ISMS给组织带来的利益PPT课件

1、1,ISMS 给组织带来的利益,PKSEC 北京知识安全工程中心,ISO/IEC27001&ISO/IEC17799实施,2,自我介绍,王新杰 来自北京知识安全工程中心() 2000年开始ISMS相关工作，目前主要工作： ISMS认证咨询 国家注册ISMS审核员培训 联系,3,ISMS的背景 ISMS的国际标准 全球ISMS的现状 ISMS给组织带来的利益 ISMS建设和实施,主要议题,4,1. ISMS的背景,生产力的发展 信息安全就是生产安全 ISMS是组织实现信息安全的优秀方法之一,5,1. ISMS的背景,ISMS是管理体系（MS）家族的一员 ISMS认证证书

2、，是证明一个组织的信息安全水平和能力满足信息安全管理体系国际标准ISO/IEC27001要求的书面证明。,管理体系家族成员： 质量管理体系 QMS 环境管理体系 EMS 职业健康安全管理体系 OHSMS 食品安全管理体系 FSMS 信息安全管理体系 ISMS,6,1. ISMS的背景,7,申请证书 组织,认证机构,证书申请,审核、颁发证书,认可机构,认证咨询 机构,提供咨询服务,认证培训 机构,审核员,培训并颁发证书,任职,国际互认 双边互认 多边互认,国家行政 管理机构,机构认可,管理体系产业链,认证认可条例,认证机构通用要求ISO Guide 62,认证培训机构通用要求ISO/IEC 17

3、024,管理体系 证书,审核指南-ISO/IEC 19011,1. ISMS的背景,8,1. ISMS的背景,国家认证认可监 督管理委员会,中国合格评定 国家认可中心,CNAB,CNAT,CNAL,2005年9月以前的结构,中国的管理机构,9,1. ISMS的背景,国家认证认可监 督管理委员会,（CNAT）,（CNAB/CNAL）,目前的结构,中国的管理机构,10,ISMS的背景 ISMS的国际标准 全球ISMS的现状 ISMS给组织带来的利益 ISMS建设和实施,主要议题,11,ISO/IEC27001:2005 Information technology- Security techni

4、ques-Information security management systems-requirements 信息技术-安全技术-信息安全管理体系-要求,ISO/IEC17799:2005 Information technology- Security techniques-Code of practice for information security management 信息技术-安全技术-信息安全管理实用规则 注：ISO/IEC JTC1/SC27计划于2007年4月将其标准号更改为ISO/IEC27002,ISMS标准族：27000系列,2. ISMS的国际标准,12,正在

5、制定中的ISMS标准族：27000系列 ISO/IEC27000 基础和术语 ISO/IEC27003 ISMS实施指南 ISO/IEC27004 ISMS测量 ISO/IEC27005 信息安全风险管理 ISO/IEC27006 ISMS认证机构认可要求,2. ISMS的国际标准,13,图1 应用于ISMS过程的PDCA模型,2. ISMS的国际标准,ISO/IEC27001:2005的核心内容,14,2. ISMS的国际标准,15,ISO/IEC17799:2005的核心内容,2. ISMS的国际标准,16,2. ISMS的国际标准,Code of practice,英国DTI,BS 77

6、99-Part1,1993.9,英国BSI,1995.2,BS 7799-Part2,1998.2,BS 7799-1:1999,1999.4,ISO/IEC JTC1/SC27,2000.12,+,BS 7799-2:1999,ISO 17799 :2000,BS7799 Part 2 version C,2001.6,ISO 17799 :FDIS,BS7799 Part 2 ：2002,2002.9,2004.10,ISO 17799 :2005,ISO27001 :2005,2005.10.15,2005.6.15,2005,ISMS标准的由来,ISO/IEC JTC1/SC27,IS

7、O/IEC JTC1/SC27,17,ISMS的背景 ISMS的国际标准 全球ISMS的现状 ISMS给组织带来的利益 ISMS建设和实施,主要议题,18,3. 全球ISMS的现状,每年成倍增长的全球ISMS认证证书,19,3. 全球ISMS的现状,截止2006年11月，全球ISMS认证证书明细,20,中国政府关注ISMS 2000年4月我们把ISMS介绍给国信安办（原）； 2002年4月，认监委与国信办在中认大厦召开国家ISMS认证认可高层研讨会； 2002年11月，信安标委WG7开始研究和制定ISMS国家标准； 2004年4月，认监委在其办公大楼会议室召开ISMS认证认可工作会议； 200

8、5年6月15日，我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用规则”，该标准修改采用ISO/IEC17799:2000； 2005年8月，认监委批准北京知识安全工程中心为ISMS认证培训机构； 2006年2月，国信办在5个单位开展ISMS标准应用试点工作：国家税务总局、证监会、北京、上海、武钢； 2006年3月，认监委批准4家ISMS试点认证机构：信产部4所、华夏认证中心、上海认证中心、赛宝认证中心；,3. 全球ISMS的现状,21,ISMS的背景 ISMS的国际标准 全球ISMS的现状 ISMS给组织带来的利益 ISMS建设和实施,主要议题,22,4. ISMS

9、给组织带来的利益,预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范： 重要的商业秘密信息的泄漏、丢失、篡改和不可用； 重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断； 节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括： 依据信息资产的风险级别，安排安全控制措施的投资优先级； 对于可接受的信息资产的风险，不投资安全控制； 保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会； 增强客户、合作伙伴等相关方的信任和信心。,23,ISMS的背景

10、ISMS的国际标准 全球ISMS的现状 ISMS给组织带来的利益 ISMS建设和实施,主要议题,24,5. 如何建立和实施ISMS,获得正确的ISMS的设计与开发思路 建立信息安全管理机构 识别ISMS文件的要求 执行风险评估和处理 遵循标准规定的ISMS开发过程-PDCA,25,获得正确的ISMS设计与开发思路,正确理解ISMS 分析ISMS的要素 正确的ISMS设计与开发思路,在SINOCOM实施ISMS动员大会上的一个比喻：ISMS就是一台“机器”！,26,分析ISMS的构成要素,ISMS体系由以下3个要素(部件)构成： 信息安全的管理机构 (Management framework)

11、ISMS文件 资源(包括必需的人员、资金和设备等),27,正确的ISMS设计与开发思路,高级管理者提供ISMS开发所需要的足够资源和方向 识别组织对信息安全的需求 逐一设计和建设ISMS要素（包括管理机构和ISMS文件） 各个ISMS体系要素相互作用，投入运行，并加以维护管理。,28,建立ISMS管理机构,什么是ISMS管理机构 为什么需要管理机构 管理者承诺,29,识别ISMS文件的要求,文件的作用 ISMS文件的类型 文件的创建 文件的基本要求 ISMS文件与QMS文件的比较,30,执行风险评估和处理,必须的活动 产生两个文件：风险评估报告和风险处理计划 主要过程：4.2.1中c)h) 确

12、定风险评估方法 识别风险 分析和评价风险 识别和评价风险处理的可选措施 为处理风险选择控制目标和控制措施 获得管理者对建议的残余风险的批准,31,遵循标准规定的ISMS建设过程PDCA,32,应用于ISMS的PDCA模型，可以概括为： 1）规定应该做什么并形成ISMS文件； 2）做ISMS文件已规定的事情； 3）评审你所做的事情的符合性和有效性； 4）通过预防和纠正措施，持续改进。,遵循标准规定的ISMS建设过程PDCA,计划,实施,检查,改进,33,基于PDCA的ISMS的实际建设流程,34,Q&A,35,北京知识安全工程中心 Peking Knowledge Security Engine

13、ering Center -PKSEC 2003年6月，吕述望教授创办，并担任主任，赵战生教授担任学术委员会主任，陈华平研究员担任总工程师。 定位：面向知识安全的科学研究、产品研制和咨询服务。 目标：建设一个知识安全创新基地；建设一个知识安全人才培训基地。,附：PKSEC介绍,36,知识安全 知识安全是继计算机数据安全、网络信息安全之后的新的更高和更深层次的信息资源的安全。 在信息资源中，数据是事实与数字组成的原始的素材；信息是对原始素材进行整理后形成的消息与情报；知识是对消息与情报进行理性分析与综合后形成的系统的认识与思想及清晰表述的论断。 知识安全是数据安全和信息安全的扩展与延伸，又是信息资源安全一个新的发展阶段。 from DCS, IS to KS,PKSEC知识安全,37,当前主要业务领域 信息安全管理体系（ISMS）认证服务 ISMS认证培训 ISMS认证咨询 密码技术研究与开发 密码编码 密码分析,PKSEC业务领域,38,PKSEC在ISMS认证服务领域的优势 国家批准的全国首家ISMS认证培训机构 ISMS国家标准核心起草单位 全国信息安全标准化技术委员会WG7、WG1、TCG成员 专业信息安全科研服务机构 具有6年ISMS研究和推广经验的咨询顾