【2017年整理】ISO27001标准详解.pptx

ISO27001标准详解;主题;? 信息安全管理体系背景介绍 ?信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 　　一.直接损失：丢失订单，减少直接收入，损失生产率； 　　二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉； 　　三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。 ;? 信息安全管理体系背景介绍 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 　　俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。 ;? 信息安全管理体系标准发展历史 ?目前，在信息安全管理体系方面，ISO/IEC27001:2005--信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。 　　BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准----- ISO/IEC17799：2000《信息技术-信息安全管理实施细则》，后来该标准已升版为 ;? 信息安全管理体系标准发展历史 ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年，BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。 ;? 信息安全管理体系要求 ? 11个控制领域 ? 39个控制目标 ? 133个控制措施 ;? 必须的ISMS文件： ?1、ISMS方针文件，包括ISMS的范围； 2、风险评估程序和风险处理程序； 3、文件控制程序和记录控制程序； 4、内部审核程序和管理评审程序（尽管没有强制）； 5、纠正措施和预防措施控制程序； 6、控制措施有效性的测量程序； 7、适用性声明 ;对外 ? 增强顾客信心和满意 ? 改善对安全方针及要求的符合性 ? 提供竞争优势 对内 ? 改善总体安全 ? 管理并减少安全事件的影响 ? 便利持续改进 ? 提高员工动力与参与 ? 提高盈利能力 ;? PDCA方法 ? 纠正和预防措施 ? 内部审核 ? ISMS管理评审 ;? 0.1总则 ? 0.2过程方法 ? 过程方法的定义：组织内各过程系统的应用，连同这些过程 的识别和相互作用及其管理，可以被称为“过程方法”。 ? 过程方法鼓励其使用者以强调以下方面的重要性：;PDCA模型;? 1.1总则 ? 本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求 ? 1.2应用 ? 适用于各种类型、不同规模和提供不同产品的组织 ? 可以考虑删减，但条款4、5、6、7和8是不能删减的 ;? ISO/IEC 17799：2005 信息技术－安全技术－信息安全管理实施指南 ; 信息 ? 是经过加工的数据或消息，信息是对决策者有价值的数据 资产 任何对组织有价值的事物 可用性 确保授权用户可以在需要时可以获得信息和相关资产