ISO27001信息安全管理体系介绍(PPT 52张)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
► ► ► ► ►
产生 使用 存储 传输 销毁/抛弃
产生 使用 销毁/ 抛弃 存贮 传输
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ISO27001 将信息安全定义如下:
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性
标准名称
发布时间
起草中,未发布
ISO/IEC 27001
ISMS Requirement ISMS要求 Code of Practice for ISMS实用规则
ISMS Implementation Guidance ISMS实施指南 ISMS Metrics and Measurement ISMS的测量 Information Security Risk Management 信息安全风险管理
2
3
4
5
招商银行信息系统内部审计培训
Fra Baidu bibliotek
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 5
信息资产
信息资产存在方式:
► ► ► ► ►
►
► ► ►
电脑数据 网络传输 传真 纸上记录 图片 数码照片 光盘磁带 电话交谈 人的大脑等
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 6
信息资产
信息资产的生命周期:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 11
ISO 27001 的历史
1995年 发布BS 7799 Part 1 1998年 发布BS 7799 Part 2
1999年
发布新版 BS 7799 Part 1 & 2
2000年 2002年
发布ISO 17799:2000
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
► ► ►
保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 可用性:根据授权实体的要求可访问和利用的特性 完整性:保护资产的准确和完整的特性
可用性 保密性
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 8
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
►
► ► ► ► ►
信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户 手册、培训材料、操作或支持程序、业务连续性计划、应变安排 (fallback arrangement)、审核跟踪记录(audit trails)、归档 信息; 软件资产:应用软件、系统软件、开发工具和实用程序; 物理资产:计算机设备、通信设备、可移动介质和其他设备; 服务:计算和通信服务(例如,网络浏览、域名解析)、公用设施 (例如,供暖,照明,能源,空调); 人员,他们的资格、技能和经验; 无形资产,如组织的声誉和形象。
发布新版BS 7799-2 2005年 发布ISO 17799:2005 发布ISO 27001:2005 ISO 27002:2005替代ISO 17799:2005
2007年
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 12
等同的国家标准
我国已将ISO27001 和 ISO27002系列标准等同转化为国家标准。2008 年 9 月 ,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布 两个新的国家标准,并于2008年11月1日起实施。
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技 术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负 责开发ISMS相关的标准与指南
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 10
ISO 27000系列标准
标准序号
ISO/IEC 27000 基础与术语
► ►
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
招商银行信息系统内部审计培训 ISO27001信息安全管理体系介绍 2009年3月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 1
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月
产生 使用 存储 传输 销毁/抛弃
产生 使用 销毁/ 抛弃 存贮 传输
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 7
什么是信息安全?
ISO27001 将信息安全定义如下:
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核 查性,不可否认性和可靠性等特性
标准名称
发布时间
起草中,未发布
ISO/IEC 27001
ISMS Requirement ISMS要求 Code of Practice for ISMS实用规则
ISMS Implementation Guidance ISMS实施指南 ISMS Metrics and Measurement ISMS的测量 Information Security Risk Management 信息安全风险管理
2
3
4
5
招商银行信息系统内部审计培训
Fra Baidu bibliotek
ISO27001信息安全管理体系介绍
页数 9
信息安全管理体系(ISMS)介绍
►
Information Security Management System(ISMS)信息安全管理体系
►
► ► ►
基于国际标准ISO/IEC27001:信息安全管理体系要求
是综合信息安全管理和技术手段,保障组织信息安全的一种方法 ISMS是管理体系(MS)家族的一个成员
ISO27001信息安全管理体系介绍
页数 3
招商银行信息系统内部审计培训
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 4
信息资产
信息资产类型:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 5
信息资产
信息资产存在方式:
► ► ► ► ►
►
► ► ►
电脑数据 网络传输 传真 纸上记录 图片 数码照片 光盘磁带 电话交谈 人的大脑等
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 6
信息资产
信息资产的生命周期:
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 11
ISO 27001 的历史
1995年 发布BS 7799 Part 1 1998年 发布BS 7799 Part 2
1999年
发布新版 BS 7799 Part 1 & 2
2000年 2002年
发布ISO 17799:2000
ISO27001信息安全管理体系介绍
页数 2
几个问题
► ► ► ► ► ► ► ► ►
信息是否是企业的重要资产? 信息的泄漏是否会给企业带来重大影响? 信息的真实性对企业是否带来重大影响? 信息的可用性对企业是否带来重大影响? 我们是否清楚知道什么信息对企业是重要的? 信息的价值是否在企业内部有一个统一的标准? 我们是否知道企业关系信息的所有人 我们是否知道企业关系信息的信息流向、状态、存储 方式,是否收到足够保护? 信息安全事件给企业造成的最大/最坏影响?
► ► ►
保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性 可用性:根据授权实体的要求可访问和利用的特性 完整性:保护资产的准确和完整的特性
可用性 保密性
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 8
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
►
► ► ► ► ►
信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户 手册、培训材料、操作或支持程序、业务连续性计划、应变安排 (fallback arrangement)、审核跟踪记录(audit trails)、归档 信息; 软件资产:应用软件、系统软件、开发工具和实用程序; 物理资产:计算机设备、通信设备、可移动介质和其他设备; 服务:计算和通信服务(例如,网络浏览、域名解析)、公用设施 (例如,供暖,照明,能源,空调); 人员,他们的资格、技能和经验; 无形资产,如组织的声誉和形象。
发布新版BS 7799-2 2005年 发布ISO 17799:2005 发布ISO 27001:2005 ISO 27002:2005替代ISO 17799:2005
2007年
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 12
等同的国家标准
我国已将ISO27001 和 ISO27002系列标准等同转化为国家标准。2008 年 9 月 ,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布 两个新的国家标准,并于2008年11月1日起实施。
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会 联合技 术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负 责开发ISMS相关的标准与指南
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 10
ISO 27000系列标准
标准序号
ISO/IEC 27000 基础与术语
► ►
GB/T 22080-2008 信息技术 安全技术 信息安全管理体系 要求 GB/T 22081-2008 信息技术 安全技术 信息安全管理实用规则
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
招商银行信息系统内部审计培训 ISO27001信息安全管理体系介绍 2009年3月
招商银行信息系统内部审计培训
ISO27001信息安全管理体系介绍
页数 1
目录
1
信息安全概述 ISMS介绍 ISO27001 信息安全管理体系要求 信息安全风险评估 ISO27002 信息安全管理实用规则
2
3
4
5
招商银行信息系统内部审计培训
2005年10月 2007年4月
起草中,未发布
ISO/IEC 27002
ISO/IEC 27003
ISO/IEC 27004
起草中,未发布
ISO/IEC 27005
2008年6月
ISO/IEC 27006
Certification and Registration process审核认证机构要求
2007年2月