ISO详细介绍学习课程

1、Page 1 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001第1页/共43页第一页，编辑于星期六：二点 三十一分。Page 2 BS7799BS7799 是英国标准协会（British Standards Institute，BSI）针对信息安全管理而制定的一个标准。1995 年，BS7799-1:1995信息安全管理实施细则首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。1998 年，BS7799-2:1998信息安全管理体系规范公布，这

2、是对BS7799-1 的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。1999 年4 月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。第2页/共43页第二页，编辑于星期六：二点 三十一分。Page 3ISO/IEC 27002(17799)2000 年12 月，国际标准化组织ISO/IEC JTC 1/SC27 工作组认

3、可BS7799-1:1999，正式将其转化为国际标准，即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。2005 年6 月，ISO/IEC 17799:2000 经过改版，形成了新的ISO/IEC 17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式发布为 ISO/IEC 27002:2005，这次更新只在于标准上的号码, 内容并没有改变。第3页/共43页第三页，编辑于星期六：二点 三十一分。Page 4ISO/IEC 270012002 年，BSI 对BS7

4、799:2-1999 进行了重新修订，正式引入PDCA 过程模型，2004 年9 月5 日，BS7799-2:2002 正式发布。2005年，BS7799-2:2002 终于被ISO 组织所采纳，于同年10 月推出了ISO/IEC 27001:2005。第4页/共43页第四页，编辑于星期六：二点 三十一分。Page 5对应国内标准大陆2005年6月15日，我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。2008年6月19日， GB/T 19716-2005作废，改为GB/T 22081-2008 。台湾省在台湾

5、，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。第5页/共43页第五页，编辑于星期六：二点 三十一分。Page 6 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001第6页/共43页第六页，编辑于星期六：二点 三十一分。Page 717799标准内容ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施1) 安全方针7) 访问控制2) 信息安全组织8) 信息系统获取、开发和维护3) 资产管理9) 信息安全事

6、故管理4) 人力资源安全10) 业务连续性管理5) 物理和环境安全11) 符合性6) 通信和操作管理第7页/共43页第七页，编辑于星期六：二点 三十一分。Page 817799:2000 Vs 17799:2005ISO/IEC 17799:2005版的内容与2000版相比，新增加了17 项控制，在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9 项控制，这些控制或者是不再适应信息通信技术的发展，或者是已经并入到新标准的其他控制内容中了。第8页/共43页第八页，编辑于星期六：二点 三十一分。Page 917799的

7、适用性l本实用规则可认为是组织开发其详细指南的起点。对一个组织来说，本实用规则中的控制措施和指南并非全部适用，此外，很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查，当开发包含另外的指南或控制措施的文件时，对本标准中条款的相互参考可能是有用的。l（引用自ISO/IEC 17799:2005中 “0.8 开发你自己的指南” ）第9页/共43页第九页，编辑于星期六：二点 三十一分。Page 10信息安全起点l实施细则中有些内容可能并不使用于所有组织和企业，但是有些措施可以使用于大多数的组织，他们被成为“信息安全起点”。p从法律的观点看，根据适用的法律，对某个组

8、织重要的控制措施包括：na) 数据保护和个人信息的隐私（见）；nb) 保护组织的记录（见）；nc) 知识产权（见）。p被认为是信息安全的常用惯例的控制措施包括：na) 信息安全方针文件（见）；nb) 信息安全职责的分配（见）；nc) 信息安全意识、教育和培训（见）；nd) 应用中的正确处理（见12.2）；ne) 技术脆弱性管理（见12.6）；nf) 业务连续性管理（见14）；ng) 信息安全事故和改进管理（见13.2）。l这些控制措施适用于大多数组织和环境。l（引用自ISO/IEC 17799:2005中 “0.6 信息安全起点” ）第10页/共43页第十页，编辑于星期六：二点 三十一分。Pa

9、ge 11 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001第11页/共43页第十一页，编辑于星期六：二点 三十一分。Page 12ISMS(信息安全管理系统)lISO/IEC 27001:2005版通篇就在讲一件事，ISMS(信息安全管理系统)。l本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurity Management System，简称ISMS）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要

10、求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。l（引用自ISO/IEC 27001:2005中 “0.1 总则” ）第12页/共43页第十二页，编辑于星期六：二点 三十一分。Page 13PDCA（戴明环）lPDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19 世纪30 年代构想的，后来被戴明（Edwards Deming）采纳、宣传并运用于持续改善产

11、品质量的过程当中。p1、P（Plan）-计划，确定方针和目标，确定活动计划；p2、D（Do）-执行，实地去做，实现计划中的内容；p3、C（Check）-检查，总结执行计划的结果，注意效果，找出问题；p4、A（Action）-行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个PDCA循环。第13页/共43页第十三页，编辑于星期六：二点 三十一分。Page 14PDCA特点l 大环套小环，小环保大环，推动大循环 pPDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各

12、级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。 第14页/共43页第十四页，编辑于星期六：二点 三十一分。Page 15PDCA特点(续)l 不断前进、不断提高 p PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。PDCA质量水平螺旋上升的PDCA第15页/共

13、43页第十五页，编辑于星期六：二点 三十一分。Page 16PDCA和ISMS的结合第16页/共43页第十六页，编辑于星期六：二点 三十一分。Page 17与其他标准的兼容性l本标准与GB/T 19001-2000及GB/T 24001-1996相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO14001:2004）的各条款之间的关系。l本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。

14、l（引用自ISO/IEC 27001:2005中 “0.3与其它管理体系的兼容性” ）l注：ISO 14001:2004环境管理体系规范及使用指南 l ISO 9001:2000国际性质量管理标准 第17页/共43页第十七页，编辑于星期六：二点 三十一分。Page 18与其他标准的兼容性(续)第18页/共43页第十八页，编辑于星期六：二点 三十一分。Page 19 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001第19页/共43页第十九页，编辑于星期六：二点 三十一分。Page 20重点章节l本标准的重点章节是

15、48章。 l前三章的内容结构如下所示：引言0.1 总则0.2 过程方法0.3 与其他管理体系的兼容性1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义第20页/共43页第二十页，编辑于星期六：二点 三十一分。Page 21第四章 信息安全管理体系l4.1 总要求 一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。l4. 2 建立和管理ISMSp建立ISMS(PLAN)n定义ISMS 的范围n定义ISMS 策略n定义系统的风险评估途径n识别风险n评估风险n识别并评价风险处理措施

16、n选择用于风险处理的控制目标和控制n准备适用性声明（SoA）n取得管理层对残留风险的承认，并授权实施和操作ISMSPDCA第21页/共43页第二十一页，编辑于星期六：二点 三十一分。Page 22第四章 信息安全管理体系(续)p实施和运行ISMS(DO)n制定风险处理计划n实施风险处理计划n实施所选的控制措施以满足控制目标n实施培训和意识程序n管理操作n管理资源（参见5.2）n实施能够激发安全事件检测和响应的程序和控制PDCA第22页/共43页第二十二页，编辑于星期六：二点 三十一分。Page 23第四章 信息安全管理体系(续)p监控和评审ISMS(CHECK)n执行监视程序和控制n对ISMS

17、 的效力进行定期复审n复审残留风险和可接受风险的水平n按照预定计划进行内部ISMS 审计n定期对ISMS 进行管理复审n记录活动和事件可能对ISMS 的效力或执行力度造成影响PDCA第23页/共43页第二十三页，编辑于星期六：二点 三十一分。Page 24第四章 信息安全管理体系(续)p保持和改进ISMS(ACT)n对ISMS 实施可识别的改进n采取恰当的纠正和预防措施n与所有利益伙伴沟通n确保改进成果满足其预期目标PDCA第24页/共43页第二十四页，编辑于星期六：二点 三十一分。Page 25第四章 信息安全管理体系(续)p4.3 文件要求n总则n文件控制n记录控制ISO27001 标准所

18、要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。第25页/共43页第二十五页，编辑于星期六：二点 三十一分。Page 26第四章 信息安全管理体系(续)lISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的：l信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级

19、文件。l一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）：p信息安全方针p风险评估报告p适用性声明（SoA）l二级文件：各类程序文件。至少包括（可能不限于此）：p风险评估流程风险管理流程风险处理计划管理评审程序p信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序p第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定p系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定p文件及材料控制程序安全事件处理流程l三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规

20、定的领域内工作的细化。l四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部门自行维护。第26页/共43页第二十六页，编辑于星期六：二点 三十一分。Page 27第五章 管理职责l5.1 管理层责任 说明管理层在ISMS 建设过程中应该承担的责任。l5.2 对资源的管理 第27页/共43页第二十七页，编辑于星期六：二点 三十一分。Page 28第六章 ISMS 内部审计l组织应该通过定期的内部审计来确定ISMS 的控制目标、控制、过程和程序满足相关要求。第28页/共43页第二十八页，编辑于星期六：二点 三十一分。

21、Page 29第七章 ISMS 的管理评审l7.1 概要 管理层应该对组织的ISMS 定期进行评审，确保其持续适宜、充分和有效。l7.2 评审输入 评审时需要的输入资料，包括内审结果。l7.3 评审输出 评审成果，应该包含任何决策及相关行动。第29页/共43页第二十九页，编辑于星期六：二点 三十一分。Page 30第八章 ISMS 改进l8.1 持续改进 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS 的效力。l8.2 纠正措施 组织应该采取措施，消除并实施和操作ISMS 相关的不一致因素，避免其再次出现。l8.3 预防措施 为了

22、防止将来出现不一致，应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜。第30页/共43页第三十页，编辑于星期六：二点 三十一分。Page 31 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001第31页/共43页第三十一页，编辑于星期六：二点 三十一分。Page 32建设ISMSl第一步工作是建设ISMS系统，这部分工作可以由组织或者公司自己进行，前提是该组织拥有专业的人才。大部分的公司不具备这样的能力，这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。l建设ISMS的工作

23、不是一个纯粹的IT建设，而是建立一个循序渐进的体系，需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负责这项工作。第32页/共43页第三十二页，编辑于星期六：二点 三十一分。Page 33建设ISMS（续）l文件化很重要，针对标准4.3的内容，各个层次的文件和记录都需要编写完备，这些工作也可以由第三方来协助进行。l风险评估，培训等工作的进行也需要在咨询公司的协助下进行。lISMS初步建立之后，需要运行一段时间，针对出现的问题进行修正。第33页/共43页第三十三页，编辑于星期六：二点 三十一分。Page 34提出申请l待ISMS稳定运行一段时间之后，可以考虑提出审核申请。可以进行2

24、7001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社) 等。第34页/共43页第三十四页，编辑于星期六：二点 三十一分。Page 35认证审核预审l预审核（Pre-assessment Audit）也称预审，是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。 l预审是审核员通过使用“差距分析”方法，分析和检查组织的ISMS与ISO/IEC 27001：2005要求的差距，包括(但不仅限于)：p分析ISMS方针与程序，组织当前的业务保护情况；p检查ISMS是否与其实际业务融合一起； p检查ISMS是否符合正

25、式审核的基本条件；p检查组织还有哪些未能按照标准要求进行运行的领域，包括员工的安全意识和员工是否知道ISMS等； p检查ISMS运行的时间长度。注：预审也是要收费的！第35页/共43页第三十五页，编辑于星期六：二点 三十一分。Page 36认证审核桌面审核强制性强制性ISMSISMS文件文件说明说明(1) ISMS方针文件，包括ISMS的范围根据ISO/IEC 27001:2005标准“4.3.1”a)和b)的要求。(2) 风险评估程序根据ISO/IEC 27001:2005标准“4.3.1”d)和e)的要求, 要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量，可创建一个

26、风险评估程序。该程序文件应包括“风险评估方法的描述”，而其运行的结果应产生风险评估报告。(3) 风险处理程序根据ISO/IEC 27001:2005标准“4.3.1”f)的要求, 要有形成文件的“风险处理计划”。因此，可创建一个风险处理程序。该程序文件运行的结果应产生风险处理计划。(4) 文件控制程序根据ISO/IEC 27001:2005标准的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。 (5) 记录控制程序根据ISO/IEC 27001:2005标准的“4.3.3记录控制”的要求，要有形成文件的“记录控制程序”。(6) 内部审核程序根据ISO/IEC 27001:2005

27、标准的“6内部ISMS审核”的要求，要有形成文件的“内部审核程序”。(7) 纠正措施与预防措施程序根据ISO/IEC 27001:2005标准的“8.2.2纠正措施纠正措施”的要求，要有形成文件的“纠正措施程序”。根据 “8.3预防措施”的要求，要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8) 控制措施有效性的测量程序根据ISO/IEC 27001:2005标准的“4.3.1 g)”的要求，要有形成文件的“控制措施有效性的测量程序”。(9) 管理评审程序“管理评审”过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。(9) 适用性声明根据ISO/IEC 27001:2005标准的“4.3.1 i)” 的要求, 要有形成文件的适用性声明。第36页/共43页第三十六页，编辑于星期