iso27001主任审核员培训.ppt
合集下载
信息安全27001内审员培训
Cui en cheng 13683131693@ ISMS/ITSMS/QMS Lead Auditor1 September,2009
信息安全管理体系审核
1、审核慨论 2、审核员 3、审核技能 4、审核策划 5、审核准备
6、审核实施 7、不符合报告 8、审核报告 9、跟踪验证
Cui en cheng 13683131693@ ISMS/ITSMS/QMS Lead Auditor2September,2009
Cui en cheng 13683131693@ ISMS/ITSMS/QMS Lead Auditor16September,2009
2.2 专项能力
• 管理原则和技术--使审核员能够检查信息安全管理体系并确定 其是否得到了正确应用 – 术语 – 信息安全管理体系的结构和职能 – 基本信息安全管理体系实践和过程的应用 – 对所收集信息的重要程度及其对其影响的评价
30
3.4 表达/倾听的要点
表达/倾听技巧 中立的 探询的
重复
反应性的 总结性的
基本概念
目的
举例
用不表态的词 传 达 有 兴 趣 的 观 我知道了
点
我明白
让别人说话
谁?什么? 得到更多的事实 事情发生时,谁在机器
何时?何地? 有 助 于 探 索 问 题 旁?
为何?如何? 的各个方面
你认为实际问题是什
信息处理设施的管理形成文件了吗? •问题:容易误为审问,必要的信息可能会
遗漏,应掌握好尺度。
27
3.3.4(3) 澄清式提问
•目的:获得更多的有关专题的信息, 或单纯为澄清、确认。
•例:你能解释你讲的意思吗? 如果你愿意,同我讲讲这些特点好吗? 我是这样理解的,…你的意思是…...?
信息安全管理体系审核
1、审核慨论 2、审核员 3、审核技能 4、审核策划 5、审核准备
6、审核实施 7、不符合报告 8、审核报告 9、跟踪验证
Cui en cheng 13683131693@ ISMS/ITSMS/QMS Lead Auditor2September,2009
Cui en cheng 13683131693@ ISMS/ITSMS/QMS Lead Auditor16September,2009
2.2 专项能力
• 管理原则和技术--使审核员能够检查信息安全管理体系并确定 其是否得到了正确应用 – 术语 – 信息安全管理体系的结构和职能 – 基本信息安全管理体系实践和过程的应用 – 对所收集信息的重要程度及其对其影响的评价
30
3.4 表达/倾听的要点
表达/倾听技巧 中立的 探询的
重复
反应性的 总结性的
基本概念
目的
举例
用不表态的词 传 达 有 兴 趣 的 观 我知道了
点
我明白
让别人说话
谁?什么? 得到更多的事实 事情发生时,谁在机器
何时?何地? 有 助 于 探 索 问 题 旁?
为何?如何? 的各个方面
你认为实际问题是什
信息处理设施的管理形成文件了吗? •问题:容易误为审问,必要的信息可能会
遗漏,应掌握好尺度。
27
3.3.4(3) 澄清式提问
•目的:获得更多的有关专题的信息, 或单纯为澄清、确认。
•例:你能解释你讲的意思吗? 如果你愿意,同我讲讲这些特点好吗? 我是这样理解的,…你的意思是…...?
iso27001主任审核员培训(PPT 75张)
管理体系的4大要素
组织机构:
明确职责、权限
组织结构
程序:
告诉相关人员怎么做 具体的执行情况,如 何做的?比如执行人 是否每周2次检查了某 个应用程序的日志? 可调配、使用的人员、 设备等 培训
过程:
资源
管理体系
程序
资源:
过程
常见的管理体系
质量管理:ISO9001 环境管理:ISO14001 职业安全:OHSAS18001 社会责任:SA8000 信息安全:ISO27001
Information Security Management System信息安 全管理体系 是管理体系的一部分,基于 业务风险的方法,建立、实 施、运行、监控、评审、维 护和改进信息安全。 简单地说,是为了确保组织 信息的“三性”,设立的组 织机构、程序、过程和资源。
如果
step1
ISMS和其他体系的联系和区别
什么叫ISMS信息安全管理体系
Information 信息 信息是一种重要资产,对组 织的业务非常关键。 信息可 以以各种形式存在,可以印 刷或写在纸上,以电子形式 存储、邮寄或使用电子手段 传输,以影片播放或对话。 Information Security信息安全 对信息的保密性、完整性和 可用性的保护,同时涉及真 实性、责任区分、防止抵赖 和可靠性等其他特性。
ISO27001, 20000 & CMMI
Optimize
Requirement
ISO27001
Operate
CMMI ISO20000
Design
ISO27001信息安全管理体系培训基础知识ppt课件
21
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
22
ISO/IEC27001控制大项
A.7
资产管理
A.16
教育培训
A.6
信息安全组织
A.8
人力资源安全
A.13
• 信息安全组织:建立信息安全基础设施,管理组织范围内的信息安 全;维护被第三方所访问的组织的信息处理设施和信息资产的安全, 以及当信息处理外包给其他组织时,确保信息的安全。
• 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到 适当程度的保护。
• 人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁 和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或 误用设施的风险。
pdca方法可编辑课件ppt33策划为处理风险选择控制目标和控制措施考虑接受风险的准则选择控制目标和措施适用性声明声明应包括选择的控制目标和措施选择的原因删减的合理性实施和运行do实施和运行isms提供资源实施培训提高意识按策划的要求管理isms的运行检查check监视和评审isms执行监视和评审程序定期评审isms的有效性和测量控制措施的有效性按计划实施内审和管理评审识别改进的机会保持和改进act保持和改进isms实施改进措施不断总结经验教训确保改进活动达到预期目的pdca方法可编辑课件ppt34ismsisms信息安全管理体系与等级保护对比体系目的控制项控制点isoiec27001建立适合企业实际情况的信息安全管理体系11个39个控制项133个控制点国家等级保护2007版等级保护基本要求保障国家人民社会的信息安全10个一级48个控制点二级66个控制点三级73个控制点四级77个控制点isms信息安全管理体系与等级保护对比可编辑课件ppt35此课件下载可自行编辑修改此课件供参考
• 什么是信息 • 什么是信息安全 • 为什么实施信息安全管理 • 信息安全管理体系(ISMS)概述 • 信息安全管理体系(ISMS)标准介绍 • 信息安全管理体系(ISMS)实施控制重点
22
ISO/IEC27001控制大项
A.7
资产管理
A.16
教育培训
A.6
信息安全组织
A.8
人力资源安全
A.13
• 信息安全组织:建立信息安全基础设施,管理组织范围内的信息安 全;维护被第三方所访问的组织的信息处理设施和信息资产的安全, 以及当信息处理外包给其他组织时,确保信息的安全。
• 资产管理:核查所有信息资产,做好信息分类,确保信息资产受到 适当程度的保护。
• 人力资源安全:确保所有员工、合同方和第三方了解信息安全威胁 和相关事宜,他们的责任、义务,以减少人为差错、盗窃、欺诈或 误用设施的风险。
pdca方法可编辑课件ppt33策划为处理风险选择控制目标和控制措施考虑接受风险的准则选择控制目标和措施适用性声明声明应包括选择的控制目标和措施选择的原因删减的合理性实施和运行do实施和运行isms提供资源实施培训提高意识按策划的要求管理isms的运行检查check监视和评审isms执行监视和评审程序定期评审isms的有效性和测量控制措施的有效性按计划实施内审和管理评审识别改进的机会保持和改进act保持和改进isms实施改进措施不断总结经验教训确保改进活动达到预期目的pdca方法可编辑课件ppt34ismsisms信息安全管理体系与等级保护对比体系目的控制项控制点isoiec27001建立适合企业实际情况的信息安全管理体系11个39个控制项133个控制点国家等级保护2007版等级保护基本要求保障国家人民社会的信息安全10个一级48个控制点二级66个控制点三级73个控制点四级77个控制点isms信息安全管理体系与等级保护对比可编辑课件ppt35此课件下载可自行编辑修改此课件供参考
ISO27001详细介绍ppt课件
ISO27001 标准所要求建立的ISMS 是一个文件化的体系,ISO27001 认证第一阶 段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以, 在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。
第四章 信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
2008年6月19日, GB/T 19716-2005作废,改为GB/T 22081-2008 。
台湾省
在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则 被引用为CNS 17800。
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
17799的适用性
本实用规则可认为是组织开发其详细指南的起点。对一个组织来说 ,本实用规则中的控制措施和指南并非全部适用,此外,很可能还 需要本标准中未包括的另外的控制措施和指南。为便于审核员和业 务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件 时,对本标准中条款的相互参考可能是有用的。
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
ISO/IEC 27002(17799)
ISO/IEC 27001简介
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
第四章 信息安全管理体系(续)
ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:
2008年6月19日, GB/T 19716-2005作废,改为GB/T 22081-2008 。
台湾省
在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则 被引用为CNS 17800。
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
17799的适用性
本实用规则可认为是组织开发其详细指南的起点。对一个组织来说 ,本实用规则中的控制措施和指南并非全部适用,此外,很可能还 需要本标准中未包括的另外的控制措施和指南。为便于审核员和业 务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件 时,对本标准中条款的相互参考可能是有用的。
1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的 BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和 通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括 电子商务、移动计算、远程工作等。
ISO/IEC 27002(17799)
ISO/IEC 27001简介
目录
背景介绍 ISO/IEC 17799 ISO/IEC 27001
重点内容 重点章节 认证流程
17799&27001
ISO27001标准详解(培训课件)
制定实施计划
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
根据组织实际情况,制定详细的实施计划,包括时间表、资源投入、预期成果等。
现状评估阶段
01
02
03
信息资产识别
识别组织内的信息资产, 包括硬件、软件、数据等, 并对其进行分类和评估。
风险评估
对信息资产面临的风险进 行评估,包括威胁、脆弱 性和影响程度等。
合规性检查
检查组织的信息安全管理 实践是否符合相关法律法 规和合同要求。
二阶段审核。
第二阶段审核
对第一阶段不符合项的验证 对于第一阶段发现的不符合项,审核组将在第二阶段进行 审核验证,确认申请组织是否已按要求进行整改。
全面评估 在验证不符合项整改情况的基础上,审核组将对申请组织 的信息安全管理体系进行全面评估,包括体系的完整性、 有效性等。
末次会议 在第二阶段审核结束后,审核组将召开末次会议,向申请 组织通报审核结果,并给出改进建议。
展相互促进
02
根据业务需求和风险情 况,制定合理的信息安
全策略和措施
03
定期评估信息安全管理 体系的有效性和符合性,
及时调整和改进
持续改进和优化信息安全管理体系
建立定期的内部审核和管理评 审机制,及时发现和纠正信息 安全管理体系存在的问题
鼓励员工提出改进意见和建议, 促进信息安全管理体系的持续 改进和优化
根据监控和评审结果,对ISMS进行持 续改进和优化,提高信息安全水平。
04
ISO27001标准认证流程
认证申请及受理
1 2
申请组织提交申请书及附件 包括组织简介、信息安全管理体系文件等。
认证机构受理申请 对申请材料进行初步审查,确认申请组织是否符 合受理条件。
3
申请组织缴纳费用 根据认证机构的收费标准,申请组织需按时缴纳 相关费用。
ISO27001标准详解学习课件
2/26/2020
4
ISO27001 的内容
? 信息安全管理体系标准发展历史
ISO/IEC17799 :2005 。2002 年9月5日,BS7799-2:2002 正式发布,2002 版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act) 的过程管理模式,建 立了与ISO 9001 、ISO 14001 和OHSAS 18000 等管理体系标准相同的结构和运行模 式。2005 年,BS 7799-2: 2002 正式转换为国际标准ISO/IEC27001 :2005 。
2/26/2020
5
ISO27001 的内容
? 信息安全管理体系要求
11个控制领域 39个控制目标 133个控制措施
2/26/2020
6
ISO27001 的内容
? 必须的ISMS文件:
1、ISMS方针文件,包括ISMS的范围; 2、风险评估程序和风险处理程序; 3、文件控制程序和记录控制程序; 4、内部审核程序和管理评审程序(尽管没有强制); 5、纠正措施和预防措施控制程序; 6、控制措施有效性的测量程序; 7、适用性声明
P
11
PDCA 特点(续)
? 不断前进、不断提高 ? PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升量水平
螺旋上升的 PDCA
P
12
PDCA 和ISMS的结合
P
13
重点章节
? 本标准的重点章节是4-8章。 ? 前三章的内容结构如下所示:
2/26/2020
9
PDCA (戴明环)
? PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特( WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣 传并运用于持续改善产品质量的过程当中。 ? 1、P(Plan)--计划,确定方针和目标,确定活动计划; ? 2、D(Do)--执行,实地去做,实现计划中的内容; ? 3、C(Check)--检查,总结执行计划的结果,注意效 果,找出问题; ? 4、A(Action)--行动,对总结检查的结果进行处理, 成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。
ISO27001信息安全管理体系介绍(PPT52页).pptx
方式,是否收到足够保护? ► 信息安全事件给企业造成的最大/最坏影响?
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 3
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
► 风险是指遭受损害或损失的可能性,是实现一个事件的不想要的负面结 果的潜在因素。
► 对信息系统而言:两种因素造成对其使命的实际影响:
► 一个特定的威胁源利用或偶然触发一个特定的信息系统脆弱性的概率 ► 上述事件发生之后所带来的影响
► 在ISO/IEC GUIDE73将风险定义为:事件的概率及其结果的组合。
规划Plan
建立ISMS
相关方
实施 实施和 Do 运行ISMS
保持和 处置 改进ISMS Act
信息安全 要求和期望
监视和 评审ISMS
检查Check
相关方
受控的 信息安全
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 17
建立ISMS
规划Plan 建立ISMS
实施 实施和 Do 运行ISMS
页数 14
当前获得ISO27001证书的组织分布(2008年9月)
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 15
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO 27001将脆弱性定义如下:
ISO27001标准详解PPT学习课件
2/26/2020
4
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
P
10
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标, 都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。 大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕 着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工 作有机地联系起来,彼此协同,互相促进。以上特点。
4. 2 建立和管理ISMS
4.2.1 建立ISMS(PLAN)
定义ISMS 的范围
定义ISMS 策略 定义系统的风险评估途径 识别风险
P
D
A
C
评估风险
识别并评价风险处理措施
选择用于风险处理的控制目标和控制
准备适用性声明(SoA)
取得管理层对残留风险的承认,并授权实施和操作ISMS
P
23
4信息安全管理体系(续)
4.2.2 实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源(参见5.2) 实施能够激发安全事件检测和响应的程序和控制
新版ISO27001信息技术安全管理体系体系内审员培训教材
第一章 ISO27001:2013信息技术 安全技术 信 息安全管理体系 要求
第二章 ISO27001:2013信息安全管理体系内 审知识
第三章 内审员职责和素养 第四章 内审员审核技巧 第五章 考试与答辩
穿插游戏 和练习
诚信、专业、创新、行动 以智慧创造价值,用行动实现价值
第一章 ISO27001:2013信息技术 安全技术 信息安全管理体系 要求
6.规划
6.1 应对风险和 机会的措施
6.2 信息安全目 标和实现规划
诚信、专业、创新、行动 以智慧创造价值,用行动实现价值
6.1.3 信息安全风险处置 组织应定义并应用信息安全风险处置过程,以: a在考虑风险评估结果的基础上,选择适合的信息安全风险处置 选项; b确定实施已选的信息安全风险处置选项所必需的全部控制措 施; 注:组织可根据需要设计控制措施,或从任何来源识别控制措施。 c将6.1.3 b确定的控制措施与附录A中的控制措施进行比较,以 核实没有遗漏必要的控制措施; 注1:附录A包含了控制目标和控制措施的综合列表。本标准用 户可使用附录A,以确保没有忽略必要的控制措施。 注2:控制目标包含于所选择的控制措施内。附录A所列的控制 目标和控制措施并不是所有的控制目标和控制措施,组织也可 能需要另外的控制目标和控制措施。
诚信、专业、创新、行动 以智慧创造价值,用行动实现价值
组织应确定并提供建立、实施、保持和持 续改进信息安全管理体系所需的资源。
7.支持
7.1 资源 7.2 能力 7.3 意识 7.4 沟通 7.5 文件化信息
诚信、专业、创新、行动 以智慧创造价值,用行动实现价值
组织应: a确定从事在组织控制下且会影响组织的信息安 全绩效的工作的人员的必要能力; b确保上述人员在适当的教育、培训或经验的基 础上能够胜任其工作; c适用时,采取措施以获得必要的能力,并评估所 采取措施的有效性; d保留适当的文件化信息作为能力的证据。 注:适用的措施可包括,例如针对现有雇员提供培 训、指导或重新分配;雇佣或签约有
ISO27001标准详解 ppt课件
笨,没有学问无颜见爹娘 ……” • “太阳当空照,花儿对我笑,小鸟说早早早……”
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
2020/12/27
4
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损 坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术 来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严 重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理 措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数 职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个 重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防 控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解
2020/12/27
1
ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,
特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统
瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等
2020/12/27
12
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目 标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小 的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小 环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项 目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。
ISO27001标准详解PPT课件
.
Page 10
PDCA特点
大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整 个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标, 都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。 大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕 着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工 作有机地联系起来,彼此协同,互相促进。以上特点。
ISO27001标准详解.来自ISO27001的内容
信息安全管理体系背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展, 特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫 痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。 这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来 的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损 失:
一.直接损失:丢失订单,减少直接收入,损失生产率; 二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失 去未来的业务机会,影响股票市值或政治声誉; 三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。
.
ISO27001的内容
信息安全管理体系背景介绍
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏 和泄露,已成为当前企业迫切需要解决的问题。
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术来 构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重 性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措 施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职 的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重 要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控 制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准详解PPT课件
精选ppt课件2Байду номын сангаас21
Page 11
11
PDCA特点(续)
不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步, 然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋 式上升的过程。
精选ppt课件2021
P
D
A
C
质量水平
螺旋上升的PDCA
Page 12
俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术来 构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重 性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措 施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职 的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重 要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控 制的角度出发,保障组织的信息系统与业务之安全与正常运作。
精选ppt课件2021
4
ISO27001的内容
信息安全管理体系标准发展历史
ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标 准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建 立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模 式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
精选ppt课件2021
Page 10
10
PDCA特点
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
艳照门
很傻很天真
什么叫管理体系
System – Set of interrelated or interacting elements
体系 – 一系列相关关联相互作用的元素
Work systematically – To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence
联系
所有管理体系的共性 (需要分析的5大要 素):人、机、料、 法、环
区别
ISMS:
%5的人:做95%的 工作
%95的人:执行(需 要接受培训)
本页及下页图片来源于BSI中国网站
ISMS适用的行业
以信息为生命线的行业: 金融行业:银行、保险、证券、 基金、期货等 通信行业:电信、网通、移动、 联通等 皮包公司:外贸、进出口、HR、 猎头、会计师事务所等
Information Security Management System信息安 全管理体系
是管理体系的一部分,基于 业务风险的方法,建立、实 施、运行、监控、评审、维 护和改进信息安全。
简单地说,是为了确保组织 信息的“三性”,设立的组 织机构、程序、过程和资源。
如果
step1
ISMS和其他体系的联系和区别
什么叫ISMS信息安全管理体系
Information 信息
信息是一种重要资产,对组 织的业务非常关键。 信息可 以以各种形式存在,可以印 刷或写在纸上,以电子形式 存储、邮寄或使用电子手段 传输,以影片播放或对话。
Information Security信息安全
对信息的保密性、完整性和 可用性的保护,同时涉及真 实性、责任区分、防止抵赖 和可靠性等其他特性。
典型的信息安全事件
HW事件
HW到中东某国投标,5、6人住当地一家酒店。辛苦了很 长时间,开标时却发现竞争对手的标书中多了很多HW特有 的东西,报价也较自己低
经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭 时,有人到其中一个房间取走了笔记本电脑中的硬盘……
LM事件
LM一直与中国军方关系密切,承接过国家级信息安全项目 骨干中一人离职出国,带出很多涉密文件,结果LM被封杀
管理体系的4大要素
组织机构:
明确职责、权限
程序:
告诉相关人员怎么做
过程:
具体的执行情况,如 何做的?比如执行人 是否每周2次检查了某 个应用程序的日志?
资源:
可调配、使用的人员、 设备等
培训
组织结构
资源
管理体系
程序
过程
常见的管理体系
质量管理:ISO9001 环境管理:ISO14001 职业安全:OHSAS18001 社会责任:SA8000 信息安全:ISO27001
Integrity – the property of safeguarding the accuracy and completeness 完整性 – 保护资产准确和完整
Availability – the property of being accessible and useable upon demand by an authorized entity 可用性 – 资产仅对授权人员在需要的时候是可访问的或 可用的
其他行业
ISO22000(食品行业) TL9000(通讯业) ISO20000(可称为IT业的服务质量标准) CMMI(适合软件研发和新技术开发)
信息安全的3要素
Confidentiality – the property that information is made available or disclosed to unauthorized individuals, entities or processes 保密性 – 信息被获取或泄漏给未经授权的个人、实体或 流程
对信息技术依赖度高的行业: 钢铁、半导体、物流 电力、能源 外包(ITO或BPO):IT、软件、 电信IDC、Call Center等
工艺技术要求高、竞争对手渴望得 到的: 医药、精细化工 研究机构
ISO27001, 20000 & irement
系统地工作 – 为保证工作效率,事情必须按合适的/可行的方法进 行组织,并以一定的顺序完成
Management System – System to establish policy and objectives and to achieve those objectives
管理体系 – 建立方针和目标,并实现目标的体系
什么是质量
质量3要素QCT
符合客户的要求(Q)
Quality
不能导致成本上升(C)
时间(T)
以上三个方面的平衡 的结果就是质量
Time
Cost
质量管理体系一览
国际标准
ISO9001
汽车行业(比ISO9001多了项目管理方面的要求)
TS16949(汽车行业的质量管理体系) QS9000(美国的汽车行业标准) VDA6.1(德国大众的质量管理体系)
ISO27001 Lead Auditor Training Course
Neil Yu Shanghai Feb. 18-22, 2008 Version 1.6
Updated on June 19, 2008
ISO27001 LA Training Course Day 1
Shanghai Feb. 18, 2008
ISO27001
Operate
ISO20000
CMMI
Design
ISO27001
Deploy
Build
如何成为LA主任审核员?
要成为LA,必须经过:
2 MD observer -> Junior Auditor 20MD junior auditor -> Auditor 15MD auditor -> Lead Auditor
很傻很天真
什么叫管理体系
System – Set of interrelated or interacting elements
体系 – 一系列相关关联相互作用的元素
Work systematically – To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence
联系
所有管理体系的共性 (需要分析的5大要 素):人、机、料、 法、环
区别
ISMS:
%5的人:做95%的 工作
%95的人:执行(需 要接受培训)
本页及下页图片来源于BSI中国网站
ISMS适用的行业
以信息为生命线的行业: 金融行业:银行、保险、证券、 基金、期货等 通信行业:电信、网通、移动、 联通等 皮包公司:外贸、进出口、HR、 猎头、会计师事务所等
Information Security Management System信息安 全管理体系
是管理体系的一部分,基于 业务风险的方法,建立、实 施、运行、监控、评审、维 护和改进信息安全。
简单地说,是为了确保组织 信息的“三性”,设立的组 织机构、程序、过程和资源。
如果
step1
ISMS和其他体系的联系和区别
什么叫ISMS信息安全管理体系
Information 信息
信息是一种重要资产,对组 织的业务非常关键。 信息可 以以各种形式存在,可以印 刷或写在纸上,以电子形式 存储、邮寄或使用电子手段 传输,以影片播放或对话。
Information Security信息安全
对信息的保密性、完整性和 可用性的保护,同时涉及真 实性、责任区分、防止抵赖 和可靠性等其他特性。
典型的信息安全事件
HW事件
HW到中东某国投标,5、6人住当地一家酒店。辛苦了很 长时间,开标时却发现竞争对手的标书中多了很多HW特有 的东西,报价也较自己低
经调阅酒店录像,发现投标前一晚上当他们离开房间去吃饭 时,有人到其中一个房间取走了笔记本电脑中的硬盘……
LM事件
LM一直与中国军方关系密切,承接过国家级信息安全项目 骨干中一人离职出国,带出很多涉密文件,结果LM被封杀
管理体系的4大要素
组织机构:
明确职责、权限
程序:
告诉相关人员怎么做
过程:
具体的执行情况,如 何做的?比如执行人 是否每周2次检查了某 个应用程序的日志?
资源:
可调配、使用的人员、 设备等
培训
组织结构
资源
管理体系
程序
过程
常见的管理体系
质量管理:ISO9001 环境管理:ISO14001 职业安全:OHSAS18001 社会责任:SA8000 信息安全:ISO27001
Integrity – the property of safeguarding the accuracy and completeness 完整性 – 保护资产准确和完整
Availability – the property of being accessible and useable upon demand by an authorized entity 可用性 – 资产仅对授权人员在需要的时候是可访问的或 可用的
其他行业
ISO22000(食品行业) TL9000(通讯业) ISO20000(可称为IT业的服务质量标准) CMMI(适合软件研发和新技术开发)
信息安全的3要素
Confidentiality – the property that information is made available or disclosed to unauthorized individuals, entities or processes 保密性 – 信息被获取或泄漏给未经授权的个人、实体或 流程
对信息技术依赖度高的行业: 钢铁、半导体、物流 电力、能源 外包(ITO或BPO):IT、软件、 电信IDC、Call Center等
工艺技术要求高、竞争对手渴望得 到的: 医药、精细化工 研究机构
ISO27001, 20000 & irement
系统地工作 – 为保证工作效率,事情必须按合适的/可行的方法进 行组织,并以一定的顺序完成
Management System – System to establish policy and objectives and to achieve those objectives
管理体系 – 建立方针和目标,并实现目标的体系
什么是质量
质量3要素QCT
符合客户的要求(Q)
Quality
不能导致成本上升(C)
时间(T)
以上三个方面的平衡 的结果就是质量
Time
Cost
质量管理体系一览
国际标准
ISO9001
汽车行业(比ISO9001多了项目管理方面的要求)
TS16949(汽车行业的质量管理体系) QS9000(美国的汽车行业标准) VDA6.1(德国大众的质量管理体系)
ISO27001 Lead Auditor Training Course
Neil Yu Shanghai Feb. 18-22, 2008 Version 1.6
Updated on June 19, 2008
ISO27001 LA Training Course Day 1
Shanghai Feb. 18, 2008
ISO27001
Operate
ISO20000
CMMI
Design
ISO27001
Deploy
Build
如何成为LA主任审核员?
要成为LA,必须经过:
2 MD observer -> Junior Auditor 20MD junior auditor -> Auditor 15MD auditor -> Lead Auditor