信息安全、信息技术IT服务管理体系简介

信息安全、信息技术（IT）服务

管理体系简介

2024/9/242本次交流的主要内容交流内容二、体系介绍21一、背景介绍3三、体系比较4四、概括总结2024/9/243本次交流的主要内容交流内容1一、背景介绍2024/9/244背景介绍我们身边的信息化：●电脑→笔记本→宽带●露天电影→家庭影院●银行取款→刷卡购物●电话→手机→可视电话●手写情书→依妹儿●电子商务、电子政务……“信息”是有意义的数据Internet技术的飞速增长2024/9/245背景介绍复杂程度InternetEmailWeb浏览Intranet站点电子商务电子政务电子交易时间2024/9/246背景介绍信息化出现的新问题：●网上信息可信度差●垃圾电子邮件●信息窃取●网络入侵●……人们享受信息化便利的同时遭受信息安全问题的困扰！！在Internet上谁又知道我是只狗呢？^Q^2024/9/247背景介绍●基于互联网的信息安全问题●基于物理环境的信息安全问题（静电、灰尘、鼠蚁虫害…）●基于自然灾害的信息安全问题●基于人为因素的信息安全问题……2024/9/248体系介绍安全涉及的因素：网络安全信息安全物理安全文化安全2024/9/249体系介绍物理安全容灾集群备份环境温度电磁湿度2024/9/2410体系介绍网络安全因特网安全漏洞危害在增大信息对抗的威胁在增加研究安全漏洞以防之电力交通通讯控制广播工业金融医疗研究攻防技术以阻之网络对国民经济的影响在加强因特网2024/9/2411体系介绍信息安全信息窃取信息传递信息冒充信息篡改信息抵赖加密技术完整性技术认证技术数字签名2024/9/2412背景介绍典型案例：★1999年1月，美国黑客组织“美国地下军团”联合了波兰、英国等黑客组织有组织地对我国的政府网站进行了攻击。★伊朗核电站被“末日炸弹”病毒攻击，夹在win32中运行，攻击公控设备。和U盘使用有关。2024/9/2413背景介绍典型案例：★2005年6月19日，万事达公司储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料在互联网上公开出售，每条100美元，并被用于金融欺诈活动。★2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。经紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。2024/9/2414背景介绍典型案例：★中国电子商务协会等机构联合发布《2012年中国网站可信验证行业发展报告》显示，截止2012年6月底，在过去的一年间，在网购用户中，有31.8%的网民（6169万人）曾直接遭遇诈骗网站。每年因诈骗网站给网民造成的损失不低于308亿元。截止2012年6月底，全国团购网站累计诞生总数高达6069家，累计关闭2859家，死亡率达48%。2024/9/2415背景介绍汶川地震“艳照门”事件互联网、微博信息（虚假、色情、反动言论等）景泰蓝技术（掐丝珐琅）的泄露高考志愿篡改、作弊个人信息、网银信息泄露……其他典型案例：2024/9/2416背景介绍信息安全的根源：内因：网络和系统的自身缺陷与脆弱性。外因：国家、政治、商业和个人利益冲突。2024/9/2417背景介绍常用攻击技术见下图：利用弱口令入侵利用系统漏洞入侵利用网络监听入侵利用网络欺骗入侵拒绝访问服务攻击利用网络病毒攻击其它网络入侵方式典型网络入侵技术2024/9/2418背景介绍信息丢失、篡改、销毁内部、外部泄密拒绝服务攻击逻辑炸弹黑客攻击计算机病毒后门、隐蔽通道蠕虫特洛伊木马网络2024/9/2419背景介绍产生的背景：

以上案例仅仅是冰山一角。从这些案例可以看出，信息资产一旦遭到破坏，将给组织或个人带来直接的经济损失，损害声誉和公众形象，丧失市场机会和竞争力，更为甚者，会威胁到组织的生存甚至国家安全。信息安全问题出现的初期，人们主要依靠信息安全的技术和产品来解决信息安全问题。但人们发现仅仅靠这些产品和技术还不够，即使采购和使用了足够先进、足够多的信息安全产品，如防病毒、防火墙、入侵检测、隐患扫描等，仍然无法避免一些信息安全事件的发生。2024/9/2420背景介绍三分技术七分管理2024/9/2421背景介绍体系的诞生：

人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月，国际标准化组织发布一个信息安全管理的标准－ISO/IEC17799:2000“信息安全管理实用规则，2005年6月，对该标准进行了修订，颁布了ISO/IEC17799:2005（现已更名为ISO/IEC27002:2005），10月，又发布了ISO/IEC27001:2005“信息安全管理体系要求”。之后又发布了IS0／IEC20000一1：2005“信息技术服务管理第1部分：规范”和IS0／IEC20000一2：2005“信息技术服务管理第2部分：实践规则”2024/9/2422背景介绍体系的产生：

信息安全管理体系（InformationSecurityManagementSystem，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系思想和方法在信息安全领域的应用。IT服务管理体系（Informationtechnology—ServiceManagementSystem，简称为ITSMS），从2002年开始提出此理念。2024/9/2423背景介绍体系的重要性：如今，我们已经身处信息和网络时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，随时在我们身边发生。2024/9/2424背景介绍体系的重要性：

ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。目前，在信息安全管理体系方面，ISMS标准已经成为世界上应用最广泛与典型的信息安全管理标准。ITSMS标准成为信息技术服务管理的典型规范和实践规则。这两体系认证成为组织向社会及其相关方证明其信息安全水平和服务能力的一种有效途径。建立体系是组织的一项战略性决策,保障信息安全和信息技术服务是一种系统性的工作。2024/9/2425背景介绍体系的重要性：

另外，在实际运行中，体系认证已经成为招投标项目中的重要组成部分。传统三个体系一般各占一分，ISMS在招投标中也越来越受到重视，除了金融、银行、IT相关行业是必然加分项之外，其他行业也逐渐成为加分项，例如印刷行业（母婴三证招投标中，除了国家秘密载体复制证之外，ISMS认证单独占一分）。ISMS认证和ITSMS认证会在今后招投标项目中更多的引用。2024/9/2426背景介绍体系的现状：

我们国家非常重视信息安全。2002年4月,我国成立了“全国信息安全标准化技术委员会(TC260)”。2006年3月，认监委批准4家ISMS试点认证机构。CNCA于2009年发布第47号公告《关于正式开展信息安全管理体系认证工作的公告》。到目前为止，经CNAS批准的ISMS认证机构有5家，经CNCA批准的ISMS认证机构有14家。2024/9/2427背景介绍体系的现状：

2010年8月12日，由工业和信息化部、国家质量监督检验检疫总局、中国人民银行、国务院国有资产监督管理委员会、国家保密局、国家认证认可监督管理委员会等6部委联合下发了《关于加强信息安全管理体系认证安全管理的通知》的394号文件。目前，ITSMS还没有单独成为体系进行认证，一般和ISMS结合进行，2012年8月CNCA已经正式启动ITSMS认证机构申请材料上报工作。2024/9/2428背景介绍体系的现状：截止2009年9月，全球有5941个组织获得了ISMS认证；截止到2009年4月，我国获得信息安全管理体系认证证书的机构约有200家。获得认证组织的数量正在呈快速增长趋势。我们埃尔维已经正式提交申请ISMS认证资格的申报材料，不久就能获得CNCA的批准，随后我们将继续申请ITSMS的认证资格，让我们共同期待。2024/9/2429背景介绍体系的不足：

ISMS和ITSMS标准是2005年正式发布的，7年来信息技术有了飞速的发展和变化，有些条款和措施已经不完全符合现实情况，不能完全满足现在的要求。ISO组织正对ISMS进行修订之中，预计明后年就会发布新版的标准，ITSMS也会随之更新。2024/9/2430本次交流的主要内容交流内容二、体系介绍2什么是ISMS？2024/9/2432体系介绍信息安全管理体系（ISMS）：基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分，注：管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。信息安全是指：保护信息的保密性(C)、完整性(I)、可用性(A)；另外也可包括如：真实性、可核查性、不可否认性和可靠性等。信息资产的安全属性：保密性：信息不能被未授权的个人、实体或者过程利用或知悉的特性。完整性：保护资产的准确和完整的特性。可用性：根据授权实体的要求可访问和利用的特性。真实性：保证主体或资源确系其所声称的身份的特性。可核查性：确保实体行为能被有效跟踪的特性。可靠性：与预想的行为和结果相一致的特性。是信息资产最重要的三个属性，国际上称之为信息的CIA属性或者信息安全金三角。保密性完整性可用性安全2024/9/2434体系标准介绍

ISO/IEC27000族系列标准1.ISO/IEC27000：2009《信息安全管理体系原理和术语》2.ISO/IEC27001：2005《信息安全管理体系要求》=GB/T22080-2008《信息技术安全技术信息安全管理体系要求》3.ISO/IEC27002：2005《信息安全管理实践规则》

4.ISO/IEC27003：2008《信息安全管理体系实施指南》5.ISO/IEC27004：2008《信息安全管理测量与指标》

2024/9/2435体系标准介绍

ISO/IEC27000族系列标准6.ISO/IEC27005：2011《信息安全风险管理》7.ISO/IEC27006：2007《信息安全管理体系审核认证机构要求》=CNAS-CC17：20128.ISO/IEC27007：2011《信息安全管理体系审核指南》9.ISO/IEC27008：2011《ISMS控制措施审核员指南》10.ISO/IEC27010：2012《部门间和组织间通信的信息安全管理》11.ISO/IEC27011：2009《电信业信息安全管理指南》2024/9/2436体系标准介绍前言引言1、范围2、规范性引用文件3、术语和定义4、信息安全管理体系（ISMS）5、管理职责6、ISMS内部审核7、ISMS的管理评审8、ISMS改进附录A（规范性附录）控制目标和控制措施附录B（资料性附录）OECD原则和本标准附录C（资料性附录）GB/T19001-2000，GB/T24001-2004和本标准之间的对照参考文献组织声称符合本标准时，对于第4章、第5章、第6章、第7章和第8章的要求不能删减。2024/9/2437体系标准介绍

ISMS标准删减要求：此标准特别强调：对于第4章信息安全管理体系（ISMS）、第5章管理职责、第6章ISMS内部审核、第7章ISMS的管理评审和第8章ISMS改进的要求不能删减。只有针对附录A的控制措施可以进行必要的删减，但必须证明是合理的，且需要提供证据。2024/9/2438体系标准介绍相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act此标准采用PDCA模型：2024/9/2439体系标准介绍GB/T22080-2008的主体：4-8章4信息安全管理体系（ISMS)4.1总要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2实施和运行ISMS4.2.3监视和评审ISMS4.2.4保持和改进ISMS4.3文件要求4.3.1总则4.3.2文件控制4.3.3记录控制PDCA循环2024/9/2440体系标准介绍GB/T22080-2008的主体：4-8章5管理职责5.1管理承诺5.2资源管理5.2.1资源提供5.2.2培训、意识和能力6ISMS内部审核7ISMS的管理评审7.1总则7.2评审输入7.3评审输出8ISMS改进8.1持续改进8.2纠正措施8.3预防措施2024/9/2441体系标准介绍ISMS的适用范围：适用于各种类型、规模和特性的组织（例如：商业企业、政府机构、非盈利组织等），规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求（绝不只针对IT行业和组织的IT部门）。如：金融、银行……印刷该标准仅仅指出应该使用体系化的方法进行风险评估（风险评估的方法、法律要求、降低风险到可接受级别的策略和目标）。该标准并没有规定一个特定的方法论。2024/9/2442体系标准介绍ISMS的适用范围：按照394号文件要求：为加强信息安全管理体系认证的安全管理,减少信息安全风险，各级政府机关和政府信息系统运行单位,不得利用社会第三方认证机构开展ISMS认证。为确保国家秘密安全,涉密信息系统建设使用单位不得申请ISMS认证。应选择国家认证认可监督管理部门批准从事ISMS认证的认证机构进行认证,并签订安全和保密协议,履行不泄露、不扩散、不转让认证信息的义务,保证重要敏感信息不出境。2024/9/2443体系标准介绍ISMS标准的特点：ISO/IEC27001标准用于为建立、实施、运行、监视、评审、保持和改进ISMS提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、经营状况、所采用的过程以及组织的规模和结构的影响，上述因素及其支持过程会不断发生变化。按照组织的实际需要实施ISMS是该标准所期望的，例如简单的情况可采用简单的ISMS解决方案。——（最佳合理可行）2024/9/2444体系标准介绍ISMS标准的特点：ISO27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据，无论是组织自我评估还是评估供方能力，都可以采用，也可以用作独立第三方认证的依据。标准的特点为：*注重体系的完整性，是一套科学的ISMS

*强调对法律法规的符合性*以风险评估为基础，采用PDCA的过程方法*适用于各种类型、不同规模和业务性质的组织*与其他管理体系兼容（例如ISO9000标准等）2024/9/2445体系标准介绍附录A内容简介：附录A——《控制目标和控制措施》包括11大控制领域（见图1）、39个控制目标和133项控制措施，为组织提供全方位的信息安全保障。附录A是规范性附录，和标准等同使用，可以作为认证时判标的依据。附录A中所列的控制目标和控制措施是直接源自并与GB/T22081-2008(ISO/IEC27002:2005)第5章到第15章一致。附录A中的清单并不详尽，一个组织可能考虑另外必要的控制目标和控制措施。在附录A中选择控制目标和控制措施是条款4.2.1规定的ISMS过程的一部分。2024/9/2446体系标准介绍2024/9/2447体系标准介绍附录A小结：包括11个域，汇集了39个控制目标、133个控制措施；目的是保护信息免受各种威胁的损害，以确保业务连续性、业务风险最小化、投资回报和商业机遇最大化；是实施GB/T22080-2008的支持标准，给出了组织建立信息安全管理体系（ISMS）时可选择实施的控制目标和控制措施集；是一个信息安全最佳实践的汇总；值得注意的是，标准中推荐的这133个控制措施，并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。

2024/9/2448体系标准介绍信息安全基本观点：绝对的安全不存在

任何安全机制的作用，都是为了在既定的安全目标和允许的投资规模下，有效地抑制和避免系统当前所面临的安全风险，而不是一劳永逸地解决所有的问题。依据业务需求和运营需求，保密性(C)，完整性(I)，可用性(A)三者追求一种平衡，不能把其一搞成极致。否则，会导致无法运行。2024/9/2449体系标准介绍

ISMS标准重点内容：体系的核心理念是通过“风险评估”、“风险管理”切入企业的信息安全需求，经由完整的控制措施选择及落实，有效降低企业面临的风险。风险评估是识别风险（资产、威胁、脆弱性、影响）的过程，该过程包括分析威胁,确定影响范围，发现信息、信息系统和过程机制中的脆弱性，并判断发生的可能性。风险评估有不同方法，在ISO/IECTR13335-3中描述了风险评估方法的例子。2024/9/2450体系标准介绍风险管理关系图：风险分析风险评估风险管理风险评价

风险处置

2024/9/2451体系标准介绍

ISMS标准重点术语：风险管理：指导和控制一个组织相关风险的协调活动。风险评估：风险分析和风险评价的整个过程。（有多种风险评估方法和工具可以选择）风险分析：系统地使用信息来识别风险来源和估计风险。（可以是定性、定量或二者结合）风险评价：将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。（赋值）R（风险值）=L（可能性）×S（后果严重性）2024/9/2452体系标准介绍

ISMS标准重点术语：风险处置：选择并且执行措施来更改风险的过程。风险处置方法有：接受风险、转移风险、规避风险和降低风险。威胁：可能导致对系统或组织的损害的任何不期望事件的潜在原因。脆弱性：资产可被威胁利用的弱点。（如技术脆弱性中的系统软件XP→VISTA→WIN7打补丁）风险水平：风险等级，可用后果和可能性的组合来表示。R（风险值）=L（可能性）×S（后果严重性）2024/9/2453体系标准介绍

ISMS标准重点术语：适用性声明(SOA)：描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文件。注：控制目标和控制措施是基于风险评估和风险处置过程的结果和结论、法律法规要求、合同义务以及组织对信息安全的业务要求。1、适用于组织需要的目标和控制的评述。2、适用性声明是一个包含组织所选择的控制目标和控制方式的文件，相当于一个控制目标与方式清单：其中应阐述选择与不选择的理由。2024/9/2454体系标准介绍

ISMS标准重点内容：ISMS范围的复杂性：应依据组织的：雇员+签约人员的数量、用户数量、场所数量、服务器数量、工作站+PC+便携式计算机的数量、应用开发与维护人员的数量、网络与密码技术、法律符合性的重要性、行业特定风险的适用性等因素去确定。ISMS范围的复杂性的整体有效类别可以是所识别的全部复杂性因素的类别中最高的那个，结果即为：“高”、“中”或“低”。2024/9/2455体系标准介绍

ISMS标准重点内容：不同组织的风险准则、风险分析的方法和风险评价的结果会有所不同，对于资产赋值、威胁赋值、脆弱性赋值也会有所不同。同样一个风险在不同组织可能评价的风险程度会有所不同。由于风险的不确定性，不要期望完全消除风险。2024/9/2456体系标准介绍什么是ITSMS？2024/9/2458体系介绍信息技术服务管理体系（ITSMS）：

IT服务管理是一套以流程为导向、以客户为中心的方法，通过整合IT服务与组织业务，提高企业提供IT服务和对IT服务进行支持的能力的水准。信息技术服务管理（ITSM）是一套帮助企业对IT系统的规划、研发、实施和运营进行有效管理的方法，是一套方法论。这套标准已经被欧洲、美洲和澳洲的很多企业采用，目前在欧洲40-60%的IT经理都知道ITSM，在美国有20-30%的IT经理了解ITSM,而在国内了解ITSM的人还很少。2024/9/2459体系介绍信息技术服务管理体系（ITSMS）：ITSM起源于ITIL（IT基础架构标准库），ITIL是CCTA（英国国家电脑局）于1980年开发的一套IT服务管理标准库。它把英国在IT管理方面的方法归纳起来，变成规范，为企业的IT部门提供一套从计划、研发、实施到运维的标准方法。信息技术服务管理体系（ITSMS）是能够提供ITSM的体系，是整个管理体系的一部分。2024/9/2460体系标准介绍

ISO/IEC20000系列标准1.IS0／IEC20000一1：2005=GB／T24405．1—2009《信息技术服务管理第1部分：规范》——认证的依据2.IS0／IEC20000一2：2005=GB／T24405．2—2010《信息技术服务管理第2部分：实践规则》——主要涉及IT服务管理过程的最佳实践指南，旨在为审核员提供指南，也为服务提供方策划服务改进或依据GB／T24405-1进行审核提供帮助2024/9/2461体系标准介绍

ITSMS-1部分标准内容简介：ISO/IEC20000系列标准是基于全球公认的ITIL最佳实践，于2005年12月15日由ISO/IEC对外正式颁布与执行的IT服务管理国际标准。它是全球第一部最具国际影响力的IT服务管理体系标准规范。秉承“以客户为导向，以流程为中心”的先进理念，强调按照PDCA的方法论持续改进组织所提供的IT服务，通过采用系统的流程方法，有效的向客户提供满足业务与客户需求的高质量服务，从而最终保证以最低的成本提供质量稳定的IT服务，保证业务持续运作的能力。2024/9/2462体系标准介绍

ITSMS-1部分标准内容简介：几个重要术语：1、基线：在某个时间点上服务或各个配置项的状态。2、配置项：处于或将处于配置管理之下的基础设施部件或项。注：配置项在复杂性、规模和类型方面变化可能很大，配置项可以是整个系统，包括所有的硬件、软件和文档，也可以是单个模块或很小的硬件部件。3、发布：经测试且被引入实际运行环境的新配置项和（或）变更的配置项的集合。2024/9/2463体系标准介绍

ITSMS-1部分标准内容简介：几个重要术语：4、服务台：面向顾客的、完成大部分支持工作的支持组。5、服务级别协议（SLA）：服务提供方与顾客之间签署的、描述服务和约定服务级别的协议。6、可用性：在规定时刻或规定时间段内，部件或服务执行要求功能的能力。注：可用性通常用机构使用的实际可用服务时间与约定服务时间的比率来表示。2024/9/2464体系标准介绍ITSMS-1标准主要内容简介：1范围2术语和定义3管理体系要求3.1管理职责3.2文件要求3.3能力、意识和培训4策划和实施服务管理4.1策划服务管理（策划）4.2实施服务管理和提供服务（实施）4.3监视、测量和评审（检查）4.4持续改进（处置）2024/9/2465体系标准介绍此标准采用PDCA模型：2024/9/2466体系标准介绍

ITSMS-1标准主要内容简介：5策划和实施新服务或变更的服务6服务交付过程6.1服务级别管理6.2服务报告6.3服务连续性和可用性管理6.4IT服务的预算与核算6.5能力管理6.6信息安全管理7关系过程7.1概述7.2业务关系管理7.3供方管理2024/9/2467体系标准介绍

ITSMS-1标准主要内容简介：8解决过程8.1背景8.2事件管理8.3问题管理9控制过程9.1配置管理9.2变更管理10发布过程10.1发布管理2024/9/2468体系标准介绍2024/9/2469体系标准介绍

ITSMS-2部分标准内容简介：作为实践规则此部分采用指南和建议的形式针对第一部分（规范）的10项主要内容提出了具体要求。描述了在ISO/IEC20000的第1部分中的服务管理的最佳实践，对如何实现第1部分提供了建议和指导。可用于大规模也可用于小规模的服务提供方。此部分不宜作为规范引用。2024/9/2470体系标准介绍ITSMS标准的适用范围：*将以其服务进行投标的机构；*要求供应链中的所有服务提供方采用一致的方法的机构；*要确定IT服务管理基准的服务提供方；*独立评估的基础；*需要证明其可提供满足顾客要求的服务的能力的组织；*意欲通过过程的有效应用来监视和提高服务质量，从而改善服务的组织。2024/9/2471体系标准介绍ITSMS标准的特点：*

标准为服务提供方定义了向其顾客交付可接受质量的管理服务的要求，规定了一些紧密相关的服务管理过程，这些过程之间的关系取决于组织内的应用。*

作为基于过程的标准，ISO/IEC20000-1的目的并非用于产品评估。但是开发服务管理工具、产品和系统的组织可以使用本标准及其实践规则来帮助他们开发支持最佳实践服务管理的工具、产品和系统。2024/9/2472体系标准介绍ITSMS标准的特点：*

标准与《信息技术---服务管理---第2部分:实践规则》一起覆盖了ITIL中的全部最佳实践集，便于已实施ITIL的企业转化应用，易于对实施ITIL有经验的人士理解和接受；*

与MOF(微软运作构架)、COBIT（信息和相关技术的控制目标）等IT服务管理模型有共同的技术及管理方法基础；*

与ISO9000、CMMI（软件能力成熟度模型）、ISO/IEC27001等具有良好的兼容性。2024/9/2473本次交流的主要内容交流内容3三、体系比较2024/9/2474体系比较ISMS、QMS、EMS、OHSMS、ITSMS等体系之间共同点：*

互相兼容；*

均采用PDCA（“戴明环”）过程方法；*

均以CNAS-CC01:2011管理体系认证机构要求作为基本要求；*

只要ISMS以及与其他管理体系的适当接口能够清楚地被识别，客户组织可以将ISMS文件与其他管理体系文件（例如，质量、环境和健康与安全）相结合。2024/9/2475体系比较ISMS、QMS、EMS、OHSMS、ITSMS等体系之间共同点：*

都必须具备体系文件、程序、职责、方针、目标指标、内审、管理评审、相关法律法规、纠正措施、预防措施等文件和过程；*

可以相互组合建立一体化管理体系，实现多体系结合认证；*

认证证书的使用与管理相同（3年有效，1年之内监督审核，认证标志不能用于产品等）；*

审核人日安排的基本准则相同；*

都是体系认证，认证流程相同。2024/9/2476体系比较ISMS、QMS、EMS、OHSMA、ITSMS等体系之间不同点：*

领域不同；*

适用范围有所不同（Q/E/H/IS全部适用，IT有些局限）；*

关注的侧重点有所不同；*

条款的删减有所不同（Q7.3、E/H/IT不允许删减、IS只能对附录A有所删减）；2024/9/2477体系比较ISMS、QMS、EMS、OHSMA、ITSMS等体系之间不同点：*

对审核员的能力要求有所不同（ISMS、ITSMS对专业要求更严格）；*

认证费用有所不同；*

ISMS需要提供适用性声明（SOA）文件；*ITSMS暂时还没有成为单独体系。2024/9/2478信息安全、质量、环境、IT服务管理体系对应表2024/9/2479信息安全、质量、环境、IT服务管理体系对应表2024/9/2480信息安全、质量、环境、IT服务管理体系对应表2024/9/2481本次交流的主要内容交流内容4四、概括总结2024/9/2482概括总结建立信息安全管理体系的作用：任何组织，不论它在信息技术方面如何努力以及采纳如何新的信息安全技术，实际上在信息安全管理方面都还存在漏洞，例如：

缺少信息安全管理论坛，安全导向不明确，管理支持不明显；

缺少跨部门的信息安全协调机制；

保护特定资产以及完成特定安全过程的职责还不明确；

雇员信息安全意识薄弱，缺少防范意识，外来人员很容易直接进入生产和工作场所；2024/9/2483概括总结建立信息安全管理体系的作用：

组织信息系统管理制度不够健全；

组织信息系统主机房安全存在隐患，如：防火设施存在问题，与危险品仓库同处一幢办公楼等；

组织信息系统备份设备仍有欠缺；

组织信息系统安全防范技术投入欠缺；

软件知识产权保护欠缺；

计算机房、办公场所等物理防范措施欠缺；2024/9/2484概括总结建立信息安全管理体系的作用：

档案、记录等缺少可靠贮存场所；

缺少一旦发生意外时的保证生产经营连续性的措施和计划；

……等等。建立ISMS和ITSMS就可以有效解决以上问题。2024/9/2485概括总结

ISMS认证对企业的好处：

符合法律法规要求，降低法律风险；

强化员工的信息安全意识，规范组织信息安全行为；

增强客户、合作伙伴等相关方的信任和信心；

保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，提高组织的品牌、知名度与信任度，最大限度的增加投资回报和商业机会；

促使管理层坚持贯彻信息安全保障体系，履行信息安全管理责任；2024/9/2486概括总结

ISMS认证对企业的好处：

实现风险管理，预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值