ISO27001和PDCA探索.pptx

信息与信息安全 信息 信息就是指以声音、语言、文字、图像、动画、气味等方式所表示的实际内容 信息是抽象于物质的映射集合 信息是有价值的 信息的传播是极其重要与有效的 信息安全 保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性[ISO/IEC 17799：2005]。 保密性 真实性 完整性 寄生性 授权 风险 风险 未来 损失 不确定 为什么需要信息安全 信息社会与工业社会最大的区别之一就是： 像其它重要业务资产一样，信息也是对组织业务至关重要的资产，需要适当地加以保护。” —— ISO/IEC 17799 死生之地，存亡之道，不可不察 —人类社会的发展 信息与信息安全 信息安全保障要实现的目标 标准及发展 组织管理体系的一部分，用以确保信息安全 源于BS7799，是应英国工业、政府和商业共同需求而发展的一种安全管理标准。目前已经被采纳为国际标准 BS7799-1 - ISO 17799:2000 - ISO 17799:2005 BS7799-2 - ISO 27001:2005 目前已经被20多个国家采纳为国家标准，在40多个国家开展了认证业务 采用BS7799最佳实践来实施ISMS的组织超过10万家，截至2010年3月，全球通过27001认证的企业为6000多家，其中中国大陆为600多家 标准及发展 起源/历史 BS7799 ISO/IEC 17799:2000 ISO/IEC 27001:2005 GB/T 22080:2008 ISO/IEC 27002:2005 ISO/IEC 27005:2005 信息安全管理体系要求 信息安全管理实用规则 信息安全 风险管理 信息系统安全等级保护 建立ISMS对组织的意义 按照国际标准建立信息安全保障体系，不仅会提升组织的信息安全保障能力，同时将会提高组织的市场竞争力（声誉、客户要求）； 确保组织对信息系统的管理满足相关法律法规的要求； 有利于强化员工的信息安全意识，规范组织信息安全行为； 在组织信息系统受到侵袭时，有能力确保组织业务持续开展, 并将损失降到最低程度； 将信息安全管理工作常态化，做到组织信息安全水平的持续改进。 信息安全管理体系（ISO27000） 概况与术语 ISO27000 要求 ISO27001 实践规则 ISO27002 实施指南 ISO27003 测量 ISO27004 风险管理 ISO27005 审核认证机构要求 ISO27006 guidelines for telecommunications organizations ISO27011 / 信息安全管理体系（ISO27000） 安全方针（Security Policy） 信息安全组织（Organization of Information Security） 资产管理（Asset management） 符合性（Compliance） 业务连续性管理（Business continuity management） 信息安全事故管理（Information security incident management） 访问控制（Access control） 人力资源安全（Human resource security） 物理和环境安全（Physical and environmental security） 信息系统获取、开发和维护（Information systems quisition,development and maintenance 通讯和操作安全（communications and operations management） 11个控制域 133个控制点 ISO/IEC 27001简介 ISO/IEC 27001:2005的名称 Information technology- Security techniques-Information security management systems-requirements 信息技术-安全技术-信息安全管理体系-要求 解释建立和维护文档化的ISMS的要求 是依照ISO27001对组织的ISMS进行审核认证的基础 ISO/IEC 27001简介 ISO27001标准对信息安全管理体系（ISMS）并没有一个十分明确的定义，可以将其理解为组织管理体系的一部分。 ISMS涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源。 标准要求的ISMS建立过程：制定信息安全方针策略，明确体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。遵循PDCA 体系一旦建立，组织应该按规定要求进行运作，保持体系的