ISO 信息安全管理体系

ISO17799/BS7799信息安全管理体系简介

什么是信息？Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。ISO17799/BS7799Part1:19992

信息的类型政府信息-国内重要的信息内部信息-不希望竞争对手得到的信息客户信息-不希望被泄露的信息与贸易伙伴共享的信息公开信息-任何人都可以自由使用的列印或写在纸张上的用电子方式储存的以邮件传输（包括电子邮件）以影视或胶片方式表现的语言交谈3

什么需要保护？保护重要的商业“信息”资产维持竞争优势法律的要求商业形象安全威胁安全脆弱分瘠的安全技术4信息-成长及成功的关键因素15000份的医疗日志培圾桶中在被发现30000个用户密码在Internet上公布推广的照片提前出现在新闻书刊上银行支付数百万元给勒索者25位开发部的同事跳槽至竞争者公司

为何信息安全是如此重要？5盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。电脑入侵：电脑骇客入侵每年以45%的速率在增长。电子邮件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。病毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。Source:WorldtalkCorporationE-mailsurveillanceprogramme.&Computerweekly1999/09/19

为何信息安全是如此重要？（续）6安全风险法律和合约的需求内部的原则，目标和需求从收集控制方式与适当的需求等级开始！

安全需求7ISMS发展历史820001993199519981999ISO17799/BS7799发布

瑞典开始试点认证瑞典标准SS627799Part1＆2发布新版英国标准BS7799Part1＆2发布英国开始试点认证英国公布BS7799第二部份（Part2）英国公布BS7799第一部份（Part2）率先由英国贸工部倡导

ISO17799/BS7799StructureManagementoverviewISO17799/BS7799,Part1-GuidelinesIndextounderlyinglevel(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelinesforCertification10Confidentiality保密性Integrity完整性Availability可用性

信息安全11ISO17799/BS7799定义信信息安安全如如下：：保密性性：确确保只只有被被授权权的人人员才才能操操作信信息完整性性：确确保信信息的的完整整和正正确可用性性：确确保信信息在在需要要时随随时可可以获获得信息安安全12管理者者的承承诺-方针＆＆目标标组织，，包含含定义义职责责系统结结构程序文件管管制与ISO9000相同之之处记录管管理培训管理评评核纠正与与预防防措施施13风险评评估与与适用用性声声明选择适适宜的的控制制安全目目标实实现的的验证证安全产产品正正确执执行的的验证证坚持程程序作作业的的验证证与ISO9000不同之之处14风险评评估业务持持续计计划两个阶阶段的的认证证与ISO14000及OHSAS1800相同之之处15ISO17799/BS7799Part1-信息安安全管管理实实施规规则ISO17799/BS7799Part2-信息安安全管管理体体系规规范ISO17799/BS7799标准16Chapter⒈⒈范围Chapter⒉⒉术语和和定义义Chapter⒊⒊安全方方针Chapter⒋⒋组织安安全Chapter⒌⒌资产分分类和和控制制Chapter⒍⒍人员安安全第一部部份-章节Chapter⒎⒎实物和和环境境安全全Chapter⒏⒏通信和和操作作管理理Chapter⒐⒐访问控控制Chapter⒑⒑系统开开发和和维护护Chapter⒒⒒商务连连续性性管理理Chapter⒓⒓符合性性17信息安安全管管理体体系需需求：：10项控制制细则则36个控制制目标标127个控制制方式式第二部部分的的内容容18Chapter⒈⒈范围Chapter⒉⒉术语和定义义Chapter⒊⒊信息安全管管理体系要要求Chapter⒋⒋控制细则（（与第一部部份对应））第二部份-章节194．1安全方针4．2组织安全4．3资产分类和和控制4．4人员安全4．5实物和环境境安全第二部份-章节4．6通信和操作作管理4．7访问控制4．8系统开发和和维护4．9商务连续性性管理4．10符合性20信息安全管管理体系的的实施21持续改善安全方针评估检查执行计划管理评审确定范围风险分析控制目标与与控制方式式适用性声明明业务持续计计划组织安全资产分类与与控制人员安全实物与环境境安全重要作业的的保护包含含保护的资资料能法律法规规的符合性性安全方针符符合性安全技术的的符合性风险评估和和风险管理理22通过移动避光减少重要度可能性第一部份-章节UKASprotocolAccreditsfor7799vanillaRecognisescompetentauditorsAcceptsc:cureregistrationAsproofofcompetenceCouldaccreditCBfor7799withoutc:cureLogoofCB&UKASonlyDISCprotocolUKASisstilltheaccreditorIRCAregistersauditorsc:cureauditorrequirementsarequitespecific:EducationExperienceTrainingExaminationInterviewContinuingprofessionaldevelopment24c:cure标志INFORMATIONSECURITYISO17799/BS7799c:cure25认证流程保密协定第二阶段正式审核第一阶段正式审核桌面桌面审查审核小组包含技术专家