ISO27001 信息安全管理体系课件

ISO17799/BS7799信息安全管理体系简介ISO17799/BS7799信息安全管理体系简介

什么是信息？Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。ISO17799/BS7799Part1:19992什么是信息？Informationisanass

信息的类型政府信息-国内重要的信息内部信息-不希望竞争对手得到的信息客户信息-不希望被泄露的信息与贸易伙伴共享的信息公开信息-任何人都可以自由使用的列印或写在纸张上的用电子方式储存的以邮件传输（包括电子邮件）以影视或胶片方式表现的语言交谈3信息的类型政府信息-国内重要的信息3

什么需要保护？保护重要的商业“信息”资产维持竞争优势法律的要求商业形象安全威胁安全脆弱分瘠的安全技术4什么需要保护？保护重要的商业“信息”资产4信息-成长及成功的关键因素15000份的医疗日志培圾桶中在被发现30000个用户密码在Internet上公布推广的照片提前出现在新闻书刊上银行支付数百万元给勒索者25位开发部的同事跳槽至竞争者公司

为何信息安全是如此重要？5信息-成长及成功的关键因素为何信息安全是如此重要？5盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。电脑入侵：电脑骇客入侵每年以45%的速率在增长。电子邮件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。病毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。Source:WorldtalkCorporationE-mailsurveillanceprogramme.&Computerweekly1999/09/19

为何信息安全是如此重要？（续）6盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业安全风险法律和合约的需求内部的原则，目标和需求从收集控制方式与适当的需求等级开始！

安全需求7安全风险安全需求7ISMS发展历史820001993199519981999ISO17799/BS7799发布

瑞典开始试点认证瑞典标准SS627799Part1＆2发布新版英国标准BS7799Part1＆2发布英国开始试点认证英国公布BS7799第二部份（Part2）英国公布BS7799第一部份（Part2）率先由英国贸工部倡导ISMS发展历史82000199319951998199

ISO17799/BS7799StructureManagementoverviewISO17799/BS7799,Part1-GuidelinesIndextounderlyinglevel(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelinesforCertification10ISO17799/BS7799StructureManConfidentiality保密性Integrity完整性Availability可用性

信息安全11Confidentiality信息安全11ISO17799/BS7799定义信息安全如下：保密性：确保只有被授权的人员才能操作信息完整性：确保信息的完整和正确可用性：确保信息在需要时随时可以获得

信息安全12ISO17799/BS7799定义信息安全如下：管理者的承诺-

方针＆目标组织，包含定义职责系统结构程序文件管制

与ISO9000相同之处记录管理培训管理评核纠正与预防措施13管理者的承诺-与ISO9000相同之处记录管理13风险评估与适用性声明选择适宜的控制安全目标实现的验证安全产品正确执行的验证坚持程序作业的验证

与ISO9000不同之处14风险评估与适用性声明与ISO9000不同之处14风险评估业务持续计划两个阶段的认证

与ISO14000及OHSAS1800相同之处15风险评估与ISO14000及OHSAS1800相同之处ISO17799/BS7799Part1-

信息安全管理实施规则ISO17799/BS7799Part2-

信息安全管理体系规范

ISO17799/BS7799标准16ISO17799/BS7799Part1-ISO17Chapter⒈范围Chapter⒉术语和定义Chapter⒊安全方针Chapter⒋组织安全Chapter⒌资产分类和控制Chapter⒍人员安全

第一部份-章节Chapter⒎实物和环境安全Chapter⒏通信和操作管理Chapter⒐访问控制Chapter⒑系统开发和维护Chapter⒒商务连续性管理Chapter⒓符合性17Chapter⒈范围第一部份-章节Chapter⒎实

信息安全管理体系需求：10项控制细则36个控制目标127个控制方式

第二部分的内容18信息安全管理体系需求：第二部分的内容18Chapter⒈范围Chapter⒉术语和定义Chapter⒊信息安全管理体系要求Chapter⒋控制细则（与第一部份对应）

第二部份-章节19第二部份-章节194．1安全方针4．2组织安全4．3资产分类和控制4．4人员安全4．5实物和环境安全

第二部份-章节4．6通信和操作管理4．7访问控制4．8系统开发和维护4．9商务连续性管理4．10符合性204．1安全方针第二部份-章节4．6通信和操作管理20

信息安全管理体系的实施21持续改善安全方针评估检查执行计划管理评审确定范围风险分析控制目标与控制方式适用性声明业务持续计划

组织安全资产分类与控制人员安全实物与环境安全重要作业的保护包含保护的资料

能法律法规的符合性安全方针符合性安全技术的符合性信息安全管理体系的实施21持续改善安全方针评估检查执行计

风险评估和风险管理22通过移动避光减少重要度可能性风险评估和风险管理22通过移动避光减少重要度可能性

第一部份-章节UKASprotocolAccreditsfor7799vanillaRecognisescompetentauditorsAcceptsc:cureregistrationAsproofofcompetenceCouldaccreditCBfor7799withoutc:cureLogoofCB&UKASonlyDISCprotocolUKASisstilltheaccreditorIRCAregistersauditorsc:cureauditorrequirementsarequitespecific:EducationExperienceTrainingExaminationInterviewContinuingprofessionaldevelopment24第一部份-章节UKASprotocolDISCproc:cure标志INFORMATIONSECURITYISO17799/BS7799c:cure25c:cure标志INFORMATIONSECURI

认证流程保密协定第二阶段正式审核第一阶段正式审核桌面桌面审查审核小组包含技术专家〈13周〈13周〈2周追踪审核ISMS证书26认证流程保密协定第二阶段第一阶段桌面桌面审查审核小组〈1ISO17799/BS7799信息安全管理体系简介ISO17799/BS7799信息安全管理体系简介

什么是信息？Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。ISO17799/BS7799Part1:19992什么是信息？Informationisanass

信息的类型政府信息-国内重要的信息内部信息-不希望竞争对手得到的信息客户信息-不希望被泄露的信息与贸易伙伴共享的信息公开信息-任何人都可以自由使用的列印或写在纸张上的用电子方式储存的以邮件传输（包括电子邮件）以影视或胶片方式表现的语言交谈3信息的类型政府信息-国内重要的信息3

什么需要保护？保护重要的商业“信息”资产维持竞争优势法律的要求商业形象安全威胁安全脆弱分瘠的安全技术4什么需要保护？保护重要的商业“信息”资产4信息-成长及成功的关键因素15000份的医疗日志培圾桶中在被发现30000个用户密码在Internet上公布推广的照片提前出现在新闻书刊上银行支付数百万元给勒索者25位开发部的同事跳槽至竞争者公司

为何信息安全是如此重要？5信息-成长及成功的关键因素为何信息安全是如此重要？5盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。电脑入侵：电脑骇客入侵每年以45%的速率在增长。电子邮件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。病毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。Source:WorldtalkCorporationE-mailsurveillanceprogramme.&Computerweekly1999/09/19

为何信息安全是如此重要？（续）6盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业安全风险法律和合约的需求内部的原则，目标和需求从收集控制方式与适当的需求等级开始！

安全需求7安全风险安全需求7ISMS发展历史820001993199519981999ISO17799/BS7799发布

瑞典开始试点认证瑞典标准SS627799Part1＆2发布新版英国标准BS7799Part1＆2发布英国开始试点认证英国公布BS7799第二部份（Part2）英国公布BS7799第一部份（Part2）率先由英国贸工部倡导ISMS发展历史82000199319951998199

ISO17799/BS7799StructureManagementoverviewISO17799/BS7799,Part1-GuidelinesIndextounderlyinglevel(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelinesforCertification10ISO17799/BS7799StructureManConfidentiality保密性Integrity完整性Availability可用性

信息安全11Confidentiality信息安全11ISO17799/BS7799定义信息安全如下：保密性：确保只有被授权的人员才能操作信息完整性：确保信息的完整和正确可用性：确保信息在需要时随时可以获得

信息安全12ISO17799/BS7799定义信息安全如下：管理者的承诺-

方针＆目标组织，包含定义职责系统结构程序文件管制

与ISO9000相同之处记录管理培训管理评核纠正与预防措施13管理者的承诺-与ISO9000相同之处记录管理13风险评估与适用性声明选择适宜的控制安全目标实现的验证安全产品正确执行的验证坚持程序作业的验证

与ISO9000不同之处14风险评估与适用性声明与ISO9000不同之处14风险评估业务持续计划两个阶段的认证

与ISO14000及OHSAS1800相同之处15风险评估与ISO14000及OHSAS1800相同之处ISO17799/BS7799Part1-

信息安全管理实施规则ISO17799/BS7799Part2-

信息安全管理体系规范

ISO17799/BS7799标准16ISO17799/BS7799Part1-ISO17Chapter⒈范围Chapter⒉术语和定义Chapter⒊安全方针Chapter⒋组织安全Chapter⒌资产分类和控制Chapter⒍人员安全

第一部份-章节Chapter⒎实物和环境安全Chapter⒏通信和操作管理Chapter⒐访问控制Chapter⒑系统开发和维护Chapter⒒商务连续性管理Chapter⒓符合性17Chapter⒈范围第一部份-章节Chapter⒎实

信息安全管理体系需求：10项控制细则36个控制目标127个控制方式

第二部分的内容18信息安全管理体系需求：第二部分的内容18Chapter⒈范围Chapter⒉术语和定义Chapter⒊信息安全管理体系要求Chapter⒋控制细则（与第一部份对应）

第二部份-章节19第二部份-章节194．1安全方针4．2组织安全4．3资产分类和控制4．4人员安全4．5实物和环境安全

第二部份-章节4．6通信和操作管理4．7访问控制4．8系统开发和维护4．9商务连续性管理4．10符合性204．1安全方针第二部份-章节4．6通信和操作管理20

信息安全管理体系的实施21持续改善安全方针评估检查执行计划管理评审确定范围风险分析控制目标与控制方式适用性声明业务持续计划

组织安全资产分类与控制人员安全实物与环境安全重要作业的保护包含保护的资料

能法律法规