第3讲第二章信息安全风险评估下.pptxVIP

第1页/共84页ISO/IEC 27001:2005介绍ISO/IEC 27001:2005 是什么？ISO/IEC 27001:2005 内容ISO/IEC 27001:2005 建立练习第2页/共84页1.0 ISO/IEC 27001:2005是什么ISO 27001的标准全称 （ISO27001标准题目） Information technology- Security techniques-Information security management systems-Requirements 信息技术-安全技术-信息安全管理体系-要求ISMS 信息安全管理体系 - 管理体系 - 信息安全相关 - ISO 27001 的3 术语和定义-3.7Requirements 要求第3页/共84页1.1 什么是管理体系？Quality management system (ISO 9001)建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。管理体系包括组织结构，策略，规划，角色，职责，流程，程序和资源等。(ISO 270013 术语和定义-3.7)管理的方方面面以及公司的所有雇员，均囊括在管理体系范围内。Environmental management system(ISO 14001)Safety management system(OHSAS 18001)Human Food Safety management system(HACCP)IT Service Management System (ISO 20000)Information security management system(ISO 27001)第4页/共84页1.1 什么是信息安全？保护信息的保密性、完整性和可用性(CIA);另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性 (ISO 270013 术语和定义-3.4) 机密性（Confidentiality） 信息不能被未授权的个人，实体或者过程利用或知悉的特性 (ISO 270013 术语和定义-3.3)完整性（Integrity） 保护资产的准确和完整的特性(ISO 270013 术语和定义-3.8).确保信息在存储、使用、传输过程中不会被非授权用户篡改，同时还要防止授权用户对系统及信息进行不恰当的篡改，保持信息内、外部表示的一致性。可用性（Availability） 根据授权实体的要求可访问和利用的特性(ISO 270013 术语和定义-3.2).确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息及资源第5页/共84页1.2 ISO 27001 的第3章 “术语和定义-3.7信息安全管理体系(ISMS):是整个管理体系的一部分，建立在业务风险的方法上，以： 建立实施运作监控评审维护改进信息安全。质量职业健康安全IT服务建设了ISMS，尤其是获取了ISO27001认证后，组织将在信息安全方面进入一个强制的良性循环。管理体系环境信息安全食品安全第6页/共84页规划Plan建立ISMS相关方相关方实施和运行ISMS保持和改进ISMS处置Act实施Do信息安全要求和期望受控的信息安全监视和评审ISMS检查Check1.3 27001的总要求(ISO27001 4.1)一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。图1 应用于ISMS过程的PDCA模型第7页/共84页1.4 ISO27001的结构0. Introduction1. Scope2. Normative references3. Terms and definitions4. Information security management system 4.1 General requirements 4.2 Establishing and managing the ISMS 4.2.1 Establish the ISMS 4.2.2 Implement and operate the ISMS 4.2.3 Monitor and review the ISMS 4.2.4 Maintain and improve the ISMS 4.3 Documentation requirements5. Management responsibility6. Internal ISMS audits7. Management review of the ISMS8. ISMS improvementAnnex AISO27001:2005, Annex A11 Clauses 39