ISO27001标准的术语和定义解析
ISO27001标准详解
风险处理计划 新设施管理程序
管理评审程 内部审核程序
பைடு நூலகம்
第三方和外包管理规定 信息资产管理规定
工作环境安全管理规定
法律符合性管理规定
介质处理与安全规定
信息系统安全审计规定
三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内 工作的细化。 四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS 得 以持续运行的有力证据,由各个相关部门自行维护。 Page 29
3 术语和定义(续)
信息安全事故
信息安全事故是指一个或系列非期望的或非预期的信息安 全事件,这些信息安全事件可能对业务运营造成严重影响或威 胁信息安全。
信息安全管理体系(ISMS)
全面管理体系的一部分,基于业务风险方法,旨在建立、 实施、运行、监控、评审、维持和改进信息安全
适用性声明
基于风险评估和风险处理过程的结果和结论,描述与组织 的信息安全管理体系相关并适用的控制目标和控制的文件
PDCA特点
大环套小环,小环保大环,推动大循环
PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,
都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。
大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕 着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工 作有机地联系起来,彼此协同,互相促进。以上特点。
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标
ISO27001标准详解
3 术语和定义(续)
信息安全事故
信息安全事故是指一个或系列非期望的或非预期的信息安
全事件,这些信息安全事件可能对业务运营造成严重影响或威 胁信息安全。
信息安全管理体系(ISMS)
全面管理体系的一部分,基于业务风险方法,旨在建立、
实施、运行、监控、评审、维持和改进信息安全
适用性声明
4.2.2 实施和运行 ISMS
阐明风险处理计划,它为信息安全风险管理(见第5章)指出了 适当的管理措施、职责和优先级; 实施风险处理计划以达到确定的控制目标,应考虑资金需求以 及角色和职责分配; 实施所选择的控制方法以满足控制目标. 确定如何测量所选择的一个/组控制措施的有效性,并规定这些 测量措施如何用于评估控制的有效性以得出可比较的、可重复 的结果 实施培训和教育 运作管理 资源管理 实施过程和其它控制以便能对安全事故及时检查并做出反应
准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国 标准BS7799转换而成的。 BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳 惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范
4.2.1 建立和管理 ISMS
确定ISMS范围(划分业务或重要资产均可) 确定信息安全方针 定义系统化的风险评估方法 风险识别 风险评估 识别并评价风险处理,并对其处理进行选择 选择风险处理的控制目标和控制方式 编制适用性声明 获得剩余风险的管理认可,并授权实施和运行ISMS
的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重
iso27001标准内容
ISO27001标准内容概述ISO27001是一个信息安全管理的国际标准,它主要包括以下方面的内容:1. 信息安全管理体系要求ISO27001要求组织建立并维护一个信息安全管理体系(ISMS),以确保组织的信息资产得到适当的保护。
这个体系包括信息安全策略、目标、风险管理、控制措施以及信息安全文化等方面的内容。
2. 信息安全控制措施ISO27001规定了组织需要实施的一系列信息安全控制措施,包括但不限于:访问控制、数据加密、备份与恢复、安全审计、物理安全、网络安全等。
这些控制措施旨在确保组织的信息资产在存储、传输和处理过程中得到适当的保护。
3. 信息安全风险管理ISO27001要求组织进行信息安全风险管理,识别和评估潜在的安全风险,并采取适当的措施来降低或消除这些风险。
这包括风险评估、风险处理、风险监控和风险报告等方面的内容。
4. 信息安全事件处理ISO27001规定了组织在发生信息安全事件时的处理流程,包括事件的报告、响应、调查和恢复等方面的内容。
此外,还要求组织建立和维护一个安全事件数据库,以便对事件进行分析和总结。
5. 信息安全审计与监管ISO27001要求组织进行定期的信息安全审计,以确保组织的信息安全管理体系的有效性和合规性。
此外,还要求组织进行内部和外部的监管和检查,以便及时发现和纠正任何潜在的安全问题。
6. 信息安全培训与意识教育ISO27001要求组织对员工进行定期的信息安全培训和意识教育,以提高员工对信息安全的重视程度,增强员工的安全意识和技能。
7. 信息安全政策与规划ISO27001要求组织制定并维护一份信息安全政策和规划,以确保组织的信息安全管理体系得到长期的保障。
这个政策和规划应该包括信息安全的目标、策略、计划和预算等方面的内容。
8. 信息安全法规与合规性ISO27001要求组织遵守相关的信息安全法规和标准,以确保组织的信息安全管理体系得到合规性的保障。
此外,还要求组织了解并遵守相关的法律和法规,如隐私保护、数据保护和网络安全等方面的内容。
ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求 中文版(正式发布版)
ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系(ISMS)的要求。
它旨在确保组织合理评估信息安全风险,并采取适当的安全措施来保护机密性、完整性和可用性。
2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术-安全技术-信息安全管理体系-概述和词汇- ISO/IEC 27002.2013 信息技术-安全技术-信息安全管理实施指南- ISO/IEC 27003.2017 信息技术-安全技术-信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准:- 组织:指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。
- 高层管理:按照组织的要求,履行其职权和责任的最高级别管理职位。
- ISMS:信息安全管理体系。
4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望,以及相关方和利益相关者,以确保ISMS的有效性。
5.领导的承诺高层管理应明确表达对ISMS的支持和承诺,确保其适当实施和维护,并提供资源以满足ISMS的要求。
6.政策组织应制定和实施信息安全政策,为ISMS提供框架和方向,并与组织的活动和风险管理策略保持一致。
7.组织内部的风险评估组织应在ISMS实施之前进行风险评估,以确保全面了解和评估信息资产相关的威胁和风险。
8.管理资源组织应为ISMS指定适当的资源,包括人员、设备和财务资源,以确保其有效实施、操作、监控、审查和持续改进。
9.专门支持组织应为ISMS提供必要的支持,包括培训、意识和沟通,以确保员工的积极参与和遵守ISMS的要求。
10.安全风险管理组织应基于风险评估结果,采取适当的措施来管理和缓解信息安全风险,确保信息资产的安全性。
ISO27001是什么管理体系
ISO27001是什么管理体系
一、什么是ISO信息安全管理体系认证?
ISO是信息安全管理体系认证,是由国际标准化组织(ISO)采纳英国标准协会BS-2标准后实施的管理体系,成为了“信息安全管理”的国际通用语言,企业建立ISO体系能有效保证企业在信息安全领域的可靠性,降低企业泄密风险,更好的保存核心数据和重要信息。
二、ISO27001 信息安全管理体系标准
信息安全管理体系标准(ISO)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。
ISO是信息安全领域的管理体系标准,类似于质量管理体系认证的 ISO标准。
当您的组织通过了ISO的认证,就相当于通过ISO的质量认证一般,表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。
随着在世界范围内,信息化水平的不断发展,信息安全逐渐成为人们关注的焦点,世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。
英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准,国际标准化组织(ISO)也发布了ISO、ISO、ISO等与信息安全相关的国际标准及技术报告。
在信息安全管理方面,英国标准ISO:已经成为世界上应用最广泛与典型的信息安全管理标准,它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。
iso27001体系标准详解
iso27001体系标准详解
ISO27001是一个信息安全管理体系(ISMS)标准,它规定了建立、实
施和维护信息安全管理体系的要求。
该标准适用于所有类型的组织,
包括企业、政府机构、教育机构等,不受地域、产业类别和公司规模
限制。
ISO27001体系标准详细规定了信息安全管理体系的建立、实施和维护
过程,包括以下内容:
1. 信息安全方针和目标:组织应制定明确的信息安全方针和目标,以
确保组织的信息安全与业务目标相一致。
2. 组织架构和职责:组织应建立适当的信息安全组织架构和职责分工,以确保信息安全工作的有效实施。
3. 资产管理:组织应建立资产管理制度,确保对组织的重要资产进行
全面、准确的管理和保护。
4. 访问控制:组织应建立访问控制机制,确保只有授权人员才能访问
组织的敏感信息和重要资产。
5. 密码管理:组织应建立密码管理制度,确保密码的安全性和保密性。
6. 物理安全:组织应采取必要的物理安全措施,如门禁系统、监控摄
像头等,以确保组织资产的安全。
7. 网络安全:组织应建立网络安全管理制度,包括网络安全策略、网
络安全监测和网络安全事件应对等,以确保组织的网络安全。
8. 应用程序安全:组织应建立应用程序安全管理制度,包括应用程序安全策略、应用程序漏洞管理等,以确保应用程序的安全性。
9. 数据安全:组织应建立数据安全管理制度,包括数据加密、数据备份和恢复等,以确保数据的机密性和完整性。
10. 应急响应:组织应建立应急响应机制,包括应急预案、应急演练和应急响应等,以确保组织在发生信息安全事件时能够及时、有效地应对。
ISO27001标准详解
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
9/11/2020
ISO27001的内容
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准 已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标 准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳 惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范 围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安 全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为
9/11/202 0
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
质量水平
P
D
ISO27001标准详解(培训课件)
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
ISO27001标准详解
实用精品课件PPT
7
形成文件的ISMS的益处
对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力
实用精品课件PPT
8
ISMS的持续改进
PDCA方法 纠正和预防措施 内部审核 ISMS管理评审
实用精品课件PPT
13
重点章节
本标准的重点章节是4-8章。 前三章的内容结构如下所示:
引言
0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性
1 范围
1.1 总则 1.2 应用
实用精品课件PPT
3
ISO27001的内容
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准 已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标 准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳 惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范 围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安 全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术来 构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重 性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措 施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职 的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重 要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控 制的角度出发,保障组织的信息系统与业务之安全与正常运作。
27001 权威信息安全标准
27001 权威信息安全标准信息安全是当今社会中一个备受关注的话题,信息泄露和网络攻击已经成为严重威胁企业和个人的风险。
企业为了保护其信息资产和维护业务的正常运行,需要采取一系列措施来确保信息的安全性。
在这方面,ISO/IEC 27001标准作为信息安全领域中的权威标准,为企业提供了重要的指导和参考。
本文将介绍ISO/IEC 27001标准的背景、内容及其在实践中的应用。
一、标准背景ISO/IEC 27001标准是由国际标准化组织(ISO)和国际电工委员会(IEC)共同制定的,于2005年发布。
该标准以体系化的方法,提供了对信息安全的管理框架。
ISO/IEC 27001标准是信息安全管理体系(ISMS)的核心标准,它基于风险管理原则,可应用于各类组织,不论其规模和性质如何。
二、标准内容1. 范围和引用ISO/IEC 27001标准明确了其适用范围和引用文件,以确保标准的正确应用和解释。
2. 规范引用ISO/IEC 27001标准列举了与信息安全管理相关的其他国际标准,如ISO/IEC 27000(信息安全管理系统术语与定义)和ISO/IEC 27002(信息安全管理实践指南)等。
这些引用文件对于更全面地理解和应用ISO/IEC 27001标准至关重要。
3. 术语与定义ISO/IEC 27001标准对信息安全管理体系的关键术语和定义进行了准确定义,确保了在实践中的统一理解和应用。
4. 上下文和领导力该标准强调了组织在信息安全管理中的领导作用,以及应从组织的上下文出发,考虑内外部因素的影响。
5. 计划ISO/IEC 27001标准要求组织制定信息安全政策,并明确相关目标、风险评估和处理方法。
6. 支持该标准着重说明了组织在实施信息安全管理体系中应提供的资源和支持。
包括人员培训、意识提高和技术保障等。
7. 运作ISO/IEC 27001标准规定了信息安全管理体系的操作程序,包括风险处理、事件管理和绩效评估等。
ISO 27001介绍
一、ISO 27001是什么?ISO 27001是有关信息安全管理的国际标准。
最初源于英国标准BS 7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。
该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》二、ISO 27001有何用途?ISO 27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Information Security Management System,简称ISMS)提供模型。
采用ISMS应当是一个组织的一项战略性决策。
一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。
上述因素及其支持过程会不断发生变化。
期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的ISMS解决方案。
ISO 27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。
三、ISO 27001的详细目录0 简介0.1总则0.2过程方法0.3与其它管理体系的兼容性1 范围2 引用标准3 术语和定义4 信息安全管理体系4.1总要求4.2.1建立ISMS4.2.2实施并运作ISMS4.2.3监控并评审ISMS4.2.4保持并持续改进ISMS4.3.1文件要求-总则4.3.2文件控制4.3.3记录控制5 管理职责5.1管理承诺5.2.1资源管理-资源提供5.2.2培训、意识和能力6 内部信息安全管理体系审核7 信息安全管理体系管理评审7.1总则7.2评审输入7.3评审输出8 信息安全管理体系改进8.1持续改进8.2纠正措施8.3预防措施。
27001信息安全管理体系
27001信息安全管理体系信息安全是当今社会中不可或缺的一部分。
随着信息技术的不断发展,信息安全问题也越来越受到人们的关注。
为了保护企业的信息安全,许多企业开始实施信息安全管理体系。
ISO/IEC 27001是一种国际标准,用于指导企业建立、实施、维护和持续改进信息安全管理体系。
本文将介绍ISO/IEC 27001信息安全管理体系的基本概念、实施步骤和优势。
一、基本概念ISO/IEC 27001是一种国际标准,用于指导企业建立、实施、维护和持续改进信息安全管理体系。
该标准包括一系列的安全控制措施,旨在确保企业的信息安全。
ISO/IEC 27001标准的实施需要企业进行风险评估和风险管理,以确定信息安全管理体系的范围和目标。
二、实施步骤1. 制定信息安全政策企业应该制定一份信息安全政策,明确信息安全的目标和要求。
信息安全政策应该得到高层管理人员的支持和批准,并应该向所有员工进行宣传和培训。
2. 进行风险评估企业应该进行风险评估,以确定信息安全管理体系的范围和目标。
风险评估应该包括对信息资产的评估、威胁的评估和漏洞的评估。
3. 制定信息安全管理计划企业应该制定一份信息安全管理计划,明确信息安全管理体系的实施步骤和时间表。
信息安全管理计划应该包括信息安全控制措施的选择和实施、信息安全培训和意识提高、信息安全事件的管理和应对等内容。
4. 实施信息安全控制措施企业应该根据信息安全管理计划,实施一系列的信息安全控制措施。
这些措施包括物理安全控制、技术安全控制和管理安全控制等。
5. 进行内部审核企业应该定期进行内部审核,以评估信息安全管理体系的有效性和符合性。
内部审核应该由经过培训的内部审核员进行。
6. 进行管理评审企业应该定期进行管理评审,以评估信息安全管理体系的有效性和符合性。
管理评审应该由高层管理人员进行。
三、优势1. 提高信息安全水平ISO/IEC 27001信息安全管理体系的实施可以帮助企业提高信息安全水平,保护企业的信息资产。
ISO27001详细介绍
ISO27001详细介绍什么是ISO27001ISO27001是一种国际标准,用于指导组织设计、实施和维护信息平安管理体系〔ISMS〕。
它提供了一种框架,帮助组织管理信息平安风险,并采取必要的预防和保护措施。
该标准由国际标准化组织〔ISO〕和国际电工委员会〔IEC〕共同制定,是全球范围内信息平安管理的参考。
ISO27001的目标ISO27001的主要目标是确保组织采取一系列适当的平安措施,以确保信息资源的保密性、完整性和可用性。
通过采用ISO27001标准,组织能够对信息平安进行全面的管理和控制,从而降低潜在的风险,并提高业务的连续性。
ISO27001的适用范围ISO27001适用于所有类型和规模的组织,无论其是政府机构、非营利组织还是商业实体。
它可以应用于任何信息系统,包括计算机网络、软件系统、云效劳等。
ISO27001的实施过程1. 制定信息平安政策组织需要制定一份信息平安政策,明确其对信息平安的承诺,并确保政策符合法律、法规和合同要求。
2. 进行风险评估组织需要进行风险评估,识别与信息平安相关的风险和威胁,并确定其对组织的潜在影响。
3. 制定风险处理方案基于风险评估的结果,组织需要制定风险处理方案,确定适当的控制措施以降低或消除风险。
4. 实施控制措施组织需要实施各种控制措施,包括物理控制、技术控制和行政控制,以确保信息资源的保密性、完整性和可用性。
5. 进行内部审计组织需要定期进行内部审计,评估信息平安管理体系的有效性和合规性,并采取纠正措施以解决发现的问题。
6. 进行管理评审组织需要定期进行管理评审,评估信息平安管理体系的整体性能,并确定改良措施以提高其效果。
7. 取得认证组织可以选择进行ISO27001认证,通过独立第三方机构的审核,以证明其信息平安管理体系符合ISO27001标准的要求。
ISO27001的好处1. 降低信息平安风险通过ISO27001的实施,组织能够降低信息平安风险,减少潜在的损失和威胁。
ISO27001标准的术语和定义解析
资产【内容解析】.资产是对组织有价值地任何东西,说明其能为所拥有或获得地组织创造财富.因此需要保护.资产识别时,应该牢记地是,资产不仅仅包含硬件和软件..根据资产拥有者地情况,资产地拥有者可以是组织,也可以是个人..资产可分为以下几种:)信息,例如:文档和数据等;)软件和系统,例如:应用软件、系统软件等;)硬件和设施,例如:存储设备、网络设备、保障设备等;)服务和其他,例如:服务、无形资产等;)人力资源,例如:涉密人员、特殊人员等.可用性【内容解析】.可用性地目地是让所有合法用户能够使用到已授权地信息和功能.可用性通常用百分率表示,公式为:{(规定服务时间-因意外中断时间)规定服务时间}×%.例如:..其与保密性()和完整性()并称为信息安全地三要素.保密性【内容解析】保密性指数据、文档以及网络信息等不被泄露给非授权地用户、实体或过程.强调信息只为授权用户使用地特征.保密性是在可靠性和可用性基础之上,保障信息安全地重要手段.常用地保密技术:)物理保密:利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露.)防窃听:使对手侦察、接收不到有用地信息.)防辐射:防止有用信息以各种途径辐射出去.)信息加密:在密钥地控制下,用加密算法对信息进行加密处理.即使对手得到了加密后地信息也会因为没有密钥而无法读懂有效信息.信息安全【内容解析】.信息安全地目地是保证信息地保密性、完整性、可用性、真实性、可核查性等.保密性、完整性和可用性构成了信息安全地三要素..信息安全是个相对地概念.没有绝对地信息安全.信息安全事态【内容解析】.有害或意外地信息安全事态是引发信息安全事件地源头..信息安全事态发生后可能会造成信息安全事件,也可能未造成信息安全事件..信息安全事态可能由一个原因导致地,也可能由多个原因导致地.信息安全事件【内容解析】.一个或多个有害地或者意外信息安全事态是导致信息安全事件地源头..事件发生后,根据事件地影响程度,可分为一般事件和重大事件.根据信息安全事件地影响程度,对信息安全事件做出最恰当和最有效地响应..尽管信息安全事态可能是意外或故意违反信息安全防护措施地企图地结果,但在多数情况下,信息安全事态本身并不意味着破坏安全地企图真正获得了成功,因此也并不一定会对盋苄浴⑼暾院?或可用性产生影响.也就是说,并非所有信息安全事态都会被归类为信息安全事件.信息安全管理体系()()【内容解析】.信息安全管理体系是组织管理体系地一个组成部分.其目地是为了保护资产地安全..信息安全管理体系基于整体业务活动风险..信息安全管理体系与其他管理体系一样,采用过程方法,地模型.支持与相关管理标准一致地、协调地实施和运行.完整性【内容解析】完整性指地是防止未授权地更改和篡改.包含非授权地增加、减少或破坏.例如:在原有源代码中非授权加入代码,或者在原有源代码中非授权裁剪或非授权修改了一部分代码,均视为破坏完整性地行为.残余风险【内容解析】.残余是指处理后剩余地风险.即没有达到风险接受准则地风险..残余风险地危害程度一般大于原有风险.所以在接受残余风险时,需获得管理者对建议地残余风险地批准.风险接受【理解要点】组织确定风险程度可接受地决定.在明显满足组织方针策略和接受风险地准则地条件下,有意识地、客观地接受风险.风险分析【内容解析】.风险识别地目地是决定什么发生可能会造成潜在损失,并深入了解损失可能如何、何地、为什么发生..风险识别包括:威胁识别、脆弱性识别、后果识别和现有控制措施地识别.)威胁识别:威胁有可能损害资产,诸如信息、过程、系统甚至组织.威胁地来源可能是自然地或人为地,可能是意外地或是故意地.也可能来自组织内部或外部.所以对整体并按类型(如未授权行为,物理损害,技术故障)识别威胁意味着没有威胁被忽视,包括突发地威胁.)脆弱性识别:脆弱性本身不会产生危害,只有被某个威胁利用时才会产生危害.没有相应威胁地脆弱性可能不需要实施控制措施,但是应关注和监视其变化.)后果识别:后果可能是丧失有效性、不利运行条件、业务损失、声誉破坏等.资产受到损害时,后果可能是临时性地,也可能是永久地.)现有控制措施识别:为避免不必要地工作或成本,如,重复地控制措施.此外,识别现有地控制措施时,进行检查以确保控制措施在正确运行是非常必要地活动..在考虑丧失资产地保密性、完整性和可用性所造成地后果地情况下,评估安全失效可能造成地对组织地影响..根据主要地威胁和脆弱性、对资产地影响以及当前所实施地控制措施,评估安全失效发生地现实可能性..估计风险级别.风险评估【内容解析】.对信息和信息处理设施地威胁、脆弱性和影响及三者发生地可能性地评估..风险评估也就是确认安全风险及其大小地过程,即利用适当地风险评估工具,包括定性和定量地方法,确定资产风险等级和优先控制顺序..风险评估确定了信息资产地价值,对存在(或可能存在地)适用地威胁和脆弱性进行识别,考虑现有地控制措施及其对已识别风险地影响,确定潜在地后果. .对确定地风险根据紧急度和影响度进行优先级排序,并按照背景建立时确定地风险准则划分等级.风险评价【内容解析】.风险评价是综合考虑信息安全事件地影响和发生可能性而得出地风险地级别.确定风险是否可接受,通常将风险分为:不可接受风险、有条件可接受风险(需要关注)、可接受风险..在需要时,根据建立地风险准则进行处理.风险管理【内容解析】.以可以接受地方式识别、控制、降低或规避和转移可能影响信息系统地安全风险过程..风险管理一般包括建立背景、风险评估、风险处理、风险接受和风险沟通..通过风险评估来分析和评价风险..通过制定信息安全方针,采用适当地控制目标和控制方式对风险进行控制和降低..风险管理地目地是使风险被降低、规避、转移或降至一个可能接受地水平.风险处置【内容解析】风险处置地有效性取决于风险评估结果.风险处置有可能不能立即达到一个可接受水平地残余风险.在这种情况下,如果必要,可能需要另一个改变了背景参数(例如,风险评估、风险接受或影响地准则)地风险评估迭代,接下来做进一步地风险处置.风险处置地四种方式:)风险降低:为降低风险发生地可能性和或不利后果所采取地行动.例如:采取纠正、消除、预防、影响最小化、威慑、检测、恢复、监视和意识等措施.)风险规避:对新技术或不能控制风险地活动,不采用该活动地方式.例如:避免采用新技术等.)风险转移:与另一方共享由风险带来地损失或收益.对于信息安全风险而言,风险转移仅考虑不利地后果(损失).例如:保险、供应商等.)风险保留:也称“风险接受”,组织确定风险程度可接受地决定.在明显满足组织方针策略和接受风险地准则地条件下,有意识地、客观地接受风险.适用性声明【内容解析】.适用性声明提供了一份关于风险处置决定地综述.证明不会因疏忽而遗漏控制措施..适用性声明包含当前实施地控制目标和控制措施..适用性声明是一个包含组织所选择地控制目标和控制措施地文件,以及选择地理由.如果对该标准附录中任何控制目标和控制措施地删减,应在适用性声明中说明删减地合理性.。
ISO27001标准详解
ISO27001的内容
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标 准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国 标准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳 惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范 围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安 全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为
2020/9/23
0 介绍
0.1总则 0.2过程方法
过程方法的定义:组织内各过程系统的应用,连同这些过程 的识别和相互作用及其管理,可以被称为“过程方法”。 过程方法鼓励其使用者以强调以下方面的重要性: 理解业务信息安全要求以及建立信息安全方针和目标的需求 在管理组织的整体业务风险中实施并运作控制 监控并评审ISMS的绩效及有效性 在客观测量基础上持续改进
2020/9/23
PDCA模型
2020/9/23
1 范围
1.1总则
本标准规定了在组织整体业务风险的范围内制定、实施、运 行、监控、评审、保持和改进文件化信息安全管理系统的要求
1.2应用
适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减,但条款4、5、6、7和8是不能删减的
2020/9/23
3术语和定义(续)
ISO27001标准详解
一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限 于此):
信息安全方针 风险评估报告 适用性声明(SoA)
二级文件:各类程序文件。至少包括(可能不限于此):
风险评估流程 序 信息设备管理程序 系统开发与维护程序 文件及材料控制程序
风险管理流程 信息安全组织建设规定 业务连续性管理程序 安全事件处理流程
PDCA特点
大环套小环,小环保大环,推动大循环
PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,
都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。
大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕 着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工 作有机地联系起来,彼此协同,互相促进。以上特点。
3 术语和定义(续)
信息安全事故
信息安全事故是指一个或系列非期望的或非预期的信息安 全事件,这些信息安全事件可能对业务运营造成严重影响或威 胁信息安全。
信息安全管理体系(ISMS)
全面管理体系的一部分,基于业务风险方法,旨在建立、 实施、运行、监控、评审、维持和改进信息安全
适用性声明
基于风险评估和风险处理过程的结果和结论,描述与组织 的信息安全管理体系相关并适用的控制目标和控制的文件
5 管理职责
5.1管理承诺 5.2资源管理
第四层次
4信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的: 信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表
ISO27001标准详解[1]
![ISO27001标准详解[1]](https://img.taocdn.com/s3/m/44e3a74daef8941ea66e059c.png)
Page 11
11
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
P
D
A
C
质量水平
螺旋上升的PDCA
Page 12
12
PDCA和ISMS的结合
Page 13
4
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
2
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
3
ISO27001的内容
信息安全管理体系标准发展历史
目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准 已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标 准BS7799转换而成的。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ISO27001标准的术语和定义解析
3.1资产asset
【内容解析】
1.资产是对组织有价值的任何东西,说明其能为所拥有或获得的组织创造财富。
因此需要保护。
资产识别时,应该牢记的是,资产不仅仅包含硬件和软件。
2.根据资产拥有者的情况,资产的拥有者可以是组织,也可以是个人。
3.资产可分为以下几种:
1)信息,例如:文档和数据等;
2)软件和系统,例如:应用软件、系统软件等;
3)硬件和设施,例如:存储设备、网络设备、保障设备等;
4)服务和其他,例如:IT服务、无形资产等;
5)人力资源,例如:涉密人员、特殊人员等。
3.2可用性Availability
【内容解析】
1.可用性的目的是让所有合法用户能够使用到已授权的信息和功能。
可用性通常用百分率表示,公式为:{(规定服务时间-因意外中断时间)/规定服务时间}×100%。
例如:99.9%。
2.其与保密性(Confidentiality)和完整性(Intergeity)并称为信息安全的CIA 三要素。
3.3保密性Confidentiality
【内容解析】
保密性指数据、文档以及网络信息等不被泄露给非授权的用户、实体或过程。
强调信息只为授权用户使用的特征。
保密性是在可靠性和可用性基础之上,保障信息安全的重要手段。
常用的保密技术:
1)物理保密:利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露。
2)防窃听:使对手侦察、接收不到有用的信息。
3)防辐射:防止有用信息以各种途径辐射出去。
4)信息加密:在密钥的控制下,用加密算法对信息进行加密处理。
即使对
手得到了加密后的信息也会因为没有密钥而无法读懂有效信息。
3.4信息安全Information Security
【内容解析】
1.信息安全的目的是保证信息的保密性、完整性、可用性、真实性、可核查性等。
保密性、完整性和可用性构成了信息安全的CIA三要素。
2.信息安全是个相对的概念。
没有绝对的信息安全。
3.5信息安全事态Information Security Event
【内容解析】
1.有害或意外的信息安全事态是引发信息安全事件的源头。
2.信息安全事态发生后可能会造成信息安全事件,也可能未造成信息安全事件。
3.信息安全事态可能由一个原因导致的,也可能由多个原因导致的。
3.6信息安全事件Information Security Incident
【内容解析】
1.一个或多个有害的或者意外信息安全事态是导致信息安全事件的源头。
2.事件发生后,根据事件的影响程度,可分为一般事件和重大事件。
根据信息安全事件的影响程度,对信息安全事件做出最恰当和最有效的响应。
3.尽管信息安全事态可能是意外或故意违反信息安全防护措施的企图的结果,但在多数情况下,信息安全事态本身并不意味着破坏安全的企图真正获得了成功,因此也并不一定会对盋苄浴⑼暾院?或可用性产生影响。
也就是说,并非所有信息安全事态都会被归类为信息安全事件。
3.7信息安全管理体系(ISMS)Information Security management system (ISMS)
【内容解析】
1.信息安全管理体系是组织管理体系的一个组成部分。
其目的是为了保护资产的安全。
2.信息安全管理体系基于整体业务活动风险。
3.信息安全管理体系与其他管理体系一样,采用过程方法,PDCA的模型。
支持与相关管理标准一致的、协调的实施和运行。
3.8完整性Integrity
【内容解析】
完整性指的是防止未授权的更改和篡改。
包含非授权的增加、减少或破坏。
例如:在原有源代码中非授权加入代码,或者在原有源代码中非授权裁剪或非授权修改了一部分代码,均视为破坏完整性的行为。
3.9残余风险Residual risk
【内容解析】
1.残余是指处理后剩余的风险。
即没有达到风险接受准则的风险。
2.残余风险的危害程度一般大于原有风险。
所以在接受残余风险时,需获得管理者对建议的残余风险的批准。
3.10风险接受risk acceptance
【理解要点】
组织确定风险程度可接受的决定。
在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险。
3.11风险分析risk analysis
【内容解析】
1.风险识别的目的是决定什么发生可能会造成潜在损失,并深入了解损失可能如何、何地、为什么发生。
2.风险识别包括:威胁识别、脆弱性识别、后果识别和现有控制措施的识别。
a)威胁识别:威胁有可能损害资产,诸如信息、过程、系统甚至组织。
威胁的来源可能是自然的或人为的,可能是意外的或是故意的。
也可能来自组织内部或外部。
所以对整体并按类型(如未授权行为,物理损害,技术故障)识别威胁意味着没有威胁被忽视,包括突发的威胁。
b)脆弱性识别:脆弱性本身不会产生危害,只有被某个威胁利用时才会产生危害。
没有相应威胁的脆弱性可能不需要实施控制措施,但是应关注和监视其变化。
c)后果识别:后果可能是丧失有效性、不利运行条件、业务损失、声誉破坏等。
资产受到损害时,后果可能是临时性的,也可能是永久的。
d)现有控制措施识别:为避免不必要的工作或成本,如,重复的控制
措施。
此外,识别现有的控制措施时,进行检查以确保控制措施在正确运行是非常必要的活动。
3.在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失效可能造成的对组织的影响。
4.根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施,评估安全失效发生的现实可能性。
5.估计风险级别。
3.12风险评估risk assessment
【内容解析】
1.对信息和信息处理设施的威胁、脆弱性和影响及三者发生的可能性的评估。
2.风险评估也就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定资产风险等级和优先控制顺序。
3.风险评估确定了信息资产的价值,对存在(或可能存在的)适用的威胁和脆弱性进行识别,考虑现有的控制措施及其对已识别风险的影响,确定潜在的后果。
4.对确定的风险根据紧急度和影响度进行优先级排序,并按照背景建立时确定的风险准则划分等级。
3.13风险评价risk evaluation
【内容解析】
1.风险评价是综合考虑信息安全事件的影响和发生可能性而得出的风险的级别。
确定风险是否可接受,通常将风险分为:不可接受风险、有条件可接受风险(需要关注)、可接受风险。
2.在需要时,根据建立的风险准则进行处理。
3.14风险管理risk management
【内容解析】
1.以可以接受的方式识别、控制、降低或规避和转移可能影响信息系统的安全风险过程。
2.风险管理一般包括建立背景、风险评估、风险处理、风险接受和风险沟通。
3.通过风险评估来分析和评价风险。
4.通过制定信息安全方针,采用适当的控制目标和控制方式对风险进行控制和降低。
5.风险管理的目的是使风险被降低、规避、转移或降至一个可能接受的水平。
3.15风险处置risk treatment
【内容解析】
风险处置的有效性取决于风险评估结果。
风险处置有可能不能立即达到一个可接受水平的残余风险。
在这种情况下,如果必要,可能需要另一个改变了背景参数(例如,风险评估、风险接受或影响的准则)的风险评估迭代,接下来做进一步的风险处置。
风险处置的四种方式:
1)风险降低:为降低风险发生的可能性和/或不利后果所采取的行动。
例如:采取纠正、消除、预防、影响最小化、威慑、检测、恢复、监视和意识等措施。
2)风险规避:对新技术或不能控制风险的活动,不采用该活动的方式。
例如:避免采用新技术等。
3)风险转移:与另一方共享由风险带来的损失或收益。
对于信息安全风险而言,风险转移仅考虑不利的后果(损失)。
例如:保险、供应商等。
4)风险保留:也称“风险接受”,组织确定风险程度可接受的决定。
在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险。
3.16适用性声明Statement of applicability
【内容解析】
1.适用性声明提供了一份关于风险处置决定的综述。
证明不会因疏忽而遗漏控制措施。
2.适用性声明包含当前实施的控制目标和控制措施。
3.适用性声明是一个包含组织所选择的控制目标和控制措施的文件,以及选择的理由。
如果对该标准附录A中任何控制目标和控制措施的删减,应在适用性声明中说明删减的合理性。