iso主任审核员培训教程分析.ppt

ISO27001 Lead Auditor Training Course Neil Yu Shanghai Feb. 18-22, 2008 Version 1.6 Updated on June 19, 2008 ISO27001 LA Training CourseDay 1 Shanghai Feb. 18, 2008 典型的信息安全事件 HW事件 HW到中东某国投标，５、６人住当地一家酒店。辛苦了很长时间，开标时却发现竞争对手的标书中多了很多HW特有的东西，报价也较自己低 经调阅酒店录像，发现投标前一晚上当他们离开房间去吃饭时，有人到其中一个房间取走了笔记本电脑中的硬盘…… LM事件 LM一直与中国军方关系密切，承接过国家级信息安全项目 骨干中一人离职出国，带出很多涉密文件，结果LM被封杀 艳照门 很傻很天真 什么叫管理体系 System – Set of interrelated or interacting elements 体系 – 一系列相关关联相互作用的元素 Work systematically – To be effective ,things have to be organized in a suitable/practical way and should be done in a certain sequence 系统地工作 – 为保证工作效率，事情必须按合适的/可行的方法进行组织，并以一定的顺序完成 Management System – System to establish policy and objectives and to achieve those objectives 管理体系 – 建立方针和目标，并实现目标的体系 管理体系的4大要素 组织机构： 明确职责、权限 程序： 告诉相关人员怎么做 过程： 具体的执行情况，如何做的？比如执行人是否每周2次检查了某个应用程序的日志？ 资源： 可调配、使用的人员、设备等 培训 常见的管理体系 质量管理：ISO9001 环境管理：ISO14001 职业安全：OHSAS18001 社会责任：SA8000 信息安全：ISO27001 什么是质量 质量3要素QCT 符合客户的要求（Q） 不能导致成本上升（C） 时间（T） 以上三个方面的平衡的结果就是质量 质量管理体系一览 国际标准 ISO9001 汽车行业（比ISO9001多了项目管理方面的要求） TS16949（汽车行业的质量管理体系） QS9000（美国的汽车行业标准） VDA6.1（德国大众的质量管理体系） 其他行业 ISO22000（食品行业） TL9000（通讯业） ISO20000（可称为IT业的服务质量标准） CMMI（适合软件研发和新技术开发） 信息安全的3要素 Confidentiality – the property that information is made available or disclosed to unauthorized individuals, entities or processes 保密性 – 信息被获取或泄漏给未经授权的个人、实体或流程 Integrity – the property of safeguarding the accuracy and completeness 完整性 – 保护资产准确和完整 Availability – the property of being accessible and useable upon demand by an authorized entity 可用性 – 资产仅对授权人员在需要的时候是可访问的或可用的 什么叫ISMS信息安全管理体系 Information 信息 信息是一种重要资产，对组织的业务非常关键。 信息可以以各种形式存在，可以印刷或写在纸上，以电子形式存储、邮寄或使用电子手段传输，以影片播放或对话。 Information Security信息安全 对信息的保密性、完整性和可用性的保护，同时涉及真实性、责任区分、防止抵赖和可靠性等其他特性。 Information Security Management System信息安全管理体系 是管理体系的一部分，基于业务风险的方法，建立、实施、运行、监控、评审、维护和改进信息安全。 简单地说，是为了确保组织信息的“三性”，设立的组织机构、程序、过程和资源。 ISMS和其他体系的联系和区别 联系 所有管理体系的共性（需要分析的5大要素）：人、机、料、法、环 区别 ISMS： %5的人：做95%的工作 %95的人：执行（需要接受培训） ISMS适用的行业 以信息为生命线的行业： 金融行业：银行、保险、证券、基金、期货等 通信行业：