ISO27001信息安全管理体系介绍(PPT52页).pptx
合集下载
ISO 27001体系认证简介课件~2020
6 6.实现风险管理
謝謝
2019
ISO27001信息安全體系認證簡介
XXX管理部
目录
CONTENTS
1
ISO27001簡介
2
什麼是信息安全
3
如何达成信息安全
4
如何建立管理体系
5
認證優勢
簡介
信息安全管理要求ISO/IEC27001的前身为英国的BS7799 标准,该标准由英国标准协会(BSI)于1995年2月提出, 并于1995年5月修订而成的。1999年BSI重新修改了该标 准。BS7799分为两个部分: BS7799-1,信息安全管理实 施规则 BS7799-2,信息安全管理体系规范。 第一部分对 信息安全管理给出建议,供负责在其组织启动、实施或维 护安全的人员使用;第二部分说明了建立、实施和文件化 信息安全管理体系(ISMS)的要求,规定了根据独立组 织的需要应实施安全控制的要求。
IOS27001體系认证優勢
1.符合法律法规要求
1
2.维护企业的声誉、 品牌和客户信任
2
3.履行信息安全管理责任
3
4
4.增强员工的意识、责任感 和相关技能
认证 優勢
7
7.减少损失,降低成本
5
5.保持业务持续发展和竞 争优势
iso27001 信息安全管理体系
iso27001 信息安全管理体系
ISO 27001是一项关于信息安全管理体系(ISMS)的国际标准。
它为组织提供了一个框架,用于在管理信息安全风险方面进行规划、建立、实施、运行、监控、评审、维护和改进。
该标准的目标是确保组织能够合理地管理其信息资产,以防止信息泄露、数据丢失、未经授权的访问和其他与信息安全相关的风险。
在ISO 27001中,一些重要的方面包括:
1. 风险评估:组织需要确定其面临的信息安全风险,并确定适当的控制措施来减轻这些风险。
2. 安全策略和目标:组织需要制定明确的安全策略和目标,以确保信息安全的重要性在组织中得到适当的认可并得以实现。
3. 安全控制:组织需要实施一系列安全控制措施,以确保对信息资产的适当保护,包括访问控制、密码策略、物理安全等。
4. 管理体系:组织需要建立一个信息安全管理体系,包括定义职责和权限、确保员工培训、保持记录和进行内部审核等。
通过遵循ISO 27001的要求,组织可以建立一个有效的信息安
全管理体系,从而提高信息安全意识和能力,减少信息泄露和数据安全事故的风险。
这有助于组织保护其核心业务和客户利益,并维护其声誉和信誉。
ISO27001标准详解(培训课件)
制定实施计划
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
ISO27001信息安全管理体系介绍(PPT 52张)
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
ISO27001信息安全管理体系介绍
术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负 责开发ISMS相关的标准与指南
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 10
ISO 27000系列标准
标准序号
标准名称
ISO/IEC 27000 基础与术语
ISO/IEC 27001 ISMS Requirement ISMS要求
ISO/IEC 27006 Certification and Registration process审核认证机构要求
发布时间
起草中,未发布 2005年10月 2007年4月 起草中,未发布 起草中,未发布 2008年6月 2007年2月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
► GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 ► GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
► Information Security Management System(ISMS)信息安全管理体系 ► 基于国际标准ISO/IEC27001:信息安全管理体系要求 ► 是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ► ISMS是管理体系(MS)家族的一个成员 ► ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 2
几个问题
► 信息是否是企业的重要资产? ► 信息的泄漏是否会给企业带来重大影响? ► 信息的真实性对企业是否带来重大影响? ► 信息的可用性对企业是否带来重大影响? ► 我们是否清楚知道什么信息对企业是重要的? ► 信息的价值是否在企业内部有一个统一的标准? ► 我们是否知道企业关系信息的所有人 ► 我们是否知道企业关系信息的信息流向、状态、存储
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 10
ISO 27000系列标准
标准序号
标准名称
ISO/IEC 27000 基础与术语
ISO/IEC 27001 ISMS Requirement ISMS要求
ISO/IEC 27006 Certification and Registration process审核认证机构要求
发布时间
起草中,未发布 2005年10月 2007年4月 起草中,未发布 起草中,未发布 2008年6月 2007年2月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
► GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 ► GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
► Information Security Management System(ISMS)信息安全管理体系 ► 基于国际标准ISO/IEC27001:信息安全管理体系要求 ► 是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ► ISMS是管理体系(MS)家族的一个成员 ► ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 2
几个问题
► 信息是否是企业的重要资产? ► 信息的泄漏是否会给企业带来重大影响? ► 信息的真实性对企业是否带来重大影响? ► 信息的可用性对企业是否带来重大影响? ► 我们是否清楚知道什么信息对企业是重要的? ► 信息的价值是否在企业内部有一个统一的标准? ► 我们是否知道企业关系信息的所有人 ► 我们是否知道企业关系信息的信息流向、状态、存储
iso27001信息安全管理体系宣讲课件.ppt
信息安全的根本目标
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
对现代企业来说,对CIA的追求只是一种简 单抽象的理解,是信息安全的直接目标, 其实企业最关心的,是其关键业务活动的 持续性和有效性,这是企业命脉所在,就 信息安全来说,是其根本目标。当然,要 让依赖于信息环境的业务活动能够持续, 就必然要保证信息环境的安全,业务持续 性对信息环境提出了CIA的要求,而信息环 境CIA的实现支持着业务持续性目标的实现。
企业从自身利益出发,把着眼点归结到业 务活动的切实需求上,信息安全才能做到 真正的有始而发和有的放矢。
信息安全需求来自哪里
(1) 法律法规与合同条约的要求 与信息安全相关的法律法规是对组织的强制性要求,组织应该对现有
的法律法规加以识别,将适用于组织的法律法规转化为组织的信息安 全需求。这里所说的法律法规有三个层次,即国家法律、行政法规和 各部委和地方的规章及规范性文件。此外,组织还要考虑商务合作者 和客户对组织提出的具体的信息安全要求,包括合同约定、招标条件 和承诺等。例如,合同中可能会明确要求组织的信息安全管理体系遵 循BS7799标准。 (2) 组织的原则、目标和规定 组织从自身业务和经营管理的需求出发,必然会在信息技术方面提出 一些方针、目标、原则和要求,据此明确自己的信息安全要求,确保 支持业务运作的信息处理活动的安全性。 (3) 风险评估的结果 除了以上两个信息安全需求的来源之外,确定安全需求最主要的一个 途径就是进行风险评估,组织对信息资产的保护程度和控制方式的确 定都应建立在风险评估的基础之上。一般来讲,通过综合考虑每项资 产所面临的威胁、自身的弱点、威胁造成的潜在影响和发生的可能性 等因素,组织可以分析并确定具体的安全需求。风险评估是信息安全 管理的基础。
CIA介绍
保密性(Confidentiality)—— 确保信息 在存储、使用、传输过程中不会泄漏给非 授权用户或实体。
ISO27001信息安全管理体系--咨询服务及认证实施 ppt课件
项目可能用到的工具
► 信息安全风险评估工具 ► 网络脆弱性评估 ► 服务器端口扫描
► 资产识别工具 ► 渗透测试 ► 信息安全控制审计
参考的相关标准
序号
标准名称
1
ISO 27001 :2005信息安全管理体系要求
3
ISO 27002 -27005 信息安全管理 使用规则 实施指南 风险评估
4
烟草行业信息安全等级保护规范
► 确定风险容忍度和 风险偏好
► 确定风险处置措施 并实施整改计划
► 制度整合及信息安 全管理体系文档编 写
► 信息安全体系技术 控制及管理落地建 议
► 信息安全管理体系 发布及培训
► 阶段项目总结会议
► 制定信息安全管理 绩效监控流程
► 信息安全管理体系 试运行
► 体系运行监控 ► 业务连续性管理培
► 信息安全管理体系与国际 标准ISO27001对标
► 信息安全方针设计
ISO27001信息安全管理体系 咨询服务及认证实施
目录
一、ISO27001标准简介 二、ISO27001信息安全项目实施流程 三、ISO27001认证的价值
一、 ISO27000系列标准简介
ISO27000标准族介绍
认证机构 认可要求
27000~27009:ISMS基本标准, 27010~27019:ISMS标准族的解释性指南与文档
访问控制
法律记录 通信安全
人力资源安全
物理环境 安全
ISO27001信息安全管理体系实施方法
项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵 公司的整体业务风险框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划 建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评 估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。
信息安全启动PPT-ISO27001
管理者代表职责:
• 职责: 1、负责信息安全管理体系的建立、实施和保 持 2、负责定期向最高管理者汇报项目进展 3、负责信息安全体系策略、文件的审核 4、负责信息安全风险评估的实施及监督执行
组长/推行干事职责:
• 一般由项目领导部门的业务主管/骨干担当 • 职责: 1、主导信息安全管理体系的建立、实施和保持 2、负责与信息安全有关事宜的内外联络协调 3、负责组织信息安全体系策略、文件的编写及进 度跟踪 5、主导信息安全风险评估的实施及监督执行 6、负责信息安全事故事件的处理及BCP/BRP的 制定与实施 7、其他与信息安全有关的事宜
• •
华为任正飞:“信息安全是关系企业生死存亡的大事”
华为的信息安全: 1、所有人的电脑机箱均由定制加锁的金属箱保护,除了开关其他全部不能轻易拆卸,包括墙上的 网络、电话插线合均受保护,不可轻易拆卸 2、核心部门人员不可待任何磁盘或介质进出公司,保安有随时翻包搜身检查权利,严格程度超过 机场安检 3、所有外来人员只能在规定的区域进行工作,未经复杂的审批,决不可进入其他其区域… 4、核心关键人员绝不可在同一时间乘坐航班,包括不同的航班…
A.8.3 雇佣中止和变更:应归还资产并删除里面的机密信息和取消相应的访问权限
纳米技术泄密 企业损失千万
辉煌的历史: 广东省恩平市嘉维化工实业有限公司成立于1999年,是恩平市的龙头企业,专门从事 超细微粒碳酸钙的生产和销售。 高昂的研发投入: 1999年至2002年间,该公司为将原生产普通碳酸钙的生产线改造为生产超细活性碳酸钙 生产线,先后投入研发改造经费600多万元,自行设计、制图、制模铸造、加工安装设备, 先后研发、改造了烘干箱、破碎机、造粒机、风选机等相关设备和生产工艺流程,从而达 到低耗、低成本、高产、高质量的效果。 技术制胜: 该公司按自有的研发技术先后安装了4条生产线,年产“白樱华”牌超细活性碳酸钙9 万吨,占全国产销量的60%,居国内同行第一。 核心技术泄密: 胡某1999年12月1日,被任命为设备厂厂长,参与公司的技术研发和改造,掌握了全部 设备技术、生产流程技术和负责保管部分技术资料。 2002年6月,胡某应广西某公司的要求,帮助其建造了一条生产超细活性碳酸钙的生产线,先 后收取对方人民币142万元。其间,胡私下向自己公司内主要技术人员询问并了解有关产品 的核心技术,“策反”公司的核心技术人员,并组织掌握相关技术秘密的10多名技术人员 到广西那家公司进行生产线的建造和安装。 损失千万、追悔莫及: 此后,二者形成竞争关系,因为后者研发成本及费用远低于前者,利用成本优势迅速抢占市场, 使嘉维化工当年直接损失3500万,并使企业陷入发展困境…
ISO27001标准详解75543PPT课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
2
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
精选课件
Page 13
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
精选课件
Page 14
14
0 引言
精选课件4ISO2 Nhomakorabea001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选课件
5
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
精选课件
6
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
2
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
精选课件
Page 13
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
2 规范性引用文件 3 术语和定义
精选课件
Page 14
14
0 引言
精选课件4ISO2 Nhomakorabea001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选课件
5
ISO27001的内容
信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
精选课件
6
ISO27001的内容
必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
ISO27001信息安全管理体系介绍(PPT52页).pptx
方式,是否收到足够保护? ► 信息安全事件给企业造成的最大/最坏影响?
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
ISO27001信息安全防护管理体系培训方案基础知识.ppt
26
ISO/IEC27001控制大项--管理内容
• 信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措
ISMS控制大项说明 施,确保使用持续有效的方法管理信息安全事故。
• 业务连续性管理:目的是为了减少业务活动的中断,使关键业务过 程免受主要故障或天灾的影响,并确保他们的及时恢复。
9
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
10
为什么要实施信息安全管理
实施信息管理原因:自1987年以来,全世界已发现超过 50000种计算机病毒,2000年爆发的“爱虫”病毒给全球 用户造成了100亿美元的损失;美国每年因信息与网络安全 问题所造成的损失高达75亿美元。即使是防备森严的美国 国防信息系统2000年也受到25万次黑客攻击,且成功进入 率高达63%。
• 本标准可以适合于不同性质、规模、结构和环境的各种组织。 因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认 证是不必要的。
14
为什么要实施信息安全管理
实施信息管理必然性: • 如果因为预算困难或其他原因,不能一下子降低所有不可 接受风险到可接受程度时,能否通过体系认证,也是很多 人关心的问题。通常审核员关心的是组织建立的ISMS是否 完整,是否运行正常,是否有重大的信息安全风险没有得 到识别和评估。有小部分的风险暂时得不到有效处置是允 许的,当然“暂时接受”的不可接受风险不可以包括违背 法律法规的风险。
信息安全事件管理
A.5信Biblioteka 安全方针A.12系统获取开发和维护
ISO/IEC27001控制大项--管理内容
• 信息安全事故的管理:报告信息安全事件和弱点,及时采取纠正措
ISMS控制大项说明 施,确保使用持续有效的方法管理信息安全事故。
• 业务连续性管理:目的是为了减少业务活动的中断,使关键业务过 程免受主要故障或天灾的影响,并确保他们的及时恢复。
9
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 如何实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
10
为什么要实施信息安全管理
实施信息管理原因:自1987年以来,全世界已发现超过 50000种计算机病毒,2000年爆发的“爱虫”病毒给全球 用户造成了100亿美元的损失;美国每年因信息与网络安全 问题所造成的损失高达75亿美元。即使是防备森严的美国 国防信息系统2000年也受到25万次黑客攻击,且成功进入 率高达63%。
• 本标准可以适合于不同性质、规模、结构和环境的各种组织。 因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认 证是不必要的。
14
为什么要实施信息安全管理
实施信息管理必然性: • 如果因为预算困难或其他原因,不能一下子降低所有不可 接受风险到可接受程度时,能否通过体系认证,也是很多 人关心的问题。通常审核员关心的是组织建立的ISMS是否 完整,是否运行正常,是否有重大的信息安全风险没有得 到识别和评估。有小部分的风险暂时得不到有效处置是允 许的,当然“暂时接受”的不可接受风险不可以包括违背 法律法规的风险。
信息安全事件管理
A.5信Biblioteka 安全方针A.12系统获取开发和维护
信息安全管理基础PPT课件
24
信息安全概述
信息安全管理面临的一些问题
国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理
25
信息安全概述
调查显示有8成企业安全管理不理想
26
信息安全概述
10
信息安全概述
信息安全的发展历史
20世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究只侧重于 密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的TCSEC和欧 洲的ITSEC测评标准
38
ቤተ መጻሕፍቲ ባይዱ
信息安全概述
ISMS是一个文档化的体系
对管理框架的概括
• 包括策略、控制目标、已实施的控制措施、适用性声明(SoA)
各种程序文件
• 实施控制措施并描述责任和活动的程序文件 • 覆盖了ISMS管理和运行的程序文件
证据
• 能够表明组织按照ISO27001要求采取相应步骤而建立了管理框架 • 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D 泄
漏
isclosure
A 篡
改
lteration
D 破
坏
estruction
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
信息安全概述
信息安全管理面临的一些问题
国家的信息安全法律法规体系建设还不是很完善 组织缺乏信息安全意识和明确的信息安全策略 对信息安全还持有传统的认识,即重技术,轻管理 安全管理缺乏系统管理的思想,还是就事论事式的静态管理
25
信息安全概述
调查显示有8成企业安全管理不理想
26
信息安全概述
10
信息安全概述
信息安全的发展历史
20世纪60年代前
• 电话、电报、传真 • 强调的是信息的保密性 • 对安全理论和技术的研究只侧重于 密码学 • 通信安全,即COMSEC
60年代到80年代
• 计算机软硬件极大发展 • 关注保密性、完整性和可用性目标 • 信息安全,即INFOSEC • 代表性成果是美国的TCSEC和欧 洲的ITSEC测评标准
38
ቤተ መጻሕፍቲ ባይዱ
信息安全概述
ISMS是一个文档化的体系
对管理框架的概括
• 包括策略、控制目标、已实施的控制措施、适用性声明(SoA)
各种程序文件
• 实施控制措施并描述责任和活动的程序文件 • 覆盖了ISMS管理和运行的程序文件
证据
• 能够表明组织按照ISO27001要求采取相应步骤而建立了管理框架 • 各种Records:在操作ISMS过程当中自然产生的证据,可识别过程并显现符合性
CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:
D 泄
漏
isclosure
A 篡
改
lteration
D 破
坏
estruction
16
信息安全概述
Confidentiality 机密性
Integrity 完整性
ISO27001标准详解ppt课件
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
3
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
14
3 术语和定义
信息
是经过加工的数据或消息,信息是对决策者有价值的数据
资产
任何对组织有价值的事物
可用性
确保授权用户可以在需要时可以获得信息和相关资产
保密性
确保信息仅为被授权的用户获得
15
3术语和定义(续)
完整性
确保信息及其处理方法的准确性和完整性
信息安全
保护信息的保密性、完整性、可用性;另外也包括其他 属 性,如:真实性、可核查性、不可抵赖性和可靠性
风险接受
接受风险的决定。
风险分析
系统地使用信息以识别来源和估计风险。
18
3术语和定义(续)
风险评估
风险分析和风险评价的全过程。
风险评价
将估计的风险与既定的风险准则进行比较以确定重要风险 的过程。
风险管理
指导和控制一个组织关于风险的协调活动。
风险处置
选择和实施措施以改变风险的过程。
28
ISMS 文 件
管理框架
与ISO27001条款 第一层次 4有关的方针
方针 范围、风险评价
适用性声明
第二层次
描述过程: who,what,when,where
第三层次
描述任务及具体的活动如何 完成
ISO27001信息安全防护管理体系培训方案基础知识.ppt
7
什么是信息安全—信息的完整性
什么信是息信的完息整性安是全指要—保信证息信息的使完用整和性处理方法的正确
性和完整性。信息完整性一方面是指在使用、传输、 存储、备份、交换信息的过程中不发生篡改信息、丢 失信息、错误信息等现象;另一方面是指信息处理方 法的正确性,信息备份、系统恢复、销毁等处理不正 当的操作,有可能造成重要文件的丢失,甚至整个系 统的瘫痪。
6
什么是信息安全—信息的机密性
什么信是息的信机息密性安是指全确-保-信授息予或的特机定密权性限的人才能访问 到信息。信息的机密性依据信息被允许访问对象的多 少而不同,所有人员都可以访问的信息为公开信息, 需要限制访问的信息为敏感信息或秘密信息,根据信 息的重要程度和保密要求将信息分为不同密级。一般 分为秘密、机密和绝密三个等级,已授权用户根据所 授予的操作权限可以对保密信息进行操作。
27002--信息安全管理体系 实践规范
ISO/IEC27000族
27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量
27005--信息安全管理体系信息安全风险管理
27006--信息安全管理体系认证机构要求
27007信息安全管理体系 审核指南
19
ISMS介绍-- ISO/IEC27000族发布时间
然而,能对组织造成巨大损失的风险主要还是来源于组织 内部,国外统计结果表明企业信息受到的损失中,70%是 由于内部员工的疏忽或有意泄密造成。
11
为什么要实施信息安全管理
实施信息管理原因:多数计算机使用者很少接受严格 的信息安全意识培训,每天都在以不安全的方式处理企业 的大量重要信息,而且企业的合作单位、咨询机构等外部 人员都以不同的方式使用企业的信息系统,对企业的信息 系统构成了潜在的威胁。如员工为了方便记忆系统登录口 令而在明显处粘一便条,就足以毁掉花费了大量成本建立 的信息系统。许多对企业心存不满的员工把“黑”掉企业 网站,偷窃并散布客户敏感信息,为竞争对手提供机密资 料,甚至破坏关键信息系统作为报复企业,致使企业蒙受 了巨大的经济损失。
什么是信息安全—信息的完整性
什么信是息信的完息整性安是全指要—保信证息信息的使完用整和性处理方法的正确
性和完整性。信息完整性一方面是指在使用、传输、 存储、备份、交换信息的过程中不发生篡改信息、丢 失信息、错误信息等现象;另一方面是指信息处理方 法的正确性,信息备份、系统恢复、销毁等处理不正 当的操作,有可能造成重要文件的丢失,甚至整个系 统的瘫痪。
6
什么是信息安全—信息的机密性
什么信是息的信机息密性安是指全确-保-信授息予或的特机定密权性限的人才能访问 到信息。信息的机密性依据信息被允许访问对象的多 少而不同,所有人员都可以访问的信息为公开信息, 需要限制访问的信息为敏感信息或秘密信息,根据信 息的重要程度和保密要求将信息分为不同密级。一般 分为秘密、机密和绝密三个等级,已授权用户根据所 授予的操作权限可以对保密信息进行操作。
27002--信息安全管理体系 实践规范
ISO/IEC27000族
27003--信息安全管理体系 实施指南 27004-- 信息安全管理体系 测量
27005--信息安全管理体系信息安全风险管理
27006--信息安全管理体系认证机构要求
27007信息安全管理体系 审核指南
19
ISMS介绍-- ISO/IEC27000族发布时间
然而,能对组织造成巨大损失的风险主要还是来源于组织 内部,国外统计结果表明企业信息受到的损失中,70%是 由于内部员工的疏忽或有意泄密造成。
11
为什么要实施信息安全管理
实施信息管理原因:多数计算机使用者很少接受严格 的信息安全意识培训,每天都在以不安全的方式处理企业 的大量重要信息,而且企业的合作单位、咨询机构等外部 人员都以不同的方式使用企业的信息系统,对企业的信息 系统构成了潜在的威胁。如员工为了方便记忆系统登录口 令而在明显处粘一便条,就足以毁掉花费了大量成本建立 的信息系统。许多对企业心存不满的员工把“黑”掉企业 网站,偷窃并散布客户敏感信息,为竞争对手提供机密资 料,甚至破坏关键信息系统作为报复企业,致使企业蒙受 了巨大的经济损失。
ISO27001详细介绍ppt课件
ISO27001 标准所要求建立的ISMS 是一个文件化的体系,ISO27001 认证第一阶 段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以, 在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。
第四章 信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
2008年6月19日, GB/T 19716-2005作废,改为GB/T 22081-2008 。
台湾省
在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则 被引用为CNS 17800。
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
17799的适用性
本实用规则可认为是组织开发其详细指南的起点。对一个组织来说 ,本实用规则中的控制措施和指南并非全部适用,此外,很可能还 需要本标准中未包括的另外的控制措施和指南。为便于审核员和业 务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件 时,对本标准中条款的相互参考可能是有用的。
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
ISO/IEC 27002(17799)
ISO/IEC 27001简介
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
第四章 信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
2008年6月19日, GB/T 19716-2005作废,改为GB/T 22081-2008 。
台湾省
在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则 被引用为CNS 17800。
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
17799的适用性
本实用规则可认为是组织开发其详细指南的起点。对一个组织来说 ,本实用规则中的控制措施和指南并非全部适用,此外,很可能还 需要本标准中未包括的另外的控制措施和指南。为便于审核员和业 务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件 时,对本标准中条款的相互参考可能是有用的。
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
ISO/IEC 27002(17799)
ISO/IEC 27001简介
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
ISO27001信息安全体系结构课件
审计
安
全 策 略 与 服
密 钥 管 理
务
状入 态侵 检监 测控
机岗人 制培法 构位事 度训律
ISO27001信息安全体系结构
11
2.3 信息安全体系框架
技术体系
1)物理安全技术。信息系统的建筑物、机房条件及硬 件设备条件满足信息系统的机械防护安全;通过对电力供应 设备以及信息系统组件的抗电磁干扰和电磁泄露性能的选择 性措施达到相应的安全目的。物理安全技术运用于物理保障 环境(含系统组件的物理环境)。
防 火 墙 与 系 统 隔 离 产 品
安 全 路 由 器 与 虚 拟 专 用 网 络 产 品
网 络 病 毒 检 查 预 防 和 清 除 产 品
网 络 安 全 隐 患 扫 描 检 测 工 具
网 络 安 全 监 控 及 预 警 设 备
网 络 信 息 远 程 监 控 系 统
审 计 与 网 情 分 析 系 统
鉴别服务 访问控制 数据完整性 数据保密性 不可抵赖性
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
安全机制
加数访数鉴业路公 密字问据别务由证
签控完交流控 名制整换填制
性充
安全服务
ISO27001信息安全体系结构
5
2.2 开放系统互连安全体系结构
安全机制是指用来保护系统免受侦听、阻止 安全攻击及恢复系统的机制。
资源的非授权使用。
3)数据保密性。这种服务对数据提供保护使之不被非授权地
泄漏。
4)数据完整性。可以针对有连接或无连接的条件下,对数据
进行完整性检验。在连接状态下,当数据遭到任何篡改、插入、删
除时还可进行补救或恢复。
5)抗抵赖。对发送者来说,数据发送将被证据保留,并将这
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO/IEC 27006 Certification and Registration process审核认证机构要求
发布时间
起草中,未发布 2005年10月 2007年4月 起草中,未发布 起草中,未发布 2008年6月 2007年2月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性 ► 保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 ► 可用性:根据授权实体的要求可访问和利用的特性 ► 完整性:保护资产的准确和完整的特性
招商银行信息系统内部审计培训
保密性
ISO27001信息安全管理体系介绍
页数 11
ISO 27001 的历史
1995年 发布BS 7799 Part 1
1998年
发布BS 7799 Part 2
1999年 发布新版 BS 7799 Part 1 & 2
2000年 发布ISO 17799:2000
2002年 发布新版BS 7799-2
2005年
发布ISO 17799:2005 发布ISO 27001:2005
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 6
信息资产
信息资产的生命周期:
► 产生 ► 使用 ► 存储 ► 传输 ► 销毁/抛弃
产生
销毁/ 抛弃
传输
使用 存贮
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ห้องสมุดไป่ตู้ISO27001 将信息安全定义如下:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 2
几个问题
► 信息是否是企业的重要资产? ► 信息的泄漏是否会给企业带来重大影响? ► 信息的真实性对企业是否带来重大影响? ► 信息的可用性对企业是否带来重大影响? ► 我们是否清楚知道什么信息对企业是重要的? ► 信息的价值是否在企业内部有一个统一的标准? ► 我们是否知道企业关系信息的所有人 ► 我们是否知道企业关系信息的信息流向、状态、存储
方式,是否收到足够保护? ► 信息安全事件给企业造成的最大/最坏影响?
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负 责开发ISMS相关的标准与指南
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 10
ISO 27000系列标准
标准序号
标准名称
ISO/IEC 27000 基础与术语
ISO/IEC 27001 ISMS Requirement ISMS要求
2007年 ISO 27002:2005替代ISO 17799:2005
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 12
等同的国家标准
我国已将ISO27001 和 ISO27002系列标准等同转化为国家标准。2008 年 9 月 ,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布 两个新的国家标准,并于2008年11月1日起实施。
► GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 ► GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
招商银行信息系统内部审计培训 ISO27001信息安全管理体系介绍
2009年3月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 1
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
► 信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户 手册、培训材料、操作或支持程序、业务连续性计划、应变安排 (fallback arrangement)、审核跟踪记录(audit trails)、归档 信息;
► 软件资产:应用软件、系统软件、开发工具和实用程序; ► 物理资产:计算机设备、通信设备、可移动介质和其他设备; ► 服务:计算和通信服务(例如,网络浏览、域名解析)、公用设施
ISO/IEC 27002 Code of Practice for ISMS实用规则
ISO/IEC 27003 ISMS Implementation Guidance ISMS实施指南
ISO/IEC 27004 ISMS Metrics and Measurement ISMS的测量
ISO/IEC 27005 Information Security Risk Management 信息安全风险管理
可用性
页数 8
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
► Information Security Management System(ISMS)信息安全管理体系 ► 基于国际标准ISO/IEC27001:信息安全管理体系要求 ► 是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ► ISMS是管理体系(MS)家族的一个成员 ► ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技
(例如,供暖,照明,能源,空调); ► 人员,他们的资格、技能和经验; ► 无形资产,如组织的声誉和形象。
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 5
信息资产
信息资产存在方式:
► 电脑数据 ► 网络传输 ► 传真 ► 纸上记录 ► 图片 ► 数码照片 ► 光盘磁带 ► 电话交谈 ► 人的大脑等