翰纬ISO27001认证咨询介绍

ISO27001认证咨询介绍上海翰纬信息管理咨询有限公司黄新峰22025/1/26IT管理挑战和行业标准TCOITILCMMCOBITSixSigmaISO9000NationalAwards

(e.g.,Baldrige)ScorecardsIS/ITRelevanceSpecificHolisticLowHighLevelofAbstractionPeopleCMMISO27001Lean(Toyota)MOFeTOMSOXIT管理面临的挑战：安全性（防止数据泄密、信息系统的安全性）运行效率&质量（特别是成本）用户体验（关系到用户购买、感受和和用户投诉)稳定性（IT基础架构可用性/可靠性；重要业务系统稳定性，业务连续性管理）行业监管要求和监管标准团队培养、服务意识培养ISO2700132025/1/26ISO27001定义简单讲，ISO27001是认证组织对敏感信息和资产进行管理和控制水平的的国际标准ISO27001基于业务风险管理方法，以建立、实施、运行、监视、评审、保持和改进组织的信息安全三分技术、七分管理ISO27000族标准ISO/IEC27000—Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—OverviewandvocabularyISO/IEC27001—Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems—RequirementsISO/IEC27002—Informationtechnology—Securitytechniques—Codeofpracticeforinformationsecuritymanagement（即原来的17799：2005）ISO/IEC27003—Informationtechnology—Securitytechniques—InformationsecuritymanagementsystemimplementationguidanceISO/IEC27004—Informationtechnology—Securitytechniques—InformationsecuritymanagementmeasurementsISO/IEC27005—Informationtechnology—Securitytechniques—InformationsecurityriskmanagementISO/IEC27006—Informationtechnology—Securitytechniques—RequirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystemsISO/IEC27007—Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems–Auditorguidelines42025/1/26ISO27001发展历程52025/1/261995英国出版BS7799-1:1995《信息安全管理实施细则》英国出版BS7799-2:1998《信息安全管理体系规范》1998BS7799-1:1999与BS7799-2:1999经过修订后重新发布1999BS7799-1:1999通过国际化标准组织ISO认可,12月正式成为国际标准ISO/IEC17799:2000《信息技术-信息学安全管理实施细则》2000BSI对BS7799-2:1999进行了修订，正式引入PDCA过程模型。9月BS7799-2:2002公布发行。20022004年9月5号，BS7799-2:2002正式发布，提交ISO，可望近期成为国际标准。20041993率先由英国贸易工业部进行专案。2005年10月14号,BS7799-2:2005成为ISO/IEC270012005年，ISO/IEC17799:2005正式发布62025/1/26ISO27001介绍Chapter0:简介Chapter1:范围Chapter2:强制性应用标准Chapter3:术语和定义Chapter4:信息安全管理体系Chapter5:管理责任Chapter6:ISMS内部审查（内审）Chapter7:ISMS管理评审Chapter8:ISMS改善附件A（强制性）控制目标和控制措施附录A：11个控制域72025/1/26访问控制信息安全方针安全组织人力资源安全物理与环境安全系统开发连续运营计划符合性信息客户记录人事记录法律记录通信与运作管理资产分级控制安全事件管理39个控制目标A.5、安全方针（SecurityPolicy）(1,2)（附注）A.6、安全组织（SecurityOrganization）(2,11)A.7、资产分类与控制(AssetclassificationandControl)(2,5)A.8、人员安全(PersonnelSecurity)(3,9)A.9、物理与环境安全(PhysicandEnvironmentSecurity)(2,13)A.10、通信与运行管理(CommunicationandOperationManagement)(10,32)A.12、系统开发与维护(Systemdevelopandmaintenance)(6,16)A.11、访问控制(Accesscontrol)(7,25)A.13、安全事件管理(Compliance)(2,5)A.14、业务持续性管理(Businesscontinuitymanagement)(1,5)A.15、符合性(Compliance)(3,10)附注：(m，n)－m：执行目标的数目n：控制措施的数目ISO27001定义的信息安全管理体系92025/1/261.评估安全风险3.建立信息安全管理框架确定安全需求设定信息安全的方向和目标，定义管理层承诺的策略ISMS根据需求采取措施消减风险，以实现既定安全目标2.选择并实施控制ISO27001体系必须明确的内容102025/1/26要保护的资产控制目标和控制措施需要保证的程度风险管理的途径112025/1/26全球ISMS证书数量统计数据来源：/122025/1/26认证范围项目目标：帮助客户建立ISMS体系建立持续改进机制认证范围：适用于组织所有部门，无论是IT服务部门还是业务部门、人事行政或是财务部门。132025/1/26总体方案架构体系审核和认证ISO27001体系建设体系试运行ISMS专项咨询ISO27001认知培训现状调研/差距分析ISO27001内审员培训主要工作内容工作包（一）：ISO27