ISO27001信息安全管理体系介绍

1、招商银行信息系统内部审计培训ISO27001信息安全管理体系介绍2009年3月1234信息安全全概述信息安全全风险评评估ISMS介绍ISO27001信息安全全管理体体系要求求目录5ISO27002信息安全全管理实实用规则则几个问题题信息是否否是企业业的重要要资产？信息的泄泄漏是否否会给企企业带来来重大影影响？信息的真真实性对对企业是是否带来来重大影影响？信息的可可用性对对企业是是否带来来重大影影响？我们是否否清楚知知道什么么信息对对企业是是重要的的？信息的价价值是否否在企业业内部有有一个统统一的标标准？我们是否否知道企企业关系系信息的的所有人人我们是否否知道企企业关系系信息的的信息流流向、状状

2、态、存存储方式式，是否否收到足足够保护护？信息安全全事件给给企业造造成的最最大/最坏影响响？1234信息安全全概述信息安全全风险评评估ISMS介绍ISO27001信息安全全管理体体系要求求目录5ISO27002信息安全全管理实实用规则则信息资产产信息：数数据库和和数据文文件、合合同和协协议、系系统文件件、研究究信息、用户手手册、培培训材料料、操作作或支持持程序、业务连连续性计计划、应应变安排排（fallbackarrangement）、审核核跟踪记记录（audittrails）、归档档信息；软件资产产：应用用软件、系统软软件、开开发工具具和实用用程序；物理资产产：计算算机设备备、通信信设备、可

3、移动动介质和和其他设设备；服务：计计算和通通信服务务（例如如，网络络浏览、域名解解析）、公用设设施（例例如，供供暖，照照明，能能源，空空调）；人员，他他们的资资格、技技能和经经验；无形资产产，如组组织的声声誉和形形象。信息资产产类型:信息资产产电脑数据据网络传输输传真纸上记录录图片数码照片片光盘磁带带电话交谈谈人的大脑脑等信息资产产存在方方式：信息资产产产生使用存储传输销毁/抛弃信息资产产的生命命周期：产生使用存贮传输销毁/抛弃什么是信信息安全全?ISO27001将信息安安全定义义如下:保证信息息的保密密性，完完整性，可用性性；另外外也可包包括诸如如真实性性，可核核查性，不可否否认性和和可靠性

4、性等特性性保密性可用性保密性：信息不不能被未未授权的的个人，实体或或者过程程利用或或知悉的的特性可用性：根据授授权实体体的要求求可访问问和利用用的特性性完整性：保护资资产的准准确和完完整的特特性1234信息安全全概述信息安全全风险评评估ISMS介绍ISO27001信息安全全管理体体系要求求目录5ISO27002信息安全全管理实实用规则则信息安全全管理体体系（ISMS）介绍InformationSecurityManagement System(ISMS)信息安全全管理体体系基于国际际标准ISO/IEC27001：信息安安全管理理体系要要求是综合信信息安全全管理和和技术手手段，保保障组织织信息安

5、安全的一一种方法法ISMS是管理体体系（MS）家族的的一个成成员ISO/IEC JTC1/SC27/WG1（国际标标准化组组织/国际电工工委员会会 联合合技术委委员会1/子委员27/工作组1），WG1做为ISMS标准的工工作组，负责开开发ISMS相关的标标准与指指南ISO27000系列标准准标准序号标准名称发布时间ISO/IEC 27000基础与术语起草中，未发布ISO/IEC 27001ISMS Requirement ISMS要求 2005年10月ISO/IEC 27002Code of Practice for ISMS实用规则2007年4月ISO/IEC 27003ISMS Imple

6、mentation Guidance ISMS实施指南起草中，未发布ISO/IEC 27004ISMS Metrics and Measurement ISMS的测量起草中，未发布ISO/IEC 27005Information Security Risk Management 信息安全风险管理2008年6月ISO/IEC 27006Certification and Registration process审核认证机构要求2007年2月ISO27001的历史等同的国国家标准准GB/T 22080-2008信息技术术 安全全技术信信息安安全管理理体系要要求GB/T 22081-2008信息技术

7、术 安全全技术信信息安安全管理理实用规规则我国已将将ISO27001和ISO27002系列标准准等同转转化为国国家标准准。2008年9月，经国国家标准准化管理理委员会会批准，全国信信息安全全标准化化技术委委员会发发布两个个新的国国家标准准，并于于2008年11月1日起实施施。提升竞争争力提高合规规性满足利益益相关方方期望实施ISMS的好处建立持续改进的信息安全与风险管理有效保护组织的知识产权有效保护客户信息提升组织形象提升内部控制符合国家信息安全管理标准要求保护商业机密遵从法律法规要求更好的IT服务质量保证业务连续性增强自信与客户信任度提升投资回报率ISO27001当前获得得ISO27001证

8、书的组组织分布布(2008年9月)1234信息安全全概述信息安全全风险评评估ISMS介绍ISO27001信息安全全管理体体系要求求目录5ISO27002信息安全全管理实实用规则则ISO27001信息安全全管理体体系要求求相关方受控的信息安全全信息安全全要求和期期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全全管理体体系（InformationSecuritryManagementSystems）是组织织在整体体或特定定范围内内建立信信息安全全方针和和目标，以及完完成这些些目标所所用方法法的体系系。它是是直接管管理活

9、动动的结果果，表示示成方针针、原则则、目标标、方法法、过程程、核查查表（Checklists）等要素素的集合合。定义范围围和边界界定义安全全策略定义风险险评估方方法识别风险险识别和评评价风险险识别和评评价风险险处理的的可选措措施为处理风风险选择择控制目目标和控控制措施施获得管理理者对建建议的残残余风险险的批准准获得管理理者对实实施和运运行ISMS的授权准备适用用性声明明（SoA）建立ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS实施和运运行ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施

10、和运行ISMS制定风险险处理计计划实施风险险处理计计划实施培训训和意识识教育计计划管理ISMS的运行管理ISMS的资源应急响应应、事故故管理监视和评评审ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS执行监视视与评审审程序和和其它控控制措施施ISMS有效性的的定期评评审测量控制制措施的的有效性性定期实施施ISMS内部审核核定期进行行ISMS管理评审审保持和改改进ISMS检查Check建立ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do实施和运行ISMS实施已识识别的ISMS改进措施施采取合适适的纠正正和预防防措施从安全

11、经经验中吸吸取教训训向所有相相关方沟沟通措施施和改进进情况1234信息安全全概述信息安全全风险评评估ISMS介绍ISO27001信息安全全管理体体系要求求目录5ISO27002信息安全全管理实实用规则则风险的概概念风险是指指遭受损损害或损损失的可可能性，是实现现一个事事件的不不想要的的负面结结果的潜潜在因素素。对信息系系统而言言：两种种因素造造成对其其使命的的实际影影响：一个特定定的威胁胁源利用用或偶然然触发一一个特定定的信息息系统脆脆弱性的的概率上述事件件发生之之后所带带来的影影响在ISO/IEC GUIDE73将风险定定义为：事件的的概率及及其结果果的组合合。风险管理理的目标标风险管理理指

12、标识识、控制制和减少少可能影影响信息息系统资资源的不不确定事事件或使使这些事事件降至至最少的的全部过过程。风险管理理被认为为是良好好管理的的一个组组成部分分。风险管理理的目标标：高影响低概率高影响高概率低影响低概率底影响低概率影响概率控制目标标概率信息安全全风险管管理一般般方法资产识别别威胁识别别分析和评评价风险 风险处理理计划识别脆弱弱性当前控制制措施分析析风险监控控、检查查与沟通通识别威胁胁威胁威胁胁可多种种属性来来刻画：威胁的的主体（威胁源源）、能能力、资资源、动动机、途途径几种常见见威胁：自然灾害害计算机犯犯罪员工操作作失误商业间谍谍黑客ISO27001将威胁定定义如下下：可能导致致对

13、系统统或组织织的损害害的不期期望事件件发生的的潜在原原因识别脆弱弱性脆弱性常常被成为为漏洞几种常见见脆弱性性：简单口令令员工安全全意思淡淡薄第三方缺缺乏保密密协议变更管理理薄弱明文传输输信息经验表明明：大多多数重大大的脆弱弱性通常常是由于于缺乏良良好的流流程或指指定了不不适当的的信息安安全责任任才出现现的，但但是进行行风险评评估时往往往过分分注重技技术脆弱弱性。ISO27001将脆弱性性定义如如下：可能会被被一个或或多个威威胁所利利用的资资产或一一组资产产的弱点点分析当前前控制ISO27002将控制定定义如下下：管理风险险的方法法，包括括策略、规程、指南、惯例或或组织结结构。它它们可以以是行政

14、政、技术术、管理理、法律律等方面面的。控制措施施也用于于防护措措施或对对策的同同义词。本步的目目标是对对已经实实现或规规划中的的安全防防护措施施进行分分析单位通过过这些措措施来减减小或消消除一个个威胁源源利用系系统脆弱弱性的可可能性（或概率率）风险的分分析与评评价风险分析析：系统统地使用用信息来来识别风风险来源源和估计计风险风险评价价:将估计的的风险与与给定的的风险准准则加以以比较以以确定风风险严重重性的过过程存在定性性、定量量两种风风险分析析方法实例：风险处理理策略经过风险险评估后后识别出出来的风风险，接接着便是是制定其其对应的的风险处处理计划划.可能的风风险处理理计划包包括以下下四种之之一

15、或四四种的组组合:采取适当当的控制制措施来来降低(reduce)风险。了解并客客观地接接受( accept)风险,倘若他们们清除的的符合公公司策略略并在可可接受风风险范围围之内，或者如如果采取取控制（control）措施的的话，成成本太高高。通过放弃弃当前的的某些活活动来规规避(avoid)风险发生生。转嫁(transfer)风险至其其它组织织，例例如保险险公司、供应商商等。定义风险险接收水水平风险处理理计划完完成后的的残余风风险水平平应在可可接受风风险水平平之内初始风险水平平（高）可接受的的风险水水平（Low）残余风险险风险级别别高中低残余风险险风险控制制措施风险控制制措施控制措施施选择从针

16、对性性和实施施方式来来看，控控制措施施分三类类：管理(Administrative)性:安全策略略,流程,组织与职职责等操作(Operation)性:人员职责责,事故反应应,意识培训训,系统开发发等等技术(Technical)性:加密,访问控制制,审计等或者从功功能上来来分,控制措施施类型包包括：威慑性(Deterrent):告示、标标语预防性(Preventive):培训，操操作手册册，加密密，身份份认证检测性(Detective):CCTV,保安，报报警纠正性(Corrective):培训，问问责，应应急响应应，灾备备风险成本最佳投资资点基本原则则实施安全全控制措措施的代代价不应应该大于于

17、要保护护的资产产的价值值选择控制制措施时时的成本本效益分分析1234信息安全全概述信息安全全风险评评估ISMS介绍ISO27001信息安全全管理体体系要求求目录5ISO27002信息安全全管理实实用规则则ISO27002信息安全全管理体体系实用用规则一、安全方针（Security Policy）二、组织信息安全（Organizing Information Security）三、资产管理（Asset Management）四、人力资源安全（Human Resource Security）五、物理及环境安全(Physical and Environmental Security) 六、通信与操作

18、管理（Communications and Operations Management）八、系统获取、开发与维护(Information System Acquisition, Development and Maintenance)七、访问控制（Access Control）九、信息安全事件管理（Information Security Incident Management）十、业务持续性管理（Business Continuity Management）十一、符合性（Compliance）11个安全域域，39个控制目目标，133个控制点点控制域1：安全方方针信息安全全方针文文件信息安全全

19、方针文文件的评评审1.1信息安全全方针依据业务务要求和和相关法法律法规规提供管管理指导导并支持持信息安安全控制域2：组织信信息安全全信息安全全的管理理承诺信息安全全协调信息安全全职责的的分配信息处理理设施的的授权过过程保密性协协议2.1内部组织织在组织内内管理信信息安全全与外部各各方相关关风险的的识别处理与顾顾客有关关的安全全问题处理第三三方协议议中的安安全问题题2.2组织外部部各方保持组织织的被外外部各方方访问、处理、管理或或与外部部进行通通信的信信息和信信息处理理设施的的安全控制域3：资产管管理资产清单单资产责任任人资产的合合格使用用3.1资产责任任实现和保保持对组组织资产产的适当当保护分

20、类指南南信息的标标记和处处理3.2资产分类确保信息息受到适适当级别别的保护护控制域4：人力资资源安全全角色和职职责背景审查查任用条款款和条件件4.1任用之前前确保雇员员、承包包方人员员和第三三方人员员理解其其职责、考虑对对其承担担的角色色是适合合的，以以降低设设施被窃窃、欺诈诈和误用用的风险险管理职责责信息安全全意识、教育和和培训纪律处理理过程4.2任用中确保所有有的雇员员、承包包方人员员和第三三方人员员知悉信信息安全全威胁和和利害关关系、他他们的职职责和义义务、并并准备好好在其正正常工作作过程中中支持组组织的安安全方针针，以减减少人为为过失的的风险终止职责责资产的归归还撤销访问问权4.3任用

21、的终止或变化确保雇员员、承包包方人员员和第三三方人员员以一个个规范的的方式退退出一个个组织或或改变其其任用关关系控制域5：物理和和环境安安全物理安全全边界物理入口口控制办公室、房间和和设施的的安全保保护外部和环环境威胁胁的安全全防护在安全区区域工作作公共访问问、交接接区安全全5.1安全区域域防止对组组织场所所和信息息的未授授权物理理访问、损坏和和干扰设备安置置和保护护支持性设设施布缆安全全设备维护护组织场所所外的设设备安全全设备的安安全处置置和再利利用资产的移移动5.2设备安全防止资产产的丢失失、损坏坏、失窃窃或危及及资产安安全以及及组织活活动的中中断控制域6：通信和和操作管管理文件化的的操作

22、程程序变更管理理责任分割割开发、测测试和运运行设施施分离6.1操作程序序和职责责确保正确确、安全全的操作作信息处处理设施施服务交付付第三方服服务的监监视和评评审第三方服服务的变变更管理理6.2第三方服务交付管理实施和保保持符合合第三方方服务交交付协议议的信息息安全和和服务交交付的适适当水准准容量管理理系统验收收6.3系统规划和验收将系统失失效的风风险降至至最小控制域6：通信和和操作管管理（续续）控制恶意意代码控制移动动代码6.4防范恶意意和移动动代码保护软件件和信息息的完整整性信息备份份6.5备份保持信息息和信息息处理设设施的完完整性及及可用性性网络控制制网络服务务安全6.6网络安全全管理确保

23、网络络中信息息的安全全性并保保护支持持性的基基础设施施控制域6：通信和和操作管管理（续续）可移动介介质的管管理介质的处处置信息处理理程序系统文件件安全6.7介质处置置防止资产产遭受未未授权泄泄露、修修改、移移动或销销毁以及及业务活活动的中中断信息交换换策略和和程序交换协议议运输中的的物理介介质电子消息息发送业务信息息系统6.8信息的交换保持组织织内信息息和软件件交换及及与外部部组织信信息和软软件交换换的安全全电子商务务在线交易易公共可用用信息6.9电子商务务服务确保电子子商务服服务的安安全及其其安全使使用控制域6：通信和和操作管管理（续续）审计日志志监视系统统的使用用日志信息息的保护护管理员和

24、和操作员员日志故障日志志时钟同步步6.10监视检测未经经授权的的信息处处理活动动控制域7：访问控控制访问控制制策略7.1访问控制制的业务务要求控制对信信息的访访问用户注册册特殊权限限管理用户口令令管理用户访问问权的复复查7.2用户访问问管理确保授权权用户访访问信息息系统，并防止止未授权权的访问问口令使用用无人值守守的用户户设备清空桌面面和屏幕幕策略7.3用户职责防止未授授权用户户对信息息和信息息处理设设施的访访问、危危害或窃窃取控制域7：访问控控制（续续）使用网络络服务的的策略外部连接接的用户户鉴别网络上的的设备标标识远程诊断断和配置置端口的的保护网络隔离离网络连接接控制网络路由由控制7.4网

25、络访问问控制防止对网网络服务务的未授授权访问问安全登录录程序用户标识识和鉴别别口令管理理系统系统实用用工具的的使用会话超时时联机时间间的限定定7.5操作系统访问控制防止对操操作系统统的未授授权访问问信息访问问限制敏感系统统隔离7.6应用和信息访问控制防止对应应用系统统中信息息的未授授权访问问控制域7：访问控控制（续续）移动计算算和通讯讯远程工作作7.7移动计算算和远程程工作确保使用用移动计计算和远远程工作作设施时时的信息息安全控制域8：信息系统统获取、开发和和维护安全要求求分析和和说明8.1信息系统统的安全全要求确保安全全是信息息系统的的一个有有机组成成部分输入数据据验证内部处理理的控制制消息完整整性输出数据据验证8.2应用中的正确处理防止应用用系统中中的信息息的错误误、遗失失、未授授权的修修改及误误用使用密码码控制的的策略密钥管理理8.3密