通訊行業(yè)

53、基于ISO/IEC 27002的信息安全管理指 南 2008 ISO 27000標準系列 序號標準編號標準名稱出版年件 12 ISO/IEC 27013 信息技術-安全技術- ISO/IEC 27001與 ISO/IEC 20000-1整合實施指 南 2012 13 ISO/IEC 27014 信息技術-安全技術- 信息安全治理架構(gòu) 2013 14 ISO/IEC 27015 信息技術-安全技術- 金融服務行業(yè)信息安全管理指南 2012 15 ISO/IEC 27017 信息技術-安全技術- 信息安全管理-基于ISO/IEC 27002使用云計算服 務信息安全控制措施指南 未發(fā)布 16 ISO

54、/IEC 27018 信息技術-安全技術- 公共云計算服務數(shù)據(jù)保護控制措施實用規(guī)則未發(fā)布 17 ISO/IEC 27031 信息技術-安全技術-業(yè)務連續(xù)性信息通信技術準備指南 2011 18 ISO/IEC 27032 信息技術-安全技術-網(wǎng)絡安全技術指南 2012 19 ISO/IEC 27033-1 信息技術-安全技術-網(wǎng)絡安全-概述與概念 2009 20 ISO/IEC 27033-2 信息技術-安全技術-網(wǎng)絡安全-網(wǎng)絡安全設計與實施指南 2012 21 ISO/IEC 27033-3 信息技術-安全技術-網(wǎng)絡安全-參考網(wǎng)絡場景-威脅、設計技術與控制 問題 2010 ISO 27000標

55、準系列 序號標準編號標準名稱出版年件 22 ISO/IEC 27034-1 信息技術-安全技術-應用安全-應用安全概述與概念 2011 23 ISO/IEC 27034-2 信息技術-安全技術-應用安全-組織規(guī)范框架未發(fā)布 24 ISO/IEC 27034-3 信息技術-安全技術-應用安全-應用安全管理流程未發(fā)布 25 ISO/IEC 27034-4 信息技術-安全技術-應用安全-應用安全驗證未發(fā)布 26 ISO/IEC 27034-5 信息技術-安全技術-應用安全-協(xié)議和應用安全控制數(shù)據(jù)結(jié)構(gòu)未發(fā)布 27 ISO/IEC 27034-6 信息技術-安全技術-應用安全-特定應用安全指南未發(fā)布 2

56、8 ISO/IEC 27035 信息技術-安全技術-信息安全事件管理 2011 29 ISO/IEC 27036 信息技術-安全技術-供應關系信息安全（4部分）未發(fā)布 30 ISO/IEC 27040 信息技術-安全技術-存儲安全未發(fā)布 31 ISO/IEC 27044 信息技術-安全技術-安全信息與事態(tài)管理指南未發(fā)布 ISO 27000標準系列 ISO27001:2013 DIS版草稿向 公眾開放并征求意見。2013年 6-7 月發(fā)布DIS最終版。 發(fā)布發(fā)布DIS最終版最終版 ISO 組 織 公 布 的 正 式 版 本的頒布時間為2013年10月 19日。 發(fā)布正式版發(fā)布正式版 個月內(nèi)是認證

57、轉(zhuǎn)換緩沖期， 即 原 有 已 取 得 ISO27001 證 書的企業(yè)最遲需要在2015年 10月19日前轉(zhuǎn)換到新版標準。 完成認證轉(zhuǎn)換完成認證轉(zhuǎn)換 新標準認證轉(zhuǎn)換時間安排 在 新 版 公 布 后 的 18 至 24 體系認證換證方案 PlanDoCheckAction 最佳實踐國際國內(nèi)標準監(jiān)管要求法律法規(guī) 安全實踐 項目準備 獲 得 新 版 證 書 現(xiàn)狀調(diào)研風險評估 體系建設體系運行認證審核 1.項目資源準備 2.項目計劃編制 3.實施工具準備 4.項目啟勱大會 5.新版標準培訓 課堂培訓、共同實施、資料交付、知識轉(zhuǎn)移 1.體系文件評審 2.現(xiàn)場訪談走查 3.安全技術評估 4.新版差距分析 5

58、.現(xiàn)狀調(diào)研總結(jié) 1.評估方法更新 2.信息資產(chǎn)更新 3.安全風險分析 4.安全風險處置 5.風險評估總結(jié) 1.體系整合設計 2.文件架構(gòu)更新 3.制度文件編寫 4.制度文件評審 5.制度文件發(fā)布 1.體系運行跟蹤 2.運行工具更新 3.體系內(nèi)部審核 4.體系管理評審 5.體系持續(xù)改進 1.宣傳培訓 2.文件審核 3.現(xiàn)場審核 4.審核整改 5.宣傳展示 系統(tǒng)安全工程能力成熟度模型系統(tǒng)安全工程能力成熟度模型 （System Security Engineering-Capability Maturity ModelSystem Security Engineering-Capability Ma

59、turity Model，SSE-CMMSSE-CMM） 的提出是為了改善安全系統(tǒng)、產(chǎn)品和服務的性能、價格的提出是為了改善安全系統(tǒng)、產(chǎn)品和服務的性能、價格 及可用性。及可用性。 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理體系的管理體系 SSE-CMMSSE-CMM是一個過程參考模型是一個過程參考模型 關注的是信息技術安全(ITS)領域內(nèi)某個系統(tǒng)或者若干相 關系統(tǒng)實現(xiàn)安全的要求 SSE-CMM關注的是用來實現(xiàn)ITS的過程，尤其是這些過程 的成熟度 SSE-CMM的目的不是規(guī)定組織使用的具體過程，更不必說 具體的方法。而是希望準備使用SSE-CMM的組織利用其現(xiàn) 有的過程那些以其他

60、任何信息技術安全指導文件為基 礎的過程 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理體系的管理體系 SSE-CMM范圍包括：范圍包括： 涉及整個生存周期的安全產(chǎn)品或可信系統(tǒng)的系統(tǒng)安全工 程活動： 概念定義、需求分析、設計、開發(fā)、集成、概念定義、需求分析、設計、開發(fā)、集成、 安裝、運行、維護、最終退役安裝、運行、維護、最終退役 對產(chǎn)品開發(fā)商、安全系統(tǒng)開發(fā)和集成商，以及提供計算 機安全服務和計算機安全工程組織的要求； 適用于從商業(yè)界到政府部門和學術界的各種類型和規(guī)模 的安全工程組織。 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理體系的管理體系 【原文標準名稱原文標準名稱