CISM0201信息安全管理课件

信息安全管理中国信息安全测评中心信息安全管理中国信息安全测评中心课程内容2信息安全管理信息安全管理基础信息安全管理方法课程内容2信息安全管理信息安全管理基础信息安全管理方法知识体：信息安全管理基础知识域：信息安全管理基本概念了解信息安全管理的概念和内涵掌握信息安全管理的对象理解技管并重的原则，信息安全管理和信息安全技术相互配合一起保障信息系统安全3知识体：信息安全管理基础知识域：信息安全管理基本概念3管理与信息安全管理管理

指挥和控制组织的协调的活动。（--ISO9000:2005质量管理体系基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。

信息安全管理组织中为了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动4

规则组织

人员·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程管理与信息安全管理管理4规则组织人员·信息输入·立法信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。5信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，信息安全管理6信息安全管理的对象：包括人员在内的各类信息相关资产。

规则

人员目标组织信息安全管理6信息安全管理的对象：包括人员在内的各类信息相关信息安全管理的需求7如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？信息安全管理的需求7如果你把钥匙落在锁眼上会怎样？保险柜就一8WO!3G精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的需求8WO!3G精心设计的网络防御体系，因违规外连形同虚设防火墙9信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的需求应对风险需要人为的管理过程9信息系统是人机交互系统设备的有效利用是人为的管理过程信息安信息安全事件不断增加病毒、木马事件挂马网站、钓鱼网站拒绝服务攻击等系统漏洞呈快速增长趋势操作系统漏洞应用软件漏洞信息安全管理的紧迫性10信息安全事件不断增加信息安全管理的紧迫性10电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安全保障和管理提出了迫切的需求，如果信息安全跟不上去，信息安全的基础性工作跟不上，就会拖信息化的后腿。这是发展的需要，是大势所趋。信息安全管理的紧迫性11电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。

对于信息安全，到底是技术更重要，还是管理更重要？技管并重。“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则12信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术

技术和产品是基础，管理才是关键

产品和技术，要通过管理的组织职能才能发挥最佳作用

技术不高但管理良好的系统远比技术高超但管理混乱的系统安全

先进、易于理解、方便操作的安全策略对信息安全至关重要

建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全

根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用13技术和产品是基础，管理才是关键信息安全管理的作用13实施信息安全管理的关键成功因素(CSF)安全策略、目标和活动应该反映业务目标有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径

来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理

向所有管理者和员工有效地推广安全意识

向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准

为信息安全管理活动提供资金支持

提供适当的培训和教育建立有效的信息安全事件管理流程建立测量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进14实施信息安全管理的关键成功因素(CSF)安全策略、目标和知识体：信息安全管理基础知识域：我国信息安全管理体制了解我国信息安全管理格局了解国家信息安全管理职能的有关机构和部门15知识体：信息安全管理基础知识域：我国信息安全管理体制15信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。16信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全国家信息化领导小组（国家网络与信息安全协调小组）工信部公安部国家安全部国家保密局国家密码管理局等等17我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“我国的信息安全基础设施中国信息安全测评中心(CNITSEC)中国信息安全认证中心(ISCCC)国家计算机网络应急技术处理协调中心（CNCERT/CC）国家计算机病毒应急处理中心全国信息安全标准化技术委员会（TC260）等等18我国的信息安全基础设施中国信息安全测评中心(CNITSEC)知识体：信息安全管理方法知识域：风险管理基本概念了解信息安全风险的概念，理解信息安全风险基本要素，包括资产、威胁、脆弱性和控制措施等术语概念，理解这些要素之间的关系理解风险管理的定义，理解风险评估、风险处置等基本概念了解风险评估和风险处置的作用19知识体：信息安全管理方法知识域：风险管理基本概念19安全风险要素资产价值威胁脆弱性控制措施安全风险要素资产价值威胁脆弱性控制措施安全风险的基本概念资产资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉……21安全风险的基本概念资产21安全风险的基本概念威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击

病毒和其他恶意程序软硬件故障

人为误操作盗窃

网络监听供电故障

设置后门未授权访问…… 自然灾害如：地震、火灾22安全风险的基本概念威胁22安全风险的基本概念脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞

程序Bug专业人员缺乏

不良习惯缺少审计

缺乏安全意识系统后门物理环境访问控制措施不当……23安全风险的基本概念脆弱性23安全风险的基本概念24控制措施管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：预防性控制检查性控制纠正性控制安全风险的基本概念24控制措施控制措施分类预防性控制措施：在问题发生前潜在问题，并作出纠正仅雇佣胜任的人员职责分工使用访问控制软件，只允许授权用户访问敏感文件检查性控制：检查控制发生的错误、疏漏或蓄意行为生产作业中设置检查点网络通信过程中的Echo控制内部审计纠正性控制：减少危害影响，修复检查性控制发现的问题意外处理计划备份流程恢复运营流程25控制措施分类预防性控制措施：在问题发生前潜在问题，并作出纠正安全风险要素之间的相互关系资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于26安全风险要素之间的相互关系资产威胁防护措施脆弱性风险利用对抗什么是风险管理GB/Z24364《信息安全风险管理规范》定义：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。了解风险+控制风险=管理风险什么是风险管理了解风险+控制风险=管理风险通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。28通用风险管理定义定义28为什么要做风险管理成本与效益平衡好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平工作条理化好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险PDCA过程的要求风险管理是一个持续的PDCA管理过程29风险管理是信息安全保障工作有效工作方式为什么要做风险管理成本与效益平衡29风险管理是信息安全保障工风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理机制的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理机制建立的基础，没有风险评估，信息安全管理机制的建立就没有依据。30风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信风险处置是信息安全管理的核心应对风险评估的结果进行相应的风险处置。本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。信息安全管理体系的核心就是这些最佳控制措施的集合。31风险处置是信息安全管理的核心应对风险评估的结果进行相应的风险风险管理是信息安全管理的根本方法32周期性的风险评估与风险处置活动即形成对风险的动态管理。动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。风险管理是信息安全管理的根本方法32周期性的风险评估与风险处知识体：信息安全管理方法知识域：信息安全管理体系理解什么是ISMS了解ISO/IEC27000标准族，包括其发展历史和主要标准了解ISMS的主要特点，了解ISMS的核心是PDCA描述的过程理解PDCA的特点和含义33知识体：信息安全管理方法知识域：信息安全管理体系33管理体系相关概念34体系相互关联和相互作用的一组要素。

（--

ISO9000:2005质量管理体系基础和术语）管理体系：建立方针和目标并达到目标的体系。

（--

ISO9000:2005质量管理体系基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。

（--

ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）管理体系相关概念34体系管理体系35ISO9000质量管理体系ISO14000环境管理体系OHSAS职业健康安全管理体系ISO/IEC27000信息安全管理体系ISO/IEC20000服务管理体系ISO22000食品安全管理体系管理体系ManagementSystem管理体系35ISO9000质量管理体系ISO14000环信息安全管理体系36什么是信息安全管理体系（ISMS）信息安全管理体系ISMSISO/IEC27001信息安全管理体系36什么是信息安全管理体系（ISMS）信息安信息安全管理体系37什么是信息安全管理体系（ISMS）数据安全网络安全系统安全设备安全物理安全人员安全应急响应。。。管理体系方法管理体系要求认证机构和认证审核和审核员国际互认。。。InformationSecurityManagementSystem-ISMS信息安全管理体系;基于ISO/IEC27000系列国际标准族;是综合信息安全管理和技术手段，保障组织信息安全的一种方法；ISMS是管理体系（MS）家族的一个成员。信息安全管理体系ISMS信息安全管理体系37什么是信息安全管理体系（ISMS）信息安全管理体系38什么是信息安全管理体系（InformationSecurityManagementSystem,ISMS）基于国际标准ISO/IEC

27001《信息安全管理体系要求》，是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员信息安全管理体系38什么是信息安全管理体系（InformatBS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革

1990年代初——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。

1993年9月——颁布《信息安全管理实施细则》，形成BS7799的基础。

1995年2月——首次出版BS7799-1:1995《信息安全管理实用规则》。

1998年2月——英国公布BS7799-2:《信息安全管理体系要求》。

1999年4月——BS7799-1与BS7799-2修订后重新发布。

2000年12月——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799:2000《信息安全管理实用规则》。

2002年9月——BSI对BS7799-2进行了改版，用来替代原标准（BS7799-2:1999）使用。

2005年6月——ISO17799:2000改版，成为ISO17799:2005。

2005年10月——ISO正式采用BS7799-2:2002，命名为ISO27001:2005。

2007年7月——ISO17799:2005归入ISO27000系列，命名为ISO27002:2005。

2008年6月-中国政府等同采用ISO27001:2005,命名为GB/T22080-2008； 中国政府等同采用ISO27002:2005,命名为GB/T22081-2008.

ISO/IEC27000标准族介绍39BS7799、ISO17799、ISO27001、ISO27BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC27000标准族介绍BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的对应关系40BS7799BS7799-1BS7799-2ISO1779941ISO/IEC

27000系列27000~2700327004~2700827000信息安全管理体系概述和术语27001信息安全管理体系要求27002信息安全管理实用规则27003信息安全管理体系实施指南27004信息安全管理测量27005信息安全风险管理27006提供信息安全管理体系审核和认证机构的要求27007信息安全管理体系审核指南27008信息安全管理体系控制措施审核员指南27001270022700027006270052700327004信息安全管理体系基本原理和词汇

ISO/IEC27000标准族介绍41ISO/IEC27000系列27000~270032742ISO27001标准是认证机构进行审核时的审核准则，是ISO27000标准族中最重要最核心的一份标准。目前，ISO27000标准族已经日益完善，已经开发和正在开发的标准共28项。其中正式发布的标准有13项；部分发布的标准有2项；由于移动互联网、物联网、云计算等新概念新技术的出现，且基于ISO的标准修订周期规则，ISO27001、ISO27002标准已经在修订当中。ISO/IEC27000标准族介绍42ISO27001标准是认证机构进行审核时的审核准则，是I43ISO/IEC27000标准族介绍标准编号标准名称ISO/IEC27000:2009Informationsecuritymanagementsystems-Overviewandvocabulary信息安全管理体系-概述和术语ISO/IEC27001:2005Informationsecuritymanagementsystems-requirements信息安全管理体系-要求ISO/IEC27002:2005Codeofpracticeforinformationsecuritymanagement信息安全管理实用规则ISO/IEC27003:2010Informationsecuritymanagementsystemimplementationguidance信息安全管理体系实施指南ISO/IEC27004:2009Informationsecuritymanagement–Measurement信息安全管理-测量ISO/IEC27005:2011（第二版）Informationsecurityriskmanagement信息安全风险管理ISO/IEC27006:2011（第二版）Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems信息安全管理体系认证机构要求（提示：标准编号后面跟有年代编号的为已经正式发布的标准，其它为尚未正式发布的标准）43ISO/IEC27000标准族介绍标准编号标准名称IS44ISO/IEC27000标准族介绍ISO/IEC27007:2011GuidelinesforInformationSecurityManagementSystemsauditing信息安全管理体系审核指南ISO/IEC27008:2011Guidelinesforauditorsoninformationsecuritymanagementsystemscontrols信息安全管理体系控制措施审核员指南ISO/IEC27010:(FCD)Informationsecuritymanagementforinter-sectorand

inter-organisationalcommunications部门间和组织间通信的信息安全管理(FCD:FinalCommitteeDraft，最终委员会草案)ISO/IEC27011:2008InformationsecuritymanagementguidelinesfortelecommunicationsorganizationsbasedonISO/IEC27002基于ISO/IEC27002的电信行业信息安全管理指南ISO/IEC27012ISMSfore-Government电子政务的ISMS(曾经列入计划，但尚未发布任何草案)ISO/IEC27013:(DIS)GuidelineontheintegratedimplementationofISO/IEC20000-1andISO/IEC27001ISO20000-1和ISO27001集成实施指南(DIS:DraftInternationalStandard，国际标准草案)44ISO/IEC27000标准族介绍ISO/IEC27045ISO/IEC27000标准族介绍ISO/IEC27014:(draft)Informationsecuritygovernanceframework信息安全治理框架(草案)ISO/IEC27015:(draft)Informationsecuritymanagementguidanceforfinancialservices金融服务信息安全管理指南(草案)（由于输入极小，本标准有可能取消）ISO/IEC27016:(draft)Informationsecuritymanagement–Organizationaleconomics

信息安全管理-组织经济学（草案）ISO/IEC27017CloudComputingSecurityandPrivacy云计算安全和保密（研究阶段的第二期已结束，此标准本身将是一个标准族）ISO/IEC27031:2011Guidelinesforinformationandcommunicationstechnologyreadinessforbusinesscontinuity业务连续性的信息和通信技术准备就绪指南ISO/IEC27032:(FDIS)Guidelinesforcybersecurity网际安全指南(FDIS:FinalDraftInternationalStandard，最终国际标准草案)ISO/IEC27033:(part1published,restunderdevelopment)NetworkSecurity网络安全(第一部分已经发布，其余尚在开发中)(ISO/IEC27033-1:2009:networksecurityoverviewandconcepts网络安全概述和概念)ISO/IEC27034:(part1published,restunderdevelopment)ApplicationSecurity应用安全(第一部分已经发布，其余尚在开发中)(ISO/IEC27034-1:2011:

Applicationsecurity—Overviewandconcepts应用安全-概述和概念）45ISO/IEC27000标准族介绍ISO/IEC2746ISO/IEC27000标准族介绍ISO/IEC27035:2011InformationsecurityIncidentManagement信息安全事件管理ISO/IEC27036:(draft)Informationsecurityforsupplierrelationships供应商关系信息安全（草案）ISO/IEC27037:(DIS)Guidelinesforidentification,collection,acquisition,andpreservationofdigitalevidence识别、收集、获取和保存数字证据指南(DIS:DraftInternationalStandard，国际标准草案)ISO/IEC27038:(draft)Specificationfordigitalredaction数字编辑规范（草案）ISO/IEC27039:(draft)Selection,deploymentandoperationsofIntrusionDetection[andPrevention]Systems(IDPS)选择、开发和运行入侵检测和防护系统(IDPS)(草案）ISO/IEC27040:(draft)Storagesecurity存储安全（草案）ISO27799:2008InformationsecuritymanagementinhealthusingISO/IEC27002用ISO/IEC27002进行健康信息安全管理46ISO/IEC27000标准族介绍ISO/IEC27信息安全管理体系的特点47信息安全管理体系要求组织通过确定信息安全管理体系范围，制定信息安全方针，明确管理职责，以风险评估为基础选择控制目标和措施等一系列活动来建立信息安全管理体系；体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的思想，强调遵守国家有关信息安全的法律、法规及其他合同方面的要求；强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制方式；强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的保密性、完整性和可用性，保持组织的竞争优势和业务的持续性。信息安全管理体系的特点47信息安全管理体系要求组织通过确定信A规划实施检查处置PDCPDCA循环48A规划实施检查处置PDCPDCA循环48PDCA循环49PDCA也称“戴明环”，由美国质量管理专家戴明提出。P（Plan）：计划，确定方针和目标，确定活动计划；D（Do）：实施，实际去做，实现计划中的内容；C（Check）：检查，总结执行计划的结果，注意效果，找出问题；A（Action）：行动，对总结检查的结果进行处理，成功地经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA循环。PDCA循环49PDCA也称“戴明环”，由美国质量管理专家戴50PDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮一样向前进，周而复始，不断循环。9090处置实施规划检查CADPPDCA特点二：组织中的每个部分，甚至个人，均可以PDCA循环，大环套小环，一层一层地解决问题。PDCA特点三：每通过一次PDCA循环，都要进行总结，提出新目标，再进行第二次PDCA循环。90909090处置实施规划检查CADP达到新的水平改进(修订标准)维持原有水平90909090处置实施规划检查CADPPDCA循环的特征与作用50PDCA特点一：按顺序进行，它靠组织的力量来推动，像车轮PDCA循环，能够提供一种优秀的过程方法，以实现持续改进。遵循PDCA循环，能使任何一项活动都有效地进行。PDCA循环的作用51PDCA循环的作用51信息安全管理体系持续改进的PDCA循环过程52信息安全管理体系是PDCA动态持续改进的一个循环体。规划和建立实施和运行监视和评审保持和改进相关方信息安全要求和期望相关方受控的信息安全信息安全管理体系持续改进的PDCA循环过程52信息安全管理体ISMS的核心内容可以概括为4句话

规定你应该做什么并形成文件 ：P做文件已规定的事情 ：D评审你所做的事情的符合性 ：C采取纠正和预防措施，持续改进 ：A用PDCA来理解什么是信息安全管理体系53ISMS的核心内容可以概括为4句话用PDCA来理解什么信息安全管理过程方法的作用54过程方法要求（Methodologicalrequirements）：为组织根据业务风险建立、实施、运行、监视、评审、保持和改进文件化的信息安全管理体系规定了要求。按照PDCA循环理念运行的信息安全管理体系是从过程上严格保证了信息安全管理体系的有效性，在过程上的这些要求是不可或缺的，也就是说不是可选的，是必须执行的。信息安全管理过程方法的作用54过程方法要求（Methodol信息安全管理过程方法的结构55信息安全管理过程方法的结构5556方针、手册等管理制度、程序、策略文件等操作规范、规程、作业指导书、模板文件等计划、表格、报告、各种运行/检查记录、日志文件等一级文件二级文件三级文件四级文件一级文件：方针性文件；二级文件：信息安全管控程序及管理规定性文件；三级文件：操作指南及作业指导书类；四级文件：体系运行的各种记录。下级文件应支持上级文件。信息安全管理体系化文件56方针、手册等管理制度、程序、策略文件等操作规范、规程、作知识体：信息安全管理方法知识域：等级保护的安全管理体制了解等级保护有关的重要国家标准了解等级保护的定级要素及级别划分准则了解等级保护的工作流程理解等级保护的管理要求主要内容57知识体：信息安全管理方法知识域：等级保护的安全管理体制57信息安全等级保护58《中华人民共和国计算机信息系统安全保护条例》（1994年国务院147号令）第九条计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。GB17859-1999《计算机信息系统安全保护等级划分准则》信息安全等级保护58《中华人民共和国计算机信息系统安全保护条信息安全等级保护法规政策体系59信息安全等级保护法规政策体系59信息安全等级保护标准60《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统等级保护安全设计技术要求》《信息系统安全管理要求》《信息系统安全工程管理要求》《信息系统安全等级保护测评要求》《信息系统安全等级保护测评指南》《信息安全风险评估规范》《信息安全等级保护测评机构能力规范》等

信息安全等级保护标准60《计算机信息系统安全保护等级划分准则等级保护标准61GB17859技术要求等保实施等保测评管理要求GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》GB/T22240-2008《信息安全技术信息系统安全保护等级定级指南》GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》GB/T20269-2006《信息安全技术信息系统安全管理要求》GB/T20282-2006《信息安全技术信息系统安全工程管理要求》GB/T28448-2012《信息系统安全等级保护测评要求》GB/T28449-2012《信息系统安全等级保护测评过程指南》等级保护标准61技术要求等保实施等保测评管理要求GB/T22等级保护的五级划分信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高划分为五级第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。62等级保护的五级划分信息系统根据其在国家安全、经济建设、社会生等级保护定级要素63业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级等级保护定级要素63业务信息安全被破坏时所侵害的客体对相应客等级保护五级监管64等级对象侵害客体侵害程度监管强度第一级一般系统合法权益损害自主保护第二级合法权益严重损害指导社会秩序和公共利益损害第三级重要系统社会秩序和公共利益严重损害监督检查国家安全损害第四级社会秩序和公共利益特别严重损害强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查等级保护五级监管64等级对象侵害客体侵害程度监管强度第一级一信息安全等级保护65等级保护主要流程一是自主定级二是评审三是备案四是系统安全建设五是等级测评六是监督检查信息安全等级保护65等级保护主要流程信息安全等级保护政策-定级&备案66《关于开展全国重要信息系统安全等级保护定级工作的通知》是指导定级环节工作的政策文件，该通知部署在全国范围内开展重要信息系统安全等级保护定级工作，标志着全国信息安全等级保护工作的全面开展。《信息安全等级保护备案实施细则》是指导备案环节工作的政策文件，该文件规定了公安机关受理信息系统运营使用单位信息系统备案工作的内容、流程、审核等内容，指导各级公安机关受理信息系统备案工作。信息安全等级保护政策-定级&备案66《关于开展全国重要信信息安全等级保护政策-安全建设整改67《关于开展信息系统等级保护安全建设整改工作的指导意见》、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》和《关于进一步推进中央企业信息安全等级保护工作的通知》是指导安全建设整改环节工作的政策文件。前者明确了非涉及国家秘密信息系统开展安全建设整改工作的目标、内容、流程和要求等；中者要求非涉密国家电子政务项目开展等级测评和信息安全风险评估要按照《信息安全等级保护管理办法》进行，明确了项目验收条件：公安机关颁发的信息系统安全等级保护备案证明、等级测评报告和风险评估报告；后者公安部和国资委联合发布的政策文件，对中央企业信息系统安全等级保护工作提出了明确要求。信息安全等级保护政策-安全建设整改67《关于开展信息系统等级信息安全等级保护政策-等级测评68《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》和《关于印发<信息系统安全等级测评报告模板(试行)>的通知》是指导等级测评环节工作的政策文件。前者确定了开展信息安全等级保护测评体系建设和等级测评工作的目标、内容和工作要求，规定了测评机构的条件、业务范围和禁止行为，规范了测评机构申请、受理、测评工程师管理、测评能力评估、审核、推荐的流程和要求；后者明确了等级测评活动的内容、方法和测评报告格式等。信息安全等级保护政策-等级测评68《关于推动信息安全等级保护信息安全等级保护政策–检查69《公安机关信息安全等级保护检查工作规范(试行)》和《关于开展信息安全等级保护专项监督检查工作的通知》是指导监督检查环节工作的政策文件。前者规定了公安机关开展信息安全等级保护检查工作的内容、程序、方式以及相关法律文书等。后者是公安部发给各公安局公共信息网络安全监察处的文件，要求自2010年9月15日起至12月15日，在全国范围内开展为期三个月的信息安全等级保护专项监督检查工作，并明确了检查目的、检查内容、检查方式和进度安排。以上政策文件构成了信息系统安全等级保护工作开展的政策体系，为了组织开展等级保护工作、建设整改工作和等级测评工作明确了工作目标、工作要求和工作流程。信息安全等级保护政策–检查69《公安机关信息安全等级保护检查信息安全等级保护测评检查周期70安全测评第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。安全自查第三级信息系统应当每年至少进行一次自查，第四级信息系统应当每半年至少进行一次自查，第五级信息系统应当依据特殊安全需求进行自查。信息安全等级保护测评检查周期70安全测评71安全检查受理备案的公安机关应当对第三级、第四级信息系统的运营、使用单位的信息安全等级保护工作情况进行检查。对第三级信息系统每年至少检查一次，对第四级信息系统每半年至少检查一次。对跨省或者全国统一联网运行的信息系统的检查，应当会同其主管部门进行。对第五级信息系统，应当由国家指定的专门部门进行检查信息安全等级保护测评检查周期71安全检查信息安全等级保护测评检查周期安全保护能力基本安全要求等保3级的信息系统基本技术措施基本管理措施具备包含包含满足满足实现等级保护能力、措施与要求72安全保护能力基本安全要求等保3级的信息系统基本技术措施基本管等级保护基本要求73技术要求物理安全网络安全主机安全应用安全数据安全管理要求系统运维管理系统建设管理人员安全管理安全管理制度安全管理机构等级保护基本要求73技术要求物理安全网络安全主机安全应用安全各级系统的安全保护的核心74某级系统技术要求管理要求基本要求建立安全技术体系建立安全管理体系具有某级安全保护能力的系统各级系统的安全保护的核心74某级系统技术要求管理要求基本要求基本要求的组织方式75某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求………………………………基本要求的组织方式75某级系统类技术要求管理要求基本要求类控安全要求类层面一级二级三级四级技术要求物理安全7101010网络安全3677主机安全4679应用安全47911数据安全及备份恢复2333管理要求安全管理制度2333安全管理机构4555人员安全管理4555系统建设管理991111系统运维管理9121313合计/48667377控制点基本要求－－GB/T22239-200876安全要求类层面一级二级三级四级技术要求物理安全7101010等级保护技术要求77物理安全：物理位置选择、物理访问控制、防盗和防破坏、防雷击、防火、防水、防潮湿、防静电、电力保障、电磁防护网络安全：结构安全和网段划分、网络访问控制、拨号访问控制、网络安全审计、边界完整性检测、网络入侵防范、网络设备防护、恶意代码防范主机系统安全：身份鉴别、自主访问控制、强制访问控制、安全审计、系统保护、剩余信息保护、入侵防范、恶意代码防范、资源控制应用安全：身份鉴别、访问控制、安全审计、剩余信息保护、通信保密性、通信完整性、抗抵赖、软件容错、资源控制数据安全：数据完整性、数据保密性、数据备份与恢复等级保护技术要求77物理安全：物理位置选择、物理访问控制、防等级保护技术要求—物理安全物理安全主要涉及的方面包括环境安全（防火、防水、防雷击等）设备和介质的防盗窃防破坏等方面。物理安全具体包括：10个控制点物理位置的选择（G）、物理访问控制（G）、防盗窃和防破坏（G）、防雷击（G)、防火（G）、防水和防潮（G）、防静电（G）、

温湿度控制（G）、电力供应（A）、

电磁防护（S）78等级保护技术要求—物理安全物理安全主要涉及的方面包括环境安全等级保护技术要求-网络安全网络安全主要关注的方面包括：网络结构、网络边界以及网络设备自身安全等。网络安全具体包括：7个控制点

结构安全(G)、访问控制(G)、安全审计(G)、边界完整性检查(A)、入侵防范(G)、恶意代码防范(G)、网络设备防护(G)79等级保护技术要求-网络安全网络安全主要关注的方面包括：网络结等级保护技术要求-主机安全主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。主机安全具体包括：7个控制点身份鉴别(S)、访问控制(S)、安全审计(G)、剩余信息保护(S)、入侵防范(G)、恶意代码防范(G)、资源控制(A)80等级保护技术要求-主机安全主机系统安全是包括服务器、终端/工等级保护技术要求-应用安全应用系统的安全就是保护系统的各种应用程序安全运行。包括基本应用，如：消息发送、web浏览等；业务应用，如：电子商务、电子政务等。应用安全具体包括：9个控制点身份鉴别（S）、访问控制（S）、安全审计（G）、剩余信息保护（S）、通信完整性（S）、通信保密性（S）、抗抵赖（G）、软件容错（A）、资源控制（A）81等级保护技术要求-应用安全应用系统的安全就是保护系统的各种应等级保护技术要求-数据安全数据安全主要是保护用户数据、系统数据、业务数据的保护。将对数据造成的损害降至最小。备份恢复也是防止数据被破坏后无法恢复的重要手段，主要包括数据备份、硬件冗余和异地实时备份。数据安全和备份恢复具体包括：3个控制点

数据完整性（S）、数据保密性（S）、备份和恢复（A）82等级保护技术要求-数据安全数据安全主要是保护用户数据、系统数等级保护管理要求安全管理机构

岗位设置、人员配置、授权与审批、沟通与合作、审核与检查安全管理制度

管理制度、制定与发布、评审与修订人员安全管理

人员录用、人员离岗、人员考核、安全意识教育与培训、第三方人员管理系统建设管理

系统定级、系统备案、安全方案设计、产品采购、自行软件研发、外包软件开发、工程实施、工程验收系统运维管理

环境管理、资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件管理、应急预案管理83等级保护管理要求安全管理机构

岗位设置、人员配置、授权与审批等级保护管理要求-安全管理机构安全管理机构主要是在单位的内部结构上建立一整套从单位最高管理层到执行管理层以及业务运营层的管理结构来约束和保证各项安全管理措施的执行。安全管理机构具体包括：5个控制点岗位设置、人员配备、授权和审批、沟通和合作、审核和检查整改要点：信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等84等级保护管理要求-安全管理机构安全管理机构主要是在单位的内部等级保护管理要求-安全管理制度安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。安全管理制度具体包括：3个控制点

管理制度、制定和发布、评审和修订整改要点：形成信息安全管理制度体系、统一发布、定期修订等85等级保护管理要求-安全管理制度安全管理制度包括信息安全工作的等级保护管理要求-人员安全管理对人员安全的管理，主要涉及两方面：对内部人员的安全管理和对外部人员的安全管理。人员安全管理具体包括：5个控制点人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理整改要点：全员保密协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理86等级保护管理要求-人员安全管理对人员安全的管理，主要涉及两方等级保护管理要求-系统建设管理系统建设管理分别从定级、设计建设实施、验收交付、测评等方面考虑，关注各项安全管理活动。系统建设管理具体包括：11个控制点系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、

安全服务商选择整改要点：系统定级的论证、总体规划、产品选型测试、开发过程的人员控制、工程实施制度化、第三方委托测试、运行起30天内备案、每年进行1次等级测评、安全服务商的选择87等级保护管理要求-系统建设管理系统建设管理分别从定级、设计建等级保护管理要求-系统运维管理系统运维管理涉及日常管理、变更管理、制度化管理、安全事件处置、应急预案管理和安管中心等。系统运维管理具体包括：13个控制点

环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理整改要点：办公环境保密性、资产的标识和分类管理、介质/设备/系统/网络/密码/备份与恢复的制度化管理、建立安全管理中心、安全事件分类分级响应、应急预案的演练和审查88等级保护管理要求-系统运维管理系统运维管理涉及日常管理、变更谢谢，请提问题！谢谢，请提问题！信息安全管理中国信息安全测评中心信息安全管理中国信息安全测评中心课程内容91信息安全管理信息安全管理基础信息安全管理方法课程内容2信息安全管理信息安全管理基础信息安全管理方法知识体：信息安全管理基础知识域：信息安全管理基本概念了解信息安全管理的概念和内涵掌握信息安全管理的对象理解技管并重的原则，信息安全管理和信息安全技术相互配合一起保障信息系统安全92知识体：信息安全管理基础知识域：信息安全管理基本概念3管理与信息安全管理管理

指挥和控制组织的协调的活动。（--ISO9000:2005质量管理体系基础和术语）管理者为了达到特定目的而对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。

信息安全管理组织中为了完成信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法，而进行的规划、组织、指导、协调和控制等活动93

规则组织

人员·信息输入·立法·摘要变化？关键活动测量拥有者资源记录标准输入输出生产经营过程管理与信息安全管理管理4规则组织人员·信息输入·立法信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，与其说是技术上的原因，不如说是管理不善造成的，理解并重视管理对于信息安全的关键作用，对于真正实现信息安全目标来说尤其重要。信息安全管理（InformationSecurityManagement）作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产。94信息安全管理现实世界里大多数安全事件的发生和安全隐患的存在，信息安全管理95信息安全管理的对象：包括人员在内的各类信息相关资产。

规则

人员目标组织信息安全管理6信息安全管理的对象：包括人员在内的各类信息相关信息安全管理的需求96如果你把钥匙落在锁眼上会怎样？技术措施需要配合正确的使用才能发挥作用保险柜就一定安全吗？信息安全管理的需求7如果你把钥匙落在锁眼上会怎样？保险柜就一97WO!3G精心设计的网络防御体系，因违规外连形同虚设防火墙能解决这样的问题吗？信息安全管理的需求8WO!3G精心设计的网络防御体系，因违规外连形同虚设防火墙98信息系统是人机交互系统设备的有效利用是人为的管理过程信息安全管理的需求应对风险需要人为的管理过程9信息系统是人机交互系统设备的有效利用是人为的管理过程信息安信息安全事件不断增加病毒、木马事件挂马网站、钓鱼网站拒绝服务攻击等系统漏洞呈快速增长趋势操作系统漏洞应用软件漏洞信息安全管理的紧迫性99信息安全事件不断增加信息安全管理的紧迫性10电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安全保障和管理提出了迫切的需求，如果信息安全跟不上去，信息安全的基础性工作跟不上，就会拖信息化的后腿。这是发展的需要，是大势所趋。信息安全管理的紧迫性100电子政务和电子商务的发展，整个社会信息化的快速发展，对信息安信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术和管理。安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂。

对于信息安全，到底是技术更重要，还是管理更重要？技管并重。“坚持管理与技术并重”是我国加强信息安全保障工作的主要原则101信息安全“技管并重”的原则信息安全的成败取决于两个因素：技术

技术和产品是基础，管理才是关键

产品和技术，要通过管理的组织职能才能发挥最佳作用

技术不高但管理良好的系统远比技术高超但管理混乱的系统安全

先进、易于理解、方便操作的安全策略对信息安全至关重要

建立一个管理框架，让好的安全策略在这个框架内可重复实施，并不断得到修正，就会拥有持续安全

根本上说，信息安全是个管理过程，而不是技术过程信息安全管理的作用102技术和产品是基础，管理才是关键信息安全管理的作用13实施信息安全管理的关键成功因素(CSF)安全策略、目标和活动应该反映业务目标有一种与组织文化保持一致的实施、维护、监督和改进信息安全的途径

来自高级管理层的明确的支持和承诺深刻理解安全需求、风险评估和风险管理

向所有管理者和员工有效地推广安全意识

向所有管理者、员工及其他伙伴方分发信息安全策略、指南和标准

为信息安全管理活动提供资金支持

提供适当的培训和教育建立有效的信息安全事件管理流程建立测量体系，用来评估信息安全管理体系的表现，提供反馈建议供改进103实施信息安全管理的关键成功因素(CSF)安全策略、目标和知识体：信息安全管理基础知识域：我国信息安全管理体制了解我国信息安全管理格局了解国家信息安全管理职能的有关机构和部门104知识体：信息安全管理基础知识域：我国信息安全管理体制15信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保密工作，并从敏感性、特殊性和战略性的高度，至始至终置于党的绝对领导之下。党的十六届四中全会将信息安全与政治安全、经济安全、文化安全并列为国家安全的重要组成要素信息安全是个大问题。必须把安全问题放到至关重要的位置上，认真加以考虑和解决。105信息安全在国家安全中的地位党和国家长期以来一直十分重视安全保我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“齐抓共管”的体制，各相关主管部门分别执行各自的安全职能，共同维护国家的信息安全国家信息化领导小组（国家网络与信息安全协调小组）工信部公安部国家安全部国家保密局国家密码管理局等等106我国的信息安全管理体制目前，我国信息安全管理格局是一个多方“我国的信息安全基础设施中国信息安全测评中心(CNITSEC)中国信息安全认证中心(ISCCC)国家计算机网络应急技术处理协调中心（CNCERT/CC）国家计算机病毒应急处理中心全国信息安全标准化技术委员会（TC260）等等107我国的信息安全基础设施中国信息安全测评中心(CNITSEC)知识体：信息安全管理方法知识域：风险管理基本概念了解信息安全风险的概念，理解信息安全风险基本要素，包括资产、威胁、脆弱性和控制措施等术语概念，理解这些要素之间的关系理解风险管理的定义，理解风险评估、风险处置等基本概念了解风险评估和风险处置的作用108知识体：信息安全管理方法知识域：风险管理基本概念19安全风险要素资产价值威胁脆弱性控制措施安全风险要素资产价值威胁脆弱性控制措施安全风险的基本概念资产资产是任何对组织有价值的东西信息也是一种资产，对组织具有价值资产的分类电子信息资产纸介资产软件资产物理资产人员服务性资产公司形象和名誉……110安全风险的基本概念资产21安全风险的基本概念威胁资威胁是可能导致信息安全事故和组织信息资产损失的环境或事件威胁是利用脆弱性来造成后果威胁举例黑客入侵和攻击

病毒和其他恶意程序软硬件故障

人为误操作盗窃

网络监听供电故障

设置后门未授权访问…… 自然灾害如：地震、火灾111安全风险的基本概念威胁22安全风险的基本概念脆弱性是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例系统漏洞

程序Bug专业人员缺乏

不良习惯缺少审计

缺乏安全意识系统后门物理环境访问控制措施不当……112安全风险的基本概念脆弱性23安全风险的基本概念113控制措施管理风险的方法。为达成组织目标提供合理保证，并能预防、检查和纠正风险。它们可以是行政、技术、管理、法律等方面的措施。控制措施的分类：预防性控制检查性控制纠正性控制安全风险的基本概念24控制措施控制措施分类预防性控制措施：在问题发生前潜在问题，并作出纠正仅雇佣胜任的人员职责分工使用访问控制软件，只允许授权用户访问敏感文件检查性控制：检查控制发生的错误、疏漏或蓄意行为生产作业中设置检查点网络通信过程中的Echo控制内部审计纠正性控制：减少危害影响，修复检查性控制发现的问题意外处理计划备份流程恢复运营流程114控制措施分类预防性控制措施：在问题发生前潜在问题，并作出纠正安全风险要素之间的相互关系资产威胁防护措施脆弱性风险利用对抗导致增加减少作用于115安全风险要素之间的相互关系资产威胁防护措施脆弱性风险利用对抗什么是风险管理GB/Z24364《信息安全风险管理规范》定义：信息安全风险管理是识别、控制、消除或最小化可能影响系统资源的不确定因素的过程。了解风险+控制风险=管理风险什么是风险管理了解风险+控制风险=管理风险通用风险管理定义定义是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理包括对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。117通用风险管理定义定义28为什么要做风险管理成本与效益平衡好的风险管理过程可以让机构以最具有成本效益的方式运行，并且使已知的风险维持在可接受的水平工作条理化好的风险管理过程使组织可以用一种一致的、条理清晰的方式来组织有限的资源并确定优先级，更好地管理风险。而不是将保贵的资源用于解决所有可能的风险PDCA过程的要求风险管理是一个持续的PDCA管理过程118风险管理是信息安全保障工作有效工作方式为什么要做风险管理成本与效益平衡29风险管理是信息安全保障工风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信息资产进行鉴定和估价，然后对信息资产面对的各种威胁和脆弱性进行评估，同时对已存在的或规划的安全控制措施进行界定。信息安全管理机制的建立需要确定信息安全需求信息安全需求获取的主要手段就是安全风险评估信息安全风险评估是信息安全管理机制建立的基础，没有风险评估，信息安全管理机制的建立就没有依据。119风险评估是信息安全管理的基础风险评估主要对ISMS范围内的信风险处置是信息安全管理的核心应对风险评估的结果进行相应的风险处置。本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。控制目标、控制手段、实施指南的逻辑梳理出这些风险控制措施集合的过程也就是信息安全建立体系的建立过程。信息安全管理体系的核心就是这些最佳控制措施的集合。120风险处置是信息安全管理的核心应对风险评估的结果进行相应的风险风险管理是信息安全管理的根本方法121周期性的风险评估与风险处置活动即形成对风险的动态管理。动态的风险管理是进行信息安全管理、实现信息安全目标、维持信息安全水平的根本方法。风险管理是信息安全管理的根本方法32周期性的风险评估与风险处知识体：信息安全管理方法知识域：信息安全管理体系理解什么是ISMS了解ISO/IEC27000标准族，包括其发展历史和主要标准了解ISMS的主要特点，了解ISMS的核心是PDCA描述的过程理解PDCA的特点和含义122知识体：信息安全管理方法知识域：信息安全管理体系33管理体系相关概念123体系相互关联和相互作用的一组要素。

（--

ISO9000:2005质量管理体系基础和术语）管理体系：建立方针和目标并达到目标的体系。

（--

ISO9000:2005质量管理体系基础和术语）为达到组织目标的策略、程序、指南和相关资源的框架。

（--

ISO/IEC27000:2009信息技术安全技术信息安全管理体系概述和术语）管理体系相关概念34体系管理体系124ISO9000质量管理体系ISO14000环境管理体系OHSAS职业健康安全管理体系ISO/IEC27000信息安全管理体系ISO/IEC20000服务管理体系ISO22000食品安全管理体系管理体系ManagementSystem管理体系35ISO9000质量管理体系ISO14000环信息安全管理体系125什么是信息安全管理体系（ISMS）信息安全管理体系ISMSISO/IEC27001信息安全管理体系36什么是信息安全管理体系（ISMS）信息安信息安全管理体系126什么是信息安全管理体系（ISMS）数据安全网络安全系统安全设备安全物理安全人员安全应急响应。。。管理体系方法管理体系要求认证机构和认证审核和审核员国际互认。。。InformationSecurityManagementSystem-ISMS信息安全管理体系;基于ISO/IEC27000系列国际标准族;是综合信息安全管理和技术手段，保障组织信息安全的一种方法；ISMS是管理体系（MS）家族的一个成员。信息安全管理体系ISMS信息安全管理体系37什么是信息安全管理体系（ISMS）信息安全管理体系127什么是信息安全管理体系（InformationSecurityManagementSystem,ISMS）基于国际标准ISO/IEC

27001《信息安全管理体系要求》，是综合信息安全管理和技术手段，保障组织信息安全的一种方法ISMS是管理体系（MS）家族的一个成员信息安全管理体系38什么是信息安全管理体系（InformatBS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革

1990年代初——英国贸工部（DTI）成立工作组，立项开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。

1993年9月——颁布《信息安全管理实施细则》，形成BS7799的基础。

1995年2月——首次出版BS7799-1:1995《信息安全管理实用规则》。

1998年2月——英国公布BS7799-2:《信息安全管理体系要求》。

1999年4月——BS7799-1与BS7799-2修订后重新发布。

2000年12月——国际标准组织ISO/IECJTC1/SC27工作组认可通过BS7799-1，颁布ISO/IEC17799:2000《信息安全管理实用规则》。

2002年9月——BSI对BS7799-2进行了改版，用来替代原标准（BS7799-2:1999）使用。

2005年6月——ISO17799:2000改版，成为ISO17799:2005。

2005年10月——ISO正式采用BS7799-2:2002，命名为ISO27001:2005。

2007年7月——ISO17799:2005归入ISO27000系列，命名为ISO27002:2005。

2008年6月-中国政府等同采用ISO27001:2005,命名为GB/T22080-2008； 中国政府等同采用ISO27002:2005,命名为GB/T22081-2008.

ISO/IEC27000标准族介绍128BS7799、ISO17799、ISO27001、ISO27BS7799BS7799-1BS7799-2ISO17799ISO27002GB/T22081ISO27001GB/T22080ISO/IEC27000标准族介绍BS7799、ISO17799、