《信息安全管理体系》全套PPT课件.ppt

《《信息安全管理体系》全套PPT课件.ppt》由会员分享，可在线阅读，更多相关《《信息安全管理体系》全套PPT课件.ppt（228页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理体系教程2023/2/52023/2/5课前介绍n n课程目程目标n n课程安排程安排n n课程内容程内容n n注意事注意事项n n学学员介介绍2023/2/52023/2/5课程目标n n掌握信息安全管理的一般知掌握信息安全管理的一般知识n n了解信息安全管理在信息系了解信息安全管理在信息系统安全保障安全保障体系中的地位体系中的地位n n认识和了解和了解ISO17799n n理解一个理解一个组织实施施ISO17799的意的意义n n初步掌握建立信息安全管理体系初步掌握建立信息安全管理体系（ISMS）的方法和步）的方法和步骤2023/2/52023/2/5课程安排n n课时:24H

2、n n课程方法：程方法：讲授、小授、小组讨论、练习2023/2/52023/2/5课程内容1 1、信息安全基、信息安全基础础知知识识2 2、信息安全管理与信息系、信息安全管理与信息系统统安全保障安全保障3 3、信息安全管理体系、信息安全管理体系标标准概述准概述4 4、信息安全管理体系方法、信息安全管理体系方法5 5、ISO17799ISO17799中的控制目中的控制目标标和控制措施和控制措施6 6、ISMSISMS建建设设、运行、运行、审审核与核与认证认证7 7、信息系、信息系统统安全保障管理要求安全保障管理要求2023/2/52023/2/5注意事项注意事项n n积极参与、活极参与、活跃气氛

3、气氛n n守守时n n保持安静保持安静n n有有问题可随可随时举手提手提问2023/2/52023/2/51.1.信息安全基础知识1.11.1 信息安全的基本概念信息安全的基本概念信息安全的基本概念信息安全的基本概念 1.21.2 为为什么需要信息安全什么需要信息安全什么需要信息安全什么需要信息安全 1.31.3 实实践中的信息安全践中的信息安全践中的信息安全践中的信息安全问题问题 1.41.4 信息安全管理的信息安全管理的信息安全管理的信息安全管理的实实践践践践经验经验2023/2/52023/2/5 请思考：请思考：什么是信息安全？什么是信息安全？什么是信息安全？什么是信息安全？1.1 信

4、息安全基本概念2023/2/52023/2/5什么是信息？什么是信息？n nISO17799ISO17799中的描述中的描述“Informationisanassetwhich,likeotherimportantbusinessInformationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobeassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.”suit

5、ablyprotected.”“Informationcanexistinmanyforms.Itcanbeprintedorwritten“Informationcanexistinmanyforms.Itcanbeprintedorwrittenonpaper,storedelectronically,transmittedbypostorusingonpaper,storedelectronically,transmittedbypostorusingelectronicmeans,shownonfilms,orspokeninconversation.electronicmeans,s

6、hownonfilms,orspokeninconversation.n n强调强调信息：信息：信息：信息：是一种是一种是一种是一种资产资产同其它重要的商同其它重要的商同其它重要的商同其它重要的商业资产业资产一一一一样样对组织对组织具有价具有价具有价具有价值值 需要适当的保需要适当的保需要适当的保需要适当的保护护以各种形式存在：以各种形式存在：以各种形式存在：以各种形式存在：纸纸、电电子、影片、交子、影片、交子、影片、交子、影片、交谈谈等等等等2023/2/52023/2/5小问题：小问题：你们公司的Knowledge都在哪里？信息在哪里？信息在哪里？2023/2/52023/2/5什么是信息

7、安全什么是信息安全?n nISO17799ISO17799中的描述中的描述“Information security protects information from a Information security protects information from a wide range of threats in order to ensure business wide range of threats in order to ensure business continuity,minimize business damage and maximize continuity,mini

8、mize business damage and maximize return on investments and business opportunities.”return on investments and business opportunities.”n n信息安全：信息安全：保保保保护护信息免受各方威信息免受各方威信息免受各方威信息免受各方威胁胁确保确保确保确保组织业务连续组织业务连续性性性性将信息不安全将信息不安全将信息不安全将信息不安全带带来的来的来的来的损损失降低到最小失降低到最小失降低到最小失降低到最小 获获得最大的投得最大的投得最大的投得最大的投资资回回回回报报和商

9、和商和商和商业业机会机会机会机会2023/2/52023/2/5信息安全的特征（信息安全的特征（CIA）n nISO17799ISO17799中的描述中的描述Information security is characterized here as the preservation Information security is characterized here as the preservation of:of:ConfidentialityConfidentialityIntegrityIntegrityAvailabilityAvailabilityn n信息在安全方面三个特征：信息

10、在安全方面三个特征：机密性：确保只有被授机密性：确保只有被授权权的人才可以的人才可以访问访问信息；信息；完整性：确保信息和信息完整性：确保信息和信息处处理方法的准确性和完整性；理方法的准确性和完整性；可用性：确保在需要可用性：确保在需要时时，被授，被授权权的用的用户户可以可以访问访问信息和相信息和相关的关的资产资产。2023/2/52023/2/5信息本身信息本身信息处理设施信息处理设施信息处理者信息处理者信息处理信息处理过程过程 机密 可用 完整 总结总结2023/2/52023/2/5 请思考：请思考：组织为什么要花钱实现信息安全？组织为什么要花钱实现信息安全？组织为什么要花钱实现信息安全

11、？组织为什么要花钱实现信息安全？1.2 为什么需要信息安全2023/2/52023/2/5组织自身业务的需要自身自身自身自身业务业务和利益的要求和利益的要求和利益的要求和利益的要求客客客客户户的要求的要求的要求的要求合作伙伴的要求合作伙伴的要求合作伙伴的要求合作伙伴的要求投投投投标标要求要求要求要求竞竞争争争争优势优势，树树立品牌立品牌立品牌立品牌加加加加强强内部管理的要求内部管理的要求内部管理的要求内部管理的要求2023/2/52023/2/5法律法规的要求计计算机信息系算机信息系算机信息系算机信息系统统安全保安全保安全保安全保护护条例条例条例条例知知知知识产权识产权保保保保护护互互互互联联

12、网安全管理网安全管理网安全管理网安全管理办办法法法法网站网站网站网站备备案管理案管理案管理案管理规规定定定定2023/2/52023/2/5信息系统使命的要求信息系信息系信息系信息系统统本身具有特定的使命本身具有特定的使命本身具有特定的使命本身具有特定的使命信息安全的目的就是使信息系信息安全的目的就是使信息系信息安全的目的就是使信息系信息安全的目的就是使信息系统统的使命得到保的使命得到保的使命得到保的使命得到保障障障障。2023/2/52023/2/5 请思考：请思考：目前，解决信息安全问题，通常的做法目前，解决信息安全问题，通常的做法目前，解决信息安全问题，通常的做法目前，解决信息安全问题，

13、通常的做法是什么？是什么？是什么？是什么？1.3 实践中的信息安全问题2023/2/52023/2/5“产品导向型产品导向型”信息安全信息安全n n初始初始初始初始阶阶段，解决信息安全段，解决信息安全段，解决信息安全段，解决信息安全问题问题，通常的方法：，通常的方法：，通常的方法：，通常的方法：采采采采购购各种安全各种安全各种安全各种安全产产品，由品，由品，由品，由产产品厂商提供方案；品厂商提供方案；品厂商提供方案；品厂商提供方案；Anti-VirusAnti-VirusAnti-VirusAnti-Virus、FirewallFirewallFirewallFirewall、IDS&Scan

14、nerIDS&ScannerIDS&ScannerIDS&Scanner 组织组织内部安排内部安排内部安排内部安排1-21-21-21-2人兼人兼人兼人兼职负责职负责日常日常日常日常维护维护，通常来自以技，通常来自以技，通常来自以技，通常来自以技术为术为主的主的主的主的ITITITIT部部部部门门；更多的情况是几乎没有日常更多的情况是几乎没有日常更多的情况是几乎没有日常更多的情况是几乎没有日常维护维护n n存在的存在的存在的存在的问题问题 需求需求需求需求难难以确定以确定以确定以确定保保保保护护什么、保什么、保什么、保什么、保护对护对象的象的象的象的边边界到哪里、界到哪里、界到哪里、界到哪里、

15、应该应该保保保保护护到什么程度到什么程度到什么程度到什么程度 管理和服管理和服管理和服管理和服务务跟不上，跟不上，跟不上，跟不上，对对采采采采购产购产品运行的效率和效果缺乏品运行的效率和效果缺乏品运行的效率和效果缺乏品运行的效率和效果缺乏评评价价价价 通常用漏洞通常用漏洞通常用漏洞通常用漏洞扫扫描（描（描（描（ScannerScannerScannerScanner）来代替）来代替）来代替）来代替风险评风险评估估估估有哪些不安全的因素（威有哪些不安全的因素（威有哪些不安全的因素（威有哪些不安全的因素（威胁胁、脆弱性）、信息不安全的影响、脆弱性）、信息不安全的影响、脆弱性）、信息不安全的影响、脆

16、弱性）、信息不安全的影响、对风险对风险的的的的态态度度度度“头头痛医痛医痛医痛医头头，脚痛医脚，脚痛医脚，脚痛医脚，脚痛医脚”，很，很，很，很难实现难实现整体安全；不同厂商、不同整体安全；不同厂商、不同整体安全；不同厂商、不同整体安全；不同厂商、不同产产品之品之品之品之间间的的的的协调协调也是也是也是也是难题难题2023/2/52023/2/5信息安全管理信息安全管理n nISO17799ISO17799强调强调：“Information security is a management process,not a Information security is a management pr

17、ocess,not a technological process.”technological process.”技技技技术术和和和和产产品是基品是基品是基品是基础础，管理是关，管理是关，管理是关，管理是关键键；产产品和技品和技品和技品和技术术，要通，要通，要通，要通过过管理的管理的管理的管理的组织职组织职能才能能才能能才能能才能发挥发挥最好的作用；最好的作用；最好的作用；最好的作用；技技技技术术不高但管理良好的系不高但管理良好的系不高但管理良好的系不高但管理良好的系统远统远比技比技比技比技术术高但管理混乱的系高但管理混乱的系高但管理混乱的系高但管理混乱的系统统安安安安全；全；全；全；先先先

18、先进进、易于理解、方便操作的安全策略、易于理解、方便操作的安全策略、易于理解、方便操作的安全策略、易于理解、方便操作的安全策略对对信息安全至关重要，信息安全至关重要，信息安全至关重要，信息安全至关重要，也也也也证证明了管理的重要；明了管理的重要；明了管理的重要；明了管理的重要；建立一个管理框架，建立一个管理框架，建立一个管理框架，建立一个管理框架，让让好的安全策略在好的安全策略在好的安全策略在好的安全策略在这这个框架内可重复个框架内可重复个框架内可重复个框架内可重复实实施，并不断得到修正，就会持施，并不断得到修正，就会持施，并不断得到修正，就会持施，并不断得到修正，就会持续续安全。安全。安全。

19、安全。2023/2/52023/2/51.4 信息安全管理的实践经验 反映反映组织业务组织业务目目标标的安全方的安全方针针、目、目标标和活和活动动；符合符合组织组织文化的安全文化的安全实实施方法；施方法；管理管理层层明明显显的支持和承的支持和承诺诺；安全需求、安全需求、风险评风险评估和估和风险风险管理的正确理解；管理的正确理解；有效地向所有管理人有效地向所有管理人员员和和员员工推行安全措施；工推行安全措施；向所有的向所有的员员工和工和签约签约方提供本方提供本组织组织的信息安全方的信息安全方针针与与标标准；准；提供适当的培提供适当的培训训和教育；和教育；一整套用于一整套用于评评估信息安全管理能力

20、和反估信息安全管理能力和反馈馈建建议议的的测测量系量系统统2023/2/52023/2/52、信息安全管理与信息系统安全保障2.12.1信息系信息系统统的使命的使命2.22.2信息系信息系统统安全保障模型安全保障模型2.32.3信息系信息系统统安全保障框架安全保障框架2.42.4信息系信息系统统安全保障生命周期的保安全保障生命周期的保证证2.52.5信息安全管理模型信息安全管理模型2.62.6信息安全管理与信息系信息安全管理与信息系统统安全保障的关系安全保障的关系2023/2/52023/2/52.1信息系统的使命资产资产可能意识到可能意识到引起引起增加增加利用利用导致导致威胁主体威胁主体威胁

21、威胁所有者所有者风险风险脆弱性脆弱性对策对策可能被减少可能被减少利用利用价值价值希望最小化希望最小化希望滥用或破坏希望滥用或破坏可能具有可能具有减少减少到到到到使命使命希望完成希望完成到到可能阻碍或破坏可能阻碍或破坏2023/2/52023/2/52.2信息系统安全保障模型信息系统安全保障模型2023/2/52023/2/52.3信息系统安全保障框架信息系统安全保障框架信息系统使命信息系统使命信息系统建模，。信息系统建模，。GB 18336 idt ISO/IEC 15408信息技术安全性评估准则信息技术安全性评估准则IATF 信息保障技术框架信息保障技术框架ISSE 信息系统安全工程信息系统

22、安全工程SSE-CMM系统安全工程能力成熟度模型系统安全工程能力成熟度模型BS 7799,ISO/IEC 17799信息安全管理实践准则信息安全管理实践准则其他相关标准、准则其他相关标准、准则例如：例如：ISO/IEC 15443,COBIT。系统认证和认可标准和实践系统认证和认可标准和实践例如：美国例如：美国DITSCAP,中国信息安全产品测评认证中心中国信息安全产品测评认证中心相关文档和系统测评认证实践相关文档和系统测评认证实践技术准则技术准则（信息技术系统评估准则）（信息技术系统评估准则）管理准则管理准则（信息系统管理评估准则）（信息系统管理评估准则）过程准则过程准则（信息系统安全工程评

23、估准则）（信息系统安全工程评估准则）信信息息系系统统安安全全保保障障评评估估准准则则2023/2/52023/2/52.4信息系统安全保障生命周期的保证信息系统安全保障生命周期的保证变更应用于系统变更应用于系统计划组织计划组织开发采购开发采购实施交付实施交付运行维护运行维护废弃废弃建立使命要求建立使命要求建立使命要求建立使命要求审阅业务要求审阅业务要求系统需求分析系统需求分析定义运行需求定义运行需求系统体系设计系统体系设计项目与预算管理项目与预算管理两种类型：两种类型：开发、购买/客户化/集成人员保证（决策人员）技术保证（技术方案安全产品）过程保证（服务能力工程过程）管理保证（安全管理）人员保

24、证（管理/维护/使用人员）人员保证（管理人员）人员保证（实施人员）管理保证（安全管理）管理保证（安全管理）管理保证（安全管理）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）信息系统安全保障（信息系统技术、管理、过程和人员领域要求及保证）系系统统保保证证信信息息系系统统生生命命周周期期2023/2/52023/2/52.5信息安全管理模型信息安全管理模型信息系统安全管理基础信息系统安全管理基础组织体系组织体系策略制度策略制度遵循性遵循性人人员员安安全全采采购购管管理理投投资资和和预预算算管管理理持持续续性性管管理理环环境境设设备备紧紧急急用用途途和和供供给给变更控制管理变更控制

25、管理信信息息技技术术战战略略规规划划变更应用于系统变更应用于系统计划组织计划组织开发采购开发采购实施交付实施交付运行维护运行维护废弃废弃信信息息技技术术战战略略规规划划系系统统操操作作物物理理访访问问运运行行环环境境设设备备管管理理2023/2/52023/2/52.6信息安全管理与信息系统安全保障的关系n n信息系信息系信息系信息系统统安全保障三大部分：安全保障三大部分：安全保障三大部分：安全保障三大部分：技技技技术术保障保障保障保障 过过程保障程保障程保障程保障 管理保障管理保障管理保障管理保障n n信息安全管理是信息系信息安全管理是信息系信息安全管理是信息系信息安全管理是信息系统统安全保

26、障的三大部分安全保障的三大部分安全保障的三大部分安全保障的三大部分之一：之一：之一：之一：管理保障管理保障管理保障管理保障n n信息安全管理涉及到系信息安全管理涉及到系信息安全管理涉及到系信息安全管理涉及到系统统的整个生命周期的整个生命周期的整个生命周期的整个生命周期2023/2/52023/2/53.3.信息安全管理体系标准概述3.13.1 信息安全信息安全信息安全信息安全标标准介准介准介准介绍绍3.23.2 ISO17799ISO177993.33.3 ISO17799ISO17799的的的的历历史及史及史及史及发发展展展展3.43.4 ISO17799:2000ISO17799:2000

27、的内容框架的内容框架的内容框架的内容框架3.53.5 BS7799-2:1999BS7799-2:1999的内容框架的内容框架的内容框架的内容框架3.6ISO/IEC17799:2000(BS7799-1:1999)3.6ISO/IEC17799:2000(BS7799-1:1999)、BS7799-2:1999BS7799-2:1999、BS7799-2:2002BS7799-2:2002 之区之区之区之区别别2023/2/52023/2/53.1 信息安全标准介绍n n信息安全标准n n 管理体系标准2023/2/52023/2/5信息安全标准n nISO7498-2(GB/T9387.2

28、-1995)n nISO13335n nSSE-CMM(GB21827)n nISO15408（GB/T18336-2001）n nISO177992023/2/52023/2/5ISO7498-2(GB/T9387.2-1995)n n开放系开放系开放系开放系统统互互互互联联安全体系安全体系安全体系安全体系结结构构构构n n由由由由ISO/ICEJTC1/SC21ISO/ICEJTC1/SC21完成完成完成完成n n19821982年开始，年开始，年开始，年开始，19881988年年年年结结束，束，束，束，ISOISO发发布了布了布了布了ISO7498-2ISO7498-2n n给给出了基于

29、出了基于出了基于出了基于OSIOSI参考模型的参考模型的参考模型的参考模型的7 7层协议层协议上的安全体系上的安全体系上的安全体系上的安全体系结结构构构构n n其核心内容是：其核心内容是：其核心内容是：其核心内容是：为为了保了保了保了保证证异构异构异构异构计计算机算机算机算机进进程与程与程与程与进进程之程之程之程之间间远远距离安全交距离安全交距离安全交距离安全交换换信息的安全，它定信息的安全，它定信息的安全，它定信息的安全，它定义义了了了了该该系系系系统统的的的的5 5大大大大类类安全服安全服安全服安全服务务，以及提供，以及提供，以及提供，以及提供这这些服些服些服些服务务的的的的8 8大大大大

30、类类安全机制及相安全机制及相安全机制及相安全机制及相应应的安全管理，并可根据具体系的安全管理，并可根据具体系的安全管理，并可根据具体系的安全管理，并可根据具体系统统适当的配置于适当的配置于适当的配置于适当的配置于OSIOSI模型模型模型模型的的的的7 7层协议层协议中。中。中。中。2023/2/52023/2/5ISO7498-2安全体系结构安全体系结构加密数字签名数据完整性访问控制数据交换业务流填充路由控制公证抗抵赖数据保密性数据完整性访问控制鉴别服务物理层链路层表示层应用层传输层网络层会话层安全机制安全服务OSI参考模型2023/2/52023/2/5ISO13335IT安全管理n n分分

31、为5个部分：个部分：ISO/IECTR13335-1ISO/IECTR13335-1：概念和模型：概念和模型：概念和模型：概念和模型 ISO/IECTR13335-2ISO/IECTR13335-2：管理和：管理和：管理和：管理和规规划划划划 ISO/IECTR13335-3ISO/IECTR13335-3：管理技：管理技：管理技：管理技术术 ISO/IECTR13335-4ISO/IECTR13335-4：安全措施的：安全措施的：安全措施的：安全措施的选择选择 ISO/IECTR13335-5ISO/IECTR13335-5：网：网：网：网络络安全性的管理指安全性的管理指安全性的管理指安全性

32、的管理指导导 n n由由ISO/IECJTC1/SC27完成完成2023/2/52023/2/5SSE-CMM信息系统安全工程能力成熟度模型n nCMMCMMCapabilityCapabilityMaturityMaturityModelModel首先用于首先用于首先用于首先用于软软件工件工件工件工程；程；程；程；n n19931993年年年年4 4月，由美国月，由美国月，由美国月，由美国NSANSA资资助，安全助，安全助，安全助，安全业业界、界、界、界、DODDOD、加、加、加、加拿大通信安全机构共同拿大通信安全机构共同拿大通信安全机构共同拿大通信安全机构共同组组成成成成项项目目目目组组，

33、研究把，研究把，研究把，研究把CMMCMM用用用用于安全工程；于安全工程；于安全工程；于安全工程；n n19961996年年年年1010月推出第一版，月推出第一版，月推出第一版，月推出第一版，9797年年年年4 4月推出方法（月推出方法（月推出方法（月推出方法（SSAMSSAM）第一版；第一版；第一版；第一版；9898年底推出第二版，年底推出第二版，年底推出第二版，年底推出第二版，9999年年年年4 4月推出月推出月推出月推出SSAMSSAM第第第第二版；二版；二版；二版；n n用于信息系用于信息系用于信息系用于信息系统统安全的工程安全的工程安全的工程安全的工程组织组织、采、采、采、采购组织购

34、组织和和和和评评估机估机估机估机构构构构n n5 5个能力个能力个能力个能力级别级别，1111个个个个过过程区程区程区程区n n20032003年，出版了年，出版了年，出版了年，出版了SSE-CMMV3.0SSE-CMMV3.02023/2/52023/2/55 5个能力级别：个能力级别：1 1级：非正式执行级级：非正式执行级 2 2级：计划和跟踪级级：计划和跟踪级 3 3级：充分定义级级：充分定义级 4 4级：量化控制级级：量化控制级 5 5级：持续改进级级：持续改进级 代表安全工程组织的 成熟度级别11个过程区：个过程区：PA 01 管理安全控制管理安全控制 PA 02 评估影响评估影响

35、PA 03 评估安全风险评估安全风险 PA 04 评估威胁评估威胁 PA 05 评估脆弱性评估脆弱性 PA 06 建立保证论据建立保证论据 PA 07 协调安全协调安全 PA 08 监视安全态势监视安全态势 PA 09 提供安全输入提供安全输入 PA 10 指定安全要求指定安全要求 PA 11 验证和证实安全性验证和证实安全性 SSE-CMM信息系统安全工程能力成熟度模型（续）2023/2/52023/2/5ISO15408(GB/T18336)信息技术安全性评估准则n n通常通常通常通常简简称称称称CCCC通用准通用准通用准通用准则则，ISO15408:1999ISO15408:1999，G

36、B/T18336:2001;GB/T18336:2001;n n定定定定义义了了了了评评估信息技估信息技估信息技估信息技术产术产品和系品和系品和系品和系统统安全性所需的安全性所需的安全性所需的安全性所需的基基基基础础准准准准则则，是度量信息技，是度量信息技，是度量信息技，是度量信息技术术安全性的基准；安全性的基准；安全性的基准；安全性的基准；n n分分分分为为3 3个部分：个部分：个部分：个部分：第一部分：第一部分：第一部分：第一部分：简简介和一般模型介和一般模型介和一般模型介和一般模型 第二部分：安全功能要求第二部分：安全功能要求第二部分：安全功能要求第二部分：安全功能要求 第三部分：安全保

37、第三部分：安全保第三部分：安全保第三部分：安全保证证要求要求要求要求2023/2/52023/2/5管理体系标准n nISO9000族族质量管理体系量管理体系n nISO14000环境管理体系境管理体系标准准n nOHSAM18000职业安全安全卫生管理体生管理体系系标准准n nISO17799信息安全管理体系信息安全管理体系标准准2023/2/52023/2/5 ISO/IEC17799:2000InformationtechnologyCodeofpracticeforinformationsecuritymanagement信息技术信息安全管理实施细则 3.2 ISO/IEC17799:

38、20002023/2/52023/2/5 l 历史BS 7799-2:19992001.6BS7799 Part 2version CCode of practiceDTIBS 7799-Part11993.9BSI1995.2BS 7799-Part21998.2BS 7799-1:19991999.4ISO/IEC2000.12+ISO 177993.3 ISO17799ISO17799的历史及发展2023/2/52023/2/5BSI简介简介n nBSIBSI 英国英国英国英国标标准准准准协协会会会会 英国英国英国英国标标准准准准协协会是全球会是全球会是全球会是全球领领先的国先的国先的国

39、先的国际标际标准、准、准、准、产产品品品品测试测试、体系、体系、体系、体系认证认证机构。机构。机构。机构。n n发发起制定的起制定的起制定的起制定的标标准准准准 ISO9000ISO9000（质质量管理体系）量管理体系）量管理体系）量管理体系）ISO14001ISO14001（环环境管理体系）境管理体系）境管理体系）境管理体系）OHSAS18001OHSAS18001（职业职业健康与安全管理体系）健康与安全管理体系）健康与安全管理体系）健康与安全管理体系）QS-9000/ISO/TS16949QS-9000/ISO/TS16949（汽（汽（汽（汽车车供供供供应应行行行行业业的的的的质质量管理体

40、系）量管理体系）量管理体系）量管理体系）TL9000TL9000（电电信供信供信供信供应应行行行行业业的的的的质质量管理体系）量管理体系）量管理体系）量管理体系）BS7799BS7799。2023/2/52023/2/5IUG：International User Group 19971997年成立年成立年成立年成立 宗旨宗旨宗旨宗旨 促促促促进进ISO17799/BS7799ISO17799/BS7799的的的的应应用和推广用和推广用和推广用和推广 促促促促进对进对信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系标标准、准、准、准、认证认证等的理解，服等的理解，服等的理解，服

41、等的理解，服务务全全全全球商球商球商球商业业 提供一个基于互提供一个基于互提供一个基于互提供一个基于互联联网的网的网的网的论坛论坛 提供一个信息交流的平台提供一个信息交流的平台提供一个信息交流的平台提供一个信息交流的平台 研究和写作研究和写作研究和写作研究和写作 成成成成员员Australia Brazil Germany Hong Kong India Ireland JapanKoreaMalaysia The Netherlands New Zealand Norway Poland SingaporeSouth AfricaSweden Switzerland TaiwanUAE UK

42、 USA 2023/2/52023/2/5ISO17799被各国或地区采用的情况 EnglandEngland AustraliaAustralia New ZealandNew Zealand BrazilBrazil Czech RepublicCzech Republic FinlandFinland IcelandIceland IrelandIreland Netherlands(SPE 20003)Netherlands(SPE 20003)NorwayNorway Sweden(SS 627799)Sweden(SS 627799)TaiwanTaiwan 中国中国2023/2/

43、52023/2/5ISO17799在中国 国内从国内从国内从国内从20002000年初开始年初开始年初开始年初开始认识认识ISO17799/BS7799ISO17799/BS7799；20002000年初开始，国内一些公司和年初开始，国内一些公司和年初开始，国内一些公司和年初开始，国内一些公司和单单位位位位进进行行行行BS7799BS7799的研究和相关的研究和相关的研究和相关的研究和相关课课程培程培程培程培训训；2002200220032003年，我国已年，我国已年，我国已年，我国已经经提出了国提出了国提出了国提出了国标标化的化的化的化的计计划；划；划；划；2023/2/52023/2/53

44、.4 ISO17799:2000的内容框架 ISO17799:2000ISO17799:2000（BS7799-1:1999BS7799-1:1999）CodeofPracticeforInformationSecurityCodeofPracticeforInformationSecurityManagementManagement信息安全管理信息安全管理实实施施细则细则 BS7799-2:1999(BS7799-2:1999(已已已已经经有有有有BS7799-2:2002BS7799-2:2002草案草案草案草案)SpecificationforInformationSecuritySpe

45、cificationforInformationSecurityManagementSystemManagementSystem信息安全管理体系信息安全管理体系规规范范2023/2/52023/2/53.4 ISO17799:2000的内容框架(续)Foreword(ISOForeword(ISO前言前言前言前言)Introduction(Introduction(引言引言引言引言)1.Scope(1.Scope(范范范范围围)2.TermandDefinitions(2.TermandDefinitions(术语术语和定和定和定和定义义)3.3.12.12.详细详细控制目控制目控制目控制目标

46、标和控制措施和控制措施和控制措施和控制措施2023/2/52023/2/53.4ISO17799:2000的内容框架(续)Foreword(ISOForeword(ISO前言前言前言前言)ISO(ISO(国国际标际标准化准化组织组织)和和IEC(IEC(国国际电际电工委工委员员会会)组组成世成世界性界性标标准化的准化的专门专门体系。作体系。作为为ISOISO或或IECIEC成成员员的各的各国国团团体通体通过过由各自由各自组织设组织设立的技立的技术术委委员员会参与国会参与国际际标标准的开准的开发发，处处理特殊理特殊领领域的技域的技术术活活动动。ISOISO和和IECIEC技技术术委委员员会会协调

47、协调共同利益的共同利益的领领域。其它与域。其它与ISOISO和和IECIEC有有联联系的国系的国际组织际组织（官方的和非官方的）也（官方的和非官方的）也可参加工作。可参加工作。2023/2/52023/2/53.4ISO17799:2000的内容框架(续)Introduction(Introduction(引言引言引言引言)什么是信息安全什么是信息安全什么是信息安全什么是信息安全为为何需要信息安全何需要信息安全何需要信息安全何需要信息安全如何确定安全需求如何确定安全需求如何确定安全需求如何确定安全需求评评估安全估安全估安全估安全风险风险选择选择控制措施控制措施控制措施控制措施信息安全起点信息安

48、全起点信息安全起点信息安全起点成功的关成功的关成功的关成功的关键键因素因素因素因素制定制定制定制定组织组织自身的指自身的指自身的指自身的指导导方方方方针针2023/2/52023/2/53.4ISO17799:2000的内容框架(续)1.1.Scope(Scope(范范范范围围)本本本本标标准准准准为组织为组织中中中中负责负责信息安全的启信息安全的启信息安全的启信息安全的启动动、实现实现和和和和保持的人保持的人保持的人保持的人员员提供了信息安全管理方面的建提供了信息安全管理方面的建提供了信息安全管理方面的建提供了信息安全管理方面的建议议。目的是目的是目的是目的是为为各个各个各个各个组织组织制定

49、安全制定安全制定安全制定安全标标准和有效的安全准和有效的安全准和有效的安全准和有效的安全管理措施提供一个通用平台，并建立管理措施提供一个通用平台，并建立管理措施提供一个通用平台，并建立管理措施提供一个通用平台，并建立组织间组织间交交交交易易易易时时的信心。本的信心。本的信心。本的信心。本标标准所提供的建准所提供的建准所提供的建准所提供的建议应该议应该根据相根据相根据相根据相关法关法关法关法规规有有有有选择选择的使用。的使用。的使用。的使用。2023/2/52023/2/53.4ISO17799:2000的内容框架(续)2.TermandDefinitions(2.TermandDefiniti

50、ons(术语术语和定和定和定和定义义)2.1informationsecurity2.1informationsecurity信息安全信息安全信息安全信息安全 2.2Riskassessment2.2Riskassessment风险评风险评估估估估2.3Riskmanagement2.3Riskmanagement风险风险管理管理管理管理2023/2/52023/2/53.4ISO17799:2000的内容框架(续)2.1informationsecurity2.1informationsecurity信息安全信息安全信息安全信息安全 Preservation of confidentiali