ISO27001詳細介紹PPT課件.ppt

1、2020/8/15,ISO/IEC 27001簡介,Page 2,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點內(nèi)容 重點章節(jié) 認證流程 17799&27001,Page 3,BS7799,BS7799 是英國標準協(xié)會（British Standards Institute，BSI）針對信息安全管理而制定的一個標準。 1995 年，BS7799-1:1995信息安全管理實施細則首次出版，它提供了一套綜合性的、由信息安全最佳慣例構成的實施細則，目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考基準。 1998 年，BS7799-2:1998信息安全管理體系規(guī)范公布，這是

2、對BS7799-1 的有效補充，它規(guī)定了信息安全管理體系的要求和對信息安全控制的要求，是一個組織信息安全管理體系評估的基礎，可以作為認證的依據(jù)。 1999 年4 月，BS7799 的兩個部分被重新修訂和擴展，形成了一個完整版的BS7799:1999。新版本充分考慮了信息處理技術應用的最新發(fā)展，特別是在網(wǎng)絡和通信領域。除了涵蓋以前版本所有內(nèi)容之外，新版本還補充了很多新的控制，包括電子商務、移動計算、遠程工作等。,Page 4,ISO/IEC 27002(17799),2000 年12 月，國際標準化組織ISO/IEC JTC 1/SC27 工作組認可BS7799-1:1999，正式將其轉(zhuǎn)化為國際

3、標準，即所頒布的ISO/IEC 17799:2000信息技術信息安全管理實施細則。 2005 年6 月，ISO/IEC 17799:2000 經(jīng)過改版，形成了新的ISO/IEC 17799:2005，新版本較老版本無論是組織編排還是內(nèi)容完整性上都有了很大增強和提升。 ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式發(fā)布為 ISO/IEC 27002:2005，這次更新只在于標準上的號碼, 內(nèi)容并沒有改變。,Page 5,ISO/IEC 27001,2002 年，BSI 對BS7799:2-1999 進行了重新修訂，正式引入PDCA 過程模型，2004 年9 月5 日，

4、BS7799-2:2002 正式發(fā)布。 2005年，BS7799-2:2002 終于被ISO 組織所采納，于同年10 月推出了ISO/IEC 27001:2005。,Page 6,對應國內(nèi)標準,大陸 2005年6月15日，我國發(fā)布了國家標準信息安全管理實用規(guī)則(GB/T 19716-2005)。該標準修改采用了ISO/IEC 17799:2000標準。 2008年6月19日， GB/T 19716-2005作廢，改為GB/T 22081-2008 。 臺灣省 在臺灣，BS7799-1:1999 被引用為CNS 17799，而BS7799-2:2002 則被引用為CNS 17800。,Page

5、7,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點內(nèi)容 重點章節(jié) 認證流程 17799&27001,Page 8,17799標準內(nèi)容,ISO/IEC 17799:2005版包括11 個方面、39 個控制目標和133 項控制措施 1) 安全方針7) 訪問控制 2) 信息安全組織8) 信息系統(tǒng)獲取、開發(fā)和維護 3) 資產(chǎn)管理9) 信息安全事故管理 4) 人力資源安全10) 業(yè)務連續(xù)性管理 5) 物理和環(huán)境安全11) 符合性 6) 通信和操作管理,Page 9,17799:2000 Vs 17799:2005,ISO/IEC 17799:2005版的內(nèi)容與2000版相比

6、，新增加了17 項控制，在客戶往來安全、資產(chǎn)屬主定義、人員離職管理、第三方服務交付管理、漏洞管理、取證等方面對原標準做了全新闡釋或補充。去掉了原標準中的9 項控制，這些控制或者是不再適應信息通信技術的發(fā)展，或者是已經(jīng)并入到新標準的其他控制內(nèi)容中了。,Page 10,17799的適用性,本實用規(guī)則可認為是組織開發(fā)其詳細指南的起點。對一個組織來說，本實用規(guī)則中的控制措施和指南并非全部適用，此外，很可能還需要本標準中未包括的另外的控制措施和指南。為便于審核員和業(yè)務伙伴進行符合性檢查，當開發(fā)包含另外的指南或控制措施的文件時，對本標準中條款的相互參考可能是有用的。 （引用自ISO/IEC 17799:2

7、005中 “0.8 開發(fā)你自己的指南” ）,Page 11,信息安全起點,實施細則中有些內(nèi)容可能并不使用于所有組織和企業(yè)，但是有些措施可以使用于大多數(shù)的組織，他們被成為“信息安全起點”。 從法律的觀點看，根據(jù)適用的法律，對某個組織重要的控制措施包括： a) 數(shù)據(jù)保護和個人信息的隱私（見15.1.4）； b) 保護組織的記錄（見15.1.3）； c) 知識產(chǎn)權（見15.1.2）。 被認為是信息安全的常用慣例的控制措施包括： a) 信息安全方針文件（見5.1.1）； b) 信息安全職責的分配（見6.1.3）； c) 信息安全意識、教育和培訓（見8.2.2）； d) 應用中的正確處理（見12.2）；

8、 e) 技術脆弱性管理（見12.6）； f) 業(yè)務連續(xù)性管理（見14）； g) 信息安全事故和改進管理（見13.2）。 這些控制措施適用于大多數(shù)組織和環(huán)境。,（引用自ISO/IEC 17799:2005中 “0.6 信息安全起點” ）,Page 12,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點內(nèi)容 重點章節(jié) 認證流程 17799&27001,Page 13,ISMS(信息安全管理系統(tǒng)),ISO/IEC 27001:2005版通篇就在講一件事，ISMS(信息安全管理系統(tǒng))。 本標準用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系（Informati

9、onSecurity Management System，簡稱ISMS）提供模型。采用ISMS應當是一個組織的一項戰(zhàn)略性決策。一個組織的ISMS的設計和實施受其需要和目標、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構的影響，上述因素及其支持系統(tǒng)會不斷發(fā)生變化。按照組織的需要實施ISMS，是本標準所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。 本標準可被內(nèi)部和外部相關方用于一致性評估。 （引用自ISO/IEC 27001:2005中 “0.1 總則” ）,Page 14,PDCA（戴明環(huán)）,PDCA（Plan、Do、Check 和Act）是管理學慣用的一個過程模型，最早是由休哈特（Wal

10、terShewhart）于19 世紀30 年代構想的，后來被戴明（Edwards Deming）采納、宣傳并運用于持續(xù)改善產(chǎn)品質(zhì)量的過程當中。 1、P（Plan）-計劃，確定方針和目標，確定活動計劃； 2、D（Do）-執(zhí)行，實地去做，實現(xiàn)計劃中的內(nèi)容； 3、C（Check）-檢查，總結(jié)執(zhí)行計劃的結(jié)果，注意效 果，找出問題； 4、A（Action）-行動，對總結(jié)檢查的結(jié)果進行處理， 成功的經(jīng)驗加以肯定并適當推廣、標準化；失敗的教 訓加以總結(jié)，以免重現(xiàn)，未解決的問題放到下一個 PDCA循環(huán)。,Page 15,PDCA特點,大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動大循環(huán) PDCA循環(huán)作為質(zhì)量管理的基本方法，不僅

11、適用于整個工程項目，也適應于整個企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個人。各級部門根據(jù)企業(yè)的方針目標，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級部門的小環(huán)都圍繞著企業(yè)的總目標朝著同一方向轉(zhuǎn)動。通過循環(huán)把企業(yè)上下或工程項目的各項工作有機地聯(lián)系起來，彼此協(xié)同，互相促進。以上特點。,Page 16,PDCA特點(續(xù)),不斷前進、不斷提高 PDCA循環(huán)就像爬樓梯一樣，一個循環(huán)運轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會提高一步，然后再制定下一個循環(huán)，再運轉(zhuǎn)、再提高，不斷前進，不斷提高，是一個螺旋式上升的過程。,P,D,C,A,質(zhì)量水平,螺旋上

12、升的PDCA,Page 17,PDCA和ISMS的結(jié)合,Page 18,與其他標準的兼容性,本標準與GB/T 19001-2000及GB/T 24001-1996相結(jié)合，以支持與相關管理標準一致的、整合的實施和運行。因此，一個設計恰當?shù)墓芾眢w系可以滿足所有這些標準的要求。表C.1說明了本標準、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO14001:2004）的各條款之間的關系。 本標準的設計能夠使一個組織將其ISMS與其它相關的管理體系要求結(jié)合或整合起來。 （引用自ISO/IEC 27001:2005中 “0.3與其它管理體系的兼容性”

13、） 注：ISO 14001:2004環(huán)境管理體系規(guī)范及使用指南 ISO 9001:2000國際性質(zhì)量管理標準,Page 19,與其他標準的兼容性(續(xù)),Page 20,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點內(nèi)容 重點章節(jié) 認證流程 17799&27001,Page 21,重點章節(jié),本標準的重點章節(jié)是48章。 前三章的內(nèi)容結(jié)構如下所示： 引言 0.1 總則 0.2 過程方法 0.3 與其他管理體系的兼容性 1 范圍 1.1 總則 1.2 應用 2 規(guī)范性引用文件 3 術語和定義,Page 22,第四章 信息安全管理體系,4.1 總要求 一個組織應在其整體業(yè)務

14、活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。 4. 2 建立和管理ISMS 4.2.1 建立ISMS(PLAN) 定義ISMS 的范圍 定義ISMS 策略 定義系統(tǒng)的風險評估途徑 識別風險 評估風險 識別并評價風險處理措施 選擇用于風險處理的控制目標和控制 準備適用性聲明（SoA） 取得管理層對殘留風險的承認，并授權實施和操作ISMS,P,D,C,A,Page 23,第四章 信息安全管理體系(續(xù)),4.2.2 實施和運行ISMS(DO) 制定風險處理計劃 實施風險處理計劃 實施所選的控制措施以滿足控制目標

15、 實施培訓和意識程序 管理操作 管理資源（參見5.2） 實施能夠激發(fā)安全事件檢測和響應的程序和控制,P,D,C,A,Page 24,第四章 信息安全管理體系(續(xù)),4.2.3 監(jiān)控和評審ISMS(CHECK) 執(zhí)行監(jiān)視程序和控制 對ISMS 的效力進行定期復審 復審殘留風險和可接受風險的水平 按照預定計劃進行內(nèi)部ISMS 審計 定期對ISMS 進行管理復審 記錄活動和事件可能對ISMS 的效力或執(zhí)行力度造成影響,P,D,C,A,Page 25,第四章 信息安全管理體系(續(xù)),4.2.4 保持和改進ISMS(ACT) 對ISMS 實施可識別的改進 采取恰當?shù)募m正和預防措施 與所有利益伙伴溝通 確

16、保改進成果滿足其預期目標,P,D,C,A,Page 26,第四章 信息安全管理體系(續(xù)),4.3 文件要求 總則 文件控制 記錄控制,ISO27001 標準所要求建立的ISMS 是一個文件化的體系，ISO27001 認證第一階段就是進行文件審核，文件是否完整、足夠、有效，都關乎審核的成敗，所以，在整個ISO27001認證項目實施過程中，逐步建立并完善文件體系非常重要。,Page 27,第四章 信息安全管理體系(續(xù)),ISO27001 標準要求的ISMS 文件體系應該是一個層次化的體系，通常是由四個層次構成的： 信息安全手冊：該手冊由信息安全委員會負責制定和修改，是對信息安全管理體系框架的整體描

17、述，以此表明確定范圍內(nèi)ISMS 是按照ISO27001 標準要求建立并運行的。信息安全手冊包含各個一級文件。 一級文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個方面的策略方針等。一級文件至少包括（可能不限于此）： 信息安全方針 風險評估報告 適用性聲明（SoA） 二級文件：各類程序文件。至少包括（可能不限于此）： 風險評估流程風險管理流程風險處理計劃管理評審程序 信息設備管理程序信息安全組織建設規(guī)定新設施管理程序內(nèi)部審核程序 第三方和外包管理規(guī)定信息資產(chǎn)管理規(guī)定工作環(huán)境安全管理規(guī)定介質(zhì)處理與安全規(guī)定 系統(tǒng)開發(fā)與維護程序業(yè)務連續(xù)性管理程序法律符合性管理規(guī)定信息系統(tǒng)安全審計規(guī)定 文件及材料控制程序

18、安全事件處理流程 三級文件：具體的作業(yè)指導書。描述了某項任務具體的操作步驟和方法，是對各個程序文件所規(guī)定的領域內(nèi)工作的細化。 四級文件：各種記錄文件，包括實施各項流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應該成為ISMS 得以持續(xù)運行的有力證據(jù)，由各個相關部門自行維護。,Page 28,第五章 管理職責,5.1 管理層責任 說明管理層在ISMS 建設過程中應該承擔的責任。 5.2 對資源的管理 5.2.1 資源提供 組織應該確定并提供ISMS 相關所有活動必要的資源 5.2.2 培訓、意識和能力 通過培訓，組織應該確保所有在ISMS 中承擔責任的人能夠勝任其職,Page 29,第六章 ISM

19、S 內(nèi)部審計,組織應該通過定期的內(nèi)部審計來確定ISMS 的控制目標、控制、過程和程序滿足相關要求。,Page 30,第七章 ISMS 的管理評審,7.1 概要 管理層應該對組織的ISMS 定期進行評審，確保其持續(xù)適宜、充分和有效。 7.2 評審輸入 評審時需要的輸入資料，包括內(nèi)審結(jié)果。 7.3 評審輸出 評審成果，應該包含任何決策及相關行動。,Page 31,第八章 ISMS 改進,8.1 持續(xù)改進 組織應該借助信息安全策略、安全目標、審計結(jié)果、受監(jiān)視的事件分析、糾正性和預防性措施、管理復審來持續(xù)改進ISMS 的效力。 8.2 糾正措施 組織應該采取措施，消除并實施和操作ISMS 相關的不一致

20、因素，避免其再次出現(xiàn)。 8.3 預防措施 為了防止將來出現(xiàn)不一致，應該確定防護措施。所采取的預防措施應與潛在問題的影響相適宜。,Page 32,目錄,背景介紹 ISO/IEC 17799 ISO/IEC 27001 重點內(nèi)容 重點章節(jié) 認證流程 17799&27001,Page 33,建設ISMS,第一步工作是建設ISMS系統(tǒng)，這部分工作可以由組織或者公司自己進行，前提是該組織擁有專業(yè)的人才。大部分的公司不具備這樣的能力，這就需要一些專業(yè)的咨詢公司或者安全公司等有27001專業(yè)實施經(jīng)驗的公司協(xié)助進行。 建設ISMS的工作不是一個純粹的IT建設，而是建立一個循序漸進的體系，需要公司的全員配合，特

21、別是公司領導層重視，需要成立專門的團隊來負責這項工作。,Page 34,建設ISMS（續(xù)）,文件化很重要，針對標準4.3的內(nèi)容，各個層次的文件和記錄都需要編寫完備，這些工作也可以由第三方來協(xié)助進行。 風險評估，培訓等工作的進行也需要在咨詢公司的協(xié)助下進行。 ISMS初步建立之后，需要運行一段時間，針對出現(xiàn)的問題進行修正。,Page 35,提出申請,待ISMS穩(wěn)定運行一段時間之后，可以考慮提出審核申請。可以進行27001審核的機構在國內(nèi)有BSI(英國標準化協(xié)會)和DNV(挪威船級社) 等。,Page 36,認證審核預審,預審核（Pre-assessment Audit）也稱預審，是在第一階段審核之前執(zhí)行的一種非強制性要求的非正式審核。從本質(zhì)上看，預審是正式審核的預演或排練。許多組織都沒有采用預審核。 預審是審核員通過使用“差距分析”方法，分析和檢查組織的ISMS與ISO/IEC 27001：2005要求的差距，包括(但不僅限于)： 分析ISMS方針與程序，組織當前的業(yè)務保護情況； 檢查ISMS是否與其實際業(yè)務融合一起； 檢查ISMS是否符合正式審核的基本條件； 檢查組織還有哪些未能按照標準要求進行運行的領域，包括員工的安全意識和員工是否知道IS