ISO27001 信息安全管理体系

1、ISO17799/BS7799 信息安全管理体系简介什么是信信息？Informationisanassetwhich,like other importantbusinessassets,has value to an organizationandconsequently needs to be suitably protected.信息是一一种资产产，就如如同其他他的商业业资产一一样，对对一个组组织而言言是具有有价值的的，因而而需要妥妥善保护护。ISO17799/BS7799Part1:19992信息的类类型政府信息息-国内重要要的信息息内部信息息-不希望竞竞争对手手得到的的信息客户信息息

2、-不希望被被泄露的的信息与贸易伙伙伴共享享的信息息公开信息息-任何人都都可以自自由使用用的列印或写写在纸张张上的用电子方方式储存存的以邮件传传输（包包括电子子邮件）以影视或或胶片方方式表现现的语言交谈谈3什么需要要保护？保护重要要的商业业“信息息”资产产维持竞争争优势法律的要要求商业形象象安全威胁胁安全脆弱弱分瘠的安安全技术术4信息-成长及成成功的关关键因素素15000份的医疗疗日志培培圾桶中中在被发发现30000个用户密密码在Internet上公布推广的照照片提前前出现在在新闻书书刊上银行支付付数百万万元给勒勒索者25位开发部部的同事事跳槽至至竞争者者公司为何信息息安全是是如此重重要？5盗窃

3、：每每失窃或或损坏价价值一英英镑的信信息技术术设备，将造成成十英镑镑商业损损失。英英国工业业在1996年由电脑脑失窃而而造成的的损失超超过460亿英镑。INTERNET：美国五五角大楼楼每日可可侦测到到80至100个骇客入入侵。电 脑入入侵侵：电脑脑骇客入入侵每年年以45%的速率在在增长。电 子邮邮件件：10%信息无意意义，9%包含机密密信息，2%笑话及2%带病毒。病毒毒：起过过10000个病毒经经常性的的影响我我的电脑脑及每月月有150-200新的病毒毒产生。Source:Worldtalk Corporation E-mailsurveillanceprogramme.&Computerw

4、eekly 1999/09/19为何信息息安全是是如此重重要？（续）6安全风险险法律和合合约的需需求内部的原原则，目目标和需需求从收集控控制方式式与适当当的需求求等级开开始！安全需求求7ISMS发展历史史820001993199519981999ISO17799/BS7799发布瑞典开始始试点认认证瑞典标准准SS627799Part 12发布新版英国国标准BS7799 Part12发布英国开始始试点认认证英国公布布BS7799第二部份份（Part2）英国公布布BS7799第一部份份（Part2）率先由英英国贸工工部倡导导ISO17799/BS7799StructureManagement ov

5、erviewISO17799/BS7799,Part1-GuidelinesIndextounderlying level(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelines forCertification10Confidentiality保密性Integrity完整性Availability可用性信息安全全11ISO17799/BS7799定义信息息安全如如下：保密性：确保只只有被授授权的人人员才能能

6、操作信信息完整性：确保信信息的完完整和正正确可用性：确保信信息在需需要时随随时可以以获得信息安全全12管理者的的承诺-方针目目标组织，包包含定义义职责系统结构构程序文件管制制与ISO9000相同之处处记录管理理培训管理评核核纠正与预预防措施施13风险评估估与适用用性声明明选择适宜宜的控制制安全目标标实现的的验证安全产品品正确执执行的验验证坚持程序序作业的的验证与ISO9000不同之处处14风险评估估业务持续续计划两个阶段段的认证证与ISO14000及OHSAS1800相同之处处15ISO17799/BS7799Part1-信息安全全管理实实施规则则ISO17799/BS7799Part2-信息

7、安全全管理体体系规范范ISO17799/BS7799标准16Chapter 范围Chapter 术语和定定义Chapter 安全方针针Chapter 组织安全全Chapter 资产分类类和控制制Chapter 人员安全全第一部份份-章节Chapter 实物和环环境安全全Chapter 通信和操操作管理理Chapter 访问控制制Chapter 系统开发发和维护护Chapter 商务连续续性管理理Chapter 符合性17信息安全全管理体体系需求求：10项控制细细则36个控制目目标127个控制方方式第二部分分的内容容18Chapter 范围Chapter 术语和定定义Chapter 信息安全全管

8、理体体系要求求Chapter 控制细则则（与第第一部份份对应）第二部份份-章节1941安全方针针42组织安全全43资产分类类和控制制44人员安全全45实物和环环境安全全第二部份份-章节46通信和操操作管理理47访问控制制48系统开发发和维护护49商务连续续性管理理410符合性20信息安全全管理体体系的实实施21持续改善善安全方针针评估检查执行计划管理评审审确定范围围风险分析析控制目标标与控制制方式适用性声声明业务持续续计划组织安全全资产分类类与控制制人员安全全实物与环环境安全全重要作业业的保护护包含保保护的资资料能法律法法规的符符合性安全方针针符合性性安全技术术的符合合性风险评估估和风险险管理

9、22通过移动避光减少重要度可能性第一部份份-章节UKAS protocolAccredits for 7799 vanillaRecognises competent auditorsAccepts c:cure registrationAs proof of competence Could accredit CB for 7799 without c:cureLogo of CB & UKAS onlyDISC protocolUKAS is still the accreditorIRCA registers auditorsc:cure auditor requirements are quite specific:EducationExperienceTrainingExaminationInterviewConti