信息安全管理体系

1、整理课件1 信息安全管理 （第二版） ， 信信 息息 安安 全全 管管 理理 信息安全管理 上节回顾上节回顾 6 上节回顾上节回顾 6 信息安全管理的重要性信息安全管理的重要性 信息安全管理国内外现状信息安全管理国内外现状 信息安全管理体系构成信息安全管理体系构成 本节内容本节内容 信息安全管理体系概述信息安全管理体系概述1 BS7799信息安全管理体系信息安全管理体系2 ISO27001信息安全管理体系信息安全管理体系 3 6 基于基于SSE-CMM的信息安全管理体系的信息安全管理体系4 人力资源人力资源 IT 信息管理信息管理 Finance财务管理财务管理 业务管理业务管理 职业安全职业

2、安全 质量管理质量管理 环境管理环境管理 战略和投资管理战略和投资管理 综合管理体系综合管理体系 市场市场/客户满意管理客户满意管理 党务管理党务管理 ISO 27000 信息安全信息安全 ISO 100015 培培 训体系训体系 人力资人力资 源管理体系源管理体系 财务管理体系财务管理体系 战略和投资管理体系战略和投资管理体系 ISO 14001 ISO 9000 BS8600客户满意管理体系客户满意管理体系 职业安全健康管理体系职业安全健康管理体系 ISO18000 Qs9000，ISMC 常见管理体系常见管理体系 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 信息安全管理体系

3、信息安全管理体系 （Information Security Management SystemInformation Security Management System，ISMSISMS） 是组织在整体或特定范围内建立的信息安全方针和目是组织在整体或特定范围内建立的信息安全方针和目 标，以及完整这些目标所用的方法和手段所构成的体标，以及完整这些目标所用的方法和手段所构成的体 系。系。 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 2.1 2.1 信息安全管理体系概

4、述信息安全管理体系概述 u强化员工的信息安全意识，规范组织信息安全行为；强化员工的信息安全意识，规范组织信息安全行为； u促使管理层贯彻信息安全保障体系；促使管理层贯彻信息安全保障体系； u对关键信息资产进行全面系统的保护，维持竞争优势；对关键信息资产进行全面系统的保护，维持竞争优势； u确保业务持续开展并将损失降到最低程度；确保业务持续开展并将损失降到最低程度； u使组织的生意伙伴和客户对组织充满信心；使组织的生意伙伴和客户对组织充满信心； u如果通过体系认证，可以提高组织的知名度与信任度。如果通过体系认证，可以提高组织的知名度与信任度。 2.1 2.1 信息安全管理体系概述信息安全管理体系

5、概述 P P（PlanPlan）计划，确定方针、目标和活动计划；计划，确定方针、目标和活动计划； D D（DoDo）实施，实现计划中的内容；实施，实现计划中的内容； C C（CheckCheck）检查，检查并总结执行计划的结果；检查，检查并总结执行计划的结果； A A（ActionAction）行动，对检查总结的结果进行处理。行动，对检查总结的结果进行处理。 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 * *P P（PlanPlan） 分析目前现状，找出存在的问题；分析目前现状，找出存在的问题； 分析产生问题的各种原因以及影响因素；分析产生问题的各种原因以及影响因素； 分析并找出

6、管理中的主要问题；分析并找出管理中的主要问题； 制定管理计划，确定管理要点。制定管理计划，确定管理要点。 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 * *D D（DoDo） 本阶段的任务是在管理工作中全面执行制定的方案。本阶段的任务是在管理工作中全面执行制定的方案。 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 * *C C（CheckCheck） 它是对实施方案是否合理、是否可行以及有何不妥它是对实施方案是否合理、是否可行以及有何不妥 的检查。的检查。 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 * *A A（ActionAction） 2.1 2.

7、1 信息安全管理体系概述信息安全管理体系概述 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 确定信息安全方针确定信息安全方针 确定信息安全管理体系的范围确定信息安全管理体系的范围 制定风险识别和评估计划制定风险识别和评估计划 制定风险控制计划制定风险控制计划 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 风险治理风险治理 保证资源、提供培训、提高安全意识保证资源、提供培训、提高安全意识 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 自治程序自治程序 日常检查日常检查 从其他处学习从其他处学习 内部信息安全管理体系审核内部信息安全管理体系审核 管理评审管理评审

8、 趋势分析趋势分析 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 PDCA循环是螺旋式上升和发展的。 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 BS7799BS7799的发展历史的发展历史 * *19931993年，英国贸易工业部，年，英国贸易工业部，BS7799-1:1995BS7799-1:1995信息安信息安 全管理实施规则全管理实施规则； * *19981998年，年，BS7799-2:1998BS7799-2:1998信息安全管理体系规范信息安全管理体系规范； * *19991999年，年，BS77

9、99-1:1999BS7799-1:1999取代了取代了BS7799-1:1995BS7799-1:1995标准，标准， BS7799-2:1999BS7799-2:1999取代了取代了BS7799-2:1998BS7799-2:1998标准；标准； 2.2 BS77992.2 BS7799安全管理体系安全管理体系 BS7799BS7799的发展历史的发展历史 * *国际标准化组织于国际标准化组织于20002000年年1212月正式将月正式将BS7799BS7799转化成转化成 国际标准国际标准ISO/IEC17799ISO/IEC17799； * *20052005年年6 6月月1515日发

10、布了最新版本日发布了最新版本ISO/IEC17799:2005ISO/IEC17799:2005。 2.2 BS77992.2 BS7799安全管理体系安全管理体系 BS7799BS7799的发展历史的发展历史 BS7799BS7799标准的最大意义就在于它给管理层一整套标准的最大意义就在于它给管理层一整套 可可“量体裁衣量体裁衣”的信息安全管理要项、一套与技术负责的信息安全管理要项、一套与技术负责 人或组织高层进行沟通的共同语言，以及保护信息资人或组织高层进行沟通的共同语言，以及保护信息资 产的制度框架。产的制度框架。 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系

11、 BS7799BS7799的内容的内容 * *BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 主要是给负责开发的人员作为参考文档使用，从而主要是给负责开发的人员作为参考文档使用，从而 在他们的机构内部实施和维护信息安全。在他们的机构内部实施和维护信息安全。 * *BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 详细说明了建立、实施和维护信息安全管理体系的详细说明了建立、实施和维护信息安全管理体系的 要求，指出实施组织需要通过风险评估来鉴定最适宜的要求，指出实施组织需要通过风险评估来鉴定最适宜的 控制对象，并根据自己的需求采取适当的安全

12、控制。控制对象，并根据自己的需求采取适当的安全控制。 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系 BS7799BS7799的内容的内容BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 BS7799-1: BS7799-1:信息安全管理实施规则信息安全管理实施规则作为国际信息作为国际信息 安全指导标准安全指导标准ISO/IEC17799ISO/IEC17799基础的指导性文件，包括基础的指导性文件，包括11 11大大 管理要项，管理要项，134134种控制方法。种控制方法。 2.2 BS77992.2 BS7799信息安全管理体系信息安全

13、管理体系 BS7799BS7799的内容的内容BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系 BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 说明了建立、实施和维护信息安全管理体系（说明了建立、实施和维护信息安全管理体系（ISMSISMS） 的要求；的要求； 指出实施组织需要通过风险评估来鉴定最适宜的控制指出实施组织需要通过风险评估来鉴定最适宜的控制

14、 对象；对象； 根据自己的需求采取适当的安全控制。根据自己的需求采取适当的安全控制。 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系 BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005更注重更注重PDCAPDCA的过程管理模式，的过程管理模式， 能够更好的与组织原有的管理体系，如质量管理体系、能够更好的与组织原有的管理

15、体系，如质量管理体系、 环境管理体系等进行整合，减少组织的管理过程，降低环境管理体系等进行整合，减少组织的管理过程，降低 管理成本。管理成本。 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系 BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 2005.10 2005.10，英国信息安全管理体系标准，英国信息安全管理体系标准BS7799-2BS7799-2：20022002 作为国际标准作

16、为国际标准ISO/IEC 27001ISO/IEC 27001：20052005采用，标志着信息安全采用，标志着信息安全 管理体系认证进入了一个新阶段。管理体系认证进入了一个新阶段。 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系 BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 截至截至2005.112005.11，全球共签发了，全球共签发了18821882张认证证书，张认证证书， 如

17、：如：Siemens,NEC,CANONSiemens,NEC,CANON、EPONEPON、IBMIBM等。等。 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系 27001标准族标准族 27000 27001 27002 27003 27004 27005 27006 27007 ISMS原则和术语 ISMS要求 2005 17799：2005 ISMS最佳实践 ISMS实施指南 管理度量 风险管理 信息安全管理体系 审核认证机构要求 信息安全管理审计 2.3 ISO270002.3 ISO27000标准族标准族 p 每年成倍增长的全球ISMS认证证书 平均每天有1

18、0家组织机构通过ISO27001体系认证. 全球全球ISMS的现状的现状 2.3 ISO270002.3 ISO27000标准族标准族 ISO 27001/ISO 27002标准发展 标准改版背景标准改版背景 国际标准化组织（ISO组织）遵循所有标准每隔5年必须进 行升级的原则。 当前版本的信息安全管理体系标准ISO 27001：2005与ISO 27002：2005已绊使用了8年。 ISO 27001：2005与ISO 27002：2005版在体系整合、控制 项逻辑性不充分性等方面都有改进的空间。 2000年4月将BS7799-1：1999 提交ISO组织，同年10月获得 通过成为ISO 1

19、7799：2000 BS7799标准1992年 在英国首次作为行 业标准发布 ISO 17799 ： 2005 正 式 更名为ISO 27002 : 2007 2013年10月19日修订 原版使用： ISO 27001：2013 ISO 27002：2013 2007 2013 BS 7799-2：2002成为国 际标准ISO 27001：2005 ISO 17799：2000修订升 级为ISO 17799：2005版 2005 将BS7799-2：2000进行修 订发布了BS7799-2：2002 2002 将BS 7799-2：1999进行修 订发布了BS7799-2：2000 2001

20、2000 在1998年、1999年绊过 两次修订之后出版 BS7799-1：1999 BS7799-2：1999 1998 /1999 1992 标准改版特点标准改版特点 管理体系更容易整合：在新版标准中采取Annex SL做结构 性要求，使信息安全管理体系更容易与其他管理体系融合。 融入企业面临新安全挑战：对部分控制项进行了合并、删除， 并且新增了部分控制项以反映当前信息安全发展趋势。 更多指引延伸参考：新增许多指引供企业参考，组织可以通 过不同的面以及风险进行深度的强化。 2.3 ISO270002.3 ISO27000标准族标准族 ISMS在中国在中国 2000年前后，ISMS开始被中国

21、用户认识 2002年11月， ISMS国家标准开始被研究和制定 2005年6月15日，我国发布第一个ISMS国家标准“GB/T19716- 2005信息安全管理实用规则”，该标准修改采用ISO/IEC17799:2000 2006年3月，国信办在5个单位开展ISMS标准应用试点工作 2006年4月，认监委批准4家ISMS试点认证机构 2006年11月，成立中国信息安全认证中心 2007年4月，中国向国际标准化组织ISO/IEC JTC1/SC27提出ISMS 审核标准提案 2008年 GB22080-2008-T信息技术 安全技术 信息安全 管理体系 要求 2008年 GB22081-2008

22、-T信息技术 安全技术 信息安全 管理实用 规则 2.3 ISO270002.3 ISO27000标准族标准族 u 可以强化员工的信息安全意识，规范组织信息安全行为。 u 对组织的关键信息资产进行全面系统的保护，维持竞争优势。 u 在信息系统受到侵害时，确保业务连续开展并将损失降到最低程度。 u 向贸易伙伴证明对信息安全的承诺，使贸易伙伴和客户对组织充满信心。 u 如果通过体系认证，表明组织的信息安全体系符合标准，证明组织有能力 保障重要信息，提高组织的知名度与信任度。 u 促使管理层坚持贯彻信息安全保障体系。 通过通过ISO27001认证的意义认证的意义 2.3 ISO270002.3 IS

23、O27000标准族标准族 ISMS核心思想核心思想 IS0/IEC27001:2005IS0/IEC27001:2005的要求的要求 2.3 ISO270002.3 ISO27000标准族标准族 相关方相关方 受控的受控的 信息安全信息安全 信息安全信息安全 要求和期望要求和期望 相关方相关方 检查检查Check 建立ISMS 实施和 运行 ISMS 保持和 改进ISMS 监视和 评审ISMS 规划规划Plan 实施实施 Do 处置处置 Act IS0/IEC27001:2005的要求的要求 PDCAPDCA各阶段各阶段内容内容对应标准条款对应标准条款 P-规划规划 建立建立ISMS 建立与管

24、理风险和改进信息安全有关的建立与管理风险和改进信息安全有关的ISMSISMS方方 针、目标、过程和程序，以提供与组织整体方针、目标、过程和程序，以提供与组织整体方 针和目标相一致的结果针和目标相一致的结果 4.1 4.2.1 4.3 5 D-实施实施 实施和运行实施和运行 ISMS 实施和运行实施和运行ISMSISMS方针、控制措施、过程和程序方针、控制措施、过程和程序 4.2.2 C-检查检查 监视和评审监视和评审 ISMS 对照对照ISMSISMS方针、目标和实践经验，评估并在适方针、目标和实践经验，评估并在适 当时，测量过程的执行情况，并将结果报告管当时，测量过程的执行情况，并将结果报告

25、管 理者以供评审理者以供评审 4.2.3 6 7 A-处置处置 保持和改进保持和改进 ISMS 基于基于ISMSISMS内部审核和管理评审的结果或者其他内部审核和管理评审的结果或者其他 相关信息，采取纠正和预防措施，以持续改进相关信息，采取纠正和预防措施，以持续改进 ISMSISMS 4.2.4 8 2.3 ISO270002.3 ISO27000标准族标准族 11个控制域39个控制目标133个控制项 10个控制域36个控制目标127个控制项 对比ISO17799:2000老版 ISO27001系列标准的系列标准的ISMS主体内容主体内容 2.3 ISO270002.3 ISO27000标准族

26、标准族 uISO27001：源自BS7799-2框架体系 u是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案 安全策略安全策略 Security policy 人力资源安全人力资源安全 Human resources security 物理与环境安全物理与环境安全 Physical and environmental security 通信与操作管理通信与操作管理 Communications and operations management 信息系统获取、开发和维信息系统获取、开发和维 护护 Information systems acquisition, developm

27、ent and maintenance 组织信息安全组织信息安全 Organizing information security 资产管理资产管理 Asset management 访问控制访问控制 Access control 信息安全事件管理信息安全事件管理 Information security incident management 业务连续性管理业务连续性管理 Business continuity management 符合性符合性 Compliance ISO27001的内容框架的内容框架 2.3 ISO270002.3 ISO27000标准族标准族 ISO/IEC27001的

28、要求的要求 pISO/IEC27001:2005 附录附录A的要求的要求 章节章节控制措施域控制措施域控制目标控制目标控制措施控制措施 A.5安全方针安全方针12 A.6信息安全组织信息安全组织211 A.7资产管理资产管理25 A.8人力资源安全人力资源安全39 A.9物理和环境安全物理和环境安全213 A.10通信和操作管理通信和操作管理1032 A.11访问控制访问控制725 A.12信息系统获取、开发和维护信息系统获取、开发和维护616 A.13信息安全事故管理信息安全事故管理25 A.14业务连续性管理业务连续性管理15 A.15符合性符合性310 合计合计39133 2.3 ISO

29、270002.3 ISO27000标准族标准族 ISMS实施过程实施过程 前期准备前期准备现状调查现状调查 搜集搜集 基本信息基本信息 现场访谈现场访谈 GAP 问卷调查问卷调查 运维现状运维现状 问卷调查问卷调查 技术安全技术安全 现场检查现场检查 资产清单资产清单 风险评估风险评估体系建立体系建立 IT资产评估资产评估 确定确定 风险水平风险水平 IT过程评估过程评估 (试点试点) 培训培训 风险管理风险管理 策略策略 体系运行体系运行 体系文档体系文档 编写编写 培训培训 完善治理完善治理 机制机制 建立建立 安全组织安全组织 资产保护资产保护 过程改进过程改进 体系试运行体系试运行 体

30、系体系 正式运行正式运行 建立体系建立体系 审核机制审核机制 体系调整体系调整 培训培训 体系体系 认证认证 成立成立 项目小组项目小组 宣传动员宣传动员 确定项目确定项目 实施方案实施方案 培训培训 2.3 ISO270002.3 ISO27000标准族标准族 领导重视领导重视:制定信息安全方针为信息安全管理提供导向和 支持 控制目标和控制方式的选择建立在 风险评估风险评估 的基础之 上 预防控制为主的思想原则 全员参与全员参与原则 动态管理原则 持续改进持续改进: :遵循管理的一般循环模式PDCA模式 持续性原则 文件化文件化 ISO27001 实施体现以下原则实施体现以下原则 2.3 I

31、SO270002.3 ISO27000标准族标准族 2.3 ISO270002.3 ISO27000标准族标准族 Procedures Work Instructions, checklists, forms, etc. Records Security Manual Policy, scope risk assessment, statement of applicability Describes processes who, what, when, where (4.1- 4.10) Describes how tasks and specific activities are done

32、 Provides objective evidence of compliance to ISMS requirements clause 3.6 Management framework policies relating to ISO27001:2005 Clause 4 Level 2 Level 3 Level 4 ISO27001体系要求基本文档体系要求基本文档 Level 1 ISO27001文档体系结构文档体系结构 运行记录运行记录 程序文件程序文件 方针方针 策略策略 作业文件作业文件/指导书指导书 第一级第一级 方针策略方针策略 信息安全管理手册信息安全管理手册是是XXXX

33、信信 息安全管理工作的纲领性文件息安全管理工作的纲领性文件 。 第二级第二级 管理规定、规范、程序文件用来规定所要求管理规定、规范、程序文件用来规定所要求 的管理制度或技术控制措施。的管理制度或技术控制措施。 第三级第三级 作业指导书解释特殊工作和活动的细节作业指导书解释特殊工作和活动的细节 ； 场所文件规定某一工作区域的要求场所文件规定某一工作区域的要求 。 第四级第四级 记录活动实行以符合等级记录活动实行以符合等级1,2,和和3的文件的文件 要求的客观证据，阐明所取得的结果或要求的客观证据，阐明所取得的结果或 提供完成活动的证据提供完成活动的证据 2.3 ISO270002.3 ISO27

34、000标准族标准族 ISO27001文档体系结构文档体系结构-主策略主策略 运行记录运行记录 程序文件程序文件 主主 策略策略 作业文件作业文件/指导书指导书 2.3 ISO270002.3 ISO27000标准族标准族 ISO27001文档体系结构文档体系结构-程序文件程序文件 运行记录运行记录 程序文件程序文件 主主 策略策略 作业文件作业文件/指导书指导书 2.3 ISO270002.3 ISO27000标准族标准族 ISO27001文档体系结构文档体系结构-操作流程操作流程 运行记录运行记录 程序文件程序文件 主主 策略策略 作业文件作业文件/指导书指导书 2.3 ISO270002.

35、3 ISO27000标准族标准族 ISO27001文档体系结构文档体系结构 运行记录运行记录 程序文件程序文件 主主 策略策略 作业文件作业文件/指导书指导书 2.3 ISO270002.3 ISO27000标准族标准族 ISO27001 ISO27001 最新版本为最新版本为ISO 27001:2013ISO 27001:2013 20132013年年1010月正式发布月正式发布 对比：对比： ISO 27001:2013 1414个控制域个控制域 3535个控制目标个控制目标 114114个控制项个控制项 ISO 27001:2005 11 11个控制域个控制域 3939个控制目标个控制目

36、标 133133个控制项个控制项 2.3 ISO270002.3 ISO27000标准族标准族 ISO Guide 83：国际标准未来框架 单化，这也将使标准更易读、易懂。 所 有 管 理 体 系 标 准 将 遵 循 ISO Supplement Annex SL 的要求，以便整 合其他标准文件中的不同主题和要求， 如： 统一定义，如：统一定义，如： 组织、相关方、方针、目标、能力、 符合性 统一的表述，如：统一的表述，如： 最高管理者应确保组织内的职责、 权限得到规定和沟通。 1. Scope 范围 2. Normative Reference 规范性引用文件 4. Context of t

37、he Organization 组织环境 5. Leadership 领导力 6. Planning 策划 7. Support 支持 8. Operation 运行 9. Performance Evaluation 绩效评价 10. Improvement 改进 ISO 27001 ISO 20000ISO 22301 . 导则导则83： 明确了明确了 ISO国际标准未来发展框架及方向国际标准未来发展框架及方向 3. Terms and Definitions 术语和定义 管理体系标准新结构和格式 国际标准化组织对管理体系标准在 结构、格式、通用短语和定义方面进 行了统一。这将确保今后编制

38、或修订 管理体系标准的持续性、整合性和简 PAS 99：整合管理体系 4. Context of the Organization 组织环境 PAS 99 Integrated Management Framework 5. Leadership 领导力 Plan 6. Planning 策划 7. Support 支持 DO 8. Operation 运行 Check 10. Improvement 改进 Act 9. Performance Evaluation 绩效评价 ISO 27001:2013标准结构调整 相关方 相关方 信息安全 要求和期望 受控的 信息安全 输入 组织环境 领导

39、力 策划 支持 改进 绩效评价 输入 运行 文件信息 新标准正文内容结构 2.3 ISO270002.3 ISO27000标准族标准族 ISO27001:2013文档结构与PDCA 新标准正文结构变化 0.前言 1.范围 2.规范性引用文件 3.术语和定义 4.信息安全管理体系 4.1 总要求 4.2 建立和管理ISMS 4.3 文件要求 5.管理职责 6.ISMS内部审核 7.ISMS的管理评审 8.ISMS 改进 0.前言 1.范围 2.规范性引用文件 3.术语和定义 4. 组织环境 5. 领导力 6. 策划 7. 支持 8. 运行 9. 绩效评价 10. 改进 章节 描述 4.组织环境

40、属于Plan阶段的一个组成部分。 本章介绍了建立适用于组织信息安全管理环境的必要要求，包括需求、要求与范围。 本章涉及了解组织现状及背景、明确建立信息安全管理体系的目的、理解相关方的需求与期望、确定信 息安全管理体系范围。 5.领导力 属于Plan阶段的一个组成部分。 本章总结了最高管理层在信息安全管理体系中承担角色的具体要求，以及如何通过一件声明的策略来向 组织传达领导层的期望。 本章涉及了领导力和承诺、信息安全方针目标，以及角色、职责和承诺。 6.策划 属于Plan阶段的一个组成部分。 本章介绍了处理风险和机遇的行动，以及可实现的信息安全目标与实现计划。 本章涉及了信息安全风险评估、风险所

41、有者、信息安全风险处置、适用性声明、信息安全目标。 7.支持 属于Plan阶段的一个组成部分。 参与人员的能力、意识、与利益相关方沟通、文档化信息。 新标准正文内容简介 本章详细叙述了建立、实施、保持和改进一个有效的信息安全管理体系所要求的支持。包括：资源要求、 章节描述 8.运行属于Do阶段的一个组成部分。 本章要求组织计划并控制信息安全要求的运行。 本章涉及运行计划及控制、信息安全风险评估、信息安全风险处置。 9.绩效评价属于Check阶段的一个组成部分。 本章总结了度量ISMS执行、ISMS国际标准及管理层期望的符合性、寻求管理层期望反馈的要求。 本章涉及监控、度量、分析和评价，内部审核

42、，管理评审。 10.改进属于Act阶段的一个组成部分。 本章定义了通过纠正行动来识别和改进不符合项。 本章涉及不符合项与纠正措施、持续改进。 新标准正文内容简介 新标准控制域变化 ISO 27001：2013 DIS A.5 安全方针 A.6 信息安全组织 A.7 人力资源安全 A.8 资产管理 A.9 访问控制 A.10 密码学(新增) A.11 物理与环境安全 A.12 操作安全(拆分） A.13 通信安全（拆分） A.14 信息系统获取、开发和维护 A.15 供应关系(新增) A.16 信息安全事件管理 A.17 信息安全方面的业务连续性管理 A.18 符合性 ISO 27001：200

43、5 A.5 安全方针 A6 信息安全组织 A7 资产管理 A8 人力资源安全 A9 物理与环境安全 A10 通信和操作管理 A11 访问控制 A12 信息系统获取、开发和维护 A13 信息安全事件管理 A14 业务连续性管理 A15 符合性 Tips 2005版原本有11个领域、133项控制措施；新版标准目前调整为14个领域、113个控制措施. 控制措施变化：增加11个、删除26个、合并减少5个，总计减少了20个。 控制项描述说明 A.6.1.4项目管理中的信息安全信息安全应融入项目管理中，与项目类型无关。加强项目中的安全管理。 A.12.6.2限制软件安装应建立规则来控制用户安装软件控制版权

44、及技术漏洞风险。 A.14.2.1安全开发策略应制定及应用关于软件和系统的开发规则加强信息系统生命周期中 的信息安全管理，建立安 全开发策略、程序与流程。 A.14.2.5系统开发程序应建立安全系统开发流程，记彔，维护并应用到任何信息系统开发 工作 A.14.2.6安全的开发环境组织应建立并适当保护开发环境安全，并集成涵盖整个系统开发周 期的工作 A.14.2.8系统安全性测试在开发的过程中，必须测试功能的安全性 A.15.1.3ICT(信息和通信技术)供 应链 与供应商的协议应包括解决信息、通信技术服务、产品供应链相关 信 息安全风险的要求 控制供应链中断风险。 A.16.1.4信息安全事件

45、的评估和 决策 信息安全事件应当被评估与决策，若其被归类为信息安全事件。完善信息安全事件管理生 命周期。 A.16.1.5信息安全事故的响应信息安全事件应依照程序文件响应 A.17.1.2实现信息安全的连续性 组织应建立、记彔、实施并维护流程、程序、控制项，以保证在不 利情况下要求的信息安全连续性的等级。 加强可用性管理，完善原 BCM(业务连续性)管理的生 命周期。 A.17.2.1信息处理设施的可用性 信息处理设施应当实现冗余，以满足可用性需求。 新增控制措施介绍 ISO 27001：2013 DISISO 27001：2005 A.6.1.1信息安全的角色和 职责A.6.1.3 信息安全

46、职责的分配 A.8.1.1 角色和职责 A.9.2.1用户注册和注销A.11.2.1 用户注册 A.11.5.2 用户标识和鉴别 A.9.4.2安全登彔程序A.11.5.1 安全登彔规程 A.11.5.5 会话超时 A.11.5.6 联机时间的限定 A.12.4.2管理员和操作员日 志A.10.10.3 日志信息的保护 A.10.10.4 管理员和操作员日志 A.14.1.2保护公共网络上的应用服务A.10.9.1 电子商务 A.10.9.3 公共可用信息 合并控制措施介绍 删除控制措施理由 A.6.1.1信息安全的管理承诺在ISO 27001正文中管理层承诺中已绊包含其内容 A.6.1.2信

47、息安全协调内容与ISO 27003中关于ISMS建立与实施的内容重复 A.6.1.4信息处理设施的授权过程在A6.1.1中的一部分，没有必要再单独出现 A.6.2.1与外部各方相关风险的识别在ISO 27001正文风险评估与处理中已绊体现 A.6.2.2处理与顾客有关的安全问题在ISO 27001正文风险评估与处理中已绊体现 A.10.2.1服务交付没有原因 A.10.7.4系统文件安全系统文件也属于信息资产，他们如何保护取决于其风险 A.10.8.5业务信息系统该控制项几乎涉及整个标准，控制效果不明显 A.10.10.2监视系统的使用是Event Logging（A12.4.1）控制措施的子

48、集 A.10.10.5故障日志是Event Logging（A12.4.1）控制措施的子集 删除控制措施介绍 删除控制措施理由 A.11.4.2外部连接的用户鉴别被相关内容被access control(A.9.1.1)涵盖 A.11.4.3网络上的设备识别相关内容被 networks control（A.13.1.3）涵盖 A.11.4.4 远程诊断和配置端口的保护相关内容被 networks control（A.13.1.3）涵盖 A.11.4.6网络连接控制相关内容被 networks control（A.13.1.3）涵盖 A.11.4.7 网络路由控制相关内容被 networks c

49、ontrol（A.13.1.3）涵盖 A.11.6.2敏感系统隔离在互联互通的世界这个控制措施的目标很难实现 A.12.2.1输入数据确讣相关内容在System development procedures（A.14.2.5）体现 A.12.2.2内部处理的控制相关内容在System development procedures（A.14.2.5）体现 A.12.2.3消息完整性相关内容在 Information transfer policies and procedures （A.13.2.1）体现 A.12.2.4输出数据确讣相关内容在System development procedu

50、res（A.14.2.5）体现 删除控制措施介绍 删除控制措施理由 A.12.5.4信息泄露相关内容在A.8.3.2/A.11.2.1/A.12.6.2/A.13.2.4和其他 区域都有涉及 A.14.1.1 在业务连续性管理过程中包含信息安全相关控制内容在Implementing information security continuity（A.17.1.2）有体现 A.14.1.3制定和实施包含信息安全的连续性计划相关控制内容在Implementing information security continuity（A.17.1.2）有体现 A.14.1.4 业务连续性计划框架相关控制内

51、容在Implementing information security continuity（A.17.1.2）有体现 A.15.1.5防止滥用信息处理设施该控制内容与英国的一部法律相关 A.15.3.2信息系统审计工具的保护审计工具也属于信息资产，其保护由其有风险决定 删除控制措施介绍 序号标准编号标准名称出版年件 1ISO/IEC 27000信息技术-安全技术-信息安全管理体系-概述与术语2009 2ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求2005 3ISO/IEC 27002信息技术-安全技术-信息安全管理实用规则2005 4ISO/IEC 27003信息技术

52、-安全技术-信息安全管理体系实施指南2010 5ISO/IEC 27004信息技术-安全技术-信息安全管理-度量2009 6ISO/IEC 27005信息技术-安全技术-信息安全风险管理2011 7ISO/IEC 27006信息技术-安全技术-信息安全管理体系讣证机构要求2007 8ISO/IEC 27007信息技术-安全技术-信息安全管理体系审核指南2011 9ISO/IEC 27008信息技术-安全技术-ISMS控制措施的审核员指南2011 10ISO/IEC 27010信息技术-安全技术-部门间和组织间通信的信息安全管理2012 11ISO/IEC 27011信息技术-安全技术-通讯行业

53、基于ISO/IEC 27002的信息安全管理指 南 2008 ISO 27000标准系列 序号标准编号标准名称出版年件 12 ISO/IEC 27013 信息技术-安全技术- ISO/IEC 27001与 ISO/IEC 20000-1整合实施指 南 2012 13 ISO/IEC 27014 信息技术-安全技术- 信息安全治理架构 2013 14 ISO/IEC 27015 信息技术-安全技术- 金融服务行业信息安全管理指南 2012 15 ISO/IEC 27017 信息技术-安全技术- 信息安全管理-基于ISO/IEC 27002使用云计算服 务信息安全控制措施指南 未发布 16 ISO

54、/IEC 27018 信息技术-安全技术- 公共云计算服务数据保护控制措施实用规则未发布 17 ISO/IEC 27031 信息技术-安全技术-业务连续性信息通信技术准备指南 2011 18 ISO/IEC 27032 信息技术-安全技术-网络安全技术指南 2012 19 ISO/IEC 27033-1 信息技术-安全技术-网络安全-概述与概念 2009 20 ISO/IEC 27033-2 信息技术-安全技术-网络安全-网络安全设计与实施指南 2012 21 ISO/IEC 27033-3 信息技术-安全技术-网络安全-参考网络场景-威胁、设计技术与控制 问题 2010 ISO 27000标

55、准系列 序号标准编号标准名称出版年件 22 ISO/IEC 27034-1 信息技术-安全技术-应用安全-应用安全概述与概念 2011 23 ISO/IEC 27034-2 信息技术-安全技术-应用安全-组织规范框架未发布 24 ISO/IEC 27034-3 信息技术-安全技术-应用安全-应用安全管理流程未发布 25 ISO/IEC 27034-4 信息技术-安全技术-应用安全-应用安全验证未发布 26 ISO/IEC 27034-5 信息技术-安全技术-应用安全-协议和应用安全控制数据结构未发布 27 ISO/IEC 27034-6 信息技术-安全技术-应用安全-特定应用安全指南未发布 2

56、8 ISO/IEC 27035 信息技术-安全技术-信息安全事件管理 2011 29 ISO/IEC 27036 信息技术-安全技术-供应关系信息安全（4部分）未发布 30 ISO/IEC 27040 信息技术-安全技术-存储安全未发布 31 ISO/IEC 27044 信息技术-安全技术-安全信息与事态管理指南未发布 ISO 27000标准系列 ISO27001:2013 DIS版草稿向 公众开放并征求意见。2013年 6-7 月发布DIS最终版。 发布发布DIS最终版最终版 ISO 组 织 公 布 的 正 式 版 本的颁布时间为2013年10月 19日。 发布正式版发布正式版 个月内是认证

57、转换缓冲期， 即 原 有 已 取 得 ISO27001 证 书的企业最迟需要在2015年 10月19日前转换到新版标准。 完成认证转换完成认证转换 新标准认证转换时间安排 在 新 版 公 布 后 的 18 至 24 体系认证换证方案 PlanDoCheckAction 最佳实践国际国内标准监管要求法律法规 安全实践 项目准备 获 得 新 版 证 书 现状调研风险评估 体系建设体系运行认证审核 1.项目资源准备 2.项目计划编制 3.实施工具准备 4.项目启劢大会 5.新版标准培训 课堂培训、共同实施、资料交付、知识转移 1.体系文件评审 2.现场访谈走查 3.安全技术评估 4.新版差距分析 5

58、.现状调研总结 1.评估方法更新 2.信息资产更新 3.安全风险分析 4.安全风险处置 5.风险评估总结 1.体系整合设计 2.文件架构更新 3.制度文件编写 4.制度文件评审 5.制度文件发布 1.体系运行跟踪 2.运行工具更新 3.体系内部审核 4.体系管理评审 5.体系持续改进 1.宣传培训 2.文件审核 3.现场审核 4.审核整改 5.宣传展示 系统安全工程能力成熟度模型系统安全工程能力成熟度模型 （System Security Engineering-Capability Maturity ModelSystem Security Engineering-Capability Ma

59、turity Model，SSE-CMMSSE-CMM） 的提出是为了改善安全系统、产品和服务的性能、价格的提出是为了改善安全系统、产品和服务的性能、价格 及可用性。及可用性。 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系 SSE-CMMSSE-CMM是一个过程参考模型是一个过程参考模型 关注的是信息技术安全(ITS)领域内某个系统或者若干相 关系统实现安全的要求 SSE-CMM关注的是用来实现ITS的过程，尤其是这些过程 的成熟度 SSE-CMM的目的不是规定组织使用的具体过程，更不必说 具体的方法。而是希望准备使用SSE-CMM的组织利用其现 有的过程那些以其他

60、任何信息技术安全指导文件为基 础的过程 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系 SSE-CMM范围包括：范围包括： 涉及整个生存周期的安全产品或可信系统的系统安全工 程活动： 概念定义、需求分析、设计、开发、集成、概念定义、需求分析、设计、开发、集成、 安装、运行、维护、最终退役安装、运行、维护、最终退役 对产品开发商、安全系统开发和集成商，以及提供计算 机安全服务和计算机安全工程组织的要求； 适用于从商业界到政府部门和学术界的各种类型和规模 的安全工程组织。 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系 【原文标准名称原文标准名称