《ISO27001详细介绍》由会员分享,可在线阅读,更多相关《ISO27001详细介绍(43页珍藏版)》请在金锄头文库上搜索。
1、2020/1/4,ISO/IEC 27001简介,Page 2,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001,Page 3,BS7799,BS7799 是英国标准协会(British Standards Institute,BSI)针对信息安全管理而制定的一个标准。 1995 年,BS7799-1:1995信息安全管理实施细则首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。 1998 年,BS7799-2:1998信息安全管理体系规范公布,这是对
2、BS7799-1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。 1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。,Page 4,ISO/IEC 27002(17799),2000 年12 月,国际标准化组织ISO/IEC JTC 1/SC27 工作组认可BS7799-1:1999,正式将其转化为国际标
3、准,即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。 2005 年6 月,ISO/IEC 17799:2000 经过改版,形成了新的ISO/IEC 17799:2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。 ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式发布为 ISO/IEC 27002:2005,这次更新只在于标准上的号码, 内容并没有改变。,Page 5,ISO/IEC 27001,2002 年,BSI 对BS7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,2004 年9 月5 日,B
4、S7799-2:2002 正式发布。 2005年,BS7799-2:2002 终于被ISO 组织所采纳,于同年10 月推出了ISO/IEC 27001:2005。,Page 6,对应国内标准,大陆 2005年6月15日,我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。 2008年6月19日, GB/T 19716-2005作废,改为GB/T 22081-2008 。 台湾省 在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则被引用为CNS 17800。,Page 7
5、,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001,Page 8,17799标准内容,ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施 1) 安全方针 7) 访问控制 2) 信息安全组织 8) 信息系统获取、开发和维护 3) 资产管理 9) 信息安全事故管理 4) 人力资源安全 10) 业务连续性管理 5) 物理和环境安全 11) 符合性 6) 通信和操作管理,Page 9,17799:2000 Vs 17799:2005,ISO/IEC 17799:2005版的内容与200
6、0版相比,新增加了17 项控制,在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9 项控制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。,Page 10,17799的适用性,本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。 (引用自ISO/IEC 177
7、99:2005中 “0.8 开发你自己的指南” ),Page 11,信息安全起点,实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可以使用于大多数的组织,他们被成为“信息安全起点”。 从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括: a) 数据保护和个人信息的隐私(见15.1.4); b) 保护组织的记录(见15.1.3); c) 知识产权(见15.1.2)。 被认为是信息安全的常用惯例的控制措施包括: a) 信息安全方针文件(见5.1.1); b) 信息安全职责的分配(见6.1.3); c) 信息安全意识、教育和培训(见8.2.2); d) 应用中的正确处理(见12
8、.2); e) 技术脆弱性管理(见12.6); f) 业务连续性管理(见14); g) 信息安全事故和改进管理(见13.2)。 这些控制措施适用于大多数组织和环境。,(引用自ISO/IEC 17799:2005中 “0.6 信息安全起点” ),Page 12,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001,Page 13,ISMS(信息安全管理系统),ISO/IEC 27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(Infor
9、mationSecurity Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。 (引用自ISO/IEC 27001:2005中 “0.1 总则” ),Page 14,PDCA(戴明环),PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特
10、(WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。 1、P(Plan)-计划,确定方针和目标,确定活动计划; 2、D(Do)-执行,实地去做,实现计划中的内容; 3、C(Check)-检查,总结执行计划的结果,注意效 果,找出问题; 4、A(Action)-行动,对总结检查的结果进行处理, 成功的经验加以肯定并适当推广、标准化;失败的教 训加以总结,以免重现,未解决的问题放到下一个 PDCA循环。,Page 15,PDCA特点,大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方
11、法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。,Page 16,PDCA特点(续),不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。,P,D,C,A,质量水平
12、,螺旋上升的PDCA,Page 17,PDCA和ISMS的结合,Page 18,与其他标准的兼容性,本标准与GB/T 19001-2000及GB/T 24001-1996相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000(ISO 9001:2000)和GB/T 24001-1996(ISO14001:2004)的各条款之间的关系。 本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。 (引用自ISO/IEC 27001:2005中 “0.3与其它管理体系的兼
13、容性” ) 注:ISO 14001:2004环境管理体系规范及使用指南 ISO 9001:2000国际性质量管理标准,Page 19,与其他标准的兼容性(续),Page 20,目录,背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 17799&27001,Page 21,重点章节,本标准的重点章节是48章。 前三章的内容结构如下所示: 引言 0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性 1 范围 1.1 总则 1.2 应用 2 规范性引用文件 3 术语和定义,Page 22,第四章 信息安全管理体系,4.1 总要求 一个组织应在其
14、整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。 4. 2 建立和管理ISMS 4.2.1 建立ISMS(PLAN) 定义ISMS 的范围 定义ISMS 策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明(SoA) 取得管理层对残留风险的承认,并授权实施和操作ISMS,P,D,C,A,Page 23,第四章 信息安全管理体系(续),4.2.2 实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足
15、控制目标 实施培训和意识程序 管理操作 管理资源(参见5.2) 实施能够激发安全事件检测和响应的程序和控制,P,D,C,A,Page 24,第四章 信息安全管理体系(续),4.2.3 监控和评审ISMS(CHECK) 执行监视程序和控制 对ISMS 的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内部ISMS 审计 定期对ISMS 进行管理复审 记录活动和事件可能对ISMS 的效力或执行力度造成影响,P,D,C,A,Page 25,第四章 信息安全管理体系(续),4.2.4 保持和改进ISMS(ACT) 对ISMS 实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴
16、沟通 确保改进成果满足其预期目标,P,D,C,A,Page 26,第四章 信息安全管理体系(续),4.3 文件要求 总则 文件控制 记录控制,ISO27001 标准所要求建立的ISMS 是一个文件化的体系,ISO27001 认证第一阶段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以,在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。,Page 27,第四章 信息安全管理体系(续),ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的: 信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。 一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限于此): 信息安全方针 风险评估报告 适用性声明(SoA) 二级文件:
