27000標(biāo)準(zhǔn)族與ISMS

1、2022-4-17127000標(biāo)準(zhǔn)族與標(biāo)準(zhǔn)族與ISMS王新杰王新杰北京知識(shí)安全工程中心北京知識(shí)安全工程中心2022-4-172自我介紹自我介紹王新杰王新杰n2000年開(kāi)始年開(kāi)始ISMS相關(guān)工作，目前主要從事：相關(guān)工作，目前主要從事：ISMS認(rèn)證咨詢認(rèn)證咨詢國(guó)家注冊(cè)國(guó)家注冊(cè)ISMS審核員培訓(xùn)審核員培訓(xùn)n國(guó)家注冊(cè)國(guó)家注冊(cè)ISMS審核員培訓(xùn)教師審核員培訓(xùn)教師n中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)信息安全專業(yè)委員會(huì)中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)信息安全專業(yè)委員會(huì)委員委員n聯(lián)系：聯(lián)系2022-4-173縮略語(yǔ)介紹縮略語(yǔ)介紹ISMSnInformation Security Managemen

2、t System-ISMS 信息安全管理體系信息安全管理體系n基于國(guó)際標(biāo)準(zhǔn)基于國(guó)際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系：信息安全管理體系要求要求n是綜合信息安全管理和技術(shù)手段，保障組織信息安是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法全的一種方法nISMS是管理體系（是管理體系（MS）家族的一個(gè)成員）家族的一個(gè)成員2022-4-174ISMS是一門交叉學(xué)科是一門交叉學(xué)科信息安全信息安全管理體系管理體系ISMS2022-4-175o 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSo 遇到的問(wèn)題

3、遇到的問(wèn)題主要議題主要議題2022-4-176p國(guó)際標(biāo)準(zhǔn)化組織國(guó)際標(biāo)準(zhǔn)化組織 ISO/IEC JTC1/SC27/WG1 http:/www.jtc1sc27.din.dep國(guó)內(nèi)標(biāo)準(zhǔn)化組織國(guó)內(nèi)標(biāo)準(zhǔn)化組織 全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) http:/ n ISMS標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)化組織1. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起2022-4-177pISO/IEC27001:2005pISO/IEC27002:2005pISO/IEC27006:2007pISMS標(biāo)準(zhǔn)族：標(biāo)準(zhǔn)族：27000系列系列n已經(jīng)發(fā)布的已經(jīng)發(fā)布的ISMS標(biāo)準(zhǔn)和制定中的標(biāo)準(zhǔn)和制定中的ISMS標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 1.

4、從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起2022-4-1781. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起nISO/IEC27001:2005 Information technology- Security techniques-Information security management systems-requirements 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息信息安全管理體系安全管理體系- -要求要求2022-4-1791. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起nISO/IEC27001:2005 pISO/IEC27001:2005的名稱的名稱 Information technology- Sec

5、urity techniques-Information security management systems-requirements 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息安全管理體系信息安全管理體系- -要求要求p該該標(biāo)準(zhǔn)用于：為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安標(biāo)準(zhǔn)用于：為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系提供模型，并規(guī)定了要求。全管理體系提供模型，并規(guī)定了要求。p該該標(biāo)準(zhǔn)適用于：所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏標(biāo)準(zhǔn)適用于：所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。利組織）。p是建立和實(shí)施是建立和實(shí)施ISMSIS

6、MS的依據(jù)，是的依據(jù)，是ISMSISMS認(rèn)證的依據(jù)。認(rèn)證的依據(jù)。2022-4-1710nIS0/IEC27001:2005的內(nèi)容的內(nèi)容相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act1. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起2022-4-1711nIS0/IEC27001:2005的內(nèi)容的內(nèi)容PDCA各階段內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過(guò)程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.1 5D-實(shí)施實(shí)施和運(yùn)行ISM

7、S實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序。4.2.2C-檢查監(jiān)視和評(píng)審ISMS對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。4.2.481. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起2022-4-17121. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起nISO/IEC27002:2005 Information technology- Security techniques-Code of practice for informa

8、tion security management 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息信息安全管理實(shí)用規(guī)則安全管理實(shí)用規(guī)則2022-4-1713nISO/IEC27002:2005 1. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起p該該標(biāo)準(zhǔn)給出了一個(gè)組織啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理的指南標(biāo)準(zhǔn)給出了一個(gè)組織啟動(dòng)、實(shí)施、保持和改進(jìn)信息安全管理的指南和一般原則，可作為建立組織的安全準(zhǔn)則和有效安全管理實(shí)踐的實(shí)用和一般原則，可作為建立組織的安全準(zhǔn)則和有效安全管理實(shí)踐的實(shí)用指南。指南。p該該標(biāo)準(zhǔn)是標(biāo)準(zhǔn)是IS0/IEC27001:2005IS0/IEC27001:2005附錄附錄A A的實(shí)施指南。的實(shí)施

9、指南。pISO/IEC27002:2005 Information technology- Security techniques-Code of practice for information security management 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息安全管理實(shí)用規(guī)則信息安全管理實(shí)用規(guī)則2022-4-1714pISO/IEC27002:2005 的主要內(nèi)容的主要內(nèi)容章節(jié)章節(jié)控制措施域控制措施域控制目標(biāo)控制目標(biāo)控制措施控制措施5安全方針安全方針126信息安全組織信息安全組織2117資產(chǎn)管理資產(chǎn)管理258人力資源安全人力資源安全399物理和環(huán)境安全物理和環(huán)境安全2

10、1310通信和操作管理通信和操作管理103211訪問(wèn)控制訪問(wèn)控制72512信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)61613信息安全事故管理信息安全事故管理2514業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理1515符合性符合性310合計(jì)合計(jì)391331. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起2022-4-1715nISO/IEC27006:2007 1. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起 Information technology- Security techniques- Requirements for bodies providing audit and certification of informa

11、tion security management systems 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息安信息安全管理體系認(rèn)證機(jī)構(gòu)要求全管理體系認(rèn)證機(jī)構(gòu)要求2022-4-17161. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起 nSC27/WG1正在制定中的正在制定中的27000族標(biāo)準(zhǔn)族標(biāo)準(zhǔn) 序號(hào)序號(hào)ISO/IEC標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)名稱當(dāng)前狀態(tài)（當(dāng)前狀態(tài)（07.11）1ISO/IEC27000ISMS概述和詞匯3rdWD2ISO/IEC27003ISMS實(shí)施指南4thWD3ISO/IEC27004ISMS測(cè)量3rdCD4ISO/IEC27005信息安全風(fēng)險(xiǎn)管理FDIS5ISO/IEC2700

12、7ISMS審核指南1stWD6ISO/IEC27011通信業(yè)基于27002的信息安全管理指南FDIS2022-4-17171. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起 nSC27/WG1正在開(kāi)展的幾個(gè)研究項(xiàng)目正在開(kāi)展的幾個(gè)研究項(xiàng)目 序號(hào)序號(hào)研究項(xiàng)目名稱研究項(xiàng)目名稱投稿時(shí)間投稿時(shí)間1Information security for Critical Infrastructure2008-3-142Information security for e-government2008-3-143Sector-Specific ISMS Standards for the Automotive Industry2

13、008-3-144Technical ISMS Audits2008-3-142022-4-17181. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起 nSC27/WG4正在制定中的正在制定中的27000族標(biāo)準(zhǔn)族標(biāo)準(zhǔn) 序號(hào)序號(hào)ISO/IEC標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)號(hào)標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)名稱當(dāng)前狀態(tài)當(dāng)前狀態(tài)（07.11）1ISO/IEC27031ICT readiness for business continuity2ISO/IEC27032guidelines for cybersecurity3ISO/IEC27033network security4ISO/IEC27034Guidelines for application

14、security2022-4-1719 Code of practice英國(guó)英國(guó)DTIBS 7799-Part11993.9英國(guó)英國(guó)BSI1995.2BS 7799-Part21998.2BS 7799-1:19991999.4ISO/IEC JTC1/SC272000.12+BS 7799-2:1999ISO 17799:2000BS7799 Part 2version C2001.6ISO 17799:FDISBS7799 Part 2：20022002.92004.10ISO 17799:2005ISO27001:20052005.10.152005.6.152005ISMS標(biāo)準(zhǔn)的由來(lái)I

15、SO/IEC JTC1/SC27ISO/IEC JTC1/SC271. 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起2022-4-1720o 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSo 遇到的問(wèn)題遇到的問(wèn)題主要議題主要議題2022-4-17212. 為什么需要為什么需要ISMSo生產(chǎn)工具的發(fā)展生產(chǎn)工具的發(fā)展o信息安全就是生產(chǎn)安全信息安全就是生產(chǎn)安全2022-4-1722解決信息安全問(wèn)題的方案解決信息安全問(wèn)題的方案o產(chǎn)品導(dǎo)向型產(chǎn)品導(dǎo)向型o需求導(dǎo)向型需求導(dǎo)向型2. 為什么需要為什么需要ISMS 組織有價(jià)值的信息在哪里？組織有價(jià)

16、值的信息在哪里？ ISMS是需求導(dǎo)向型的解決是需求導(dǎo)向型的解決信息安全問(wèn)題的方案。信息安全問(wèn)題的方案。2022-4-17232. 為什么需要為什么需要ISMSoinformation security the third wave ntechnical wave nmanagement wave ninstitutional wave o2006年年3月，又提出：月，又提出：ncorporate governance Prof. Basie von Solms Head of the Academy for Information Technology，University of Johann

17、esburg2022-4-1724o 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSo 遇到的問(wèn)題遇到的問(wèn)題主要議題主要議題2022-4-17253. 全球全球ISMS的現(xiàn)狀的現(xiàn)狀p 每年成倍增長(zhǎng)的全球ISMS認(rèn)證證書(shū)2022-4-17262007.12ISMS證書(shū)Japan2354* Switzerland12 Sri Lanka3 India370 Turkey12 Vietnam3 UK366 Saudi Arabia10 Belgium2 Taiwan154 UAE 9 Denmark2 Germany9

18、0 Iceland8 Lithuania2 China80 Sweden8 Oman2 Korea59 Greece7 Peru2 USA57 Pakistan7 Portugal2 Hungary56 France6 Qatar2 Australia53 Kuwait6 Armenia1 Italy45 Russian Federation6 Bulgaria1 Netherlands32 Thailand6 Egypt1 Hong Kong30 Slovakia5 Gibraltar1 CzechRepublic 28 Slovenia5 Lebanon1 Singapore28 Arge

19、ntina4 Luxemburg 1 Malaysia22 Bahrain4 Macedonia1 Poland21 Canada4 Moldova1 Austria20 Chile3 Morocco1 Brazil18 Colombia3 New Zealand1 Ireland17 Croatia3 Ukraine1 Finland14 Indonesia3 Uruguay1 Norway14 Isle of Man3 Yugoslavia1 Mexico12 Macau3 Philippines12 Romania3 Relative Total 4151Spain12 South Af

20、rica3 Absolute Total 4140* 2022-4-1727nISMS在中國(guó)在中國(guó)2000年前后，年前后，ISMS開(kāi)始被中國(guó)用戶認(rèn)識(shí)；開(kāi)始被中國(guó)用戶認(rèn)識(shí)；2002年年11月，月， ISMS國(guó)家標(biāo)準(zhǔn)開(kāi)始被研究和制定；國(guó)家標(biāo)準(zhǔn)開(kāi)始被研究和制定；2005年年6月月15日，我國(guó)發(fā)布第一個(gè)日，我國(guó)發(fā)布第一個(gè)ISMS國(guó)家標(biāo)準(zhǔn)國(guó)家標(biāo)準(zhǔn)“GB/T19716-2005信息安信息安全管理實(shí)用規(guī)則全管理實(shí)用規(guī)則”，該標(biāo)準(zhǔn)修改采用，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000； 2005年年8月，認(rèn)監(jiān)委批準(zhǔn)北京知識(shí)安全工程中心為月，認(rèn)監(jiān)委批準(zhǔn)北京知識(shí)安全工程中心為ISMS認(rèn)證培訓(xùn)機(jī)構(gòu)；認(rèn)證培訓(xùn)機(jī)構(gòu)

21、；2006年年3月，國(guó)信辦在月，國(guó)信辦在5個(gè)單位開(kāi)展個(gè)單位開(kāi)展ISMS標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作；標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作；2006年年4月，認(rèn)監(jiān)委批準(zhǔn)月，認(rèn)監(jiān)委批準(zhǔn)4家家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)；試點(diǎn)認(rèn)證機(jī)構(gòu)；2006年年11月，成立中國(guó)信息安全認(rèn)證中心；月，成立中國(guó)信息安全認(rèn)證中心；2007年年4月，中國(guó)向國(guó)際標(biāo)準(zhǔn)化組織月，中國(guó)向國(guó)際標(biāo)準(zhǔn)化組織ISO/IEC JTC1/SC27提出提出ISMS審核審核標(biāo)準(zhǔn)提案。標(biāo)準(zhǔn)提案。3. 全球全球ISMS的現(xiàn)狀的現(xiàn)狀2022-4-1728o 從從ISMS標(biāo)準(zhǔn)說(shuō)起標(biāo)準(zhǔn)說(shuō)起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSo 遇

22、到的問(wèn)題遇到的問(wèn)題主要議題主要議題2022-4-17294. 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSnIS0/IEC27001:2005的要求的要求n開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMS信息本身信息本身信息處理設(shè)施信息處理設(shè)施信息處理者信息處理者信息處理信息處理過(guò)程過(guò)程 保密 可用 完整 2022-4-17304. 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSnIS0/IEC27001:2005的要求的要求相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃Plan實(shí)施Do處置Act2022-4-17314. 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSnIS0/IE

23、C27001:2005的要求的要求PDCA各階段內(nèi)容對(duì)應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過(guò)程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.1 5D-實(shí)施實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)行ISMS方針、控制措施、過(guò)程和程序。4.2.2C-檢查監(jiān)視和評(píng)審ISMS對(duì)照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過(guò)程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評(píng)審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評(píng)審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。4.2.482022-4-1732ISO/

24、IEC27001的要求的要求pISO/IEC27001:2005 附錄附錄A的要求的要求章節(jié)章節(jié)控制措施域控制措施域控制目標(biāo)控制目標(biāo)控制措施控制措施A.5安全方針安全方針12A.6信息安全組織信息安全組織211A.7資產(chǎn)管理資產(chǎn)管理25A.8人力資源安全人力資源安全39A.9物理和環(huán)境安全物理和環(huán)境安全213A.10通信和操作管理通信和操作管理1032A.11訪問(wèn)控制訪問(wèn)控制725A.12信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)616A.13信息安全事故管理信息安全事故管理25A.14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理15A.15符合性符合性310合計(jì)合計(jì)391332022-4-17334.

25、 開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSn開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSp正確理解正確理解ISMSp建立信息安全管理機(jī)構(gòu)建立信息安全管理機(jī)構(gòu)p識(shí)別識(shí)別ISMS文件要求文件要求p執(zhí)行風(fēng)險(xiǎn)評(píng)估和處理執(zhí)行風(fēng)險(xiǎn)評(píng)估和處理p遵循標(biāo)準(zhǔn)規(guī)定的遵循標(biāo)準(zhǔn)規(guī)定的ISMS運(yùn)行過(guò)程運(yùn)行過(guò)程-PDCA2022-4-1734正確理解正確理解ISMSo正確理解正確理解ISMSo分析分析ISMS的要素的要素o正確的正確的ISMS設(shè)計(jì)與開(kāi)發(fā)思路設(shè)計(jì)與開(kāi)發(fā)思路 在在SINOCOM實(shí)施實(shí)施ISMS動(dòng)員大動(dòng)員大會(huì)上的一個(gè)比喻：會(huì)上的一個(gè)比喻：ISMS就是一就是一臺(tái)臺(tái)“機(jī)器機(jī)器”！2022-4-1735建立建立ISMS管理機(jī)構(gòu)管理機(jī)構(gòu)o什么是什么

26、是ISMS管理機(jī)構(gòu)管理機(jī)構(gòu)o為什么需要管理機(jī)構(gòu)為什么需要管理機(jī)構(gòu)o管理者承諾管理者承諾2022-4-1736識(shí)別識(shí)別ISMS文件要求文件要求o文件的作用文件的作用oISMS文件的類型文件的類型o文件的創(chuàng)建文件的創(chuàng)建o文件的基本要求文件的基本要求oISMS文件與文件與QMS文件的比較文件的比較2022-4-1737執(zhí)行風(fēng)險(xiǎn)評(píng)估和處理執(zhí)行風(fēng)險(xiǎn)評(píng)估和處理o必須的活動(dòng)必須的活動(dòng)o產(chǎn)生兩個(gè)文件：風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處理計(jì)劃產(chǎn)生兩個(gè)文件：風(fēng)險(xiǎn)評(píng)估報(bào)告和風(fēng)險(xiǎn)處理計(jì)劃o主要過(guò)程：主要過(guò)程：4.2.1中中c)h)n確定風(fēng)險(xiǎn)評(píng)估方法n識(shí)別風(fēng)險(xiǎn)n分析和評(píng)價(jià)風(fēng)險(xiǎn)n識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施n為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控

27、制措施c)獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)2022-4-1738遵循標(biāo)準(zhǔn)規(guī)定的遵循標(biāo)準(zhǔn)規(guī)定的ISMS運(yùn)行過(guò)程運(yùn)行過(guò)程PDCA相關(guān)方相關(guān)方受控的受控的信息安全信息安全信息安全信息安全要求和期望要求和期望相關(guān)方相關(guān)方檢查檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評(píng)審ISMS規(guī)劃規(guī)劃Plan實(shí)施實(shí)施Do處置處置Act2022-4-1739o應(yīng)用于應(yīng)用于ISMS的的PDCA模型，可以概括為：模型，可以概括為：1）規(guī)定應(yīng)該做什么并形成ISMS文件；2）做ISMS文件已規(guī)定的事情；3）評(píng)審你所做的事情的符合性和有效性；4）通過(guò)預(yù)防和糾正措施，持續(xù)改進(jìn)。ISMS開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施

28、規(guī)劃實(shí)施檢查改進(jìn)PDAC2022-4-1740基于基于PDCA的的ISMS的實(shí)際建設(shè)流程的實(shí)際建設(shè)流程2022-4-1741ISMS開(kāi)發(fā)和實(shí)施中的開(kāi)發(fā)和實(shí)施中的3個(gè)關(guān)鍵個(gè)關(guān)鍵oISMS方法方法o信息安全策略的建立信息安全策略的建立oISMS的運(yùn)行的運(yùn)行2022-4-1742o為什么需要為什么需要ISMSoISMS標(biāo)準(zhǔn)標(biāo)準(zhǔn)o全球全球ISMS的現(xiàn)狀的現(xiàn)狀o開(kāi)發(fā)和實(shí)施開(kāi)發(fā)和實(shí)施ISMSo遇到的問(wèn)題遇到的問(wèn)題主要議題主要議題2022-4-1743Q1: 區(qū)分兩種不同的區(qū)分兩種不同的“信息安全管理信息安全管理”Q2: 認(rèn)識(shí)認(rèn)識(shí)“技術(shù)技術(shù)”和和“管理管理”的辨證關(guān)系的辨證關(guān)系Q3: 理解理解ISMS與等級(jí)

29、保護(hù)、風(fēng)險(xiǎn)評(píng)估的關(guān)系與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的關(guān)系Q4: 實(shí)施實(shí)施ISMS要有耐心要有耐心5. 遇到的問(wèn)題遇到的問(wèn)題2022-4-1744Q1-區(qū)分兩種不同的區(qū)分兩種不同的“信息安全管理信息安全管理” 舉例舉例項(xiàng)目項(xiàng)目舉例舉例1：海淀區(qū)政府發(fā)文，要求行：海淀區(qū)政府發(fā)文，要求行政機(jī)關(guān)和事業(yè)單位建立和實(shí)施政機(jī)關(guān)和事業(yè)單位建立和實(shí)施ISMS舉例舉例2：海淀區(qū)政府根據(jù)自身需：海淀區(qū)政府根據(jù)自身需要決定建立和實(shí)施要決定建立和實(shí)施ISMS性質(zhì)性質(zhì) 行政（政府）行為行政（政府）行為 組織自身事務(wù)組織自身事務(wù)依據(jù)依據(jù) 行政許可法行政許可法 組織自身業(yè)務(wù)需要和規(guī)章制度組織自身業(yè)務(wù)需要和規(guī)章制度主體主體 行政機(jī)關(guān)行政

30、機(jī)關(guān) 組織組織目的目的 行政管理行政管理 組織自身的業(yè)務(wù)管理組織自身的業(yè)務(wù)管理方法方法 法規(guī)、文件法規(guī)、文件 組織自己決定組織自己決定2022-4-1745Q2-認(rèn)識(shí)認(rèn)識(shí)“技術(shù)技術(shù)”和和“管理管理”的辨證關(guān)系的辨證關(guān)系l完全完全“技術(shù)技術(shù)”l完全完全“管理管理”l三分技術(shù)，七分管理？三分技術(shù)，七分管理？lISMS并非僅僅管理！并非僅僅管理！2022-4-1746Q3-理解理解ISMS與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的關(guān)系與等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估的關(guān)系l等級(jí)保護(hù)、等級(jí)保護(hù)、ISMS都是保障信息安全的方法，即都是保障信息安全的方法，即相對(duì)獨(dú)立，又相互聯(lián)系，可以聯(lián)合實(shí)施，也可選相對(duì)獨(dú)立，又相互聯(lián)系，可以聯(lián)合實(shí)施，也

31、可選擇其一。擇其一。l等級(jí)保護(hù)和等級(jí)保護(hù)和ISMS中需要風(fēng)險(xiǎn)評(píng)估和處理過(guò)程。中需要風(fēng)險(xiǎn)評(píng)估和處理過(guò)程。l等級(jí)保護(hù)是制度要求，等級(jí)保護(hù)是制度要求，ISMS可以支持等級(jí)保護(hù)可以支持等級(jí)保護(hù)的實(shí)施。的實(shí)施。2022-4-1747Q4-實(shí)施實(shí)施ISMS要有耐心要有耐心l實(shí)施實(shí)施ISMS的組織的愿望總是的組織的愿望總是“短平快短平快”l人、時(shí)間、投入嚴(yán)重不足人、時(shí)間、投入嚴(yán)重不足l2006年試點(diǎn)經(jīng)驗(yàn)：年試點(diǎn)經(jīng)驗(yàn)： 中等規(guī)模的組織（中等規(guī)模的組織（500人）人） 人員：至少人員：至少5人人 時(shí)間：時(shí)間：12個(gè)月以上個(gè)月以上 經(jīng)費(fèi)：經(jīng)費(fèi)：50萬(wàn)左右（不包括申請(qǐng)認(rèn)證的費(fèi)用）萬(wàn)左右（不包括申請(qǐng)認(rèn)證的費(fèi)用）202

32、2-4-1748Q&A2022-4-1749謝謝！謝謝！2022-4-1750n北京知識(shí)安全工程中心北京知識(shí)安全工程中心 Peking Knowledge Security Engineering Center -PKSECn20032003年年6 6月，呂述望教授創(chuàng)辦，并擔(dān)任主任，趙戰(zhàn)生教授擔(dān)任學(xué)術(shù)月，呂述望教授創(chuàng)辦，并擔(dān)任主任，趙戰(zhàn)生教授擔(dān)任學(xué)術(shù)委員會(huì)主任，陳華平研究員擔(dān)任總工程師。委員會(huì)主任，陳華平研究員擔(dān)任總工程師。n定位：面向知識(shí)安全的科學(xué)研究、產(chǎn)品研制和咨詢服務(wù)。定位：面向知識(shí)安全的科學(xué)研究、產(chǎn)品研制和咨詢服務(wù)。n目標(biāo)：建設(shè)一個(gè)知識(shí)安全創(chuàng)新基地；建設(shè)一個(gè)知識(shí)安全人才培訓(xùn)基目標(biāo)：建設(shè)一個(gè)知識(shí)安全創(chuàng)新基地；建設(shè)一個(gè)知