ISO27001信息安全管理体系培训材料基础知识

1、信息安全管理体系,ISMS,基,础知识培训,目录,什么是信息安全,目录,为什么实施信息安全管理,什么是信息,如何实施信息安全管理,信息安全管理体系,ISMS,概述,信息安全管理体系,ISMS,标准介绍,信息安全管理体系,ISMS,实施控制重点,目录,什么是信息,什么是信息安全,为什么实施信息安全管理,如何实施信息安全管理,信息安全管理体系,ISMS,概述,信息安全管理体系,ISMS,标准介绍,信息安全管理体系,ISMS,实施控制重点,什么是信息,什么是信息,信息通常指消息、情报、数据和知识等，在,ISO/IEC27001,标准中信息是指对组织具有重要价值,可以通过多媒体传递和存储的一种资产,什

2、么是信息,什么是信息安全,为什么实施信息安全管理,如何实施信息安全管理,信息安全管理体系,ISMS,概述,信息安全管理体系,ISMS,标准介绍,信息安全管理体系,ISMS,实施控制重点,什么是信息安全,信息安全的作用是保护信息业务涉及范围不受威胁所,什么是信息安全,干扰，使组织业务畅顺，减少损失及增大投资回报和,商机。在,ISO/IEC27001,标准中信息安全主要指信息的,机密性、完整性和可用性的保持。即指通过采用计算,机软硬件技术、网络技术、密钥技术等安全技术和各,种组织管理措施，来保护信息在其生命周期内的产生,传输、交换、处理和存储的各个环节中，信息的机密,性、完整性和可用性不被破坏,什

3、么是信息安全,信息的机密性,什么是信息安全,信息的机密性,是指确保授予或特定权限的人才能访问,信息的机密性,到信息。信息的机密性依据信息被允许访问对象的多,少而不同，所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息，根据信,息的重要程度和保密要求将信息分为不同密级。一般,分为秘密、机密和绝密三个等级，已授权用户根据所,授予的操作权限可以对保密信息进行操作,什么是信息安全,信息的完整性,信息的完整性是,指要保证信息使用和处理方法的正确,什么是信息安全,信息的完整性,性和完整性。信息完整性一方面是指在使用、传输,存储、备份、交换信息的过程中不发生篡改信息、丢,失信息、错误

4、信息等现象；另一方面是指信息处理方,法的正确性，信息备份、系统恢复、销毁等处理不正,当的操作，有可能造成重要文件的丢失，甚至整个系,统的瘫痪,什么是信息安全,信息的可用性,什么是信息安全,信息的可用性是,指确保已被授权的用户访问时得到所需,要信息。即信息及相关信息资产在授权人需要时可立即,信息的可用性,获得。例如，通信线路中断故障、网络的拥堵会造成信,息在一段时间内不可用，影响正常的业务运营，这是信,息可用性的破坏。提供信息的系统必须能适当地承受攻,击并在失败时及时恢复,另外还要保证信息的真实性和有效性,即组织之间或组,织与合作伙伴间的商业交易和信息交换是可信赖的,什么是信息,什么是信息安全,

5、为什么实施信息安全管理,如何实施信息安全管理,信息安全管理体系,ISMS,概述,信息安全管理体系,ISMS,标准介绍,信息安全管理体系,ISMS,实施控制重点,为什么要实施信息安全管理,实施信息管理原因,自,1987,年以来，全世界已发现超过,50000,种计算机病毒,2000,年爆发的“爱虫”病毒给全球,用户造成了,100,亿美元的损失；美国每年因信息与网络安全,问题所造成的损失高达,75,亿美元。即使是防备森严的美国,国防信息系统,2000,年也受到,25,万次黑客攻击，且成功进入,率高达,63,然而，能对组织造成巨大损失的风险主要还是来源于组织,内部，国外统计结果表明企业信息受到的损失中

6、,70,是,由于内部员工的疏忽或有意泄密造成,为什么要实施信息安全管理,实施信息管理原因,多数计算机使用者很少接受严格,的信息安全意识培训，每天都在以不安全的方式处理企业,的大量重要信息，而且企业的合作单位、咨询机构等外部,人员都以不同的方式使用企业的信息系统，对企业的信息,系统构成了潜在的威胁。如员工为了方便记忆系统登录口,令而在明显处粘一便条，就足以毁掉花费了大量成本建立,的信息系统。许多对企业心存不满的员工把“黑”掉企业,网站，偷窃并散布客户敏感信息，为竞争对手提供机密资,料，甚至破坏关键信息系统作为报复企业，致使企业蒙受,了巨大的经济损失,为什么要实施信息安全管理,实施信息管理原因,目

7、前单一的技术手段已难以解决,企业信息安全问题，只有建立一套完善的信息安全管理流,程并严格执行，才能有效降低信息安全风险，保障企业信,息业务的连续性,实施信息管理必然性,实践证明信息安全是个复杂的系统问,题,解决系统性安全问题,必须以系统的方法来解决，建立管理,体系,明确方针和目标并实现这些目标的体系，是系统性解决复杂,问题的有效方法。为了保证信息安全管理的有效性、充分性和适,宜性组织需要建立信息安全管理体系,ISMS,信息安全管理体系,通过固化信息安全管理范围，制定信息安全管理策略方针与与目,标，明确信息安全管理职责、落实控制目标并选择控制措施进行,管控，全面系统保障管理信息的安全,为什么要实

8、施信息安全管理,实施信息管理必然性,从系统论观点来看,一个体系,系统,必须具有自组织、自学习,自适应、自修复、自生长的能力和功能才可以保证其持续有效,性,信息安全管理体系通过不断的识别组织和相关方的信息安全要,求，不断的识别外界环境和组织自身的变化，不断的学习采用,最新的管理理念和技术手段，不断的调整自己的目标、方针,程序和过程等，才可以实现持续的安全,本标准可以适合于不同性质、规模、结构和环境的各种组织,因为不拥有成熟的,IT,系统而担心不可能通过,ISO/IEC 27001,认,证是不必要的,为什么要实施信息安全管理,实施信息管理必然性,如果因为预算困难或其他原因，不能一下子降低所有不可,

9、接受风险到可接受程度时，能否通过体系认证，也是很多,人关心的问题。通常审核员关心的是组织建立的,ISMS,是否,完整，是否运行正常，是否有重大的信息安全风险没有得,到识别和评估。有小部分的风险暂时得不到有效处置是允,许的，当然“暂时接受”的不可接受风险不可以包括违背,法律法规的风险,什么是信息,什么是信息安全,为什么实施信息安全管理,信息安全管理体系,ISMS,概述,信息安全管理体系,ISMS,标准介绍,信息安全管理体系,ISMS,实施控制重点,ISMS,概述,ISMS,概述,本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全,管理体系,Information Security Ma

10、nagement System,简称,ISMS,提供模型,采用,ISMS,应当是一个组织的一项战略性决策。一个组织的,ISMS,的设,计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规,模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息,安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简,单的,ISMS,解决方案,本标准可被相关的内部方和外部方运用以评估一致性,什么是信息,什么是信息安全,为什么实施信息安全管理,信息安全管理体系,ISMS,概述,信息安全管理体系,ISMS,标准介绍,信息安全管理体系,ISMS,实施控制重点,ISMS,标准体系,ISO/IEC270

11、00,族介绍,27000,信息安全管理体系,综述与术语,27001,信息安全管理体系,要求,27002,信息安全管理体系,实践规范,27003,信息安全管理体系,实施指南,ISO/IEC27000,族,27004,信息安全管理体系,测量,27005,信息安全管理体系信息安全风险管理,27006,信息安全管理体系认证机构要求,27007,信息安全管理体系,审核指南,ISMS,介绍,ISO/IEC27000,族发布时间,ISO/IEC 177992005 信息安全管理实施细则,于,2005,年,6,月,15,日正式,发布,ISO/IEC 27001,信息安全管理体系要求，于,2005,年,10,月

12、,15,日正式发布,ISO/IEC 27002,信息安全管理体系最佳实践,于,2007,年,4,月,正式发布,ISO/IEC 27003,信息安全管理体系实施指南,正在,ISMS,标准的工作组,研究并征求意见阶段,ISO/IEC 27004,信息安全管理度量和改进，正在,委员会草案阶段,ISO/IEC 27005,信息安全风险管理指南，以,2005,年底刚刚推出的,BS,7799-3,为准,ISMS,介绍,ISO/IEC27001,信息,安全管理体系与其它体系兼容性,ISO9001,2008,质量管理体系,ISO14001,2004,环境管理体系,ISO/TS16949,2009,汽车行业质量

13、管理体系,TL9000,通信行业质量管理体系,IEC QC080000,2005,有害物质过程管理体系,ISOIEC20000,什么是信息,什么是信息安全,为什么实施信息安全管理,信息安全管理体系,ISMS,概述,信息安全管理体系,ISMS,标准介绍,信息安全管理体系,ISMS,实施控制重点,ISO/IEC27001,控制大项,教育培训,A.16,资产管理,A,7,信息安全组织,A.6,人力资源安全,A.8,信息安全事件管理,A.13,信息安全方针,A.5,系统获取开发和维护,A.12,访问控制,A.11,物理和环境安全,A.9,符合性,A.15,通信和操作管理,A.10,业务持续性管理,A.

14、14,ISO/IEC27001,控制大项,管理内容,ISMS,控制大项说明,安全方针,制定信息安全方针，为信息安全提供管理指导和支持,并定期评审,信息安全组织,建立信息安全基础设施，管理组织范围内的信息安,全；维护被第三方所访问的组织的信息处理设施和信息资产的安全,以及当信息处理外包给其他组织时，确保信息的安全,资产管理,核查所有信息资产，做好信息分类，确保信息资产受到,适当程度的保护,人力资源安全,确保所有员工、合同方和第三方了解信息安全威胁,和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或,误用设施的风险,ISO/IEC27001,控制大项,管理内容,ISMS,控制大项说明,物理

15、与环境安全,定义安全区域，防止对办公场所和信息的未授权,访问、破坏和干扰；保护设备的安全，防止信息资产的丢失、损坏,或被盗，以及对业务活动的干扰；同时，还要做好一般控制，防止,信息和信息处理设施的损坏或被盗,通讯和操作管理,制定操作规程和职责，确保信息处理设施的正确,和安全操作；建立系统规划和验收准则，将系统失效的风险减到最,低；防范恶意代码和移动代码，保护软件和信息的完整性；做好信,息备份和网络安全管理，确保信息在网络中的安全，确保其支持性,基础设施得到保护；建立媒体处置和安全的规程，防止资产损坏和,业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或,误用,ISO/IEC27001,

16、控制大项,管理内容,ISMS,控制大项说明,访问控制,制定文件化的访问控制策略，避免信息系统的未授权访,问，并让用户了解其职责和义务，包括网络访问控制、操作系统访,问控制、应用系统和信息访问控制、监视系统访问和使用，定期检,测未授权的活动；当使用移动办公和远程工作时，也要确保信息安,全,信息系统的获取、开发和维护,标识系统的安全要求，确保安全成,为信息系统的内置部分；控制应用系统的安全，防止应用系统中用,户数据的丢失、被修改或误用；通过加密手段保护信息的保密性,真实性和完整性；控制对系统文件的访问，确保系统文档的安全,严格控制开发和支持过程，维护应用系统软件和信息的安全,ISO/IEC2700

17、1,控制大项,管理内容,ISMS,控制大项说明,信息安全事故的管理,报告信息安全事件和弱点，及时采取纠正措,施，确保使用持续有效的方法管理信息安全事故,业务连续性管理,目的是为了减少业务活动的中断，使关键业务过,程免受主要故障或天灾的影响，并确保他们的及时恢复,符合性,信息系统的设计、操作、使用和管理要符合法律法规的要,求，符合组织安全方针和标准，还要控制系统审核，使系统审核过,程的效力最大化、干扰最小化,ISMS,实施控制重点,信息安全管理体系构成,ISO/IEC27001,信息安全管理体系将信息安全管理的内容划分为,11,个控制域,39,个信息安全管理的控制目标,133,项安全控制措施，以

18、下是,12,项管理大项关,系图,ISMS,实施控制重点,ISMS,构成管理内容,信息安全管理体系构成,管理内容,方针与策略,管理,风险管理,确保企业、组织拥有明确的信息安全方针以及配套的策略和制度，以实现,对信息安全工作的支持和承诺，保证信息安全的资金投入,信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安,全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以,接受的范围之内。风险管理同时也是一个动态持续的过程,建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员,进行管理，协调信息安全监管部门与行内其他部门之间的关系，保证信息,安全工作的人力资源要求，避

19、免由于人员和组织上的错误产生的信息安全,风险,控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环,境安全、设备安全、介质安全等,控制、保护网络和通信系统，防止其受到破坏和滥用，避免和降低由于网,络和通信系统的问题对业务系统的损害,控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由,此对业务系统的损害,人员与组织,管理,环境与设备,管理,网络与通信,管理,主机与系统,管理,ISMS,实施控制重点,ISMS,构成管理内容,信息安全管理体系构成,管理内容,应用与业务,管理,数据,文档,介质管理,对各类应用和业务系统进行安全管理，防止其受到破坏和滥用,采用数据加密和完整性保

20、护机制，防止数据被窃取和篡改，保护业务数据的,安全,保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统,项目工程管,理,运行维护管,理,业务连续性,管理,合规性管理,保护信息系统在运行期间的安全，并确保系统维护工作的安全,通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能,够保证业务的连续性,确保信息安全保障工作符合国家法律、法规的要求；且信息安全方针、规定,和标准得到了遵循,信息安全管理体系,PDCA,模型,采用一种过程方法来建立、实施、运行、监视、评审、保持和改,进一个组织的,ISMS,信息安全管理体系,PDCA,模型,方法,PDCA,模式,步骤,定义范围,定义方针,方法,根据组织业务特征、地理位置、资产、技术等确定,ISMS,的范围,方针是信息安全活动的总方向和总原则，是建立目,标的框架，应考虑业务、合同安全义务和法律法规,要求,识别适用的风险评估方法，确定风险接收准则，识,别