27000标准族与ISMS--wulinvip.pptVIP

27000标准族与ISMS 自我介绍 王新杰 2000年开始ISMS相关工作，目前主要从事： ISMS认证咨询 国家注册ISMS审核员培训 国家注册ISMS审核员培训教师 中国合格评定国家认可委员会信息安全专业委员会委员 联系 wangxinjie@ 缩略语介绍 ISMS Information Security Management System-ISMS 信息安全管理体系 基于国际标准ISO/IEC27001：信息安全管理体系要求 是综合信息安全管理和技术手段，保障组织信息安全的一种方法 ISMS是管理体系（MS）家族的一个成员 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 IS0/IEC27001:2005的内容 1. 从ISMS标准说起 IS0/IEC27001:2005的内容 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 1. 从ISMS标准说起 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 2. 为什么需要ISMS 生产工具的发展 信息安全就是生产安全 2. 为什么需要ISMS 解决信息安全问题的方案 产品导向型 需求导向型 2. 为什么需要ISMS information security – the third wave technical wave management wave institutional wave 2006年3月，又提出： corporate governance 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 3. 全球ISMS的现状 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 4. 开发和实施ISMS IS0/IEC27001:2005的要求 开发和实施ISMS 4. 开发和实施ISMS IS0/IEC27001:2005的要求 4. 开发和实施ISMS IS0/IEC27001:2005的要求 4. 开发和实施ISMS 开发和实施ISMS 正确理解ISMS 正确理解ISMS 分析ISMS的要素 正确的ISMS设计与开发思路 建立ISMS管理机构 什么是ISMS管理机构 为什么需要管理机构 管理者承诺 识别ISMS文件要求 文件的作用 ISMS文件的类型 文件的创建 文件的基本要求 ISMS文件与QMS文件的比较 执行风险评估和处理 必须的活动 产生两个文件：风险评估报告和风险处理计划 主要过程：4.2.1中c)~h) 确定风险评估方法 识别风险 分析和评价风险 识别和评价风险处理的可选措施 为处理风险选择控制目标和控制措施 获得管理者对建议的残余风险的批准 遵循标准规定的ISMS运行过程－PDCA ISMS开发和实施 基于PDCA的ISMS的实际建设流程 ISMS开发和实施中的3个关键 主要议题 为什么需要ISMS ISMS标准 全球ISMS的现状 开发和实施ISMS 遇到的问题 5. 遇到的问题 Q1: 区分两种不同的“信息安全管理” Q2: 认识“技术”和“管理”的辨证关系 Q3: 理解ISMS与等级保护、风险评估的关系 Q4: 实施ISMS要有耐心 Q1-区分两种不同的“信息安全管理” Q2-认识“技术”和“管理”的辨证关系 完全“技术” 完全“管理” 三分技术，七分管理？ ISMS并非仅仅管理！ Q3-理解ISMS与等级保护、风险评估的关系 等级保护、ISMS都是保障信息安全的方法，即相对独立，又相互联系，可以联合实施，也可选择其一。 等级保护和ISMS中需要风险评估和处理过程。 等级保护是制度要求，ISMS可以支持等级保护的实施。 Q4-实施ISMS要有耐心 实施ISMS的组织的愿望总是“短平快” 人、时间、投入严重不足 2006年试点经验： 中等规模的组织（500人） 人员：至少5人 时间：12个月以上 经费：50万左右（不包括申请认证的费用） QA PDCA各阶段 内容 对应标准条款 P-规划 建立ISMS 建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果。 4.1 4.2.1 4.3 5