信息安全管理与信息安全管理体系.ppt

山东黄岛发电厂 北京中海神鹰科技发展有限公司 北京移动数据中心 上海先进半导体制造股份有限公司 The Criminal Investigation Bureau of R.O.C. (CIB) 上海超算中心 信息安全管理的行政管理与业务管理不同，前者是政府行为，后者是非政府组织自己的事情，两者管理的对象、管理的主体和管理的方法应该不同； 信息安全管理（业务管理）中的“信息安全”是广义的信息安全； 信息安全管理（业务管理）并非仅仅“管理”，应该是为实现组织信息安全目标的全面管理，包括技术； 管理体系已经成为一个专门产业，其产业形式就是认证、培训和咨询。信息安全管理体系是管理体系方法在信息安全目标实现中的具体应用。 信息安全管理体系ISMS已经成为一个专有名词，它的推广和应用渐渐成为信息安全产业中又一项业务领域。 总结一下 谢谢！ 1.4.1 组织机构建设 ? 组织应建立专门信息安全组织机构，负责： 确定信息安全要求和目标； 制定实现信息安全目标的时间表和预算 建立各级信息安全组织机构和设置相应岗位 分配相应职责和建立奖惩制度 提出信息安全年度预算，并监督预算的执行 组织实施信息安全风险评估并监督检查 组织制定和实施信息安全策略，并对其有效性和效果进行监督检查 组织实施信息安全工程项目 信息安全事件的调查和处理 组织实施信息安全教育培训 组织信息安全审核和持续改进工作 1.4.1 组织机构建设 ? 组织应设立信息安全总负责人岗位，负责： 向组织最高管理者负责并报告工作 执行信息安全组织机构的决定 提出信息安全年度工作计划 总协调、联络 1.4.2 风险评估 风险评估的目的 风险评估的方式 风险评估的流程 1.4.3 信息安全策略的制定和实施 策略：解决某一方面问题的目的、范围、流程、准则的集合 信息安全策略文件 就每一个策略建立实施计划，落实所需资源 策略发布后，实施培训 策略的评审和修订 1.4.4 信息安全工程项目管理 需求分析 规划立项 实施 验收 工程监理 1.4.5 资源管理 信息安全预算 人力资源 基础设施 信息安全教育培训 1.4.6 审核与持续改进 审核 持续改进 主要内容 0. 引子：问题讨论 1. 信息安全管理 2. 信息安全管理体系 2. 信息安全管理体系 2.1 什么是管理体系 2.2 信息安全管理体系 2.3 信息安全管理体系标准 2.4 信息安全管理体系认证 ISO9000-2000 ? 管理体系 management system 建立方针和目标并实现这些目标的体系 ? 体系 system 相互关联和相互作用的一组要素 2.1 什么是管理体系 要求 要求被满足 分析改进 资源管理 产品实现 管理职责 输入 输出 管理体系的持续改进 管理体系方法图解 2.1 什么是管理体系 2.1 什么是管理体系 申请证书 组织 认证机构 证书申请 审核、颁发证书 认可机构 认证咨询 机构 提供咨询服务 认证培训 机构 审核员 培训并颁发证书 任职 国际互认 双边互认 多边互认 管理体系 证书 国家行政 管理机构 机构认可 管理体系产业链 2.1 什么是管理体系 申请证书 组织 认证机构 管理体系审核指南 ISO19011 认可机构 认证咨询 机构 认证培训 机构 审核员 审核员注册管理办法 国际互认 双边互认 多边互认 管理体系 证书 国家行政 管理机构 认证机构通用要求－ISO导则62 管理体系法规标准 认证认可法规 《认证认可条例》 管理体系标准族 ISO9000等 2.1 什么是管理体系 认证机构 认可机构 认证培训 机构 国家行政 管理机构 我国管理体系组织机构 国家认证认可监 督管理委员会 中国合格评定 国家认可中心 CNAB CNAT CNAL 目前流行的管理体系 ? 环境管理体系 EMS ISO/IEC14000 ? 质量管理体系 QMS ISO/IEC9000，9001，9004等 2.1 什么是管理体系 ? 职业安全卫生管理体系 OHMSAS18000 ? 信息安全管理体系 ISMS ISO/IE17799ISO27001 2. 信息安全管理体系 2.1 什么是管理体系 2.2 信息安全管理体系 2.3 信息安全管理体系标准 2.4 信息安全管理体系认证 2.2 信息安全管理体系 ISMS： Informati