信息安全管理体系培训 PPT

1、ISMS概述
• 2006年5月8日上午8时左右，中国工程院院士，著 名的传染病学专家钟南山在上班的路上，被劫匪很 “柔和”地抢走了手中的笔记本电脑。事后钟院士 说“一个科技工作者的作品、心血都在电脑里面， 电脑里还存着正在研制的新药方案，要是这个研究 方案变成一种新药，那是几个亿的价值啊”。
• 这几个案例仅仅是冰山一角，打开电视、翻翻报纸 、浏览一下互联网，类似这样的事件几乎每天都在 发生。从这些案例可以看出，信息资产一旦遭到破 坏，将给组织带来直接的经济损失、损害组织的声 誉和公众形象，使组织丧失市场机会和竞争力，更 为甚者，会威胁到组织的生存。
改进
AP
90
CD
计划
检查
执行
改进
AP
90
CD
计划
检查
执行
达到新的水平 改进(修订标准)
维持原有水平
ISO/IEC 27001:2005
ISO/IEC 27001:2005标准适用于所有类型的 组织，而不管组织的性质和规模如何。该新标准的 特点之一是基于组织的资产风险评估。也就是说， 该标准要求组织通过业务风险评估的方法，来建立 、实施、运行、监视、评审、保持和改进其ISMS ，确保其信息资产的保密性、可用性和完整性。
• 因此，保护信息资产，解决信息安全问题，已经成 为组织必须考虑的问题。
1、ISMS概述
如何建立ISMS? a) 正确理解ISMS的含义和要素
1、ISMS概述
如何建立ISMS? a) 正确理解ISMS的含义和要素
管理体系包括“组织的结构、方针、规划活动、职责、 实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7） 。这些就是构成管理体系的相互依赖、协调一致，缺一不可 的组成部分或要素。我们将其归纳后，ISMS的要素要包括：
电工委员会 信息技术委员会/安全技术分委员会） 设有5个工作组：
• WG1：ISMS标准工作组 • WG2：安全技术与机制工作组 • WG3：信息系统、部件和产品相关的安全评估准则
工作组 • WG4：安全控制与服务工作组 • WG5：身份管理与隐私保护技术工作组
2、ISMS标准
• 已经发布的ISMS标准 目前国际标准化组织已经正式发布的ISMS国
1、ISMS概述
• 为什么要建立ISMS ？ 今天，我们已经身处信息时代，在这个时代，“计算机
和网络”已经成为组织重要的生产工具，“信息”成为主 要的生产资料和产品，组织的业务越来越依赖计算机、网 络和信息，它们共同成为组织赖以生存的重要信息资产。
可是，计算机、网络和信息等信息资产在服务于组织 业务的同时，也受到越来越多的安全威胁。病毒破坏、黑 客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以 及利用计算机网络实施的各种犯罪行为，人们已不再陌生 ，并且这样的事件好像经常在我们身边发生。下面的案例 更清晰的表现了这种趋势：
该标准给出了ISMS实施的关键成功因素，实施过程依 照ISO/IEC27001要求的PDCA模型进行，并进一步介绍了 各个阶段的活动内容及详细实施指南。
按照ISO/IEC 27001:2005“4.2.1建立ISMS ” 条款的 要求，建立ISMS的步骤包括：
• 定义ISMS的范围和边界，形成ISMS的范围文件； • 定义ISMS方针（包括建立风险评价的准则等）,形成ISMS方针文件； • 定义组织的风险评估方法； • 识别要保护的信息资产的风险； • 分析和评价安全风险，形成《风险评估报告》文件，包括要保护的信
1、ISMS概述
如何建立ISMS? a) 正确理解ISMS的含义和要素
管理体系包括“组织的结构、方针、规划活动 、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互 依赖、协调一致，缺一不可的组成部分或要素。我 们将其归纳后，ISMS的要素要包括：
信息安全管理体系文件
第一级 关于ISMS管理 框架的方针策略
策略，范围， 安全方针，适用性声明
信息安全手册
第二级
描述流程： 谁，何时，在哪Leabharlann Baidu，做什么事情
程序文件 作业指导书 等
第三级
描述执行任务和特定活动的详细步骤
第四级
提供遵守ISMS要求的客观证据
纪录、表单
2、ISMS标准
• ISO/IEC27000族简介 ISO/IEC27000族是国际标准化组织专门为
ISO/IEC27002:2005
ISO/IEC27002:2005的通用性，体现在标准中 提出的控制措施是从信息安全工作实践中总结出来 的，是最佳实践。任何规模、任何性质的有信息安 全要求的组织，不管其是否建设ISMS，都可以从 标准中找到适合自己使用的控制措施来满足其信息 安全要求。
2、ISMS标准
际标准有两个：ISO/IEC27001和ISO/IEC27002， 它们是ISMS的核心标准。
ISO/IEC27001:2005：信息安全管理体系要求 ISO/IEC27002:2005：信息安全管理实用规则
ISO/IEC 27001 宏观层面-建什么？
Chapter 0. 简介 Chapter 1. 范围 Chapter 2. 相关规范 Chapter 3. 术语和定义 Chapter 4. 信息安全管理体系 Chapter 5. 管理责任 Chapter 6. ISMS内部审计 Chapter 7. ISMS管理评审 Chapter 8. ISMS改进 附录A：ISO27002
该章简单介绍了评估安全风险和处理安全风险的原则、流程及要 求。 四、控制措施部分（5～15章）。
ISO/IEC27002:2005
ISO/IEC27002:2005作为信息安全管理的最佳实践， 它的应用既有专用性的特点，也有通用性特点。
说它具有专用性，是因为作为信息安全管理体系标准 族（ISMS标准）中的一员，目前它与ISMS的要求标准 ISO/IEC27001:2005是组合使用的，ISO/IEC27001:2005 中的规范性附录A就是ISO/IEC27002:2005的控制目标和控 制措施集。对于期望建设和实施ISMS的组织，应根据 ISO/IEC27001:2005的要求，选择ISMS范围，制定信息安 全方针和目标， 实施风险评估，根据风险评估的结果，选 择控制目标和控制措施，制定和实施风险处理计划，执行 内部审核和管理评审，以持续改进。
信息安全管理体系培训
信息安全管理体系
1. ISMS概述 2. ISMS标准 3. ISMS认证
1、ISMS概述
• 什么是ISMS？
在ISMS的要求标准ISO/IEC27001:2005（信息安全 管理体系 要求）的第3章术语和定义中，对ISMS的定义 如下:
ISMS（信息安全管理体系）：是整个管理体系的一 部分。它是基于业务风险方法，来建立、实施、运行、监 视、评审、保持和改进信息安全的。注：管理体系包括组 织结构、方针策略、规划活动、职责、实践、程序、过程 和资源。
管理体系包括“组织的结构、方针、规划活动 、职责、实践、程序、过程和资源”（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互 依赖、协调一致，缺一不可的组成部分或要素。我 们将其归纳后，ISMS的要素要包括：
信息安全管理机构 ISMS文件 包括ISMS方针、过程、程序和其它必须的文件等。
1、ISMS概述
• 2005年6月19日，万事达公司宣布，储存有大约4千 万信用卡客户信息的电脑系统遭到一名黑客入侵。 被盗账号的信息资料已经在互联网上公开出售，每 条100美元，并可能被用于金融欺诈活动。
• 2005年5月19日，深圳市中级人民法院对华为公司 诉其前员工案作出终审判决，维持深圳市南山区人 民法院2004年12月作出的一审判决。3名前华为公 司员工，因辞职后带走公司技术资料并以此赢利。 这3名高学历的IT界科技精英，最终因侵犯商业秘 密罪将分别在牢房里度过两到三年光阴。
ISMS预留下来的系列相关国际标准的总称。根据 国际标准化组织的最新计划，该系列标准的序号已 经预留到27019，其中将27000～27009留给ISMS 基本标准，27010～27019预留给ISMS标准族的解 释性指南与文档。可见ISMS标准将来会是一个庞 大的家族。
2、ISMS标准
ISMS国际标准化组织 ISO/IEC JTC1/SC27（国际标准化组织/国际
• 正在制定的ISMS标准 1、ISO/IEC 27000
ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理体系基 础和术语），属于A类标准。ISO/IEC 27000提供了ISMS标 准族中所涉及的通用术语及基本原则，是ISMS标准族中最 基础的标准之一。ISMS标准族中的每个标准都有“术语和 定义”部分，但不同标准的术语间往往缺乏协调性，而 ISO/IEC27000则主要用于实现这种协调。
ISO/IEC 27002
微观层面-怎么建？
Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter Chapter
11个方面 39个目标
133个控制措施
ISO/IEC27002:2005
从内容和机构上看，可以将标准分为四个部分： 一、引言部分。
主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需 要信息安全、如何建立安全要求、评估安全风险等8个方面内容。 二、标准的通用要素部分（1～3章）。
第1章是标准的范围，给出了该标准的内容概述、用途及目标。第2 章是术语和定义，介绍了资产、控制措施、指南、信息处理设施、信息 安全等十七个术语。第3章则给出了该标准的结构。 三、风险评估和处理部分。
信息安全管理机构 • 高层：以总经理或管理者代表为领导，确保信息安全工作有
一个明确的方向和提供管理承诺和必要的资源。 • 中层：负责该组织日常信息安全的管理与监督活动。 • 基层：基层部门指定一位兼职的信息安全检查员，实施对其
本部门的日常信息安全监视和检查工作。
1、ISMS概述
如何建立ISMS? a) 正确理解ISMS的含义和要素
信息安全管理机构 ISMS文件 资源
包括建立与实施ISMS所需要的合格人员、足够的 资金和必要的设备等。
1、ISMS概述
如何建立ISMS? a) 正确理解ISMS的含义和要素 b) 建立信息安全管理机构
1、ISMS概述
如何建立ISMS? a) 正确理解ISMS的含义和要素 b) 建立信息安全管理机构 c) 执行标准要求的ISMS建立过程
息资产清单； • 识别和评价风险处理的可选措施，形成《风险处理计划》文件； • 根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的
文件； • 管理者正式批准所有残余风险； • 管理者授权ISMS的实施和运行； • 准备适用性声明。
1、ISMS概述
如何建立ISMS? a) 正确理解ISMS的含义和要素 b) 建立信息安全管理机构 c) 执行标准要求的ISMS建立过程 d) 编写所需要的ISMS文件
ISO/IEC 27000目前处于WD（工作组草案）阶段，正 在SC27内研究并征求意见。
2、ISMS标准
• 正在制定的ISMS标准 2、ISO/IE 27003
ISO/IEC27003（Information security management system implementation guidance 信息安全管理体系实施指 南），属于C类标准。ISO/IEC27003为建立、实施、监视 、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施 指南和进一步的信息，使用者主要为组织内负责实施ISMS 的人员。
00. 简介 01. 范围 02. 术语和定义 03. 本标准结构介绍 04. 风险评估及风险处置 05. 安全方针 06. 组织的信息安全 07. 资产管理 08. 人力资源安全 09. 物理安全和环境安全 10. 通信和运营管理 11. 访问控制 12. 信息系统获取、开发和维护 13. 信息安全事件管理 14. 业务连续性管理 15. 符合性