ISO27001 信息安全管理体系.pptx

ISO17799/BS7799 ISO17799/BS7799 信息安全管理体系简信息安全管理体系简介介 什么是信息？ Information is an asset which,like other important business assets,has value to an organization and consequently needs to be suitably protected. 信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。 ISO17799/BS7799 Part 1:19992 信息的类型信息的类型政府信息-国内重要的信息内部信息-不希望竞争对手得到的信息客户信息-不希望被泄露的信息与贸易伙伴共享的信息公开信息-任何人都可以自由使用的列印或写在纸张上的用电子方式储存的以邮件传输（包括电子邮件）以影视或胶片方式表现的语言交谈3 什么需要保护？ 保护重要的商业“信息”资产 维持竞争优势 法律的要求 商业形象 安全威胁 安全脆弱 分瘠的安全技术4 信息-成长及成功的关键因素 15000份的医疗日志培圾桶中在被发现 30000个用户密码在Internet上公布 推广的照片提前出现在新闻书刊上 银行支付数百万元给勒索者 25位开发部的同事跳槽至竞争者公司 为何信息安全是如此重要？5盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。电 脑 入 侵：电脑骇客入侵每年以45%的速率在增长。电 子 邮 件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。病 毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。Source:Worldtalk Corporation E-mail surveillance programme.& Computer weekly 1999/09/19 为何信息安全是如此重要？（续）6 安全风险 法律和合约的需求 内部的原则，目标和需求 从收集控制方式与适当的需求等级开始！ 安全需求7 ISMS发展历史820001993199519981999ISO17799/BS7799发布 瑞典开始试点认证瑞典标准SS 62 77 99 Part 12发布新版英国标准BS 7799 Part 12发布英国开始试点认证英国公布BS 7799第二部份（Part2）英国公布BS 7799第一部份（Part2）率先由英国贸工部倡导 ISO17799/BS7799 StructureManagement overviewISO17799/BS7799,Part1-GuidelinesIndex to underlying level(s)WebWithlinksStandards for“Best practise”Specifications for CertificationISO17799/BS7799,Part2Requirements standardGuidelines forCertification10Confidentiality保密性Integrity完整性Availability可用性 信息安全信息安全11 ISO17799/BS7799 定义信息安全如下： 保密性：确保只有被授权的人员才能操作信息 完整性：确保信息的完整和正确 可用性：确保信息在需要时随时可以获得 信息安全信息安全12 管理者的承诺- 方针目标 组织，包含定义职责 系统结构 程序 文件管制 与与ISO9000 相同之处相同之处 记录管理 培训 管理评核 纠正与预防措施13 风险评估与适用性声明 选择适宜的控制 安全目标实现的验证 安全产品正确执行的验证 坚持程序作业的验证 与与ISO9000 不同之处不同之处14 风险评估 业务持续计划 两个阶段的认证 与与ISO14000及及OHSAS1800 相同之处相同之处15 ISO17799/BS7799 Part 1- 信息安全管理实施规则 ISO17799/BS7799 Part 2- 信息安全管理体系规范 ISO17799/BS7799 标准标准16Chapter 范围Chapter 术语和定义Chapter 安全方针Chapter 组织安全Chapter 资产分类和控制Chapter 人员安全 第一部份第一部份-章节Chapter 实物和环境安全Chapter 通信和操作管理Chapter 访问控制Chapter 系统开发和维护Chapter 商务连续性管理Chapter 符合性17 信息安全管理体系需求： 10项控制细则 36个控制目标 127个控制方式 第二部分的内容第二部分的内容18 Chapter 范围 Chapter 术语和定义 Chapter 信息安全管理体系要求 Chapter 控制细则（与第一部份对应） 第二部份第二部份-章节19 4 1安全方针 42组织安全 43资产分类和控制 44人员安全 45实物和环境安全 第二部份第二部份-章节 46通信和操作管理 47访问控制 48系统开发和维护 49商务连续性管理 410符合性20 信息安全管理体系的实施信息安全管理体系的实施21持续改善安全方针评估检查执行计划管理评审确定范围 风险分析 控制目标与控制方式 适用性声明 业务持续计划 组织安全 资产分类与控制 人员安全 实物与环境安全 重要作业的保护包含保护的资料 能法律法规的符合性 安全方针符合性 安全技术的符合性 风险评估和风险管理风险评估和风险管理22通过移动避光减少重要度可能性 第一部份第一部份-章节UKAS protocolAccredits for 7799 vanillaRecognises competent auditorsAccepts c:cure registrationAs proof of competence Could accredit CB for 7799 without c:cureLogo of CB & UKAS onlyDISC protocolUKAS is still the accreditorIRCA registers auditorsc:cure auditor requirements are quite specific:EducationExperienceTrainingExaminationInterviewContinuing professional development24 c:cure 标志标志INFORMATION SECURITYISO17799/BS7799c : c u r e25 认证流程认证流程保密协定第二阶段正式审核第一阶段正式审核桌面桌面审查审核小组包含技术专家13周13周2周追踪审核ISMS证书26