ISO27001信息安全管理体系说明

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负 责开发ISMS相关的标准与指南
ISO 27000系列标准
标准序号
标准名称
ISO/IEC 27000 基础与术语
ISO/IEC 27001 ISMS Requirement ISMS要求
ISO/IEC 27002 Code of Practice for ISMS实用规则
等同的国家标准
我国已将ISO27001 和 ISO27002系列标准等同转化为国家标准。2008 年 9 月 ,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布 两个新的国家标准,并于2008年11月1日起实施。
► GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 ► GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
当前获得ISO27001证书的组织分布(2008年9月)
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
ISO27001信息安全管理体系要求
信息安全管理体系(Information Securitry Management Systems)是组织在整 体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。 它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表( Checklists)等要素的集合。
1998年
发布BS 7799 Part 2
1999年 发布新版 BS 7799 Part 1 & 2
2000年 发布ISO 17799:2000
2002年 发布新版BS 7799-2
2005年
发布ISO 17799:2005 发布ISO 27001:2005
2007年 ISO 27002:2005替代ISO 17799:2005
► 电脑数据 ► 网络传输 ► 传真 ► 纸上记录 ► 图片 ► 数码照片 ► 光盘磁带 ► 电话交谈 ► 人的大脑等
信息资产
信息资产的生命周期:
► 产生 ► 使用 ► 存储 ► 传输 ► 销毁/抛弃
产生
销毁/ 抛弃
传输
使用 存贮
什么是信息安全?
ISO27001 将信息安全定义如下:
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性 ► 保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 ► 可用性:根据授权实体的要求可访问和利用的特性 ► 完整性:保护资产的准确和完整的特性
► 软件资产:应用软件、系统软件、开发工具和实用程序; ► 物理资产:计算机设备、通信设备、可移动介质和其他设备; ► 服务:计算和通信服务(例如,网络浏览、域名解析)、公用设施
(例如,供暖,照明,能源,空调); ► 人员,他们的资格、技能和经验; ► 无形资产,如组织的声誉和形象。
信息资产
信息资产存在方式:
方式,是否收到足够保护? ► 信息安全事件给企业造成的最大/最坏影响?
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
信息资产
信息资产类型:
► 信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户 手册、培训材料、操作或支持程序、业务连续性计划、应变安排 (fallback arrangement)、审核跟踪记录(audit trails)、归档 信息;
பைடு நூலகம்
保密性
可用性
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
信息安全管理体系(ISMS)介绍
► Information Security Management System(ISMS)信息安全管理体系 ► 基于国际标准ISO/IEC27001:信息安全管理体系要求 ► 是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ► ISMS是管理体系(MS)家族的一个成员 ► ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技
实施ISMS的好处
ISO 27001
提升竞争力
► 建立持续改进的信息安全与 风险管理
► 有效保护组织的知识产权
► 有效保护客户信息 ► 提升组织形象
提高合规性
► 提升内部控制 ► 符合国家信息安全管理标准
要求 ► 保护商业机密 ► 遵从法律法规要求
满足利益相关方期望
► 更好的IT服务质量 ► 保证业务连续性 ► 增强自信与客户信任度 ► 提升投资回报率
ISO/IEC 27003 ISMS Implementation Guidance ISMS实施指南
ISO/IEC 27004 ISMS Metrics and Measurement ISMS的测量
ISO/IEC 27005 Information Security Risk Management 信息安全风险管理
ISO/IEC 27006 Certification and Registration process审核认证机构要求
发布时间
起草中,未发布 2005年10月 2007年4月 起草中,未发布 起草中,未发布 2008年6月 2007年2月
ISO 27001 的历史
1995年 发布BS 7799 Part 1
招商银行信息系统内部审计培训 ISO27001信息安全管理体系介绍
2009年3月
目录
1 2 3 4 5
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
几个问题
► 信息是否是企业的重要资产? ► 信息的泄漏是否会给企业带来重大影响? ► 信息的真实性对企业是否带来重大影响? ► 信息的可用性对企业是否带来重大影响? ► 我们是否清楚知道什么信息对企业是重要的? ► 信息的价值是否在企业内部有一个统一的标准? ► 我们是否知道企业关系信息的所有人 ► 我们是否知道企业关系信息的信息流向、状态、存储
相关文档
最新文档