ISO27001标准全面解析.docx

目录 1. 概述篇 2 1.1 什么是信息？ 2 1.2 什么是信息安全？ 2 1.3 信息安全发展过程是怎样的？ 2 1.4 信息安全有哪些基本目标？ 3 1.5 什么是信息安全的根本目标？ 4 1.6 信息安全需求来自哪里？ 4 1.7 如何做好信息安全整体规划？ 5 1.8 怎样实现信息安全？ 6 1.9 为什么要一再强调信息安全管理？ 7 1.10 信息安全管理应该遵循何种模式？ 8 2. 标准篇 9 2.1 什么是 BS7799？ 9 2.2 BS7799 的发展历程是怎样的？ 9 2.3 BS7799 的现状如何？ 10 2.4 BS7799 将来还会有什么发展和变化？ 11 2.7 BS7799 新版本（2005）与老版本有什么异同？ 11 2.8 ISO17799:2005 主要内容是怎样的？ 12 2.9 ISO27001:2005 主要内容是怎样的？ 18 3. 认证篇 22 3.1 什么是 ISO27001 认证？ 22 3.2 为什么要接受 ISO27001 认证？ 22 3.3 ISO27001 认证适合哪些对象？ 23 3.4 目前 ISO27001 认证的发展状况如何？ 24 3.5 可提供 ISO27001 认证的机构有哪些？ 26 3.8 ISO27001 认证的实施过程是怎样的？ 27 3.9 ISO27001 认证审核费用和周期如何？ 28 3.10 为什么应该聘请顾问公司来协助认证？ 28 3.11 怎样选择顾问公司？ 29 4. 实践篇 31 4.1 什么是信息安全管理体系？ 31 4.2 怎样建设 ISMS 并最终寻求认证？ 31 4.3 怎样组建项目实施队伍？ 33 4.4 怎样确定 ISMS 实施范围？ 34 4.5 如何进行风险评估？ 35 4.6 风险评估有什么工具可以利用？ 37 4.7 如何确定风险处理计划？ 37 信息安全管理系列指导文件（ISMG） 4.8 应该怎样去构建 ISMS 文件体系？ 38 4.9 如何设立信息安全管理组织？ 39 4.10 怎样加强人员安全意识并推动体系实施？ 40 4.11 如何对 ISMS 进行内部审核？ 41 4.12 建设 ISMS 得以成功的关键因素有哪些？ 41 1 ISO27001 标准全面解析（2006） 概述篇 1.1 什么是信息？ ISO/IEC 的 IT 安全管理指南（GMITS，即 ISO/IEC TR 13335）对信息（Information）的解释是：信息是通过在数据上施加某些约定而赋予这些数据的特殊含义。 一般意义上的信息概念是指事物运动的状态和方式，是事物的一种属性，在引入必要的约束条件后可以形成特定的概念体系。通常情况下，我们可以把信息可以理解为消息、信号、数据、情报和知识。信息本身是无形的，借助于信息媒体以多种形式存在或传播，它可以存储在计算机、磁带、纸张等介质中，也可以记忆在人的大脑里，还可以通过网络、打印机、传真机等方式进行传播。 对现代企业来说，信息是一种资产，包括计算机和网络中的数据，还包括专利、标准、商业机密、文件、图纸、管理规章、关键人员等，就象其它重要的商业资产那样，信息资产具有重要的价值，因而需要进行妥善保护。 需要注意的是，从安全保护的角度去考察信息资产，并不能只停留在静态的一个点或者一个层面上。信息是有生命周期的，从其创建或诞生，到被使用或操作，到存储，再到被传递，直至其生命期结束而被销毁或丢弃，各个环节各个阶段都应该被考虑到，安全保护应该兼顾信息存在的各种状态，不能够有所遗漏。 1.2 什么是信息安全？ 信息安全是一个广泛而抽象的概念，不同领域不同方面对其概念的阐述都会有所不同。建立在网络基础之上的现代信息系统，其安全定义较为明确，那就是：保护信息系统的硬件、软件及相关数据，使之不因为偶然或者恶意侵犯而遭受破坏、更改及泄露，保证信息系统能够连续、可靠、正常地运行。在商业和经济领域，信息安全主要强调的是消减并控制风险，保持业务操作的连续性，并将风险造成的损失和影响降低到最低程度。 信息作为一种资产，是企业或组织进行正常商务运作和管理不可或缺的资源。从最高层次来讲，信息安全关系到国家的安全；对组织机构来说，信息安全关系到正常运作和持续发展；就个人而言，信息安全是保护个人隐私和财产的必然要求。无论是个人、组织还是国家，保持关键的信息资产的安全性都是非常重要的。信息安全的任务，就是要采取措施（技术手段及有效管理）让这些信息资产免遭威胁，或者将威胁带来的后果降到最低程度，以此维护组织的正常运作。 总的来说，凡是涉及到保密性、完整性、可用性、可追溯性、真实性和可靠性保护等方面的技术和理论，都是信息安全所要研究的范畴，也是信息安全所要