ISO27001简介.ppt

《ISO27001简介.ppt》由会员分享，可在线阅读，更多相关《ISO27001简介.ppt（90页珍藏版）》请在金锄头文库上搜索。

1、英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.ISO/IEC 27

2、001简介英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 目录目录

3、l背景介绍背景介绍lISO/IEC 17799lISO/IEC 27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC 27001英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:

4、黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. BS7799lBS7799 是英国标准协会（是英国标准协会（British Standards Institute，BSI）针对信息安全管理）针对信息安全管理而制定的一个标准而制定的一个标准。l1995 年，年，BS7799-1:1995信息安全管理实施细则信息安全管理实施细则首次出版，它提供了一套综首次出版，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控合性的、由信息安全最佳惯例构成的实施细则，目

5、的是为确定各类信息系统通用控制提供唯一的参考基准。制提供唯一的参考基准。l1998 年，年，BS7799-2:1998信息安全管理体系规范信息安全管理体系规范公布，这是对公布，这是对BS7799-1 的有的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。信息安全管理体系评估的基础，可以作为认证的依据。l1999 年年4 月，月，BS7799 的两个部分被重新修订和扩展，形成了一个完整版的的两个部分被重新修订和扩展，形成了一个完整版的BS7799:19

6、99。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和。新版本充分考虑了信息处理技术应用的最新发展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。电子商务、移动计算、远程工作等。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色

7、:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.ISO/IEC 27002(17799)l2000 年年12 月，国际标准化组织月，国际标准化组织ISO/IEC JTC 1/SC27 工作组认可工作组认可BS7799-1:1999，正式将其转化为国际标准，即所颁布的，正式将其转化为国际标准，即所颁布的ISO/IEC 17799:200

8、0信息技术信息技术信息安全管理实施细则信息安全管理实施细则。l2005 年年6 月，月，ISO/IEC 17799:2000 经过改版，形成了新的经过改版，形成了新的ISO/IEC 17799:2005，新版本较老版本无论是组织编排还是内容，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。完整性上都有了很大增强和提升。lISO/IEC 17799 :2005已更新并在已更新并在2007年年 7 月月1日正式发布为日正式发布为 ISO/IEC 27002:2005，这次更新只在于标准上的号码，这次更新只在于标准上的号码, 内容并没有内容并没有改变。改变。英文标题:32-35pt

9、 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.ISO/IEC 27001l2002 年，年

10、，BSI 对对BS7799:2-1999 进行了重新修订，正式引入进行了重新修订，正式引入PDCA 过程模型，过程模型，2004 年年9 月月5 日，日，BS7799-2:2002 正式发布正式发布。l2005年，年，BS7799-2:2002 终于被终于被ISO 组织所采纳，于同年组织所采纳，于同年10 月推月推出了出了ISO/IEC 27001:2005。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录

11、(2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.对应国内标准l大陆大陆p2005年6月15日，我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。p2008年6月19日， GB/T 19716-2005作废，改为GB/T 22

12、081-2008 。l台湾省台湾省p在台湾，BS7799-1:1999 被引用为CNS 17799，而BS7799-2:2002 则被引用为CNS 17800。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体

13、 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 目录目录l背景介绍背景介绍lISO/IEC 17799lISO/IEC 27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC 27001英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色

14、内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.17799标准内容lISO/IEC 17799:2005版包括版包括11 个方面、个方面、39 个控制目标和个控制目标和133 项控制措施项控制措施p1) 安全方针安全方针7) 访问控制访问控制p2) 信息安全组织信息安全组织8) 信息系统获取、开发和维护信息系统获取、开发和维护p3) 资产管

15、理资产管理9) 信息安全事故管理信息安全事故管理p4) 人力资源安全人力资源安全10) 业务连续性管理业务连续性管理p5) 物理和环境安全物理和环境安全11) 符合性符合性p6) 通信和操作管理通信和操作管理l注：详细内容见附录二注：详细内容见附录二英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体

16、: Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.17799:2000 Vs 17799:2005lISO/IEC 17799:2005版的内容与版的内容与2000版相比，新增加了版相比，新增加了17 项控制，项控制，在在客户往来安全、资产属主定义、人员离职管理、第三方服务交付客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉等方面对

17、原标准做了全新阐释或补充。去掉了原标准中的了原标准中的9 项控制，这些控制或者是不再适应信息通信技术的项控制，这些控制或者是不再适应信息通信技术的发展，或者是已经并入到新标准的其他控制内容中了。发展，或者是已经并入到新标准的其他控制内容中了。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Ar

18、ial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.17799的适用性l本实用规则可认为是组织开发其详细指南的起点。对一个组织来说，本实用规则可认为是组织开发其详细指南的起点。对一个组织来说，本实用规则中的控制措施和指南本实用规则中的控制措施和指南并非全部适用并非全部适用，此外，很可能还需，此外，很可能还需要本标准中要本标准中未包括未包括的另外的控制措施和指南。为便于审核员和业务的另外的控制措施和指南。为便于审核员和业务伙伴进

19、行符合性检查，当开发包含另外的指南或控制措施的文件时，伙伴进行符合性检查，当开发包含另外的指南或控制措施的文件时，对本标准中条款的相互参考可能是有用的对本标准中条款的相互参考可能是有用的。l（引用自引用自ISO/IEC 17799:2005中中 “0.8 开发你自己的指南开发你自己的指南” ）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :Frutiger

20、Next LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息安全起点l实施细则中有些内容可能并不使用于所有组织和企业，但是有些措施可以使用于大实施细则中有些内容可能并不使用于所有组织和企业，但是有些措施可以使用于大多数的组织，他们被成为多数的组织，他们被成为“信息安全起点信息安全起点”。p从法律的观点看，根据适用的法律，对某个组织重要的控制措施包括：从法律的观点看，根据适用的法律

21、，对某个组织重要的控制措施包括：na) 数据保护和个人信息的隐私（见数据保护和个人信息的隐私（见15.1.4）；）；nb) 保护组织的记录（见保护组织的记录（见15.1.3）；）；nc) 知识产权（见知识产权（见15.1.2）。）。p被认为是信息安全的常用惯例的控制措施包括：被认为是信息安全的常用惯例的控制措施包括：na) 信息安全方针文件（见信息安全方针文件（见5.1.1）；）；nb) 信息安全职责的分配（见信息安全职责的分配（见6.1.3）；）；nc) 信息安全意识、教育和培训（见信息安全意识、教育和培训（见8.2.2）；）；nd) 应用中的正确处理（见应用中的正确处理（见12.2）；）；

22、ne) 技术脆弱性管理（见技术脆弱性管理（见12.6）；）；nf) 业务连续性管理（见业务连续性管理（见14）；）；ng) 信息安全事故和改进管理（见信息安全事故和改进管理（见13.2）。）。l这些控制措施适用于大多数组织和环境。这些控制措施适用于大多数组织和环境。l（引用自引用自ISO/IEC 17799:2005中中 “0.6 信息安全起点信息安全起点” ）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录

23、 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 目录目录l背景介绍背景介绍lISO/IEC 17799lISO/IEC 27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC 27001英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :

24、FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.ISMS(信息安全管理系统)lISO/IEC 27001:2005版通篇就在讲一件事，版通

25、篇就在讲一件事，ISMS(信息安全管理系统信息安全管理系统)。l本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（InformationSecurity Management System，简称，简称ISMS）提供模型。采用）提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因素及要和目标、安全要求、所采用的过程以及组织的规模和结构的影响，上述因

26、素及其支持系统会不断发生变化。按照组织的需要实施其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例，是本标准所期望的，例如，简单的情况可采用简单的如，简单的情况可采用简单的ISMS解决方案。解决方案。 本标准可被内部和外部相关方用于一致性评估。本标准可被内部和外部相关方用于一致性评估。l（引用自引用自ISO/IEC 27001:2005中中 “0.1 总则总则” ）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英

27、文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.PDCA（戴明环）lPDCA（Plan、Do、Check 和和Act）是管理学惯用的一个过程模型，最早是由休哈特）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于）于19 世纪世纪30 年代构想的，后

28、来被戴明（年代构想的，后来被戴明（Edwards Deming）采纳、）采纳、宣传并运用于持续改善产品质量的过程当中宣传并运用于持续改善产品质量的过程当中。p1、P（Plan）-计划，确定方针和目标，确定活动计划；计划，确定方针和目标，确定活动计划；p2、D（Do）-执行，实地去做，实现计划中的内容；执行，实地去做，实现计划中的内容；p3、C（Check）-检查，总结执行计划的结果，注意效检查，总结执行计划的结果，注意效果，找出问题果，找出问题；p4、A（Action）-行动，对总结检查的结果进行处理，行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教成功的经验加以

29、肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个训加以总结，以免重现，未解决的问题放到下一个PDCA循环。循环。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议

30、同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.PDCA特点l 大环套小环，小环保大环，推动大循环大环套小环，小环保大环，推动大循环 pPDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体循环，层层循环，形成大

31、环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。促进。以上特点。 英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文

32、:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.PDCA特点(续)l 不断前进、不断提高不断前进、不断提高 p PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，

33、不断前进，不断提高，是一个螺旋然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。式上升的过程。PDCA质量水平质量水平螺旋上升的螺旋上升的PDCA英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色

34、:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.PDCA和ISMS的结合英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt

35、颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.与其他标准的兼容性l本标准与本标准与GB/T 19001-2008及及GB/T 24001-2004相结合，以支持与相关相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表可以满足所有这些标准的要求。表C.1说明了本标准、说明了本标准、GB/T 19001-2008（ISO 9001:2008）和和GB/T 240

36、01-2004（ISO14001:2004）的各的各条款之间的关系。条款之间的关系。l本标准的设计能够使一个组织将其本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结与其它相关的管理体系要求结合或整合起来合或整合起来。l（引用自引用自ISO/IEC 27001:2005中中 “0.3与其它管理体系的兼容性与其它管理体系的兼容性” ）l注：注：ISO 14001:2004环境管理体系规范及使用指南环境管理体系规范及使用指南 l ISO 9001:2008国际性质量管理标准国际性质量管理标准 英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNex

37、t LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 目录目录l背景介绍背景介绍lISO/IEC 17799lISO/IEC 27001p重点内容p重点章节p认证流

38、程l17799&27001l我司业务与我司业务与ISO/IEC 27001英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一

39、组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.重点章节l本标准的重点章节是本标准的重点章节是48章。章。 l前三章的内容结构如下所示：前三章的内容结构如下所示：引言引言0.1 总则0.2 过程方法0.3 与其他管理体系的兼容性1 范围范围1.1 总则1.2 应用2 规范性引用文件规范性引用文件3 术语和定义术语和定义英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色

40、内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第四章 信息安全管理体系l4.1 总要求总要求 一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的保持和改进文件化的ISMS。就本标准而言，使用的过程基于图。就本标准而言，使

41、用的过程基于图1所示的所示的PDCA模型。模型。l4. 2 建立和管理建立和管理ISMSp4.2.1 建立ISMS(PLAN)n定义ISMS 的范围n定义ISMS 策略n定义系统的风险评估途径n识别风险n评估风险n识别并评价风险处理措施n选择用于风险处理的控制目标和控制n准备适用性声明（SoA）n取得管理层对残留风险的承认，并授权实施和操作ISMS英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级)

42、 :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第四章 信息安全管理体系(续)p4.2.2 实施和运行ISMS(DO)n制定风险处理计划n实施风险处理计划n实施所选的控制措施以满足控制目标n实施培训和意识程序n管理操作n管理资源（参见5.2）n实施能够激发安全事件检测和响应的程序和控制英文标题:32-35pt 颜色:

43、 R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第四章 信息安全管理体系(续)p4.2.3 监控和评

44、审ISMS(CHECK)n执行监视程序和控制n对ISMS 的效力进行定期复审n复审残留风险和可接受风险的水平n按照预定计划进行内部ISMS 审计n定期对ISMS 进行管理复审n记录活动和事件可能对ISMS 的效力或执行力度造成影响英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正

45、文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第四章 信息安全管理体系(续)p4.2.4 保持和改进ISMS(ACT)n对ISMS 实施可识别的改进n采取恰当的纠正和预防措施n与所有利益伙伴沟通n确保改进成果满足其预期目标英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文

46、:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第四章 信息安全管理体系(续)p4.3 文件要求n总则n文件控制n记录控制ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以

47、，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择

48、一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第四章 信息安全管理体系(续)lISO27001 标准要求的标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的文件体系应该是一个层次化的体系，通常是由四个层次构成的：l信息安全手册信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内明确定范围内ISMS 是按照是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件标准要求建立并运行的。信息安全手册包含各个一级文件

49、。l一级文件一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此于此）：）：p信息安全方针信息安全方针p风险评估报告风险评估报告p适用性声明（适用性声明（SoA）l二级文件二级文件：各类程序文件。至少包括（可能不限于此：各类程序文件。至少包括（可能不限于此）：）：p风险评估流程风险评估流程风险管理流程风险管理流程风险处理计划风险处理计划管理评审程管理评审程序序p信息设备管理程序信息设备管理程序信息安全组织建设规定信息安全组织建设规定新设施管理程序新设施管理程序内部

50、审核程序内部审核程序p第三方和外包管理规定第三方和外包管理规定信息资产管理规定信息资产管理规定工作环境安全管理规定工作环境安全管理规定介质处理与安全规定介质处理与安全规定p系统开发与维护程序系统开发与维护程序业务连续性管理程序业务连续性管理程序法律符合性管理规定法律符合性管理规定信息系统安全审计规定信息系统安全审计规定p文件及材料控制程序文件及材料控制程序安全事件处理流程安全事件处理流程l三级文件三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化工作的细化

51、。l四级文件四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部门自行维护得以持续运行的有力证据，由各个相关部门自行维护。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext

52、LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第五章 管理职责l5.1 管理层责任管理层责任 说明管理层在ISMS 建设过程中应该承担的责任。l5.2 对资源的管理对资源的管理 p5.2.1 资源提供 组织应该确定并提供ISMS 相关所有活动必要的资源p5.2.2 培训、意识和能力 通过培训，组织应该确保所有在ISMS 中承担责任的人能够胜任其职英文标题:32-35pt 颜色:

53、R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第六章 ISMS 内部审计l组织应该通过定期的内部审计

54、来确定组织应该通过定期的内部审计来确定ISMS 的控制目标、控制、过程和程的控制目标、控制、过程和程序满足相关要求。序满足相关要求。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面

55、内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第七章 ISMS 的管理评审l7.1 概要概要 管理层应该对组织的管理层应该对组织的ISMS 定期进行评审，确保其持续适宜、充分和有效。定期进行评审，确保其持续适宜、充分和有效。l7.2 评审输入评审输入 评审时需要的输入资料，包括内审结果。评审时需要的输入资料，包括内审结果。l7.3 评审输出评审输出 评审成果，应该包含任何决策及相关行动。评审成果，应该包含任何决策及相关行动。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Me

56、dium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.第八章 ISMS 改进l8.1 持续改进持续改进 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性组织应

57、该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进和预防性措施、管理复审来持续改进ISMS 的效力的效力。l8.2 纠正措施纠正措施 组织应该采取措施，消除并实施和操作组织应该采取措施，消除并实施和操作ISMS 相关的不一致因素，避免其再次出相关的不一致因素，避免其再次出现现。l8.3 预防措施预防措施 为了防止将来出现不一致，应该确定防护措施。所采取的预防措施应与潜在问题为了防止将来出现不一致，应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜的影响相适宜。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :Frutig

58、erNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 目录目录l背景介绍背景介绍lISO/IEC 17799lISO/IEC 27001p重点内容p重点章

59、节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC 27001英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面

60、内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.建设ISMSl第一步工作是建设第一步工作是建设ISMS系统，这部分工作可以由组织或者公司自己进行，系统，这部分工作可以由组织或者公司自己进行，前提是该组织拥有专业的人才。大部分的公司不具备这样的能力，这就需前提是该组织拥有专业的人才。大部分的公司不具备这样的能力，这就需要一些专业的咨询公司或者安全公司等有要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助专业实施经验的公司协助进行。进行。l建设建设ISMS的工作不是一个纯粹的的工作不是一个纯粹的IT建设，而是建立一个循序渐进的体系，建设，而是建立一个循序渐进的体系

61、，需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负责这项工作。责这项工作。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色

62、参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.建设ISMS（续）l文件化很重要，针对标准文件化很重要，针对标准4.3的内容，各个层次的文件和记录都需要编写的内容，各个层次的文件和记录都需要编写完备，这些工作也可以由第三方来协助进行。完备，这些工作也可以由第三方来协助进行。l风险评估，培训等工作的进行也需要在咨询公司的协助下进行。风险评估，培训等工作的进行也需要在咨询公司的协助下进行。lISMS初步建立之后，需要运行一段时间，针对出现的问题进行修正。初步建立之后，需要运行一段时间，针对出现的问题进行修正。英文

63、标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.提出申请l待待ISMS稳

64、定运行一段时间之后，可以考虑提出审核申请。可以进行稳定运行一段时间之后，可以考虑提出审核申请。可以进行27001审核的机构在国内有审核的机构在国内有BSI(英国标准化协会英国标准化协会)和和DNV(挪威船级社挪威船级社) 等。等。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正

65、文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.认证审核预审l预审核（预审核（Pre-assessment Audit）也称预审，是在第一阶段审核之前执）也称预审，是在第一阶段审核之前执行的一种行的一种非强制性要求的非正式审核非强制性要求的非正式审核。从本质上看，预审是正式审核的预。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。演或排练。许多组织都没有采用预审核。 l预审是审核员通过使用预审是审核员通过使用“差距分

66、析差距分析”方法，分析和检查组织的方法，分析和检查组织的ISMS与与ISO/IEC 27001：2005要求的差距，包括要求的差距，包括(但不仅限于但不仅限于)：p分析ISMS方针与程序，组织当前的业务保护情况；p检查ISMS是否与其实际业务融合一起； p检查ISMS是否符合正式审核的基本条件；p检查组织还有哪些未能按照标准要求进行运行的领域，包括员工的安全意识和员工是否知道ISMS等； p检查ISMS运行的时间长度。注：预审也是要收费的！注：预审也是要收费的！英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : A

67、rial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.认证审核桌面审核强制性强制性ISMSISMS文件文件说明说明(1) ISMS方针文件，包括ISMS的范围根据ISO/IEC 27001:2005标准“4.

68、3.1”a)和b)的要求。(2) 风险评估程序根据ISO/IEC 27001:2005标准“4.3.1”d)和e)的要求, 要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量，可创建一个风险评估程序。该程序文件应包括“风险评估方法的描述”，而其运行的结果应产生风险评估报告。(3) 风险处理程序根据ISO/IEC 27001:2005标准“4.3.1”f)的要求, 要有形成文件的“风险处理计划”。因此，可创建一个风险处理程序。该程序文件运行的结果应产生风险处理计划。(4) 文件控制程序根据ISO/IEC 27001:2005标准的“4.3.2文件控制”的要求，要有形成文件的“

69、文件控制程序”。 (5) 记录控制程序根据ISO/IEC 27001:2005标准的“4.3.3记录控制”的要求，要有形成文件的“记录控制程序”。(6) 内部审核程序根据ISO/IEC 27001:2005标准的“6内部ISMS审核”的要求，要有形成文件的“内部审核程序”。(7) 纠正措施与预防措施程序根据ISO/IEC 27001:2005标准的“8.2.2纠正措施纠正措施”的要求，要有形成文件的“纠正措施程序”。根据 “8.3预防措施”的要求，要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8) 控制措施有效性的测量程序根据ISO/IEC 270

70、01:2005标准的“4.3.1 g)”的要求，要有形成文件的“控制措施有效性的测量程序”。(9) 管理评审程序“管理评审”过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。(9) 适用性声明根据ISO/IEC 27001:2005标准的“4.3.1 i)” 的要求, 要有形成文件的适用性声明。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字

71、体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.认证审核现场审核l桌面审核（文件审核）的结果作为现场审核输入。桌面审核（文件审核）的结果作为现场审核输入。l现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。告审核结果等。 l审核内容审核内容p验证第一阶段的审核

72、发现是否获得纠正。p 证实受审核组织是否按照其方针、目标和程序，执行工作。p 证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求 英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体

73、:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.认证审核获得证书l所有审核工作结束并达到要求后，用户会得到证书。所有审核工作结束并达到要求后，用户会得到证书。l半年或者一年，用户需要进行复审半年或者一年，用户需要进行复审l三年时，证书期满，需要重新审核。三年时，证书期满，需要重新审核。 英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正

74、文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 目录目录l背景介绍背景介绍lISO/IEC 17799lISO/IEC 27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC 27001英文标题:32-35pt 颜色: R153 G

75、0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.区别lISO/IEC 17799信息技术信息技术信息安全管理实施细

76、则信息安全管理实施细则lISO/IEC 27001信息技术信息技术信息安全管理体系要求信息安全管理体系要求l17799重点关注的是实施细则，同时，针对重点关注的是实施细则，同时，针对17799并没有认证机制。并没有认证机制。27001重点关注的是建设体系的要求，并且有认证机制。重点关注的是建设体系的要求，并且有认证机制。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部

77、使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.联系lISO/IEC 27001的附录中有的附录中有ISO/IEC 17799中的中的5到到15章的全部内容，也章的全部内容，也就是说在进行就是说在进行ISMS建设以及建设以及27001认证时，认证时， ISO/IEC 17799中中11个方面，个方面，39个控制点，以及个控制点，以及133个控制

78、措施都作为重要的参考点，进行差距分析时，个控制措施都作为重要的参考点，进行差距分析时，这些内容都是重要的依据。这些内容都是重要的依据。l所以，我们经常提到所以，我们经常提到27001，实际上，实际上27001应该是应该是ISO/IEC 27001和和ISO/IEC 17799的组合体，两者缺一不可。的组合体，两者缺一不可。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内

79、部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.举例l为了方便大家理解，举个例子来进行说明：为了方便大家理解，举个例子来进行说明：l华赛公司要参加上地地区的一个卫生评比，评比通过发放华赛公司要参加上地地区的一个卫生评比，评比通过发放上地地区高科上地地区高科技企业卫生红旗技企业卫生红旗。l该次评比有个评比要求该次评比有个评比要求上地地区高科技企

80、业卫生评比要求上地地区高科技企业卫生评比要求，要求内容，要求内容包括，建立长效的卫生机制，如划定公司卫生范围，购买各种卫生用具，包括，建立长效的卫生机制，如划定公司卫生范围，购买各种卫生用具，专门领导负责，成立专门团队，聘请专业保洁公司，组织内部检查，内部专门领导负责，成立专门团队，聘请专业保洁公司，组织内部检查，内部互查等等。互查等等。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18p

81、t 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.举例(续)l该该上地地区高科技企业卫生评比要求上地地区高科技企业卫生评比要求还附带了一个还附带了一个上地地区高科技上地地区高科技企业卫生评比细则企业卫生评比细则，细则内容包括，细则内容包括11个方面个方面p办公室卫生p机房卫生p楼道卫生p卫生间卫生p个人卫生p。英文标题:32-3

82、5pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.举例(续)l评比由上地地区卫生检疫所进

83、行，该次评比首先进行预查，确认达到基本评比由上地地区卫生检疫所进行，该次评比首先进行预查，确认达到基本要求后开始进行规范评比，检查公司的各种卫生规范，之后进行现场评比，要求后开始进行规范评比，检查公司的各种卫生规范，之后进行现场评比，由专门的检查员深入公司检查卫生的实际执行情况，并和相关责任人进行由专门的检查员深入公司检查卫生的实际执行情况，并和相关责任人进行沟通。沟通。l评比结束，华赛公司各种卫生规范齐全，卫生情况良好，得到了海淀区环评比结束，华赛公司各种卫生规范齐全，卫生情况良好，得到了海淀区环卫局颁发的卫局颁发的上地地区高科技企业卫生红旗上地地区高科技企业卫生红旗，有效期三年，三年后需要

84、，有效期三年，三年后需要重新申请评比检查。重新申请评比检查。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供

85、参考）客户或者合作伙伴的标志放在右上角.举例(续)l通过这个例子，希望大家可以理解通过这个例子，希望大家可以理解27001认证的流程，以及认证的流程，以及17799和和27001的关系。的关系。l上地地区高科技企业卫生红旗上地地区高科技企业卫生红旗27001认证认证l上地地区高科技企业卫生评比要求上地地区高科技企业卫生评比要求ISO/IEC 27001l上地地区高科技企业卫生评比细则上地地区高科技企业卫生评比细则ISO/IEC 17799l专业保洁公司专业保洁公司咨询公司咨询公司l上地地区卫生检疫所上地地区卫生检疫所授权评审组织（授权评审组织（BSI，DNV）l海淀区环卫局海淀区环卫局ISO英

86、文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 目录目录l背景介绍背

87、景介绍lISO/IEC 17799lISO/IEC 27001p重点内容p重点章节p认证流程l17799&27001l我司业务与我司业务与ISO/IEC 27001英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细

88、黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.安全集成l用户如果后续有进行用户如果后续有进行27001认证的需求，在进行集成项目时会关注设备的认证的需求，在进行集成项目时会关注设备的部署，配置等情况。部署，配置等情况。l我们需要作的工作是，让用户明确我们的设备部署，功能性能，日志审计，我们需要作的工作是，让用户明确我们的设备部署，功能性能，日志审计，安全域划分等是符合安全域划分等是符合ISO/IEC17799:2005中的相关控制措施的，并且，有中的相关控制措施的，并且，有些功能特性还是超出了些功

89、能特性还是超出了ISO/IEC17799:2005的范围的范围 ，极大的支持了用户，极大的支持了用户ISMS体系的建立，可以让用户在进行体系的建立，可以让用户在进行27001认证时更加容易的通过审核。认证时更加容易的通过审核。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:

90、18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.风险评估l公司后续需要建立的安全服务团队，早期可能更加偏向于技术评估，业务公司后续需要建立的安全服务团队，早期可能更加偏向于技术评估，业务评估等，那么我们就可以协助用户在建立评估等，那么我们就可以协助用户在建立ISMS的工作中进行风险评估的的工作中进行风险评估的工作。工作。l在实际工作中，有些咨询公司的技术评估能力较差，在在实际工作中，有些咨询公司的技术评估能力较差，在ISMS的建设过程的建

91、设过程中，需要专业的安全公司帮助，这就是我们的切入点。中，需要专业的安全公司帮助，这就是我们的切入点。英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组

92、配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.咨询服务l公司的安全服务团队，在人力，经验足够情况下，可以协助用户进行完整公司的安全服务团队，在人力，经验足够情况下，可以协助用户进行完整的的ISMS体系建设。体系建设。l我们需要帮助用户针对我们需要帮助用户针对IS0/IEC 27001:2005的建设步骤建立完整的的建设步骤建立完整的ISMS体系，并且协助用户通过认证。后续还要协助用户维护并修正体系，并且协助用户通过认证。后续还要协助用户维护并修正ISMS体系，体系，这是一个长期的工作。这是一个长期的工作。英文标题:32-35pt 颜色: R153 G0 B0

93、内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角. 附录二lISO/IEC 17799:2005版版11 个方面、个方面、3

94、9 个控制目标和个控制目标和133 项控制措项控制措施列表施列表p1) 安全方针安全方针7) 访问控制访问控制p2) 信息安全组织信息安全组织8) 信息系统获取、开发和维护信息系统获取、开发和维护p3) 资产管理资产管理9) 信息安全事故管理信息安全事故管理p4) 人力资源安全人力资源安全10) 业务连续性管理业务连续性管理p5) 物理和环境安全物理和环境安全11) 符合性符合性p6) 通信和操作管理通信和操作管理英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R15

95、3 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.安全方针l控制目标控制目标p信息安全方针（5.1）l控制措施控制措施p信息安全方针文件（5.1.1）p信息安全方针评审（5.1.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :

96、FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息安全组织l控制目标控制目标p内部组织（6.1）l控制措施控制措施p信息安全的管理承诺（

97、6.1.1）p信息安全协调（6.1.2）p信息安全职责的分配（6.1.3）p信息处理设施的授权过程（6.1.4）p保密性协议（6.1.5）p与政府部门的联系（6.1.6）p与特定利益集团的联系（6.1.7）p信息安全的独立评审（6.1.8）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Ari

98、al中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息安全组织（续）l控制目标控制目标p外部各方（6.2）l控制措施控制措施p与外部各方相关风险的识别（6.2.1）p处理与顾客有关的安全问题（6.2.2）p处理第三方协议中的安全问题（6.2.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153

99、 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.资产管理l控制目标控制目标p对资产负责（7.1）l控制措施控制措施p资产清单（7.1.1）p资产责任人（7.1.2）p资产的合格使用（7.1.3）英文标题:32-35pt 颜色: R153 G0 B0内部

100、使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.资产管理(续)l控制目标控制目标p信息分类（7.2）l控制措施控制措施p分类指

101、南（7.2.1）p信息的标记和处理（7.2.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或

102、者合作伙伴的标志放在右上角.人力资源安全人力资源安全l控制目标控制目标p任用之前（8.1）l控制措施控制措施p角色和职责 （8.1.1）p审查 （8.1.2）p任用条款和条件（8.1.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18

103、pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.人力资源安全（续）人力资源安全（续）l控制目标控制目标p任用中（8.2）l控制措施控制措施p管理职责 （8.2.1）p信息安全意识、教育和培训 （8.2.2）p纪律处理过程（8.2.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5

104、级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.人力资源安全（续）人力资源安全（续）l控制目标控制目标p任用的终止或变化（8.3）l控制措施控制措施p终止职责 （8.3.1）p资产的归还 （8.3.2）p撤销访问权（8.3.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :Frutiger

105、Next LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.物理与环境安全物理与环境安全l控制目标控制目标p安全区域（9.1）l控制措施控制措施p物理安全边界 （9.

106、1.1）p物理入口控制 （9.1.2）p办公室、房间和设施的安全保护（9.1.3）p外部和环境威胁的安全防护（9.1.4）p在安全区域工作（9.1.5）p公共访问、交接区安全（9.1.6）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18

107、pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.物理与环境安全（续）物理与环境安全（续）l控制目标控制目标p设备安全（9.2）l控制措施控制措施p设备安置和保护 （9.2.1）p支持性设施 （9.2.2）p布缆安全（9.2.3）p设备维护（9.2.4）p组织场所外的设备安全（9.2.5）p设备的安全处置和再利用（9.2.6）p资产的移动（9.2.7）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体

108、: Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理通信与操作管理l控制目标控制目标p操作程序和职责（10.1）l控制措施控制措施p文件化的操作程序（10.1.1）p变更管理（10.1.

109、2）p责任分割（10.1.3）p开发、测试和运行设施分离（10.1.4）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组

110、使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p第三方服务交付管理（10.2）l控制措施控制措施p服务交付（10.2.1）p第三方服务的监视和评审（10.2.2）p第三方服务的变更管理（10.2.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular

111、外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p系统规划和验收（10.3）l控制措施控制措施p容量管理（10.3.1）p系统验收（10.3.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体

112、:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p防范恶意和移动代码（10.4）l控制措施控制措施p控制恶意代码（10.4.1）p控制移动代码（10.4.2）英文标题:32-35pt 颜色: R153 G0 B

113、0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p备份（10.

114、5）l控制措施控制措施p信息备份（10.5.1）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或

115、者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p网络安全管理（10.6）l控制措施控制措施p网络控制（10.6.1）p网络服务安全（10.6.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18p

116、t 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p介质处理（10.7）l控制措施控制措施p可移动介质的管理（10.7.1）p介质的处置（10.7.2）p信息处理程序（10.7.3）p系统文件安全（10.7.4）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文

117、:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p信息的交换（10.8）l控制措施控制措施p信息交换策略和程序（10.8.1）p交换协议（10.8.2）p运输中的物理介质（10.8.3）p电子消息发送（10.8.4）p业务信

118、息系统（10.8.5）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角

119、.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p电子商务服务（10.9）l控制措施控制措施p电子商务（10.9.1）p在线交易（10.9.2）p公共可用信息（10.9.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18p

120、t 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.通信与操作管理（续）通信与操作管理（续）l控制目标控制目标p监视（10.10）l控制措施控制措施p审计日志（10.10.1）p监视系统的使用（10.10.2）p日志信息的保护（10.10.3）p管理员和操作员日志（10.10.4）p故障日志（10.10.5）p时钟同步（10.10.6）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标

121、题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.访问控制访问控制l控制目标控制目标p访问控制的业务要求（11.1）l控制措施控制措施p访问控制策略（11.1.1）英文标题:32-35pt 颜色: R153 G0 B0

122、内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.访问控制（续）访问控制（续）l控制目标控制目标p用户访问管理（11.2）l

123、控制措施控制措施p用户注册（11.2.1）p特殊权限管理（11.2.2）p用户口令管理（11.2.3）p用户访问权的复查（11.2.4）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一

124、页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.访问控制（续）访问控制（续）l控制目标控制目标p用户职责（11.3）l控制措施控制措施p口令使用（11.3.1）p无人值守的用户设备（11.3.2）p清空桌面和屏幕策略（11.3.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :Fruti

125、gerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.访问控制（续）访问控制（续）l控制目标控制目标p网络访问控制（11.4）l控制措施控制措施p使用网络服务的策略（11.4.1）p外部连接的用户鉴别（11.4.2）p网络上的设备标识（11.4.3）p远程诊断和配置端口的保护（11.4.4）p网络隔离（11.4.5）p网络连接控制（11.4.6）p网络路由控制（11.4.

126、7）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.访问控制（续）访

127、问控制（续）l控制目标控制目标p操作系统访问控制（11.5）l控制措施控制措施p安全登录程序（11.5.1）p用户标识和鉴别（11.5.2）p口令管理系统（11.5.3）p系统实用工具的使用（11.5.4）p会话超时（11.5.5）p联机时间的限定（11.5.6）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular

128、外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.访问控制（续）访问控制（续）l控制目标控制目标p应用和信息访问控制（11.6）l控制措施控制措施p信息访问限制（11.6.1）p敏感系统隔离（11.7.1）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体

129、:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.访问控制（续）访问控制（续）l控制目标控制目标p移动计算和远程工作（11.7）l控制措施控制措施p移动计算和通信（11.7.1）p远程工作（11.7.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体

130、 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息系统获取、开发和维护l控制目标控制目标p信息系统的安全要求（12.1）l控制措施控

131、制措施p安全要求分析和说明（12.1.1）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作

132、伙伴的标志放在右上角.信息系统获取、开发和维护（续）l控制目标控制目标p应用中的正确处理（12.2）l控制措施控制措施p输入数据验证（12.2.1）p内部处理的控制（12.2.2）p消息完整性（12.2.3）p输出数据验证（12.2.4）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Aria

133、l中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息系统获取、开发和维护（续）l控制目标控制目标p密码控制（12.3）l控制措施控制措施p使用密码控制的策略（12.3.1）p密钥管理（12.3.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子

134、目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息系统获取、开发和维护（续）l控制目标控制目标p系统文件的安全（12.4）l控制措施控制措施p运行软件的控制（12.4.1）p系统测试数据的保护（12.4.2）p对程序源代码的访问控制（12.4.3）英文标题:32-35pt 颜色: R153 G0

135、B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息系统获取、开发和维护（续）l控制目标控制目标p开发和支持过程中的安

136、全（12.5）l控制措施控制措施p变更控制程序（12.5.1）p操作系统变更后应用的技术评审（12.5.2）p软件包变更的限制（12.5.3）p信息泄露（12.5.4）p外包软件开发（12.5.5）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5

137、级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息系统获取、开发和维护（续）l控制目标控制目标p技术脆弱性管理（12.6）l控制措施控制措施p技术脆弱性的控制（12.6.1）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :Fr

138、utigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息安全事故管理l控制目标控制目标p报告信息安全事件和弱点（13.1）l控制措施控制措施p报告信息安全事件（13.1.1）p报告安全弱点（13.1.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32

139、pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.信息安全事故管理（续）l控制目标控制目标p信息安全事故和改进的管理（13.2）l控制措施控制措施p职责和程序（13.2.1）p对信息安全事故的总结（13.2.2）p证据的收集（13.

140、2.3）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.业务连续性管

141、理l控制目标控制目标p业务连续性管理的信息安全方面（14.1）l控制措施控制措施p业务连续性管理过程中包含的信息安全（14.1.1）p业务连续性和风险评估（14.1.2）p制定和实施包含信息安全的连续性计划（14.1.3）p业务连续性计划框架（14.1.4）p测试、维护和再评估业务连续性计划（14.1.5）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :F

142、rutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.符合法律要求l控制目标控制目标p符合法律要求（15.1）l控制措施控制措施p可用法律的识别（15.1.1）p知识产权（IPR） （15.1.2）p保护组织的记录（15.1.3）p数据保护和个人信息的隐私（15.1.4）p防止滥用信息处理设施（15.1.5）p密码控制措施的规则（15.1.6）英文标题:32-35

143、pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.符合法律要求（续）l控制目标控制目标p符

144、合安全策略和标准以及技术符合性（15.2）l控制措施控制措施p符合安全策略和标准（15.2.1）p技术符合性检查（15.2.2）英文标题:32-35pt 颜色: R153 G0 B0内部使用字体 :FrutigerNext LT Medium外部使用字体 : Arial中文标题:30-32pt 颜色: R153 G0 B0字体:黑体英文正文:20-22pt子目录 (2-5级) :18pt 颜色:黑色内部使用字体 :FrutigerNext LT Regular外部使用字体 : Arial中文正文:18-20pt子目录(2-5级):18pt 颜色:黑色字体:细黑体 配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.符合法律要求（续）l控制目标控制目标p信息系统审核考虑（15.3）l控制措施控制措施p信息系统审核控制措施（15.3.1）p信息系统审核工具的保护（15.3.2）Thank you