ISO27001培训讲稿分析报告.ppt

ISO/IEC 27001简介 马毅 2009年5月5日 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 1779927001 我司业务与ISO/IEC 27001 BS7799 BS7799 是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准。 1995 年，BS7799-1:1995《信息安全管理实施细则》首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。 1998 年，BS7799-2:1998《信息安全管理体系规范》公布，这是对BS7799-1 的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。 1999 年4 月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。 ISO/IEC 27002(17799) 2000 年12 月，国际标准化组织ISO/IEC JTC 1/SC27 工作组认可BS7799-1:1999，正式将其转化为国际标准，即所颁布的ISO/IEC 17799:2000《信息技术——信息安全管理实施细则》。 2005 年6 月，ISO/IEC 17799:2000 经过改版，形成了新的ISO/IEC 17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。 ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式发布为 ISO/IEC 27002:2005，这次更新只在于标准上的号码, 内容并没有改变。 ISO/IEC 27001 2002 年，BSI 对BS7799:2-1999 进行了重新修订，正式引入PDCA 过程模型，2004 年9 月5 日，BS7799-2:2002 正式发布。 2005年，BS7799-2:2002 终于被ISO 组织所采纳，于同年10 月推出了ISO/IEC 27001:2005。 对应国内标准 大陆 2005年6月15日，我国发布了国家标准《信息安全管理实用规则》(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。 2008年6月19日， GB/T 19716-2005作废，改为GB/T 22081-2008 。 台湾省 在台湾，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 1779927001 我司业务与ISO/IEC 27001 17799标准内容 ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施 1) 安全方针 7) 访问控制 2) 信息安全组织 8) 信息系统获取、开发和维护 3) 资产管理 9) 信息安全事故管理 4) 人力资源安全 10) 业务连续性管理 5) 物理和环境安全 11) 符合性 6) 通信和操作管理 注：详细内容见附录二 17799:2000 Vs 17799:2005 ISO/IEC 17799:2005版的内容与2000版相比，新增加了17 项控制，在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9 项控制，这些控制或者是不再适应信息通信技术的发展，或者是已经并入到新标准的其他控制内容中了。 17799的适用性 信息安全起点 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 1779927001 我司业务与ISO/IEC 27001 ISMS(信息安全管理系统) PDCA（戴明环） PDCA特点 PDCA特点(续) PDCA和ISMS的结合 与其他标准的兼容性 与其他标准的兼容性(续) 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 1779927001 我司业务与ISO/IEC 27001 重点章节 第四章 信息安全管理体系 第四章 信息安全管理体系(续) 第四章 信息安全管理体系(续) 第四章 信息安全管理体系(续) 第四章 信息