ISMS介绍.pptVIP

Page * PDCA和ISMS的结合 Page * 与其他标准的兼容性 本标准与GB/T 19001-2000及GB/T 24001-1996相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO14001:2004）的各条款之间的关系。 本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。 （引用自ISO/IEC 27001:2005中 “0.3与其它管理体系的兼容性” ） 注：ISO 14001:2004－环境管理体系－规范及使用指南 ISO 9001:2000－国际性质量管理标准 Page * 与其他标准的兼容性(续) Page * 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 1779927001 Page * 重点章节 本标准的重点章节是4－8章。 前三章的内容结构如下所示： 引言 0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性 1 范围 1.1 总则 1.2 应用 2 规范性引用文件 3 术语和定义 Page * 第四章 信息安全管理体系 4.1 总要求 一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。 4. 2 建立和管理ISMS 4.2.1 建立ISMS(PLAN) 定义ISMS 的范围 定义ISMS 策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明（SoA） 取得管理层对残留风险的承认，并授权实施和操作ISMS P D C A Page * 第四章 信息安全管理体系(续) 4.2.2 实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足控制目标 实施培训和意识程序 管理操作 管理资源（参见5.2） 实施能够激发安全事件检测和响应的程序和控制 P D C A Page * 第四章 信息安全管理体系(续) 4.2.3 监控和评审ISMS(CHECK) 执行监视程序和控制 对ISMS 的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内部ISMS 审计 定期对ISMS 进行管理复审 记录活动和事件可能对ISMS 的效力或执行力度造成影响 P D C A Page * 第四章 信息安全管理体系(续) 4.2.4 保持和改进ISMS(ACT) 对ISMS 实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴沟通 确保改进成果满足其预期目标 P D C A Page * 第四章 信息安全管理体系(续) 4.3 文件要求 总则 文件控制 记录控制 ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。 Page * 第四章 信息安全管理体系(续) ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的： 信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。 一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）： 信息安全方针 风险评估报告 适用性声明（SoA） 二级文件：各类程序文件。至少包括（可能不限于此）： 风险评估流程 风险管理流程 风险处理计划 管理评审程序 信息设备管理程序 信息安全组织建设规定 新设施管理程序 内部审核程序 第三方和外包管理规定 信息资产管理规定 工作环境安全管理规定 介质处理与安全规定 系统开发与维护程序 业务连续性管理程序 法律符合性管理规定 信息系统安全审计规定 文件及材料控制程序 安全事件处理流程 三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。 四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部