ISO27001标准详解PPT课件

资源描述

《ISO27001标准详解PPT课件》由会员分享，可在线阅读，更多相关《ISO27001标准详解PPT课件（96页珍藏版）》请在金锄头文库上搜索。

1、 ISO27001标准详解信息安全管理体系背景介绍信息作为组织的重要资产需要得到妥善保护但随着信息技术的高速发展特别是Internet的问世及网上交易的启用许多信息安全的问题也纷纷出现系统瘫痪黑客入侵病毒感染网页改写客户资料的流失及公司内部资料的泄露等等这些已给组织的经营管理生存甚至国家安全都带来严重的影响安全问题所带来的损失远大于交易的帐面损失它可分为三类包括直接损失间接损失和法律损失一直接损失丢失订单减少直接收入损失生产率二间接损失恢复成本竞争力受损品牌声誉受损负面的公众影响失去未来的业务机会影响股票市值或政治声誉三法律损失

2、法律法规的制裁带来相关联的诉讼或追索等 ISO27001的内容信息安全管理体系背景介绍所以在享用现代信息系统带来的快捷方便的同时如何充分防范信息的损坏和泄露已成为当前企业迫切需要解决的问题俗话说三分技术七分管理目前组织普遍采用现代通信计算机网络技术来构建组织的信息系统但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足缺乏明确的信息安全方针完整的信息安全管理制度相应的管理措施不到位如系统的运行维护开发等岗位不清职责不分存在一人身兼数职的现象这些都是造成信息安全事件的重要原因缺乏系统的管理思想也是一个重要的问题所以我们需要一个系统的整

3、体规划的信息安全管理体系从预防控制的角度出发保障组织的信息系统与业务之安全与正常运作 ISO27001的内容信息安全管理体系标准发展历史目前在信息安全管理体系方面 ISO IEC27001 2005 信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准 ISO IEC27001是由英国标准BS7799转换而成的 BS7799标准于1993年由英国贸易工业部立项于1995年英国首次出版BS7799 1 1995 信息安全管理实施细则它提供了一套综合的由信息安全最佳惯例组成的实施规则其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准适用于大中小组

4、织 2000年12月 BS7799 1 1999 信息安全管理实施细则通过了国际标准化组织ISO的认可正式成为国际标准 ISO IEC17799 2000 信息技术信息安全管理实施细则后来该标准已升版为 ISO27001的内容信息安全管理体系标准发展历史ISO IEC17799 2005 2002年9月5日 BS7799 2 2002正式发布 2002版标准主要在结构上做了修订引入了PDCA Plan Do Check Act 的过程管理模式建立了与ISO9001 ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式 2005年 BS7799 2 2002正式

5、转换为国际标准ISO IEC27001 2005 ISO27001的内容信息安全管理体系要求11个控制领域39个控制目标133个控制措施 ISO27001的内容必须的ISMS文件 1 ISMS方针文件包括ISMS的范围 2 风险评估程序和风险处理程序 3 文件控制程序和记录控制程序 4 内部审核程序和管理评审程序尽管没有强制 5 纠正措施和预防措施控制程序 6 控制措施有效性的测量程序 7 适用性声明 ISO27001的内容对外增强顾客信心和满意改善对安全方针及要求的符合性提供竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力

6、形成文件的ISMS的益处 PDCA方法纠正和预防措施内部审核 ISMS管理评审 ISMS的持续改进 Page10 PDCA 戴明环 PDCA Plan Do Check和Act 是管理学惯用的一个过程模型最早是由休哈特 WalterShewhart 于19世纪30年代构想的后来被戴明 EdwardsDeming 采纳宣传并运用于持续改善产品质量的过程当中 1 P Plan 计划确定方针和目标确定活动计划 2 D Do 执行实地去做实现计划中的内容 3 C Check 检查总结执行计划的结果注意效果找出问题 4 A Action 行动对总结检查的结果进行处理成功的经验

7、加以肯定并适当推广标准化失败的教训加以总结以免重现未解决的问题放到下一个PDCA循环 Page11 PDCA特点大环套小环小环保大环推动大循环PDCA循环作为质量管理的基本方法不仅适用于整个工程项目也适应于整个企业和企业内的科室工段班组以至个人各级部门根据企业的方针目标都有自己的PDCA循环层层循环形成大环套小环小环里面又套更小的环大环是小环的母体和依据小环是大环的分解和保证各级部门的小环都围绕着企业的总目标朝着同一方向转动通过循环把企业上下或工程项目的各项工作有机地联系起来彼此协同互相促进以上特点 Page12 PDCA特点续不断前进不断提

8、高PDCA循环就像爬楼梯一样一个循环运转结束生产的质量就会提高一步然后再制定下一个循环再运转再提高不断前进不断提高是一个螺旋式上升的过程 P D C A 质量水平螺旋上升的PDCA Page13 PDCA和ISMS的结合 Page14 重点章节本标准的重点章节是4 8章前三章的内容结构如下所示引言0 1总则0 2过程方法0 3与其他管理体系的兼容性1范围1 1总则1 2应用2规范性引用文件3术语和定义 0 1总则 0 2过程方法过程方法的定义组织内各过程系统的应用连同这些过程的识别和相互作用及其管理可以被称为过程方法过程方法鼓励其使用者以强调以下方面的重要性

9、理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进 0引言 1 1总则本标准规定了在组织整体业务风险的范围内制定实施运行监控评审保持和改进文件化信息安全管理系统的要求 1 2应用适用于各种类型不同规模和提供不同产品的组织可以考虑删减但条款4 5 6 7和8是不能删减的 1范围 ISO IEC17799 2005信息技术安全技术信息安全管理实施指南 2引用标准信息是经过加工的数据或消息信息是对决策者有价值的数据资产任何对组织有价值的事物可用性确保授权用户可以在需要时可

10、以获得信息和相关资产保密性确保信息仅为被授权的用户获得 3术语和定义完整性确保信息及其处理方法的准确性和完整性信息安全保护信息的保密性完整性可用性另外也包括其他属性如真实性可核查性不可抵赖性和可靠性信息安全事件已识别出的发生的系统服务或网络状态表明可能违反信息安全策略或防护措施失效的事件或以前未知的与安全相关的情况 3术语和定义续信息安全事故信息安全事故是指一个或系列非期望的或非预期的信息安全事件这些信息安全事件可能对业务运营造成严重影响或威胁信息安全信息安全管理体系 ISMS 全面管理体系的一部分基于业务风险方法旨在建立实施运行监控评审维持和改

11、进信息安全适用性声明基于风险评估和风险处理过程的结果和结论描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件 3术语和定义续残余风险实施风险处置后仍旧残留的风险风险接受接受风险的决定风险分析系统地使用信息以识别来源和估计风险 3术语和定义续风险评估风险分析和风险评价的全过程风险评价将估计的风险与既定的风险准则进行比较以确定重要风险的过程风险管理指导和控制一个组织关于风险的协调活动风险处置选择和实施措施以改变风险的过程 3术语和定义续 Page23 4信息安全管理体系 4 1总要求一个组织应在其整体业务活动和所面临风险的环境下建立实施运行监视评审保持和

12、改进文件化的ISMS 就本标准而言使用的过程基于图1所示的PDCA模型 4 2建立和管理ISMS4 2 1建立ISMS PLAN 定义ISMS的范围定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明 SoA 取得管理层对残留风险的承认并授权实施和操作ISMS P D C A Page24 4信息安全管理体系续 4 2 2实施和运行ISMS DO 制定风险处理计划实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源参见5 2 实施能够激发安全事件检测和响应的程序和控制 P D C A P

13、age25 4信息安全管理体系续 4 2 3监控和评审ISMS CHECK 执行监视程序和控制对ISMS的效力进行定期复审复审残留风险和可接受风险的水平按照预定计划进行内部ISMS审计定期对ISMS进行管理复审记录活动和事件可能对ISMS的效力或执行力度造成影响 P D C A Page26 4信息安全管理体系续 4 2 4保持和改进ISMS ACT 对ISMS实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标 P D C A Page27 4信息安全管理体系续 4 3文件要求总则文件控制记录控制 ISO27001标准所要求建立的ISMS是一个文件化的体

14、系 ISO27001认证第一阶段就是进行文件审核文件是否完整足够有效都关乎审核的成败所以在整个ISO27001认证项目实施过程中逐步建立并完善文件体系非常重要 ISMS文件方针范围风险评价适用性声明描述过程 who what when where 描述任务及具体的活动如何完成提供符合ISMS条款3 6要求的可感证据第一层次第二层次第三层次第四层次安全手册程序作业指导书检查表表格记录管理框架与ISO27001条款4有关的方针 Page29 4信息安全管理体系续 ISO27001标准要求的ISMS文件体系应该是一个层次化的体系通常是由四个层次构成

15、的信息安全手册该手册由信息安全委员会负责制定和修改是对信息安全管理体系框架的整体描述以此表明确定范围内ISMS是按照ISO27001标准要求建立并运行的信息安全手册包含各个一级文件一级文件全组织范围内的信息安全方针以及下属各个方面的策略方针等一级文件至少包括可能不限于此信息安全方针风险评估报告适用性声明 SoA 二级文件各类程序文件至少包括可能不限于此风险评估流程风险管理流程风险处理计划管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理

16、程序法律符合性管理规定信息系统安全审计规定文件及材料控制程序安全事件处理流程三级文件具体的作业指导书描述了某项任务具体的操作步骤和方法是对各个程序文件所规定的领域内工作的细化四级文件各种记录文件包括实施各项流程的记录成果这些文件通常表现为记录表格应该成为ISMS得以持续运行的有力证据由各个相关部门自行维护 5 1管理承诺5 2资源管理5 2 1提供资源5 2 2培训意识和能力 5管理职责管理者应通过如下所示向ISMS的建立实施运作监管审核维持和改进提供承诺的证据 a 建立信息安全方针 b 确保信息安全目标和计划的建立 c 为信息安全定岗并建立岗位职责 d 向本组织宣传达到信息安全目标和符合信息安全方针的重要性以及本组织的法律责任和持续改进的需求 e 为ISMS的发展实施运作和维持提供充足的资源 f 确定接受风险的准则和可接受的风险等级 g 确保ISMS内部审核的实施 h 进行ISMS管理评审 5 1管理承诺组织应确定并提供以下方面所需资源建立实施运作和维持ISMS 确保信息安全程序支持业务需要识别和定位法律法规要求和合同安全责任通过正确

展开阅读全文