信息安全标准介绍

信息平安相关标准介绍平安效劳部袁曙光联想网御科技〔北京〕目录信息平安标准概述等级保护标准联想网御信息平安ISO27000系列标准

ITIL与ISO20000

企业内控相关标准什么是标准标准是对重复性事物和概念所作的统一规定。它以科学、技术和实践经验的综合成果为根底，经有关方面协商一致，由主管机构批准，以特定形式发布，作为共同遵守的准那么和依据。“没有规矩，不成方圆〞主要的信息平安标准－国际标准发布的机构安全标准1ISO（国际标准组织）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系统审计与控制学会）COBIT4.13ISSEA（国际系统安全工程协会）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系统安全协会）GAISPVersion3.05ISF(信息安全论坛）TheStandardofGoodPracticeforInformationSecurity6IETF（互联网工程任务小组）各种RFC（RequestforComments）主要的信息平安标准－国际标准(续〕发布的机构安全标准7NIST（国家标准和技术研究所）NIST800系列8DOD(美国国防部)TCSEC（可信计算机系统评测标准）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（经济与贸易发展组织）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述标准，世界各国的官方机构和行业监管机构还有许多信息平安方面的标准、指引和建议的操作实践。主要的信息平安标准－国内标准发布的机构安全标准1全国信息安全标准化技术委员会等级保护系列标准信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护定级指南信息安全技术信息系统安全等级保护实施指南其他信息安全标准－截至2007年底，共完成了国家标准59项，还有56项国家标准在研制中。2公安部、安全部、国家保密局、国家密码管理委员会等部门一系列的信息安全方面的政策法规如：计算机信息网络国际联网安全保护管理办法互联网信息服务管理办法计算机信息系统保密管理暂行规定计算机软件保护条例商用密码管理条例，等。第7

页信息平安标准的演进各个主流标准的使用位置目录信息平安标准概述等级保护标准联想网御信息平安ISO27000系列标准

ITIL与ISO20000

企业内控相关标准等级保护相关法规1、1994年?中华人民共和国计算机信息系统平安保护条例?〔国务院147号令〕2、2003年?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发[2003]27号〕3、?关于信息平安等级保护工作的实施意见?〔公通字[2004]66号〕4、?信息平安等级保护管理方法?〔公通字[2007]43号5、?关于开展全国重要信息系统平安保护等级定级工作的通知?〔公信安[2007]861号〕6、?国务院办公厅关于印发<政府信息系统平安检查方法>的通知?〔国办发[2021]28号〕7、发改委、公安部、国家保密局会签文件?关于加强国家电子政务工程建设工程信息平安风险评估工作的通知?〔发改高技[2021]2071号〕8、?信息平安等级保护备案实施细那么?〔公信安[2007]1360号9、?公安机关信息平安等级保护检查工作标准〔试行〕?〔公信安[2021]736号〕10、?关于开展信息平安等级保护平安建设整改工作的指导意见?(2021年10月)重要法规梳理27号文：明确指出“实行信息平安等级保护〞，这是我国第一个信息平安保障工作的纲领性文件。66号文：等级保护是今后国家信息平安的根本制度也是根本方法、等级保护制度的重要意义、原那么、根本内容、工作职责分工、工作要求和实施方案。43号文：明确五个平安等级，确立了等级保护主要内容是定级、备案、系统建设整改、等级测评、监督检查。736号文：是等级保护检查工作制定的工作标准，在检查依据、内容、程序、形式、时限要求等方面了详细规定。2021年10月发布?关于开展信息平安等级保护平安建设整改工作的指导意见?，是信息系统定级备案工作完成后，开展信息平安等级保护后续工作的指导性文件。类别要求公安机关监督、检查、指导。国家保密工作部门保密工作的监督、检查、指导。国家密码管理部门密码工作的监督、检查、指导。工信部信息安全协调司部门间的协调其他职能部门依据国际法律法规的规定?信息平安等级保护管理方法?〔公通字【2007】43号〕，明确了公安、保密、密码、信息化部门以及其他部门的职责：我国信息平安等级保护职责分工等级保护职责分工原那么谁主管、谁负责谁运营、谁负责谁建设、谁负责等级保护标准体系—根底类标准?计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕?信息系统平安等级保护根本要求?〔GB/T22239-2021〕等级保护标准体系—应用类标准信息系统定级?信息系统平安保护等级定级指南?〔GB/T22240-2021〕等级保护实施?信息系统平安等级保护实施指南?〔报批稿〕信息系统平安建设?信息系统通用平安技术要求?〔GB/T20271-2006〕?信息系统等级保护平安设计技术要求?〔报批稿〕?信息系统平安管理要求?〔GB/T20269-2006〕?信息系统平安工程管理要求?〔GB/T20282-2006〕?信息系统物理平安技术要求?〔GB/T21052-2007〕?网络根底平安技术要求?〔GB/T20270-2006〕?信息系统平安等级保护体系框架?〔GA/T708-2007〕?信息系统平安等级保护根本模型?〔GA/T709-2007〕?信息系统平安等级保护根本配置?〔GA/T710-2007〕等级测评?信息系统平安等级保护测评要求?〔报批稿〕?信息系统平安等级保护测评过程指南?〔报批稿〕?信息系统平安管理测评?〔GA/T713-2007〕等级保护标准体系—产品类标准操作系统?操作系统平安技术要求??操作系统平安评估准那么?数据库?数据库管理系统平安技术要求??数据库管理系统平安评估准那么?网络?网络端设备隔离部件技术要求??网络端设备隔离部件测试评价方法?……PKI?公钥根底设施平安技术要求??PKI系统平安等级保护技术要求?网关?网关平安技术要求?效劳器?效劳器平安技术要求?入侵检测?入侵检测系统技术要求和检测方法??计算机网络入侵分级要求?防火墙?防火墙平安技术要求??防火墙技术测评方法?……路由器?路由器平安技术要求??路由器平安评估准那么??路由器平安测评要求?交换机?网络交换机平安技术要求??交换机平安测评要求?其他产品?终端计算机系统平安等级技术要求??终端计算机系统测评方法??审计产品技术要求和测评方法?……等级保护标准体系—其他类标准风险评估?信息平安风险评估标准?〔GB/T20984-2007〕事件管理?信息平安事件管理指南?〔GB/Z20985-2007〕?信息平安事件分类分级指南?〔GB/Z20986-2007〕?信息系统灾难恢复标准?〔GB/T20988-2007〕等级保护标准关系信息系统安全等级保护基本要求GB/T22239-2008计算机信息系统安全保护等级划分准则（GB17859）信息系统通用安全技术要求信息系统物理安全技术要求技术类其他技术类标准信息系统安全管理要求信息系统安全工程管理要求其他管理类标准信息系统安全等级保护定级指南(GB/T22240-2008)信息系统安全等级保护基本要求的行业细则信息系统安全等级保护测评过程指南信息系统安全等级保护测评要求信息系统等级保护安全设计技术要求管理类产品类数据库管理系统安全技术要求其他产品类标准信息系统安全等级保护行业定级细则操作系统安全技术要求信息安全等级保护安全建设网络基础安全技术要求网络和终端设备隔离部件技术要求安全等级基线要求状况分析方法指导信息系统安全等级保护实施指南?关于开展信息平安等级保护平安建设整改工作的指导意见??计算机信息系统平安保护等级划分准那么?〔GB17859-1999〕?信息系统平安等级保护根本要求?〔GB/T22239-2021〕?信息系统平安等级保护实施指南?〔报批稿〕主要政策标准指导意见?关于开展信息平安等级保护平安建设整改工作的指导意见?在全国完成信息系统平安保护定级工作后，公安部拟下发通知部署平安保护等级为第三级以上的信息系统〔以下简称“重要信息系统〞〕等级保护平安建设工作。等级保护平安建设工作主要包括三项工作内容：一是开展重要信息系统等级测评工作；二是开展重要信息系统平安建设整改工作；三是开展重要信息系统检查工作。是信息系统定级备案工作完成后，开展信息平安等级保护后续工作的指导性文件。本通知下发后，国家信息平安等级保护制度的政策体系将根本成型。指导意见中的“工作目标〞依据信息平安等级保护有关政策和标准，通过组织开展信息平安等级保护平安管理制度建设、技术措施建设和等级测评，落实等级保护制度的各项要求，使信息系统平安管理水平明显提高，平安防范能力明显增强，平安隐患和平安事故明显减少，有效保障信息化健康开展，维护国家平安、社会秩序和公共利益，力争在2021年底前完成已定级信息系统平安建设整改工作。指导意见中“工作目标〞的政策要点〔一〕工作主体—各地区、各部门，这其中包括信息系统备案单位；〔二〕工作对象—平安保护等级为第三级以上的信息系统；〔三〕工作内容—信息系统等级测评工作、信息系统平安建设整改工作、等级保护工作监督、检查；指导意见中“工作目标〞的政策要点〔四〕工作依据—等级保护政策和标准，主要包括：国务院147号令，中办发27号文件、公通字66号文件、43号文件以及?根本要求?、?测评要求??测评工作过程指南?、?实施指南?、?测评过程指南?等相关技术标准；指导意见中“工作目标〞的政策要点〔五〕时间要求—总体上用三年时间完成重要信息系统平安建设工作。各地区、各部门要于2021年底前完成工作部署，从2021年开始到2021年底前完成全国三级以上重要信息系统平安建设工作。为表达“突出重点、保护重点〞的原那么，平安保护等级为第四级的信息系统应于2021年底前完成等级保护平安建设工作；指导意见中“工作目标〞的政策要点〔六〕直观工作目标—明确等级保护平安建设需求，有针对性的开展平安等级保护管理制度建设和技术措施建设，落实等级保护制度的各项要求。在信息系统整个生命周期中，在系统立项、规划设计、建设、投入使用、日常运维等各个工作环节，通过定级、备案、等级测评、建设整改、监督检查等工作流程，建立并完善等级保护工作领导体制和工作机制，落实各项工作责任，落实各项管理制度和技术措施，认真开展自查和检查等；指导意见中“工作目标〞的政策要点〔七〕根本工作目标—这是国家贯彻落实信息平安等级保护制度的根本目标。贯彻实施信息平安等级保护工作不仅要提升系统平安保护能力，而且提出系统平安要保障信息化健康开展，维护国家平安、社会秩序和公共利益，这与信息系统定级工作的依据标准一致，平安建设作为信息系统定级的后续工作，其工作目标与信息系统定级依据相同，在政策体系上保持了一致。建设整改的流程信息系统平安建设整改工作分五步进行。第一步：制定信息系统平安建设整改工作规划，对信息系统平安建设整改工作进行总体部署；第二步：开展信息系统平安保护现状分析，从管理和技术两个方面确定信息系统平安建设整改需求；第三步：确定平安保护策略，制定信息系统平安建设整改方案；第四步：开展信息系统平安建设整改工作，建立并落实平安管理制度，落实平安责任制，建设平安设施，落实平安措施；第五步：开展平安自查和等级测评，及时发现信息系统中存在平安隐患和威胁，进一步开展平安建设整改工作。该流程如以下图所示。信息系统安全管理建设信息系统安全技术建设开展信息系统安全自查和等级测评信息系统安全保护现状分析信息系统安全建设整改工作规划和工作部署确定安全策略，制定安全建设整改方案物理安全网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运行管理建设整改的流程管理制度建设明确主管领导、落实责任部门落实安全岗位和人员信息系统安全管理现状分析确定安全管理策略、制定安全管理制度安全自查和调整系统建设管理落实安全管理措施人员安全管理环境和资产管理设备和介质管理日常运行维护集中安全管理事件处置和应急响应灾难备份安全监测……系统运维管理平安技术建设信息系统安全保护技术现状分析开展建设整改技术方案详细设计工程实施及验收等级测评不符合标准要求开展建设整改技术方案论证和评审确定安全策略，开展建设整改技术方案总体设计通信网络安全物理安全。。。。应用系统安全区域边界安全主机系统安全备份和恢复建设并落实安全技术措施?计算机信息系统平安保护等级划分准那么?早在1985年，美国国防部为指导计算机平安产品的制造和数据处理系统的平安建设与评估，制定并公布了?可信计算机系统评估准那么?〔DoD5200.28-STD〕，也就是TCSEC。1999年我国在此标准的根底上修改制定了国家强制标准GB17859-1999?计算机信息系统平安保护等级划分准那么??计算机信息系统平安保护等级划分准那么?计算机信息系统平安保护等级划分准那么GB17859-1999计算机信息系统平安保护等级划分准那么用户自主保护级自主访问控制、身份鉴别、数据完整性系统审计保护级自主访问控制、身份鉴别、数据完整性、平安审计、客体重用平安标记保护级自主访问控制、身份鉴别、数据完整性、平安审计、客体重用、强制访问控制、标记结构化保护级自主访问控制、身份鉴别、数据完整性、平安审计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径访问验证保护级自主访问控制、身份鉴别、数据完整性、平安审计、客体重用、强制访问控制、标记、隐蔽信道分析、可信路径、可信恢复根本要求—标准编制思路一级系统二级系统三级系统四级系统防护防护/监测策略/防护/监测/恢复策略/防护/监测/恢复/响应一级系统二级系统三级系统四级系统通信/边界〔根本〕通信/边界/内部〔关键设备〕通信/边界/内部〔主要设备〕通信/边界/内部/根底设施〔所有设备〕根本要求—标准编制思路根本要求的组织方式某级系统类技术要求管理要求基本要求类控制点具体要求控制点具体要求………………………………三、标准的主要内容7第三级根本要求7.1技术要求物理平安〔类〕物理位置的选择〔控制点〕本项要求包括〔具体要求〕a) 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内b) 机房场地应防止设在建筑物的高层或地下室，以及用水设备的下层或隔壁。。。。。。。7.2管理要求平安管理制度〔类〕管理制度〔控制点〕本项要求包括：〔具体要求〕a) 应制定信息平安工作的总体方针和平安策略，说明机构平安工作的总体目标、范围、原那么和平安框架等；b) 应对平安管理活动中的各类管理内容建立平安管理制度；实施指南-根本实施过程重大变更局部调整系统定级安全规划设计安全实施/实现安全运行管理系统终止与信息系统生命周期之间的关系新建信息系统新建信息系统等级保护实施过程信息系统生命周期安全运行管理（变更管理/定期安全测评/监督检查）系统定级安全规划设计安全实施系统终止设计开发阶段运行维护阶段启动阶段实施阶段中止阶段平安态势分析信息平安标准概述等级保护标准联想网御信息平安ISO27000系列标准

ITIL与ISO20000

企业内控相关标准ISO27001介绍什么是ＩＳＭＳ文档化体系信息平安策略风险处置方案范围内的信息资产清单风险评估适用性声明策略、流程、指南、程序ISMS需要执行与管理复查、审计和考核持续改进认证有意义但不是根本最终阶段需要第三方认证证据业务驱动实施信息平安最正确实践保证信息资产的平安保护企业声誉满足合规性要求提升IT架构效率质量体系保证认证驱动企业证明客户、合作伙伴要求政府、投资者要求证明您对信息平安的承诺信息是一种非常重要的资产，它贯穿并支持组织的整个经营活动，从小交易到公司合并，从大工程到员工资料管理如果没有有效的信息管理，一些仅供组织内部使用的敏感信息，很容易泄漏。如果组织的信息体系从信息质量、数量或沟通环节被攻击，那么组织会处于极大的风险中这就是为什么您需要主动地管理信息平安，向您的员工、股东、合作伙伴分享信息平安管理经验确保您的信息平安并持续保持ISO27001:2005信息平安管理体系(ISMS)认证说明您对信息平安、客户要求和持续改进的承诺标准由两局部构成：ISO27002:2005信息平安管理实施指南，指导ISMS实践ISO27001:2005信息平安管理体系标准，ISMS认证标准界定ISMS认证范围，对于识别风险和评审风险至关重要一个成功ISMS体系包括建立、运行、评审、维护和改进一系列过程标准的开展199519981999.042000.1220022005.62005.10BS7799-2:1998信息平安管理体系标准BS7799:1999BS7799的两个局部进行合并ISO/IEC17799:2000信息技术——信息平安管理实施规那么BS7799-2:2002平安管理体系标准与使用指南ISO/IEC17799:2005信息平安管理体系实施规那么ISO/IEC27001:2005信息技术－平安技术－信息平安管理体系要求BS7799-1:1995信息平安管理实施规那么ISO/IEC27002:2005信息平安管理体系实施规那么信息平安标准现状已有二十多个国家和地区引用BS7799作为本国标准，并有四十多个国家和地区开展了相关业务。澳大利亚/新西兰〔前国标AS/NZS4444，现国标AS/NZS7799〕荷兰〔SPE20003〕瑞典〔SS627799〕日本〔JISX5080，相当于BS7799-1〕……国内，ISO17799:2000已被转化为GB/T19716:2005国际，ISO17799:2000已被转化为ISO27002:2005ISO27001认证机构在中国大陆地区，可以提供BS7799/ISO27001认证效劳的主要是DNV〔DetNorskeVeritas挪威船级社〕和BSI〔BritishStandardsInstitution英国标准协会〕认可机制认证〔Certification〕和认可〔Accreditation〕认证是第三方依据程序对产品、过程、效劳符合规定要求给予的书面保证〔合格证书〕，其根底是相关标准。根据对象的不同，认证通常分为产品认证和体系认证。通过认证，组织可以对外提供某种信任和保证认可是由某权威机构依据程序对某团体〔例如对认证机构的认可〕或个人〔例如对审核员资格的认可〕具有从事特定任务的能力给予的正式成认认可机构英国UKAS、荷兰RvA、瑞典Swedac基于流程的ISMSInterestedPartiesInformationsecurityrequirementsandexpectationsInterestedPartiesManagedInformationsecurityContinualimprovement

oftheInformationSecurityManagementSystemEstablishISMSMonitorandReviewtheISMSImplementandOperatetheISMSMaintainandimprovetheISMSInputOutputInformationsecuritymanagementsystemPDACPDACPDACPDACISO/IEC17799模型ISO/IEC17799标准的内容涉及10个领域，36个控制目标和127个控制措施。ISO/IEC27001/27002:2005

的內容总共分成

11个领域、

39个控制目标、

133个控制措施。

11个领域包括

A.1

Security

Policy

A.2

organization

of

information

security

A.3

Asset

management

A.4

Human

resources

security

A.5

Physical

and

environmental

security

A.6

Communications

and

operations

management

A.7

Access

control

A.8

Information

systems

acquisition,

development

and

maintenance

A.8

Information

security

incident

management

A.10

Business

continuity

management

A.11

Compliance

BS7799Part2:2002vsISO27001:2005Chapter0.简介Chapter1.范围Chapter2.强制性引用标准Chapter3.术语和定义Chapter4.信息平安管理体系Chapter5.管理责任Chapter6.ISMS管理评审Chapter7.ISMS改进BS7799-2:2002Chapter0.简介Chapter1.范围Chapter2.强制性引用标准Chapter3.术语和定义Chapter4.信息平安管理体系Chapter5.管理责任Chapter6.内部审核Chapter7.管理评审Chapter8.持续改进ISO27001:2005Chapter1.范围Chapter2.术语和定义Chapter3.平安策略Chapter4.平安组织Chapter5.资产分类和控制Chapter6.人员平安Chapter7.物理和环境平安Chapter8.通信和操作管理Chapter9.访问控制Chapter10.系统开发和维护Chapter11.业务连续性管理Chapter12.符合性ISO17799:2000ISO17799:2000vsISO17799:2005Chapter1.范围Chapter2.术语和定义Chapter3.标准结构Chapter4.风险评估和处理Chapter5.平安策略Chapter6.组织信息平安Chapter7.资产管理Chapter8.人力资源平安Chapter9.物理和环境平安Chapter10.通信和操作管理Chapter11.访问控制Chapter12.系统开发和维护Chapter13.信息平安事件管理Chapter14.业务连续性管理Chapter15.符合性ISO17799:2005ISO27001SeriesISO27000-willcontainthevocabularyanddefinitions

i.e.terminologyforalloftheseinformationsecuritymanagementstandardsISO27001-istheInformationSecurityManagementSystemrequirementsstandard(specification)againstwhichorganizationsareformallycertifiedcompliantISO27002willbethenewnameforthestandardcurrentlyknownasISO17799andformerlyknownasBS7799part1.

Thisisthecodeofpracticeforinformationsecuritymanagementdescribingacomprehensivesetofinformationsecuritycontrolobjectivesandamenuofbest-practicesecuritycontrolsISO27003-willbeanimplementationguide

ISO27004-willbeaninformationsecuritymanagementmeasurementstandardtohelpmeasuretheeffectivenessofinformationsecuritymanagementsystemimplementations.ISO27005-willbeaninformationsecurityriskmanagementstandard(willreplacetherecentlyissuedBS7799Part3).ISO27006-isaguidetothecertification/registrationprocessforaccreditedISMScertification/registration

bodies.ISO27007-willprobablybeaguidelineforauditingInformationSecurityManagementSystems.ISO27031willbetelecommssector-specificimplementationguidanceforISO17799/27002.ISO27008-59-isourholdingpagewithpreliminaryinformationonvariousotherrumouredISO27000-seriesInformationSecurityManagementstandardsincludingindustry-specificimplementationguidelinesandadisasterrecoverystandard.ISO27799-willbehealthsector-specificimplementationguidanceforISO17799/27002.ISO27001:2005的益处ISO的声誉和通过国际认可的ISO27001:2005认证增强了所有公司的可信度。它清楚地说明了您的信息的有效性和一个真正对信息平安支持的承诺ISMS的建立和认证也可以改变您公司内外的文化，使您赢得具与有平安意识的客户开拓新业务的时机，以及提升员工的道德观念和他们对整个工作场所信息平安的思想观念。而且，它使您可以增强信息平安，减少可能产生欺骗、信息丧失和泄漏的风险获得BS7799认证的组织将要换证为ISO27001:2005。根据2006年1月UKAS换证声明，通过BS7799-2:2002认证的公司可以在2007年7月前完成换证。ISO27001实施与认证过程ISO27001一般认证过程ISO27001证书获取过程PeriodicalAuditsFollowUp

CertificateISMSInitialAuditPre-

AssessmentPre-Study/Implementation顾问/咨询机构Auditor(s)ConfidentialityAgreementAwarenesscreationISO27001认证费用认证机构的报价根据其投入的时间和人员来确定，决定因素包括：ThesizeofthecompanyScopeIT-environmentThereadinessforcertificationwithinthecompanyPriorcertification~£10,000foracompanywith100employeesprovidedthatthecompanyalreadyiswellonitswaywiththeimplementation.ISMSProjectRoadmap确定范围资产调研管理层策略风险评估适用性声明PLAN文档准备实施ISMS教育培训证据持续改进复查、监控检查、审计DOCHECKACTISMS实施过程0.获得管理层支持说起来容易做起来难提高管理层意识当前的风险与最正确实践的差距分析1.定义ISMS范围BusinessesBusinessunitsDepartmentsSystems2.准备适用性声明(SOA)哪些控制目标适用(applicable)哪些控制目标不相关(irrelevant)、不适用(notappropriate)、不需要(notrequired)ISMS实施过程〔续〕3.资产调研informationsystems,networks,databases,dataitems,documentsetc.4.风险评估标准中并没有指定风险评估方法Mehari/CRAMM/OCTAVE/CiticusOne/ISOTR13335/AS/NZS4360:2004:/HB436:2004/NISTSP800-30…DIY5.准备风险处置方案(RTP)哪些控制用来应对已识别的风险6.制定ISMS实施方案需要的资源专家的支持InternalAudit,Risk,Compliance,HR,Finance的支持ISMS实施过程〔续〕7.ISMS实施工程管理方案、预算、进度8.ISMS运行是一项持续的活动9.收集ISMS运行证据securitylogs,logreviewreports,firewallconfigurationfiles,riskassessmentreportsetc.10.审查合规性A.15内部需求：策略外部要求：法律、法规11.实施纠正措施Plan-Do-Check-ActISMS实施过程〔续〕12.认证前自评估ISMS稳定、有效检查SOA、RTP有没有遗漏地方13.认证审核SOA、RTP、证据关键成功因素a)informationsecuritypolicy,objectives,andactivitiesthatreflectbusinessobjectives;

信息平安策略、目标和行为应与业务目标保持一致；

b)anapproachandframeworktoimplementing,maintaining,monitoring,andimprovinginformationsecuritythatisconsistentwiththeorganizationalculture;

信息平安实施、维护、监控、改进的方法应该符合组织的文化；

c)visiblesupportandcommitmentfromalllevelsofmanagement;

来自所有管理层可见的支持和承诺；

d)agoodunderstandingoftheinformationsecurityrequirements,riskassessment,andriskmanagement;

对信息平安需求、风险评估、风险管理应有很好的理解；

e)effectivemarketingofinformationsecuritytoallmanagers,employees,andotherpartiestoachieveawareness;

应对所有经理、员工和第三方进行信息平安的有效宣传；

f)distributionofguidanceoninformationsecuritypolicyandstandardstoallmanagers,employeesandotherparties;

对所有经理、员工和第三方发布信息平安策略和标准的指南；

g)provisiontofundinformationsecuritymanagementactivities;

为信息平安活动提供资金；

h)providingappropriateawareness,training,andeducation;

提供适当的教育和培训；

i)establishinganeffectiveinformationsecurityincidentmanagementprocess;

建立有效的信息平安事件管理流程；

j)implementationofameasurement1systemthatisusedtoevaluateperformanceininformationsecuritymanagementandfeedbacksuggestionsforimprovement.

建立一套用来评估信息平安管理的性能和有关改进平安管理的反响建议的测量系统。平安态势分析信息平安标准概述等级保护标准联想网御信息平安

ISO27000系列标准

ITIL与ISO20000

企业内控相关标准ITIL的产生80年代中期，英国政府计算机和电信局〔CCTA〕，也就是现在的政府商务办公室〔OGC〕，启动一个IT效劳质量调查的工程，从IT供给商、咨询参谋及用户收集信息，由IT专家及咨询参谋开发出一套有效的、可进行财务计量的IT资源管理方法。该工程的最终结果是一套公开出版的IT效劳管理指南，及ITIL，收集、整理、文档化和维护效劳管理最正确实践并将其组织成一个合理和有一定逻辑性的知识库。ITIL是什么?ITIL®是:ITInfrastructureLibrary的简称适合公共的或私有的、大型的或小型的、集中的或分散的所有组织。宝洁公司于1997年采用ITIL，在随后的四年中节省了超过5亿美元的IT预算。全球10,000多家在各行业处于领先地位的组织都在使用ITIL流程改进IT效劳的效率和沟通，大量的成功实践说明实施ITSM可以提高IT部门营运效率25-30%。由独立的用户组织itSMF〔ITServiceManagementForum〕管理。任何单位和个人都可免费使用的“公共框架〞实际上是一系列由所谓“最正确实践〞〔BestPractice〕形成的图书：ITIL不是:硬件软件可供参考使用的最正确实践ProjectrequestbyCCTAITILfirstGuideBookissued1985itSMF1989ITIL1.019911993PD00051995199820002002200320042005PD0005BIP0005-AManagerGuidePD0005/BS15000-2BecometoISO20000PD0015/BS15000-1PD0015/BS15000-1/ITIL2.01999ITServiceCMMVrijeUniv.国际ITSM的开展2007BecometoITILV3ISO20000家族InternalProcessesandProceduresITILBIP0005ISO20000Part2ISO20000Part1PD0015Workbook内部流程和业界解决方案流程定义管理概览实践指南标准ISO20000标准6.效劳交付流程效劳级别管理效劳报告能力管理效劳持续和可用性管理信息平安管理IT效劳预算和财务管理9.控制流程配置管理变更管理10.发布流程发布管理8.解决流程事件管理问题管理7.关系流程业务关系管理供给商管理5.方案和实施新的/变更的效劳4.方案和实施效劳管理3.管理体系ITIL的全部视野ITIL的主要内容:效劳支持+效劳交付转变观念工程型IT运营型IT和效劳型IT投入价值IT效劳管理核心理念1：IT效劳管理体系“效劳管理〞三要素：人员+流程+技术全程服务框架支持技术流程人员高质量的服务IT效劳管理核心理念2：以流程为导向一个流程可定义为一系列相关的活动，并聚焦在目标的输入和输出上。端到端按照职能进行组织…BranchBackOfficeBackOfficeBranch…但是，只有端到端的流程对客户才有意义StartEndIT效劳管理核心理念3：PDCA循序优化时间IT

管理

目标计划改进审计实施有效的提高质量巩固管理水平

例如：ISO9001成熟级别持续质量控制与改进IT管理成熟度级别平安态势分析信息平安标准概述等级保护标准联想网御信息平安

ISO27000系列标准

ITIL与ISO20000

企业内控相关标准1994年德国MGRM集团高息筹资投资石油期货损失13亿美元1994年美国加州橘郡财务长雪铁龙以政府名义筹资,投资票据亏损18亿美元导致橘郡政府破产1995年里森私设账外账，投资日经期货指数损失14亿美元，直接导致巴林银行破产1996年住友商事有色金属业务部长滨中泰男违反公司规定，从事铜的非法交易长达10年，造成了18亿美元的亏损2001年的美国安然能源公司因虚假经营、虚构利润、隐瞒亏损而导致破产，从而引发作为世界“五大〞之一的安达信会计