ISO27001简介培训课件

第二章信息安全管理体系第

2

页目录Contents

Page01

信息安全管理体系概述02

BS

7799信息安全管理体系03

ISO

27000信息安全管理体系04

基于等级保护的信息安全管理体系05

信息安全管理体系的建立与认证本章主要内容包括以下内容。1.

信息安全管理体系

(Information

Security

Management

SystemISMS)

是组织在整体或特定范围内建立的信息安全方针和目标，以及完成这

些目标所用的方法和手段所构成的体系。信息安全管理体系的建立同样需要采

用过程的方法，因此开发、实施和改进一个组织的ISMS

的有效性同样可参照

PDCA

模型。2.BS

7799与ISO

27000系列标准，作为信息安全管理领域的权威标准，是

全球业界一致公认的辅助信息安全治理的手段。其基本内容包括信息安全政

策、信息安全组织、信息资产分类与管理、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系统的开发与维护、业务持续性管理、信息安全事件管理和符合性管理11个方面。3.

信息安全等级保护，是指根据信息系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度，结合系统面临的风险、应对风险的安全保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全

保护措施，以保障信息和信息系统的安全。可以按照信息安全等级保护的思想

建立信息安全管理体系。4.

信息安全管理体系建立与认证，不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体情况采取不同的步骤和方法；信息安全管理体系第三方认证为信息安全体系提供客观公正的评价，具有更大的可信性，并且

能够使用证书向利益相关的组织提供保证。本章重点：信息安全管理体系的内涵和实施模型、典型信息安全管理体系、

信息安全管理体系的建立与认证。本章难点：

信息安全管理体系的内涵、信息安全管理体系的建立与认证。2.1

信息安全管理体系概述2.1.1

信息安全管理体系的内涵信息安全管理体系是组织在整体或特定范围内建立的信息安全方针和目标，

以及完成这些目标所用的方法和手段所构成的体系。信息安全管理体系是信息

安全管理活动的直接结果，表示为方针、原则、目标、方法、计划、活动、程

序、过程和资源的集合。1.ISMS

的范围ISMS的范围可以根据整个组织或者组织的一部分进行定义，包括相关资

产、系统、

应用、服务、网络和应用过程中的技术、存储以及通信的信息等，

ISMS

的范围可以包括如下内容。●

组织所有的信息系统如下内容。●

组织的部分信息系统如下内容。●

特定的信息系统。2.ISMS

的特点信息安全管理管理体系是一个系统化、程序化和文件化的管理体系，应具

有以下特点。●

体系的建立基于系统、全面、科学的安全风险评估，体现以预防控制为主的

思想。●

强调遵守国家有关信息安全的法律法规及其他合同方要求。●

强调全过程和动态控制，本着控制费用与风险平衡的原则合理选择安全控制

方式。●

强调保护组织所拥有的关键性信息资产，而不是全部信息资产，确保信息的

机密性、完整性和可用性，保持组织的竞争优势和业务运作的持续性。3.

建立ISMS的步骤不同的组织在建立与完善信息安全管理体系时，可根据自己的特点和具体

的情况，采取不同的步骤和方法。但总体来说，建立信息安全管理体系一般要

经过下列五个基本步骤。◆

信息安全管理体系的策划与准备。◆

信息安全管理体系文件的编制。◆

建立信息安全管理框架。◆

信息安全管理体系的运行。信息安全管理体系的审核与评审。4

.

ISMS的作用组织建立、实施与保持信息安全管理体系将会产生如下作用。强化员工的信息安全意识，规范组织信息安全行为。促使管理层贯彻信息安全保障体系。对组织的关键信息资产进行全面系统的保护，维持竞争优势。在信息系统受到侵袭时，确保业务持续开展并将损失降到最低程度。使组织的生意伙伴和客户对组织充满信心。如果通过体系认证，表明体系符合标准，证明组织有能力保障重要信

息，可以提高组织的知名度与信任度。2.1.2

PDCA循环1.PDCA

循环简介PDCA

循环的概念最早是由美国质量管理专家戴明提出来的，所以又称为“戴明环”,在

质量管理中应用广泛。

PDCA

的含义如下。◆

P(Plan)—

计划，确定方针和目标，确定活动计划。◆

D(Do)

一实施，采取实际措施，实现计划中的内容。◆

C(Check)

一检查，检查并总结执行计划的结果，评价效果，找出问题。◆

A(Action)

一行动，对检查总结的结果进行处理，成功的经验加以肯定并适当推广、标

准化；失败的教训加以总结，以免重现；未解决的问题放到下一个PDCA

循环。PDCA

循环的四个阶段的具体任务和内容如下。(1

)计划阶段：制定具体工作计划，提出总的目标。具体来讲又分为以下4个步骤。●

分析目前现状，找出存在的问题。●

分析产生问题的各种原因以及影响因素。●

分析并找出管理中的主要问题。●

制定管理计划，确定管理要点。(2)实施阶段：按照制定的方案去执行。(3)检查阶段：检查实施计划的结果。(4)行动阶段：根据调查效果进行处理。2.

信息安全管理体系的PDCA

过

程PDCA

循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。在质

量管理中，

PDCA

循环得到了广泛的应用，并取得了很好的效果，因此有人称

PDCA

循环是质量管理的基本方法。实际上建立和实施信息安全管理体系ISMS

和其他管理体系一样(如质量

管理体系),需要采用过程的方法开发、实施和改进信息安全管理体系的有效

性。

ISMS

的PDCA

过程如图2.1所示。A

PC

DPD图2.1

持续改进的PDCA过程AC四、行动阶段主要任务是对信息安全管理体系进行

评价，并以检查阶段采集的不符合项

信息为基础，经常对信息安全管理体

系进行调整与改进。一、计划阶段主要任务是根据风险评估、法律法规

要求、组织业务运营自身要求来确定

控制目标与控制方式。二、实施阶段主要任务是实施组织所选择的控制目

标与控制措施。主要包括保证资源、提供培训、提高安全意识和风险治理。三、

检查阶段主要任务是进行有关方针、程序、标

准与法律法规的符合性检查，对存在

的问题采取措施，予以改进。3.PDCA

过程的持续性信息安全管理体系的实施、维护是一个持续改进的过程。

由图2.1可以发

现

，PDCA

循环可以形象地说明系统的改进活动是周而复始的不断循环的过程。

之所以将其称之为PDCA

循环，是因为这四个过程不是运行一次就完结，而是

要周而复始地进行。

PDCA

循环是螺旋式上升和发展的，每循环一次要求提高一步。每一次循环都包括计划

(Plan)、

实

施(Do)、

检查(Check)

和行

动

(Action)

四个阶段。每完成一个循环，ISMS

的有效性就上一个台阶。组织通过持续地进行PDCA

过程，能够使自身的信息安全水平得到不断的提高。2.2

BS

7799信息安全管理体系2.2.1

BS7799的目的与模式1.BS

7799的目的BS

7799的目的是"为信息安全管理提供建议，供那些在其机构中负有

安全责任的人使用，它旨在为一个机构提供用来制定安全标准、实施有效安

全管理的通用要素，并使跨机构的交易得到互信”。作为一个通用的信息安

全管理指南，BS7799

的目的并不涉及有关“怎么做”的细节，它所阐述的

主题是安全方针策略和优秀的、具有普遍意义的安全操作。该标准特别声明，它是“制订一个机构自己的标准时的出发点”。信息安全管理体系标准BS

7799可有效保护信息资源，保护信息化进程

健康、有序、可持续发展。

BS

7799是信息安全领域的管理体系标准，类似

于质量管理体系认证的ISO

9000标准。当组织通过了BS

7799的认证，就相

当于通过ISO9000

的质量认证一般，表示组织信息安全管理已建立了一套科

学有效的管理体系作为保障。2.

实施BS

7799的程序与模式BS7799

标准由英国贸易工业部制订出版，是国际上具有代表性的信息安

全管理体系。

BS7799

标准具体分为两个部分：

BS7

799-

1:

《信息安全管理实

施规则》和BS7799-2:

《信息安全管理体系规范》。BS7799-1:提供了一套综合的、由信息

安全最佳惯例组成的实施规则，

可以作为大型、中型及小型组织

确定信息安全所需的控制范围的

参考基准BS7799-2:详细说明了建立、实施和维

护信息安全管理体系的要求，是

组织全面或部分信息安全管理系

统评估的基础在BS7799

中ISMS

可能涉及以下内容。●

组织的整个信息系统。●

信息系统的某些部分。●

一个特定的信息系统。组织在实施BS7799

时，可以根据需求和实际情况，采用以下四种模式。按照BS

7799标准的要求，自我建立和实施组织的安全管理体系，以达到保

证信息安全的目的。按照BS

7799标准的要求，自我建立和实施组织的安全管理体系，以达到保

证信息安全的目的，并且通过BS

7799体系认证。◆

通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信息安

全的目的。◆

通过安全咨询顾问，来建立和实施组织的安全管理体系，以达到保证信息安

全的目的，并且通过BS

7799体系认证。2.2.2

BS

7799标准规范的内容实施信息安全管理体系标准的目的是保证组织的信息安全，即信息资料

的机密性、完整性和可用性等，并保证业务的正常运营。依据BS

7799,建立和实施信息安全管理体系的方法是通过风险评估、风险管理引导切入企业

的信息安全要求。当然，在BS7799

标准中已规范了信息安全政策、信息安全组织、信息资产分类与管理、人员信息安全、物理和环境安全、通信和运营管理、访问控制、信息系统的开发与维护、业务持续性管理、信息安全事件

管理和符合性等11个方面的安全管理内容，具体包括134种安全控制指南供

组织选择和使用。BS7799

标准具体又分为两个部分，

BS

7799-1:

《信息安全管理实施规则》和BS7799-2:

《信息安全管理体系规范》。第一部分主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全；第二部分详细说明了建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评估来鉴定最适宜

的控制对象，并根据自己的需求采取适当的安全控制。(1)BS

7799-1:《信息安全管理实施规则》BS

7799-1:《信息安全管理实施规则》作为国际信息安全指导标准

ISO/IEC17799

基础的指导性文件，包括11大管理要项，134种控制方法。1.安全方针/策略(Security

Policy)2.安全组织(Security

Organization)3.资产分类与控制(Asset

Classification

and

Control)4.人员安全(Personnel

Security)5.物理与环境安全(Physicaland

Environmental

Security)6

.

通

信

与

运

营

管

理(

Comuiations

a

ndOperations

Management)8.系统开发与维护(Systems

Development

and

Maintenance7.访问控制(Access

Control)9.信息安全事件管理(Information

Security

Incident

Management)10.业务持续性管理(Business

Continuity

Management)11.法律法规符合性(Compliance)标准目

的内

容安全方针为信息安全提供管理方向和支持建立安全方针文档安全组织建立组织内的安全管理体系框架，以便

进行安全管理组织内部信息安全责任；信息采集设施安全；可被第三方利用的信息资产的安全；外

部信息安全评审；外包合同安全资产分类与控制建立维护组织资产安全的保护系统的基

础利用资产清单、分类处理、信息标签等对信息资产进行保护人员安全减少人为造成的风险减少错误、偷窃、欺骗或资源误用等人为风险；保密协议；安全教育培训；安全事故与教训总结；惩罚措施物理与环境安全防止对T服务的未经许可的介入，防止

损害和干扰服务阻止对工作区与物理设备的非法进入；防止业务机密和信息非法的访问、损坏、干扰;阻止资产的丢失、损坏或遭受危险；通过桌面与屏幕管理阻止信息的泄漏通信与运营安全保证通信和设备的正确操作及安全维护确保信息处理设备的正确和安全的操作；降低系统失效的风险；保护软件和信息的完整性；维护信息处理和通信的完整性和可用性；确保针对网络信息的安全措施和支持基础结构的保护；防止资产被损坏和业务活动被干扰中断；防止组织间的交易信息遭受损坏、修改或误用访问控制控制对业务信息的访问控制访问信息；阻止非法访问信息系统；确保网络服务得到保护；阻止非法访问计算

机；检测非法行为；保证在使用移动计算机和远程网络设备时信息的安全系统开发与维护保证系统开发与维护的安全确保信息安全保护深入到操作系统中；阻止应用系统中的用户数据的丢失、修改或误用；确保信息的机密性、可靠性和完整性；确保T项目工程及其支持活动在安全的方

式下进行；维护应用程序软件和数据的安全信息安全事故管理保证信息安全事故的及时报告和处理确保与信息系统有关的信息安全事故和弱点能够以某种方式传达，以便及时采取纠正措施；确保采用一致和有效的方法对信息安全事故进行管理业务持续性管理防止业务活动中断和灭难事故的影响防止业务活动的中断；保护关键业务过程免受重大失误或灾难的影响符合性避免任何违反法律、法规、合同约定及其他安全要求的行为避免违背刑法、民法、条例；遵守契约责任以及各种安全要求；确保系统符合安全方针和标准；使系统审查过程的绩效最大化，并将干扰因素降到最小(2)BS

7799-2:《信息安全管理体系规范》BS

7799-2:

《信息安全管理体系规范》详细说明了建立、实施和维护信

息安全管理体系

(ISMS)

的要求，指出实施组织需要通过风险评估来鉴定最

适宜的控制对象，并根据自己的需求采取适当的安全控制。2.3

ISO

27000信息安全管理体系2.3.1

ISO

27000信息安全管理体系概述为了更好的指导、规范信息安全管理体系建设，国际标准化组织

(ISO)专门为信息安全管理体系标准预留了ISO/IEC

27000系列编号。到目前为止，正式发布的ISO/IEC27000

信息安全管理体系标准有10个，其中部分已经转化成我国的国家标准。全部标准基本可以分为以下四部分：第一部分：要求和支持性指南，包括ISO/IEC

27000到ISO/IEC

27005,

是信息安全管理体系的基础和基本要求。第二部分：有关认证认可和审核的指南，包括ISO/IEC

27006到ISO/IEC

27008,面向认证机构和审核人员。◆第三部分：面向专门行业的信息安全管理要求，如金融业、电信业，或者专门应用于某个具体的

安全域，如数字证据、业务连续性方面。◆第四部分：由ISO技术委员会TC215

单独制定的，应用于医疗信息安全管理的标准ISO

27799,以及一些处于研究阶段的成果。2.3.2

ISO

27000信息安全管理体系的主要标准及内容(1)ISO/IEC

27001

《信息安全管理体系要求》于2005年发布第一版，2013年发布第二版，2008年等同转化为中国国

家标准GB/T

22080-2008/ISO/IEC

27001:2005。是ISMS

的规范性标准，

来源于BS7799-2,

各类组织可以按照ISO

27001的要求建立自己的信息安

全管理体系，并通过认证。

ISO/IEC

27001也是ISO/IEC

27000

系列最核心

的两个标准之一，着眼于组织的整体业务风险，通过对业务进行风险评估来

建立、实施、运行、监视、评审、保持和改进其信息安全管理体系，确保其

信息资产的保密性、可用性和完整性，适用于所有类型的组织。(

2)ISO/IEC

27002

《信息安全管理实用规则》于2005年发布第一版，2013年发布第二版，2008年等同转化为中国国家标

准GB/T

22081-2008/ISO/IEC

27002:2005

。ISO/IEC

27002

也是ISO/IEC27000系列最核心的两个标准之一。来源于BS7799-1,2013

版从14个方面提出

35个控制目标和113个控制措施，这些控制目标和措施是信息安全管理的最佳实

践。(

3)ISO/IEC

27003

《信息安全管理体系实施指南》于2010年发布，该标准适用于所有类型、所有规模和所有业务形式的组织，

为建立、实施、运行、监视、评审、保持和改进符合ISO/IEC

27001的信息安

全管理体系提供实施指南。它给出了ISMS

实施的关键成功因素，按照PDCA的模型，明确了计划、实施、检查、纠正每个阶段的活动内容和详细指南。2.4

基于等级保护的信息安全管理体系2.4.1

等级保护概述1.

等级保护的含义信息安全等级保护是指根据信息系统在国家安全、经济安全、社会稳定

和保护公共利益等方面的重要程度，结合系统面临的风险、应对风险的安全

保护要求和成本开销等因素，将其划分成不同的安全保护等级，采取相应的安全保护措施，以保障信息和信息系统的安全。2.

等级保护的基本原则(1)信息安全等级保护基本原则一、重点保护原则重点保护关系国家安全、经济命脉、社会稳定等方面的重要信息系统，集中资源首先确保重点系

统安全。三、

分区域保护原则根据信息系统的重要程度、业务特点和不同发展水平，通过划分不同安全保护等级的区域，实现不同强度的安全保护。二、

谁主管谁负责、谁运营谁负责由各主管部门和运营单位依照国

家相关法规和标准，自主确定信息系统的安全等级并按照相关要求组织实施安全防护。四、

同步建设、动态调整原则信息系统在新建、改建时应当同

步建设信息安全设施；当应用类型、范围变化引起保护等级变更

时，应重新确立新的保护等级。3.

安全等级划分遵到爆操信离召复安全

全

盐

生

重

史

的

壹

程息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分为以下五级。(1)第一级：自主保护级(2)第二级：指导保护级(3)第三级：监督保护级(4)第四级：强制保护级(5)第五级：专控保护级的合法权益的危害程度；针对信息的保密性、完整性和可用性等要求及信4.

技术要求和管理要求实现信息系统的安全等级保护将通过选用合适的安全措施或安全控制来

保证，依据实现方式的不同，信息系统等级保护的安全基本要求分为技术要

求和管理要求两大类。技术类安全要求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现，主要包括物理安全、网络安全、主机系统安全、应用安全和数据安全等几个层面的安全要求；管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控

制各种角色的活动，从政策、制度、规范、流程以及记录等方面作出规定来

实现，主要包括安全管理机构、安全管理制度、人员安全管理、系统建设管

理和系统运维管理几个方面的安全要求。技术要求与管理要求是确保信息系统安全不可分割的两个部分，两者之

间既互相独立，又互相关联。在一些情况下，技术和管理能够发挥它们各自

的作用；在另一些情况下，需要同时使用技术和管理两种手段，实现安全控

制或更强的安全控制。大多数情况下，技术和管理要求互相提供支撑以确保

各自功能的正确实现。2.4.2

等级保护实施方法与过程1.

等级保护实施方法实行信息安全等级保护时“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网

络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应

等级的安全建设和管理”。信息安全等级保护的实施方法如图2.2所示。5级4级对应3级2级1

级基本安全要求风险调整定制成本实施系统保护措施图2.2

信息安全等级保护的实施方法5

级4

级3级2级1

级安全等级基本要求安全等级定级规则系统特定安全要求系统安全级信息

系统定级依据信息安全等级保护的实施方法中主要涉及以下内容：●

安全定级：对系统进行安全等级的确定；●

基本安全要求分析：对应安全等级划分标准，分析、检查系统的基本安全要求；●

系统特定安全要求分析：根据系统的重要性、涉密程度及具体应用情况，分析系统特定安

全要求；●

风险评估：分析和评估系统所面临的安全风险；●

改进和选择安全措施：根据系统安全级别的保护要求和风险分析的结果，改进现有安全保

护措施，选择新的安全保护措施；●

实施：实施安全保护。2.

等级保护实施过程信息安全等级保护的实施过程包括以下三个阶段：◆

定级阶段。◆规划与设计阶段。◆实施、等级评估与改进阶段。等级保护的基本流程如图2.3所示。图2.3

等级保护的基本流程符合等级

保护要求?是运行监控与改造否?等饭要求是合护符保系统识别与捕述等圾确定系统分城保护柢果建立选择和调整安全措施安全规划与方案设计实施、评审与改进安全措施实施规划与设计第二阶段评审验收第一阶段第三阶段否定级(1)第一阶段：定级定级阶段主要包括两个步骤。①

系统识别与描述②

等级确定(2)第二阶段：规划与设计规划与设计阶段主要包括三个步骤，分别为：①

系统分域保护框架建立②

选择和调整安全措施③

安全规划和方案设计(3)第三阶段：实施、等级评估与改进①

安全措施的实施②

评估