翰纬ISO27001认证实施介绍.ppt

ISO27001认证咨询介绍 上海翰纬信息管理咨询有限公司 什么是ISO27001信息安全管理体系？ 信息安全管理体系是系统的对组织敏感信息进行管理，涉及到人，技术和管理. BS7799/ISO27001发展历程 信息安全管理体系：ISO27001 全球通过ISMS的情况 2006/03/29 全球通过ISMS的情况 2006/04/17 全球通过ISMS的情况 2006/05/17 全球通过ISMS的情况 2006/06/01 ISMS证书的快速增长 ISO27001体系目录 Chapter 0 : 简介 Chapter 1 : 范围 Chapter 2 : 强制性应用标准 Chapter 3 : 术语和定义 Chapter 4 : 信息安全管理体系 Chapter 5 : 管理责任 Chapter 6 : ISMS内部审查（内审） Chapter 7 : ISMS管理评审 Chapter 8 : ISMS改善 附件A（强制性）控制目标和控制措施 ISO27001体系 1、是一套以【风险管理】为基础的【信息安全管理体系】 2、是一个【滴水不漏】的【信息安全管理体系 】 39个控制目标 39个控制目标 ISO/IEC 17799:2000 BS7799-2:2002 BS7799 BS7799-1 BS7799-2 BS7799 ISO/IEC 17799: 2005 ISO/IEC 27001: 2005 BS7799 信息安全管理实施细则 信息安全管理体系规范 信息技术--信息安全管理实施细则 信息安全管理体系规范 1995 英国出版 BS7799-1:1995《信息安全管理实施细则》 英国出版 BS7799-2:1998《信息安全管理体系规范》 1998 BS7799-1:1999与BS7799-2:1999经过修订后重新发布 1999 BS7799-1:1999通过国际化标准组织ISO认可,12月正式成为国际标准ISO/IEC17799:2000《信息技术-信息学安全管理实施细则》 2000 BSI对BS7799-2:1999进行了修订，正式引入PDCA过程模型。9月BS7799-2:2002公布发行。 2002 2004年9月5号，BS7799-2:2002正式发布，提交ISO，可望近期成为国际标准。 2004 1993 率先由英国贸易工业部进行专案。 2005年10月14号,BS7799-2:2005成为ISO/IEC 27001 2005年，ISO/IEC 17799:2005正式发布 平均每天有4家企业通过ISO27001体系认证. A.5 安全政策(1) 信息安全政策 A.6 信息安全组织(2) 内部组织安全 外部安全 A.7 资产的管理(2) 工作说明与资源安全 使用者训练 安全事故和故障的回应 A.8 人力资源安全(3) ?雇佣之前的安全 ?雇佣中的安全 ?雇佣变化或终止的安全 A.9 物理与环境安全(2) 安全区域(6) 物理安全边界 人员进入控制 隔离运送与装卸区域 安全设备 A.12信息系统的获取、开会与维护(6) A.13安全事件管理(2) 信息安全事件和弱点的报告 信息安全事故的管理与改进 A.14业务连续性管理(5) A.15符合性(3) 对症下药：望、闻、观、切 天网恢恢，疏而不漏 控制措施（Control） 控制目标（Object） 控制域（Domain） 39 133 11 ISO/ 27001:2005 附录A A.13、安全事件管理(Compliance)(2,5) 附注：(m，n)－ m：执行目标的数目 n：控制方法的数目 A.15、符合性(Compliance)(3,10) A.14、业务持续性管理(Business continuity management)(1,5) A.11、访问控制(Access control)(7,25) A.12、系统开发与维护(System develop and maintenance) (6,16) A.10、通信与运行管理(Communication and Operation Management) (10,32) A.9、物理与环境安全(Physic and Environment Security)(2,13) A.8、人员安全(Personnel Security) (3,9) A.7、资产分类与控制(Asset classification and Control)(2,5) A.6、安全组织（Security Organization）(2,11) A.5、安全方针（Security Policy）(1,2)（附注）