ISO27001信息安全培训课件

组织对于信息安全的内部方针需求、详细程度及内容可以 视组织的规模、业务的复杂程度及性质而有所不同。
顶层方针 支持性策略
信息安全方针
移动设备策略 访问控制策略 密码控制的使用策略 清理桌面和屏幕策略 备份策略 信息传输策略 安全的开发策略 供应商关系的信息安全策略
流程及操作
远程工作安全措施 可接受的信息使用规则 信息标记规程 …….
n 目 标：为保护本公司的相关信息资产，包括软硬件设施、数据、信 息的安全，免于因外在的威胁或内部人员不当的管理遭受泄密、破坏 或遗失等风险，特制订本政策，以供全体员工共同遵循。
n 宣传口号：“信息安全是赢得客户的基础，无破坏零损失是我们的终 极目标” “信息安全，人人有责”
n 信息安全要求：
· 信息安全管理委员会是公司信息安全管理的最高机构 · 信息资产应受适当的保护，以防止未经授权的不当存取； · 应适当保护信息的机密性； · 确保信息不会在传递的过程中，或因无意间的行为透露给未经授权的第三
PLAN
DO CHECK ACT
Plan Check
4.组织环境 4.1 理解组织及其环 境 4.2 理解相关方的需 求和期望 4.3 确定ISMS范围 4.4 信息安全管理体 系
6.规划 6.1应对风险和 机会的措施 6.2信息安全目 的及其实现规划
Act
8.运行 8.1运行规划和 控制 8.2信息安全风 险评估 8.3信息安全风 险处置
制定信息安全方针、目的，并批准发布； 批准信息安全管理体系文件； 明确信息安全管理体系组织构架及职责； 保障信息安全体系运行所需的人员、技术、资金等
资源； 表达领导层对信息安全重要性的关注； 了解信息安全管理运行情况（日常检查结果和内外
5.领导力
5.1 领导和承诺 5.2 方针 5.3 组织的角色，责任和权限
5.1 领导和承诺 最高管理层应通过以下活动，证实对信息安全管理体系的领
导和承诺： a)确保建立了信息安全策略和信息安全目的，并与组织战略方向 一致； b)确保将信息安全管理体系要求整合到组织过程中； c)确保信息安全管理体系所需资源可用； d)沟通有效的信息安全管理及符合信息安全管理体系要求的重要 性； e)确保信息安全管理体系达到预期结果； f)指导并支持相关人员为信息安全管理体系的有效性做出贡献； g)促进持续改进； h)支持其他相关管理角色，以证实他们的领导按角色应用于其责 任范围
信息安全追求的目标 p确保业务连续性 p业务风险最小化 p保护信息免受各种威胁的损害 p投资回报和商业机遇最大化
一级文件
二级文件
三、四级 文件
信息安全手册 安全方针策略文件 适用性声明（SOA）
过程/规程/制度文件 作业指导书、
检查单、表格
12
正文 规范性附录A
1.范围 2.规范性引用文件 3.术语和定义 4.组织环境 5.领导力 6.策划 7.支持 8.运行 9.绩效评价 10.改进
Do
10.改进 10.1不符合及纠 正措施 10.2持续改进
5.领导 5.1 领导和承诺 5.2 方针 5.3 组织的角色，责 任和权限
7.支持 7.1资源 7.2能力 7.3意识 7.4沟通 7.5文件化信息
9.绩效评价 9.1监视、测量、 分析和评价 9.2内部审核 9.3管理评审
A.5 信息安全策略
应，予以适当调查、处理。
5.3 组织的角色，责任和权限 最高管理层应确保与信息安全相关角色的责任
和权限得到分配和沟通。 最高管理层应分配责任和权限，以： a)确保信息安全管理体系符合本标准的要求； b)向最高管理者报告信息安全管理体系绩效。
注：最高管理层也可为组织内报告信息安全管理体系绩效，分配责任和权 限。
信息 安全
社会
责任
质量
4.1 理解组织及其环境
4.2理解相关方的需求 和期望
举 例
体系范围： 电视及显示器用主板 （视源）、高效会议平台、交互智能 平板及其周边产品、医疗类产品（希 科）的开发、设计、销售和服务
物理范围:
4.4 信息安全管理体系 组织应按照本标准的要求，建
立、实现、维护和持续改进信息安 全管理体系。
4.课程 总结
信息安全管理体系的内容（建立什么）
ISO27001标准的修订历史
BS7799标准 最早由英国BSI主导制定发布 ISO/IEC 27001：2005版本 2005年10月 ISO/IEC 27001：2013 版本2013年10月 GB/T 22080-2016版本2017年3月
Jan Feb Mar Apr May Jun July Sep Oct Nov Dec
ISMS需要考虑的外部因素
•文化、政治、法律法规、金融、经济以 及竞争因素(国际、国内或地区性)
•影响组织目标达成的关键外部驱动力和 趋势
•利益相关方的认识及价值观
序 号
类型
因素
1
外部
社会和文化
2
外部
政治
3
外部
法律
4
外部
监管
5
外部
技术
6
外部
自然环境
7
外部
竞争环境
8
内部
组织结构
9
内部
角色和责任
10 内部
本标准规定了从组织的环境的角度，为建立，实 施、运行、保持和持续改进信息安全管理体系规 定了要求。
本标准还规定了为适应组织需要而定制的信息安 全风险评估和处置的要求，标准规定的要求是通 用的，适用于各种类型、规模和特性的组织。
组织声称其符合此国际标准，但是没有达到第4 章至第10章规定的要求，是不可接受的。
4.组织环境
4.1 理解组织及其环境 4.2 理解相关方的和期望 4.3 确定ISMS范围需求 4.4 信息安全管理体系
4.1 理解组织及其环境 组织应确定与其意图相关的，且影响其
实现信息安全管理体系预期结果能力的外部 和内部事项。
ISMS需要考虑的内部环境
l治理、组织架构、角色与职责; l策略、目标、以及达成目标所采用的策略; l组织拥有的资源与能力(如资产、时间、人力、流程、 系统及技术); l与内部利益相关方的关系以及他们的认识/价值观组 织的企业文化; l组织的信息系统、信息流、决策过程（正式与非正式） l组织采用的任何标准、指南和模型 l合同关系与安排的形式和程度
–信息安全风险管理流程-‐评估及处理组织面临的 风险，考虑组织的整体业务目标及策略。
举 例
序号
1 2
相关方
客户 第三方审核机构
3
股东
4
员工
5
政府等上级管理机构
相关方信息安全需求和期望 信息安全需求和期望
符合合同签定的要求和商务谈判约定，具体见合同 符合ISO27001和相关国家法律法规要求 符合国家法律和行业规范的要求 保护公司信息,确定公司在同行业内的竞争优势 增强员工的信息安全意识，提升其责任感，减少人为 原因造成的不必要损失，规范企业信息安全行为 实现风险管理 企业核心业务所赖以持续的各项信息资产得到了妥善保护 建立有效的业务持续性计划框架 降低潜在信息安全事件发生而给企业带来的损失 防止个人信息泄露 防止个人重要信息未经合法授权被别人篡改 符合国家政策、法律和行业规范的要求,具体见《法律法规清单》
我国采用GB/T 22080-2008 《信息技术 安 全技术 信息安全 管理体系 要求（等同采用 ISO/IEC 27001:2005 ）
◦ 重点关注，全面布防
p基于对关键资产的风险评估，确定保护重点； p通过对114项控制的选择和落实，实现对信息安全的全面
保障
◦ 通过PDCA的持续循环，确保管理体系 适应内外环境的变化
2、规范性引用
以下引用的文件对于本文件的应用是必不可少的。 凡是注日期的引用文件，仅引用的版本适用。凡 是不注日期的引用文件，其最新版本的参考文件 （包括所有的修改单）适用。如ISO/IEC 27000 信息技术-安全技术-信息安全管理体系-概述和 词汇；
3、术语和定义
ISO/IEC 27000的术语和定义适用于本标准。
者； · 应适当确保信息的完整性，以防止未经授权的窜改； · 应适当确保信息的可用性，以确保使用者需求可以得到满足； · 相关的信息安全措施或规范应符合现行法令的要求； · 尽可能维护、测试企业的灾难恢复与业务持续性计划的可行性； · 应依其职务、责任对全体员工进行信息安全适当的教育与培训； · 所有信息安全意外事故或可疑的安全弱点，都应依循适当回报系统向上反
A.6 信息安全组织
A.8 资产管理
人
A.9 访问控制
力A
A.10 密码
资 . A.11 物 A.12 运 A.13 通 A.14 系统 源 7 理和环境 行安全 信安全 获取、开发
安
安全
和维护
全
A.15 供应商关系
A.16 信息安全事件管理
A.17业务连续性管理的信息安全方面
A.18 符合性
1、范围
政策
11 内部 12 内部 13 内部
目标 战略 资源
14 内部
信息系统
15 内部 16 内部
信息流 决策流程
信息安全目标相关的内外部环境因素
举 例
描述
关注信息安全体系相关、需符合的特定社会特征、伦理、当地风俗习惯与价值观，宗教 关注信息安全体系须符合的国家安全要求、不破坏国家政治稳定 信息安全体应符合国家的法律法规要求 信息安全需配合监管部门的工作,如网警、当地派出所 了解信息安全技术，有利及时解决网络安全问题,分析企业网络和信息系统安全漏洞 了解公司所处的自然环境，有利于防范自然因素（如雷电、雨雪、洪水、 台风、地震）的影响 应检测竞争环境因素和变化，以规避信息安全威胁 组织结构合理，有利于建立有效信息安全机构，落实责任并予以沟通 关注组织中的各类人员分配角色、明确权限、落实责任 关注信息安全体系文件控制的有效性，包括：职责分配，控制内容，文件版本更新。良好的政策有利于指明信 息安全工作方向和实施 明确的目标,可以协调所有的活动，并保证最后的实施效果 企业战略是设立远景目标并对实现目标的轨迹进行的总体性、指导性谋划 包括公司拥有的物力、财力、人力。是影响信息安全体系建设的重要因素之一 包括信息的收集、传递、存贮、加工、维护和使用的系统，是信息安全 重要关注对象 包括信息的收集、传递、处理、储存、检索、分析过程。信息安全必须关注每个过程 良好的决策流程有利于解决问题，实现目标
5.2 方针 最高管理层应建立信息安全方针，该方针应： 与组织意图相适宜； a)包括信息安全目的（见6.2）或为设定信息安全目的提供 框架； b)包括对满足适用的信息安全相关要求的承诺； c)包括对持续改进信息安全管理体系的承诺。 信息安全方针应： d)形成文件化信息并可用； e)在组织内得到沟通； f)适当时，对相关方可用。
4.3 确定信息安全管理体系范围 组织应确定信息安全管理体系的边界及其适用
性，以建立其范围。 在确定范围时，组织应考虑： a)4.1中提到的外部和内部事项； b)4.2中提到的要求； c)组织实施的活动之间的及其与其他组织实施的活 动之间的接口和依赖关系。 该范围应形成文件化信息并可用。
4.3 确定ISMS范围
勤上光电股份有限公司
GB/T 22080-2016/ISO/IEC27001:2013
信息安全管理体系
导入及标准培训
郑云松2019.7.18
理解ISO27001信息安全管理体系标准的要求 将ISO27001要求应用到工作实践中 技巧、案例经验的分享与应用
1.体系 概况
2.标准 理解
3.实践 研讨
4.2 理解相关方的需求和期望 组织应确定： a)信息安全管理体系相关方； b)这些相关方与信息安全相关的要求。
利益相关方 ü资产所有人 ü项目经理 ü消费者及客户 ü商业伙伴 ü监管机构
ü…
ቤተ መጻሕፍቲ ባይዱ
利益相关方的要求应考虑到：
–组织为支持其运营、业务应用及服务，就信息处 理、加工、存储、沟通及存档而制定的原则、目标 及业务要求。 –组织及其商业伙伴、承包商、服务提供商应遵守 的任何法律、法定、法规要求或合同责任，以及上 述各方的社会文化背景。
1.体系 概况
2.标准 理解
3.实践 研讨
4.课程 总结
目录CONTENTS
1 标准正文详解 2 规范性附录详解
ISO/IEC27001:2013标准 正文
国际标准化组织（ISO）于2013年10月1日发 布了ISO/IEC 27001:2013《 Information technology -- Security techniques -Information security management systems -Requirements 》，该标准代替了ISO/IEC 27001:2005。