ISO27001标准详解

《ISO27001标准详解》由会员分享，可在线阅读，更多相关《ISO27001标准详解（96页珍藏版）》请在金锄头文库上搜索。

1、Ningxia Medical UniversityNingxia Medical UniversityISO27001标准标准详解详解Ningxia Medical UniversityNingxia Medical University 信息安全管理体系背景介绍信息安全管理体系背景介绍 信息信息作为组织的重要资产，需要得到妥善保作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、全的问题也纷纷出现：系统瘫痪、黑客入

2、侵、病毒感染、网页改写、客户资料的流失及公司病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。理、生存甚至国家安全都带来严重的影响。 安安全问题所带来的损失远大于交易的帐面损失，全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法它可分为三类，包括直接损失、间接损失和法律损失：律损失： 一一.直接损失：丢失订单，减少直接收入，直接损失：丢失订单，减少直接收入，损失生产率；损失生产率； 二二.间接损失：恢复成本，竞争力受损，品间接损失：恢复成本，竞争力受损，品牌

3、、声誉受损，负面的公众影响，失去未来的牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；业务机会，影响股票市值或政治声誉； 三三.法律损失：法律、法规的制裁，带来相法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。关联的诉讼或追索等。ISO27001的内容的内容Ningxia Medical UniversityNingxia Medical University 信息安全管理体系背景介绍信息安全管理体系背景介绍所以，在享用现代信息系统带来的快捷、方所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，便的同时，如何充分防范信息的损坏和泄露，

4、已成为当前企业迫切需要解决的问题。已成为当前企业迫切需要解决的问题。 俗话说俗话说三分技术七分管理三分技术七分管理。目前组织普。目前组织普遍采用现代通信、计算机、网络技术来构建组遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人维护、开发等岗位不

5、清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正出发，保障组织的信息系统与业务之安全与正常运作。常运作。 ISO27001的内容的内容Ningxia Medical UniversityNingxia Medical University 信息安全管理体系标准发展历

6、史信息安全管理体系标准发展历史目前目前，在信息安全管理体系方面，在信息安全管理体系方面，ISO/IEC27001:2005-信息安全管理体系标准已信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管经成为世界上应用最广泛与典型的信息安全管理标准。理标准。ISO/IEC27001是由英国标准是由英国标准BS7799转转换而成的。换而成的。 BS7799标准于标准于1993年由英国贸易工业部立年由英国贸易工业部立项，于项，于1995年英国首次出版年英国首次出版BS 7799-1：1995信息安全管理实施细则信息安全管理实施细则，它提供了一套综，它提供了一套综合的、由信息安全最佳惯例组成的

7、实施规则，合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、况所需控制范围的参考基准，适用于大、中、小组织。小组织。2000年年12月，月，BS7799-1：1999信息信息安全管理实施细则安全管理实施细则通过了国际标准化组织通过了国际标准化组织ISO的认可，正式成为国际标准的认可，正式成为国际标准- ISO/IEC17799：2000信息技术信息技术-信息安全管理实施细则信息安全管理实施细则，后来该标准已升版为后来该标准已升版为ISO27001的内容的内容Ningxia Medica

8、l UniversityNingxia Medical University 信息安全管理体系标准发展历史信息安全管理体系标准发展历史ISO/IEC17799：2005。2002年年9月月5日，日，BS7799-2:2002正式发布，正式发布，2002版标准主要在结版标准主要在结构上做了修订，引入了构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与的过程管理模式，建立了与ISO 9001、ISO 14001和和OHSAS 18000等管理体系标准相同的结等管理体系标准相同的结构和运行模式。构和运行模式。2005年，年，BS 7799-2: 2002正式正

9、式转换为国际标准转换为国际标准ISO/IEC27001：2005。 ISO27001的内容的内容Ningxia Medical UniversityNingxia Medical University 信息安全管理体系要求信息安全管理体系要求 11 11个控制领域个控制领域 39 39个控制目标个控制目标 133133个控制措施个控制措施ISO27001的内容的内容Ningxia Medical UniversityNingxia Medical University 必须的必须的ISMSISMS文件：文件： 1 1、ISMSISMS方针文件，包括方针文件，包括ISMSISMS的范围；的范围；

10、 2 2、风险评估程序和风险处理程序；、风险评估程序和风险处理程序； 3 3、文件控制程序和记录控制程序；、文件控制程序和记录控制程序； 4 4、内部审核程序和管理评审程序（尽管没有强制）；、内部审核程序和管理评审程序（尽管没有强制）； 5 5、纠正措施和预防措施控制程序；、纠正措施和预防措施控制程序； 6 6、控制措施有效性的测量程序；、控制措施有效性的测量程序； 7 7、适用性声明、适用性声明ISO27001的内容的内容Ningxia Medical UniversityNingxia Medical University对外对外 增强顾增强顾客信心和满意客信心和满意 改善对安全方针及要求

11、改善对安全方针及要求的符合性的符合性 提供竞争优势提供竞争优势对内对内 改善总改善总体安全体安全 管理并减少安全管理并减少安全事件的影响事件的影响 便利持续改进便利持续改进 提高员工动力与提高员工动力与参与参与 提高盈利能力提高盈利能力 形成文件的形成文件的ISMS的益处的益处Ningxia Medical UniversityNingxia Medical University PDCA方法方法 纠正和纠正和预防措施预防措施 内部审核内部审核 ISMS管理评审管理评审 ISMS的持续改进的持续改进Ningxia Medical UniversityNingxia Medical Univer

12、sityPage 10 PDCA（戴明环）lPDCAPDCA（ （PlanPlan、 、DoDo、 、Check Check 和和ActAct）是管理学）是管理学惯惯用的一个用的一个过过程模型，程模型，最早是由休哈特（最早是由休哈特（WalterShewhartWalterShewhart）于）于19 19 世世纪纪30 30 年代构想的，年代构想的，后来被戴明（后来被戴明（Edwards DemingEdwards Deming）采）采纳纳、宣、宣传传并运用于持并运用于持续续改善改善产产品品质质量的量的过过程当中。程当中。p1 1、 、P P（ （PlanPlan） ）-计计划，确定方划，确

13、定方针针和目和目标标，确定活，确定活动计动计划；划；p2 2、 、D D（ （DoDo） ）-执执行，行，实实地去做，地去做，实现计实现计划中的内容；划中的内容；p3 3、 、C C（ （CheckCheck） ）-检查检查， ，总结执总结执行行计计划的划的结结果，注意效果，注意效果，找出果，找出问题问题； ；p4 4、 、A A（ （ActionAction） ）-行行动动， ，对总结检查对总结检查的的结结果果进进行行处处理，理，成功的成功的经验经验加以肯定并适当推广、加以肯定并适当推广、标标准化；失准化；失败败的教的教训训加以加以总结总结，以免重，以免重现现，未解决的，未解决的问题问题放到

14、下一个放到下一个PDCAPDCA循循环环。 。Ningxia Medical UniversityNingxia Medical UniversityPage 11 PDCA特点l 大大环环套小套小环环，小，小环环保大保大环环，推，推动动大循大循环环 pPDCAPDCA循循环环作作为质为质量管理的基本方法，不量管理的基本方法，不仅仅适用于整个工适用于整个工程程项项目，也适目，也适应应于整个企于整个企业业和企和企业业内的科室、工段、班内的科室、工段、班组组以至个人。各以至个人。各级级部部门门根据企根据企业业的方的方针针目目标标，都有自己的，都有自己的PDCAPDCA循循环环， ，层层层层循循环环

15、，形成大，形成大环环套小套小环环，小，小环环里面又套更里面又套更小的小的环环。大。大环环是小是小环环的母体和依据，小的母体和依据，小环环是大是大环环的分解和的分解和保保证证。各。各级级部部门门的小的小环环都都围绕围绕着企着企业业的的总总目目标标朝着同一朝着同一方向方向转动转动。通。通过过循循环环把企把企业业上下或工程上下或工程项项目的各目的各项项工作工作有机地有机地联联系起来，彼此系起来，彼此协协同，互相促同，互相促进进。以上特点。以上特点。 Ningxia Medical UniversityNingxia Medical UniversityPage 12 PDCA特点(续)l 不断前不断

16、前进、不断提高、不断提高 pPDCAPDCA循循环就像爬楼梯一就像爬楼梯一样，一个循，一个循环运运转结束，生束，生产的的质量就会提高一步，然后再制定下一个循量就会提高一步，然后再制定下一个循环，再运，再运转、再、再提高，不断前提高，不断前进，不断提高，是一个螺旋式上升的，不断提高，是一个螺旋式上升的过程。程。PDCA质量水质量水平平螺旋上升的螺旋上升的PDCANingxia Medical UniversityNingxia Medical UniversityPage 13 PDCA和ISMS的结合Ningxia Medical UniversityNingxia Medical Unive

17、rsityPage 14 重点章节l本本标准的重点章准的重点章节是是4 48 8章。章。 l前三章的内容前三章的内容结构如下所示：构如下所示：引言引言0.1 0.1 总则0.2 0.2 过程方法程方法0.3 0.3 与其他管理体系的兼容性与其他管理体系的兼容性1 1 范范围1.1 1.1 总则1.2 1.2 应用用2 2 规范性引用文件范性引用文件3 3 术语和定和定义Ningxia Medical UniversityNingxia Medical University 0.10.1总则总则 0.20.2过程方法过程方法 过程过程方法的定义：组织内各过程系统的应用，连同这些过程方法的定义：组

18、织内各过程系统的应用，连同这些过程的的识别和相互作用及其管理，可以被称为识别和相互作用及其管理，可以被称为“过程方法过程方法”。 过程过程方法鼓励其使用者以强调以下方面的重要性：方法鼓励其使用者以强调以下方面的重要性：理解理解业务信息安全要求以及建立信息安全方针和目标的需求业务信息安全要求以及建立信息安全方针和目标的需求在在管理组织的整体业务风险中实施并运作控制管理组织的整体业务风险中实施并运作控制监控并评审监控并评审ISMS的绩效及有效性的绩效及有效性在客观测量基础上持续改进在客观测量基础上持续改进0 引言引言Ningxia Medical UniversityNingxia Medical

19、 University 1.11.1总则总则 本标准规定了在组织整体业务风险的范围本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求进文件化信息安全管理系统的要求 1.21.2应用应用 适用于各种类型、不同规模和提供不同产适用于各种类型、不同规模和提供不同产品的组织品的组织 可以考虑删减，可以考虑删减，但条款但条款4 4、5 5、6 6、7 7和和8 8是不是不能删减的能删减的1 范围范围Ningxia Medical UniversityNingxia Medical University ISO

20、/IEC 17799ISO/IEC 17799：2005 2005 信息技术安全信息技术安全技术信息安全管理实施指南技术信息安全管理实施指南2 引用标准引用标准Ningxia Medical UniversityNingxia Medical University 信息信息 是经过加工的数据或消息，信息是对决策者有价值的数据是经过加工的数据或消息，信息是对决策者有价值的数据 资产资产 任何对组任何对组织有价值的事物织有价值的事物 可用性可用性 确保授权用户确保授权用户可以在需要时可以获得信息和相关资产可以在需要时可以获得信息和相关资产 保密性保密性 确保信息仅为被授权的用户获得确保信息仅为被授

21、权的用户获得3 术语和定义术语和定义Ningxia Medical UniversityNingxia Medical University 完整性完整性 确保确保信息及信息及其处理方法的准确性和完整性其处理方法的准确性和完整性 信息安全信息安全 保护保护信息的保密性、完整性、可用性；另信息的保密性、完整性、可用性；另外也包括其他属外也包括其他属 性，如：真实性、可核查性，如：真实性、可核查性、不可抵赖性和可靠性性、不可抵赖性和可靠性 信息安全事件信息安全事件 已识别出的发生的系统、服务或网络状态已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效表明可能违反信息安全策略

22、或防护措施失效的事件，或以前未知的与安全相关的情况的事件，或以前未知的与安全相关的情况3术语和定义（续）术语和定义（续）Ningxia Medical UniversityNingxia Medical University 信息安全事故信息安全事故 信息安全事故是指一个或系列非期望的或非信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威业务运营造成严重影响或威胁信息安全。胁信息安全。 信息安全管理体系（信息安全管理体系（ISMS） 全面全面管理体系的一部分，基于业务风险方法，管理体系的一部分，基于

23、业务风险方法，旨在建立、实施、运行、监控、评审、维持和改旨在建立、实施、运行、监控、评审、维持和改进信息安全进信息安全 适用性声明适用性声明 基于基于风险评估和风险处理过程的结果和结论，风险评估和风险处理过程的结果和结论，描述与组织的信息安全管理体系相关并适用的控描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件制目标和控制的文件 3 术语和定义（续）术语和定义（续）Ningxia Medical UniversityNingxia Medical University残余风险残余风险 实施风险处置实施风险处置后仍旧残留的风险后仍旧残留的风险风险接受风险接受 接受风险的决定。接受风险

24、的决定。风险分析风险分析 系统地使用信息以识别来源和估计风险。系统地使用信息以识别来源和估计风险。3 术语和定义（续）术语和定义（续）Ningxia Medical UniversityNingxia Medical University风险评估风险评估 风险分析和风风险分析和风险评价的全过程。险评价的全过程。风险评价风险评价 将估计的风险与既定的风险准则进行比较以将估计的风险与既定的风险准则进行比较以确定重要风险的过程。确定重要风险的过程。风险管理风险管理 指导和控制一个组织关于风险的协调活动。指导和控制一个组织关于风险的协调活动。风险处置风险处置 选择和实施措施以改变风险的过程。选择和实施

25、措施以改变风险的过程。3术语和定义（续）术语和定义（续）Ningxia Medical UniversityNingxia Medical UniversityPage 23 4信息安全管理体系l4.1 4.1 总要求要求一个一个组织应在其整体在其整体业务活活动和所面和所面临风险的的环境下建立、境下建立、实施、运行、施、运行、监视、 、评审、保持和改、保持和改进文件化的文件化的ISMSISMS。就本。就本标准而言，准而言，使用的使用的过程基于程基于图1 1所示的所示的PDCAPDCA模型。模型。l4. 2 4. 2 建立和管理建立和管理ISMSISMSp4.2.1 建立ISMS(PLAN)n定

26、定义ISMS ISMS 的范的范围n定定义ISMS ISMS 策略策略n定定义系系统的的风险评估途径估途径n识别风险n评估估风险n识别并并评价价风险处理措施理措施n选择用于用于风险处理的控制目理的控制目标和控制和控制n准准备适用性声明（适用性声明（SoASoA） ）n取得管理取得管理层对残留残留风险的承的承认，并授，并授权实施和操作施和操作ISMSISMSPDCANingxia Medical UniversityNingxia Medical UniversityPage 24 4信息安全管理体系(续)p4.2.2 4.2.2 实施和运行施和运行ISMS(ISMS(DODO) )n制定制定风

27、险处理理计划划n实施施风险处理理计划划n实施所施所选的控制措施以的控制措施以满足控制目足控制目标n实施培施培训和意和意识程序程序n管理操作管理操作n管理管理资源（参源（参见5.25.2） ）n实施能施能够激激发安全事件安全事件检测和响和响应的程序和控制的程序和控制PDCANingxia Medical UniversityNingxia Medical UniversityPage 25 4信息安全管理体系(续)p4.2.3 4.2.3 监控和控和评审ISMS(ISMS(CHECKCHECK) )n执行行监视程序和控制程序和控制n对ISMS ISMS 的效力的效力进行定期复行定期复审n复复审残

28、留残留风险和可接受和可接受风险的水平的水平n按照按照预定定计划划进行内部行内部ISMS ISMS 审计n定期定期对ISMS ISMS 进行管理复行管理复审n记录活活动和事件可能和事件可能对ISMS ISMS 的效力或的效力或执行力度造成行力度造成影响影响PDCANingxia Medical UniversityNingxia Medical UniversityPage 26 4信息安全管理体系(续)p4.2.4 4.2.4 保持和改保持和改进ISMS(ISMS(ACTACT) )n对ISMS ISMS 实施可施可识别的改的改进n采取恰当的采取恰当的纠正和正和预防措施防措施n与所有利益伙伴沟

29、通与所有利益伙伴沟通n确保改确保改进成果成果满足其足其预期目期目标PDCANingxia Medical UniversityNingxia Medical UniversityPage 27 4信息安全管理体系(续)p4.3 4.3 文件要求文件要求n总则n文件控制文件控制n记录控制控制ISO27001 ISO27001 标准所要求建立的准所要求建立的ISMS ISMS 是一个文件化的体系，是一个文件化的体系，ISO27001 ISO27001 认证第一第一阶段就是段就是进行文件行文件审核，文件是否完核，文件是否完整、足整、足够、有效，都关乎、有效，都关乎审核的成核的成败，所以，在整个，所以

30、，在整个ISO27001ISO27001认证项目目实施施过程中，逐步建立并完善文件体程中，逐步建立并完善文件体系非常重要。系非常重要。Ningxia Medical UniversityNingxia Medical UniversityISMS 文文 件件方针方针范围、风险评价范围、风险评价适用性声明适用性声明描述过程：描述过程：who,what,when,where描述任务及具体的活动如何描述任务及具体的活动如何完成完成提供符合提供符合ISMS条款条款3.6要求的可感证据要求的可感证据第一层次第一层次第二层次第二层次第三层次第三层次第四层次第四层次安全手册安全手册程程序序作业指导书作业指导

31、书检查表、表格检查表、表格记记录录管理框架管理框架与与ISO27001条款条款4有关的方针有关的方针Ningxia Medical UniversityNingxia Medical UniversityPage 29 4信息安全管理体系(续)lISO27001 ISO27001 标标准要求的准要求的ISMS ISMS 文件体系文件体系应该应该是一个是一个层层次化的体系，通常是由四个次化的体系，通常是由四个层层次构成的：次构成的：l信息安全手册信息安全手册： ：该该手册由信息安全委手册由信息安全委员员会会负责负责制定和修改，是制定和修改，是对对信息安全管理体信息安全管理体系框架的整体描述，以此

32、表明确定范系框架的整体描述，以此表明确定范围围内内ISMS ISMS 是按照是按照ISO27001 ISO27001 标标准要求建立并准要求建立并运行的。信息安全手册包含各个一运行的。信息安全手册包含各个一级级文件。文件。l一一级级文件文件：全：全组织组织范范围围内的信息安全方内的信息安全方针针，以及下属各个方面的策略方，以及下属各个方面的策略方针针等。一等。一级级文件至少包括（可能不限于此）：文件至少包括（可能不限于此）：p信息安全方信息安全方针针p风险评风险评估估报报告告p适用性声明（适用性声明（SoASoA） ）l二二级级文件文件：各：各类类程序文件。至少包括（可能不限于此）：程序文件。

33、至少包括（可能不限于此）：p风险评风险评估流程估流程风险风险管理流程管理流程风险处风险处理理计计划划管理管理评审评审程序程序p信息信息设备设备管理程序管理程序信息安全信息安全组织组织建建设规设规定定新新设设施管理程序施管理程序内部内部审审核程序核程序p第三方和外包管理第三方和外包管理规规定定信息信息资产资产管理管理规规定定工作工作环环境安全管理境安全管理规规定定介介质处质处理与安全理与安全规规定定p系系统统开开发发与与维护维护程序程序业务连续业务连续性管理程序性管理程序法律符合性管理法律符合性管理规规定定信息系信息系统统安全安全审计规审计规定定p文件及材料控制程序文件及材料控制程序安全事件安全

34、事件处处理流程理流程l三三级级文件文件：具体的作：具体的作业业指指导书导书。描述了某。描述了某项项任任务务具体的操作步具体的操作步骤骤和方法，是和方法，是对对各各个程序文件所个程序文件所规规定的定的领领域内工作的域内工作的细细化。化。l四四级级文件文件：各种：各种记录记录文件，包括文件，包括实实施各施各项项流程的流程的记录记录成果。成果。这这些文件通常表些文件通常表现为现为记录记录表格，表格，应该应该成成为为ISMS ISMS 得以持得以持续续运行的有力运行的有力证证据，由各个相关部据，由各个相关部门门自行自行维护维护。 。Ningxia Medical UniversityNingxia M

35、edical University5.15.1管理承诺管理承诺5.25.2资源管理资源管理5.2.15.2.1提供资源提供资源5.2.25.2.2培训、意识和能力培训、意识和能力5 管理职责管理职责Ningxia Medical UniversityNingxia Medical University 管理管理者应通过如下所示向者应通过如下所示向ISMS的建立、实施、运作、的建立、实施、运作、监管监管、审核、维持和改进提供承诺的证据：、审核、维持和改进提供承诺的证据：a) 建立信息安全方针；建立信息安全方针；b) 确保信息安全目标和计划的建立；确保信息安全目标和计划的建立；c) 为信息安全定岗

36、并建立岗位职责；为信息安全定岗并建立岗位职责；d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性，向本组织宣传达到信息安全目标和符合信息安全方针的重要性，以及本组织的法律责任和持续改进的需求；以及本组织的法律责任和持续改进的需求；e) 为为ISMS的发展、的发展、实施、运作和维持提供充足的资源；实施、运作和维持提供充足的资源；f )确定接受风险的准则和可接受的风险等级；确定接受风险的准则和可接受的风险等级；g)确保确保ISMS内部审核的实施；内部审核的实施；h)进行进行ISMS管理评审。管理评审。5.1 管理承诺管理承诺Ningxia Medical UniversityNingxi

37、a Medical University 组织应确定并提供以下方面所需资源：组织应确定并提供以下方面所需资源： 建立、实施、运作和维持建立、实施、运作和维持ISMS； 确保信息安全程序支持业务需要；确保信息安全程序支持业务需要； 识别和定位法律法规要求和合同安全责任；识别和定位法律法规要求和合同安全责任； 通过正确的应用所有的已被实施的控制方通过正确的应用所有的已被实施的控制方法来维持适当的安法来维持适当的安 全全； 必要时进行评审，并对审核结果采取适当必要时进行评审，并对审核结果采取适当的行动的行动 ； 在有需要的地方改进在有需要的地方改进ISMS的有效性的有效性5.2.1 提供资源提供资源

38、Ningxia Medical UniversityNingxia Medical University确定员工在执行与确定员工在执行与ISMS相关的工作时所必相关的工作时所必需具备的能力；需具备的能力；提供能力培训，必要时，聘请专业人士以满足需要；提供能力培训，必要时，聘请专业人士以满足需要；评价所提供的培训和采取的行动的有效性；评价所提供的培训和采取的行动的有效性；保持教育、培训、技能、经验和资格的记录保持教育、培训、技能、经验和资格的记录组织应确保所有相关人员认识其信息安组织应确保所有相关人员认识其信息安全活动的相关性和重要性，并知道怎样全活动的相关性和重要性，并知道怎样为实现为实现IS

39、MS的目标做出贡献的目标做出贡献5.2.2 培训、意识和能力培训、意识和能力Ningxia Medical UniversityNingxia Medical University 组织应按策划的时间间隔对组织应按策划的时间间隔对ISMS进行进行内审内审,以决定以决定ISMS的控制目标、控制行为、的控制目标、控制行为、过程和程序是否过程和程序是否 与本标准的要求和相关法律法规相适应与本标准的要求和相关法律法规相适应 与已识别信息安全需求相适应与已识别信息安全需求相适应 有效地实施和维护有效地实施和维护 达到预期目标达到预期目标 文件化内审程序、保持内审记录文件化内审程序、保持内审记录6 ISM

40、S内部审核内部审核Ningxia Medical UniversityNingxia Medical University 7.1 7.1 总则总则 7.2 7.2 评审输入评审输入 7.3 7.3 评审输出评审输出 7 ISMS的管理评审的管理评审Ningxia Medical UniversityNingxia Medical University 定期管理评审，以确保适宜性、充分性定期管理评审，以确保适宜性、充分性和有效性和有效性 评审应包括评价评审应包括评价ISMS的改进机会和变更的改进机会和变更需要，包括安全需要，包括安全 方针和安全目标方针和安全目标 评审结果应清楚地写入文件，保持

41、评审评审结果应清楚地写入文件，保持评审的记录的记录7.1总则总则Ningxia Medical UniversityNingxia Medical UniversityISMS审核和评审的结果；审核和评审的结果；相关方的反馈；相关方的反馈；在组织中被用于改进在组织中被用于改进ISMS性能和有效性的技术、产性能和有效性的技术、产品或程序；品或程序；预防和纠正措施的状预防和纠正措施的状况；况；以前风险评估中没有准确定位的薄弱点或威胁；以前风险评估中没有准确定位的薄弱点或威胁；有效性测量的结果；有效性测量的结果；以往管理评审的跟踪措施；以往管理评审的跟踪措施；任何可能影响任何可能影响ISMS的变更；

42、的变更；改进的建议改进的建议7.2评审输入评审输入Ningxia Medical UniversityNingxia Medical University ISMS有效有效性的改进信息性的改进信息 风险评估和风险处理风险评估和风险处理计划的更新计划的更新 修改影响信息安全的程序，必要时，修改影响信息安全的程序，必要时，对可能影响对可能影响ISMS的内部或外部事件做出的内部或外部事件做出反应，变更包括如下反应，变更包括如下 ：业务需求业务需求安全需求安全需求影响现有业务需求的业务过程影响现有业务需求的业务过程法律法规环境法律法规环境风险等级或风险等级或/和可接受风险水平和可接受风险水平 资源需求

43、资源需求 对如何测量控制措施的有效性的改进对如何测量控制措施的有效性的改进 7.3评审输出评审输出Ningxia Medical UniversityNingxia Medical University8.1 8.1 持续改进持续改进8.2 8.2 纠正措施纠正措施8.3 8.3 预防措施预防措施 8 ISMS的改进的改进Ningxia Medical UniversityNingxia Medical University 组织应通过信息安全方针、安全目标、组织应通过信息安全方针、安全目标、审核结果、监督事件的分析、纠正和预防措审核结果、监督事件的分析、纠正和预防措施以及管理评审来持续改进施

44、以及管理评审来持续改进ISMS的有效性的有效性8.1持续改进持续改进Ningxia Medical UniversityNingxia Medical University 建立文件化的纠正措施程序以满足如下要求建立文件化的纠正措施程序以满足如下要求 识别识别ISMS的实施和的实施和/或运行的不合格或运行的不合格 确定不合格原因确定不合格原因 评价确保不合格不再发生的措施的需求评价确保不合格不再发生的措施的需求 确定和实施所需的纠正措施确定和实施所需的纠正措施 记录所采取的措施结果记录所采取的措施结果 评审所采取的纠正措施评审所采取的纠正措施8.2纠正措施纠正措施Ningxia Medical

45、 UniversityNingxia Medical University 建立文件化的预防措施程序以满足如下要求：建立文件化的预防措施程序以满足如下要求： 识别潜在的不合格及其原因识别潜在的不合格及其原因 评价预防不符合发生所需的措施评价预防不符合发生所需的措施 确定和实施所需的预防措施确定和实施所需的预防措施 记录所采取的措施的结果记录所采取的措施的结果 评审所采取的预防措施评审所采取的预防措施8.3 预防措施预防措施Ningxia Medical UniversityNingxia Medical University预防预防 预防是预防是主动的主动的 意图为防止问题意图为防止问题发生发

46、生 在过程策划和设计阶段在过程策划和设计阶段 控制控制 增值增值 成本更低成本更低 更大的顾客更大的顾客信心信心 所有所有ISO标准的主要关标准的主要关 注注点点预防与探测预防与探测探测探测 探测是被动的探测是被动的 意图为探测发生的问题意图为探测发生的问题 在过程输出阶段控制在过程输出阶段控制 不增加价值不增加价值 成本很大成本很大 顾客信心有限顾客信心有限 需要，但远不是重点需要，但远不是重点Ningxia Medical UniversityNingxia Medical University管理者承诺管理者承诺组织组织资源资源关注预防关注预防培训培训沟通沟通参与参与系统评审系统评审IS

47、MS的有效实施的有效实施Ningxia Medical UniversityNingxia Medical UniversityISO27001:2005ISO27001:2005控制目标和控制方法控制目标和控制方法附录：附录：A ANingxia Medical UniversityNingxia Medical University11大控制域大控制域信息资产信息资产保密性保密性完整性完整性可用性可用性安全方针安全方针信息安全组织信息安全组织资产管理资产管理人力资源安全人力资源安全物理和环境安全物理和环境安全通信与操作安全通信与操作安全信息安全事件管理信息安全事件管理信息系统的获取信息系统

48、的获取开发和维护开发和维护访问控制访问控制业务持续性管理业务持续性管理符合性符合性Ningxia Medical UniversityNingxia Medical University 评审与评价评审与评价 A.5 信息安全信息安全方针方针方方 针针积极预防、全面管理、积极预防、全面管理、控制风险、保障安全。控制风险、保障安全。目标：目标：根据业务需求和根据业务需求和相关法律、法规，为相关法律、法规，为信息安全提供管理指信息安全提供管理指 导和支持。导和支持。 信息安全方针文件信息安全方针文件Ningxia Medical UniversityNingxia Medical Universi

49、tyA.6 信息安全组织信息安全组织Ningxia Medical UniversityNingxia Medical UniversityA.6.1 内部组织内部组织目标目标：在组织内部管理信息安全。在组织内部管理信息安全。 信息安全的管理承诺信息安全的管理承诺 信息安全协调信息安全协调 信息安全职责划信息安全职责划分分 信息处理设备的授权信息处理设备的授权过程过程 保密协议保密协议 与权威机构与权威机构的联系的联系 与专业的利益团体保与专业的利益团体保持联系持联系 信息安全的独立评审信息安全的独立评审Ningxia Medical UniversityNingxia Medical Uni

50、versityA.6.2外部组织外部组织目标：目标：保持被外部组织访问、处理、通信或管保持被外部组织访问、处理、通信或管 理理的组织信息和信息处理设施的安全。的组织信息和信息处理设施的安全。 关于外部组织风险的识别关于外部组织风险的识别 当与顾客接触时强调安全当与顾客接触时强调安全 第三方合同中的安全要求第三方合同中的安全要求Ningxia Medical UniversityNingxia Medical UniversityA.7 资产管理资产管理Ningxia Medical UniversityNingxia Medical UniversityA.7.1资产责任资产责任目标目标：实现

51、并保持组织资产的适当保护。实现并保持组织资产的适当保护。 资产的清单资产的清单 资产所有者关系资产所有者关系 可接受的资产使用可接受的资产使用Ningxia Medical UniversityNingxia Medical University 分类指南分类指南 信息的标识与处理信息的标识与处理目标：目标：确保信息受到适当程度的保护。确保信息受到适当程度的保护。限限制制高度机密高度机密秘秘保保密密密密限限制制直到直到2007/1/1保护标识保护标识A.7.2 资产分类与控制资产分类与控制Ningxia Medical UniversityNingxia Medical UniversityA

52、.8 人力资源安全人力资源安全Ningxia Medical UniversityNingxia Medical University 目标：确保员工、合同方和第三方用户明白他们的职责，目标：确保员工、合同方和第三方用户明白他们的职责，适合于他们被赋予的任务，减少因盗窃、欺诈或设施适合于他们被赋予的任务，减少因盗窃、欺诈或设施误用造成的风险。误用造成的风险。 任务和职责任务和职责 人员考察人员考察 雇用条款和条件雇用条款和条件A.8.1雇佣前雇佣前Ningxia Medical UniversityNingxia Medical UniversityA.8.2雇佣期间雇佣期间 目标：确保所有的

53、员工、合同方和第三方用户了目标：确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。减少人为错误的风险。 管理管理职责职责 信息安全意识、教育与信息安全意识、教育与培训培训 惩戒程序惩戒程序Ningxia Medical UniversityNingxia Medical UniversityA.8.3雇佣的终止或变更雇佣的终止或变更 目标目标：确保员工、合同方和第三方用：确保员工、合同方和第三方用户离开组织或雇佣变

54、更时以一种有序的方户离开组织或雇佣变更时以一种有序的方式进行应有合适的职责确保管理雇员、合式进行应有合适的职责确保管理雇员、合同方和第三方用户从组织的退出，并确保同方和第三方用户从组织的退出，并确保他们归还所有设备及删除他们的所有访问他们归还所有设备及删除他们的所有访问权力。权力。终止职责终止职责资产归还资产归还撤销访问权限撤销访问权限Ningxia Medical UniversityNingxia Medical UniversityA.9 物理与环境安全物理与环境安全Ningxia Medical UniversityNingxia Medical UniversityA.9.1安全区域

55、安全区域目标：防止对组织办公场所和信息的非授权物理目标：防止对组织办公场所和信息的非授权物理 访问访问、破坏和干扰。、破坏和干扰。 物理安全边界物理安全边界 物理进入控制物理进入控制 办公室、房间和设办公室、房间和设施的安全施的安全 防范外部和环境的威胁防范外部和环境的威胁 在安全区域工作在安全区域工作 公共访问和装卸区域公共访问和装卸区域Ningxia Medical UniversityNingxia Medical UniversityA.9.2 设备安全设备安全 目标目标：防止资产的丢失、损坏或被盗，以及对：防止资产的丢失、损坏或被盗，以及对 组织组织活动的中断。活动的中断。 设备的定

56、置和保护设备的定置和保护 支持性设施支持性设施 线缆安全线缆安全 设备维护设备维护 场外设备的安全场外设备的安全 设备的安全处理或再利用设备的安全处理或再利用 资产迁移资产迁移Ningxia Medical UniversityNingxia Medical UniversityA.10 通信与操作管理通信与操作管理Ningxia Medical UniversityNingxia Medical UniversityA.10.1操作程序及职责操作程序及职责目标：确保信息处理设施的正确和安全操作。目标：确保信息处理设施的正确和安全操作。 文件化的操作程序文件化的操作程序 变更管理变更管理 职责

57、分离职责分离 开发、测试和运营设施的开发、测试和运营设施的分离分离Ningxia Medical UniversityNingxia Medical UniversityA.10.2第三方服务交付管第三方服务交付管理理 目标目标：实施并保持信息安全的适当水平，确保：实施并保持信息安全的适当水平，确保 第三第三方交付的服务符合协议要求。方交付的服务符合协议要求。 服务交付服务交付 监控和评审第三方服务监控和评审第三方服务 管理第三方服务的变更管理第三方服务的变更Ningxia Medical UniversityNingxia Medical UniversityA.10.3系统规划和验收系统规

58、划和验收 目标目标：最小化系统失效的风险。：最小化系统失效的风险。 容量管理容量管理 系统验收系统验收Ningxia Medical UniversityNingxia Medical UniversityA.10.4 防范恶意代码和移防范恶意代码和移动代码动代码 目标目标：保护软件和信息的完整性。：保护软件和信息的完整性。 防范恶意代码防范恶意代码 防范移动代码防范移动代码Ningxia Medical UniversityNingxia Medical UniversityA.10.5 备份备份目标：保持信息和信息处理设施目标：保持信息和信息处理设施的完整性和可用性。的完整性和可用性。 信

59、息备份信息备份Ningxia Medical UniversityNingxia Medical University 网络控制网络控制 网络服务的安全网络服务的安全A.10.6 网络安全管理网络安全管理目标：确保网络中的信息和支持性基础设施目标：确保网络中的信息和支持性基础设施得到保护。得到保护。Ningxia Medical UniversityNingxia Medical UniversityA.10.7 媒介处置媒介处置 目标目标：防止对资产的未授权泄漏、修改、移动：防止对资产的未授权泄漏、修改、移动 或或损坏，及对业务活动的干扰。损坏，及对业务活动的干扰。 可移动计算机介质的管理可

60、移动计算机介质的管理 介质处理介质处理 信息处理程序信息处理程序 系统文档的安全系统文档的安全Ningxia Medical UniversityNingxia Medical UniversityA.10.8 信息交换信息交换目标目标：应保持组织内部或组织与外部：应保持组织内部或组织与外部 组织组织之间交换信息和软件的安全。之间交换信息和软件的安全。 信息交换策略和程序信息交换策略和程序 交换协议交换协议 物理媒体传输物理媒体传输 电子信息电子信息 业务信息系统业务信息系统Ningxia Medical UniversityNingxia Medical University 在线交易在线交

61、易 公共可用信息公共可用信息A.10.9 电子商务服务电子商务服务目标：确保电子商务的安全及他们的安全使用。目标：确保电子商务的安全及他们的安全使用。 电子商务电子商务Ningxia Medical UniversityNingxia Medical UniversityA.10.10 监控监控目标：检测非授权的信息处理活动。目标：检测非授权的信息处理活动。 审计日志审计日志 监视系统的使用监视系统的使用 日志信息保护日志信息保护 管理员和操作者日管理员和操作者日志志 故障记录故障记录 时钟同步时钟同步 Ningxia Medical UniversityNingxia Medical Uni

62、versityA.11 访问控制访问控制Ningxia Medical UniversityNingxia Medical UniversityA.11.1 访问控制业务需求访问控制业务需求目标：控制对信息的访问。目标：控制对信息的访问。 访问控制策略访问控制策略系统管理员系统管理员菜菜 单单Ningxia Medical UniversityNingxia Medical University 用户注册用户注册 特权管理特权管理 用户口令管理用户口令管理 用户访问权限的评审用户访问权限的评审 A.11.2 用户访问管理用户访问管理你无权访问你无权访问本系统本系统目标：确保授权用户的访问，并预

63、防信息目标：确保授权用户的访问，并预防信息系统的非授权访问。系统的非授权访问。Ningxia Medical UniversityNingxia Medical UniversityA.11.3 用户责任用户责任目标：预防未授权用户的访问，信息目标：预防未授权用户的访问，信息和信和信息处理设施的破坏或被盗。息处理设施的破坏或被盗。 口令使用口令使用 无人值守的用户设备无人值守的用户设备 清理桌面及清除屏幕清理桌面及清除屏幕策略策略Ningxia Medical UniversityNingxia Medical UniversityA.11.4 网络访问控制网络访问控制目标：防止对网络服务未经

64、授权的访问。目标：防止对网络服务未经授权的访问。 网络服务使用策略网络服务使用策略 外部连接用户的鉴别外部连接用户的鉴别 网络设备的识别网络设备的识别 远程诊断和配置端口远程诊断和配置端口保护保护 网内隔离网内隔离 网络连接控制网络连接控制 网络路由控制网络路由控制Ningxia Medical UniversityNingxia Medical UniversityA.11.5 操作系统访问控制操作系统访问控制目标目标：防止对操作系统的非授权访问。：防止对操作系统的非授权访问。 安全登陆程序安全登陆程序 用户标识和鉴别用户标识和鉴别 口令管理系统口令管理系统 系统实用程序的使系统实用程序的使

65、用用 终端时限终端时限 连接时间限制连接时间限制Ningxia Medical UniversityNingxia Medical UniversityA.11.6应用系统和信息访问控制应用系统和信息访问控制目标目标：防止对应用系统中信息的非授权访问。：防止对应用系统中信息的非授权访问。 信息访问限制信息访问限制 敏感系统隔离敏感系统隔离Ningxia Medical UniversityNingxia Medical UniversityA.11.7 移动计算与远程工作移动计算与远程工作目标：确保在使用移动计算和远程目标：确保在使用移动计算和远程工作设施时信息的安全。工作设施时信息的安全。

66、移动计算和通信移动计算和通信 远程工作远程工作Ningxia Medical UniversityNingxia Medical UniversityA.12 信息系统的获取、开发和维护信息系统的获取、开发和维护Ningxia Medical UniversityNingxia Medical UniversityA.12.2 应用系统的正确处理应用系统的正确处理目标目标：防止应用系统信息的错误、丢失、非授：防止应用系统信息的错误、丢失、非授权的修改或误用。权的修改或误用。 输入数据确认输入数据确认 内部处理的控制内部处理的控制 消息完整性消息完整性 输出数据确认输出数据确认Ningxia M

67、edical UniversityNingxia Medical UniversityA.12.3 加密控制加密控制保密信息保密信息34dfjon45?P目标：通过加密手段来保护信息的保密性、真目标：通过加密手段来保护信息的保密性、真 实实性或完整性。性或完整性。 使用加密控制的策略使用加密控制的策略 密钥管理密钥管理Ningxia Medical UniversityNingxia Medical UniversityA.12.4 系统文档的系统文档的安全安全目标目标：确保系统文档的安全。：确保系统文档的安全。 操作软件的控制操作软件的控制 系统测试数据的保护系统测试数据的保护 源代码的访问

68、控制源代码的访问控制Ningxia Medical UniversityNingxia Medical University变更控制程序变更控制程序操作系统变更后的技术评审操作系统变更后的技术评审软件包变更限制软件包变更限制信息泄漏信息泄漏软件开发外包软件开发外包A.12.5 开发与支持过程中的安全开发与支持过程中的安全目标：保持应用系统软件和信息的安全。目标：保持应用系统软件和信息的安全。Ningxia Medical UniversityNingxia Medical UniversityA.12.6技术漏洞管理技术漏洞管理目标目标：减少由利用公开的技术漏洞带来的风险。：减少由利用公开的技

69、术漏洞带来的风险。 控制技术漏洞控制技术漏洞Ningxia Medical UniversityNingxia Medical UniversityA.13 信息安全事件管理信息安全事件管理Ningxia Medical UniversityNingxia Medical UniversityA.13.1 报告信息事件和弱点报告信息事件和弱点目标：确保与信息系统有关的安全事件和弱点目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。的沟通能够及时采取纠正措施。 报告安全事件报告安全事件 报告安全弱点报告安全弱点Ningxia Medical UniversityNingxia

70、Medical UniversityA.13.2 对安全事件与故障对安全事件与故障做出响应做出响应目标：确保与信息系统有关的安全事件和弱点目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。的沟通能够及时采取纠正措施。 职责和程序职责和程序 从信息安全事故中从信息安全事故中学习学习 收集证据收集证据Ningxia Medical UniversityNingxia Medical UniversityA.14 业务持续性管理业务持续性管理Ningxia Medical UniversityNingxia Medical University目标目标:防止业务活动的中断，保护关键

71、业务流程不会受信防止业务活动的中断，保护关键业务流程不会受信息息系统重大失误或灾难的影响，并确保他们的及时恢复系统重大失误或灾难的影响，并确保他们的及时恢复 在业务连续性管理过程中包含的信息安全在业务连续性管理过程中包含的信息安全 业务连续性和风险评估业务连续性和风险评估 制定并实施包含信息安全的连续性制定并实施包含信息安全的连续性计划计划 业务连续性计划框架业务连续性计划框架 BCP 的测试、保持和再评估的测试、保持和再评估A.14.1 业务连续性管理业务连续性管理的信息的信息安全方面安全方面Ningxia Medical UniversityNingxia Medical Universi

72、tyA.15 符合性符合性Ningxia Medical UniversityNingxia Medical University目标：避免违反法律、法规、规章、合同要目标：避免违反法律、法规、规章、合同要求和其他的安全要求求和其他的安全要求 适用法律要求的识别适用法律要求的识别 知识产权知识产权 组织记录的保护组织记录的保护 数据保护以及个人数据保护以及个人信息的隐私信息的隐私 防止信息处理设备的误用防止信息处理设备的误用 密码控制方法的规定密码控制方法的规定A.15.1 符合法律要求符合法律要求Ningxia Medical UniversityNingxia Medical Univer

73、sity目标：确保系统符合组织的安全策略及标准目标：确保系统符合组织的安全策略及标准 符合安全策略和标准符合安全策略和标准 技术符合性检查技术符合性检查A.15.2 符合安全策略和标准，以及符合安全策略和标准，以及技术符合性技术符合性Ningxia Medical UniversityNingxia Medical University目标：将信息系统审核过程的有效性最大化，干扰最小化目标：将信息系统审核过程的有效性最大化，干扰最小化 信息系统审核控制措施信息系统审核控制措施 信息系统审核工具的保护信息系统审核工具的保护A.15.3 信息系统审核的信息系统审核的考虑因素考虑因素Ningxia

74、Medical UniversityNingxia Medical UniversityPage 95区别lISO/IEC 17799信息技术信息技术信息安全管理实施信息安全管理实施细则细则lISO/IEC 27001信息技术信息技术信息安全管理体系信息安全管理体系要求要求l17799重点关注的是实施细则，同时，针对重点关注的是实施细则，同时，针对17799并并没有认证机制。没有认证机制。27001重点关注的是建设体系的要求，重点关注的是建设体系的要求，并且有认证机制。并且有认证机制。Ningxia Medical UniversityNingxia Medical UniversityPag

75、e 96联系lISO/IEC 27001的附录中有的附录中有ISO/IEC 17799中的中的5到到15章的全部内容，也就是说在进行章的全部内容，也就是说在进行ISMS建设以及建设以及27001认证时，认证时， ISO/IEC 17799中中11个方面，个方面，39个控制点，个控制点，以及以及133个控制措施都作为重要的参考点，进行差距个控制措施都作为重要的参考点，进行差距分析时，这些内容都是重要的依据。分析时，这些内容都是重要的依据。l所以，我们经常提到所以，我们经常提到27001，实际上，实际上27001应该是应该是ISO/IEC 27001和和ISO/IEC 17799的组合体，两者缺一的组合体，两者缺一不可。不可。