ISO27001标准全面解析.pdf

目录 1. 概述篇2 1.1 什么是信息？ 2 1.2 什么是信息安全？ 2 1.3 信息安全发展过程是怎样的？ 2 1.4 信息安全有哪些基本目标？ 3 1.5 什么是信息安全的根本目标？ 4 1.6 信息安全需求来自哪里？ 4 1.7 如何做好信息安全整体规划？ 5 1.8 怎样实现信息安全？ 6 1.9 为什么要一再强调信息安全管理？ 7 1.10 信息安全管理应该遵循何种模式？ 8 2. 标准篇9 2.1 什么是 BS7799 ？ 9 2.2 BS7799 的发展历程是怎样的？ 9 2.3 BS7799 的现状如何？10 2.4 BS7799 将来还会有什么发展和变化？ 11 2.7 BS7799 新版本（2005 ）与老版本有什么异同？ 11 2.8 ISO17799:2005 主要内容是怎样的？12 2.9 ISO27001:2005 主要内容是怎样的？18 3. 认证篇22 3.1 什么是 ISO27001 认证？ 22 3.2 为什么要接受 ISO27001 认证？ 22 3.3 ISO27001 认证适合哪些对象？23 3.4 目前ISO27001 认证的发展状况如何？ 24 3.5 可提供 ISO27001 认证的机构有哪些？ 26 3.8 ISO27001 认证的实施过程是怎样的？27 3.9 ISO27001 认证审核费用和周期如何？28 3.10 为什么应该聘请顾问公司来协助认证？28 3.11 怎样选择顾问公司？29 4. 实践篇31 4.1 什么是信息安全管理体系？ 31 4.2 怎样建设 ISMS 并最终寻求认证？31 4.3 怎样组建项目实施队伍？33 4.4 怎样确定 ISMS 实施范围？34 4.5 如何进行风险评估？35 4.6 风险评估有什么工具可以利用？ 37 4.7 如何确定风险处理计划？37 信息安全管理系列指导文件（ISMG ） 4.8 应该怎样去构建 ISMS 文件体系？38 4.9 如何设立信息安全管理组织？39 4.10 怎样加强人员安全意识并推动体系实施？40 4.11 如何对 ISMS 进行内部审核？ 41 4.12 建设 ISMS 得以成功的关键因素有哪些？ 41 1 ISO27001 标准全面解析（2006 ） 1. 概述篇 1.1 什么是信息？ ISO/IEC 的IT 安全管理指南（GMITS，即 ISO/IEC TR 13335 ）对信息（Information ） 的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 一般意义上的信息概念是指事物运动的状态和方式，是事物的一种属性，在引入必要的 约束条件后可以形成特定的概念体系。通常情况下，我们可以把信息可以理解为消息、信号、 数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存 储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、 传真机等方式进行传播。 对现代企业来说，信息是一种资产，包括计算机和网络中的数据，还包括专利、标准、 商业机密、文件、图纸、管理规章、关键人员等，就象其它重要的商业资产那样，信息 资产具有重要的价值，因而需要进行妥善保护。 需要注意的是，从安全保护的角度去考察信息资产，并不能只停留在静态的一 个点或者一个层面上。信息是有生命周期的，从其创建或诞生，到被使用或操作， 到存储，再到被传递，直至其生命期结束而被销毁或丢弃，各个环节各个阶段都应 该被考虑到，安全保护应该兼顾信息存在的各种状态，不能够有所遗漏。 1.2 什么是信息安全？ 信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。 建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、 软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能 够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险， 保持业务