第二章节 信息安全管理体系.pptVIP

1.信息安全管理体系 思考题 1.简述ISMS的建立流程。 2.简述BS7799中的PDCA管理模型。 3.简述ISMS建立过程中的遵循性的主要内容。 4.如何向ISMS认证机构提出申请？需要满足哪些条件？ Information Security Management 重庆医科大学信息管理系 谢谢！ Thank you! Information Security Management 重庆医科大学信息管理系 BS7799/ISO27001 BS7799/ISO27001???信息安全管理体系BS7799/ISO27001 Information Security Management Systems????BS7799是一套基于最佳实践的成功的信息安全管理体系方法，最早由英国商务部推动，由BSI将其发展成为标准。BS7799共分两部分，第一部分已经在2000年被采纳为ISO17799，是信息安全管理实践指南，第二部分BS7799-2是信息安全管理体系规范，换言之，第二部分告诉我们应该做什么，第一部分则提供了一些如何做或者好做法的指导.　??BS7799汇集了优秀企业最佳实践，规范了10个安全控制区域，36个安全控制目标和127个安全控制措施。她以风险评估为基础，自顶向下的管理方法，从组织、人员、流程、技术、法律法规、永续经营等全方位实施的管理体系。BS7799-2可以提供认证服务，该标准是当前唯一可以提供对组织的信息安全管理体系的认证标准。在实施了一套信息安全管理体系之后，可以籍由第三方独立认证，向社会、向公众、向客户证实所实施体系的有效性和效果，提供信心保障。　　当前全球已经颁发了超过几千张证书，并且这个数字正在不断增长中，证书主要集中在日本、英国、印度、台湾。证书的分布主要在政府、金融、通信、电子、物流等行业。我国已经颁发证书几十张，当前正处于一个蓄势待发的阶段。BS7799标准已经被很多国家和地区采纳为国家标准或地区标准，如日本、台湾等地。我国在这方面的工作也在进展中。BS7799：2002将于2007年7月23日转换为国际标准ISO/IEC 27001：2005 PDCA循环，可以使我们的思想方法和工作步骤更加条理化、系统化、图像化和科学化。它具有如下特点：  　　(1)大环套小环，小环保大环，推动大循环  　　PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。  　　(2)不断前进、不断提高  　　PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高。  　　(3)形象化  　　PDCA循环是一个科学管理方法的形象化。  　　PDCA - Please Dont Change Anything 重庆医科大学信息管理系 第二章 信息安全管理体系 黄成 TelEmail：attila520@ 重庆医科大学信息管理系 Information Security Management 重庆医科大学信息管理系 ?国家注册ISMS咨询师; ?国家注册ISMS审核员； Careers Information Security Management 重庆医科大学信息管理系 Careers Information Security Management 重庆医科大学信息管理系 Careers Information Security Management 重庆医科大学信息管理系 Careers Information Security Management 重庆医科大学信息管理系 ?学习目标 什么是信息安全管理体系，它的作用、意义为何; 掌握BS7799的主要内容;与ISO/IEC17799:2000等标准的联系； 掌握PDCA管理模型; 掌握信息安全管理体系建立的主要流程; 掌握信息安全管理体系认证的目的、依据及流程; 学习目标 Information Security Management 重庆医科大学信息管理系 主要内容 第一节 信息安全管理体系 1 第三节 信息安全管理体系构架 3 Information Security Management 重庆医科大学信息管理系 第二节 信息安全管理体系标准 2 第四节 信息安全管理体