北京邮电大学 - 信息安全管理（第二版）.ppt

《北京邮电大学 - 信息安全管理（第二版）.ppt》由会员分享，可在线阅读，更多相关《北京邮电大学 - 信息安全管理（第二版）.ppt（99页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理 （第二版），信信 息息 安安 全全 管管 理理 授课内容：信息安全管理体系授课内容：信息安全管理体系授课内容：信息安全管理体系授课内容：信息安全管理体系 信息安全管理vInformation security management上节回顾上节回顾6 信息安全管理信息安全管理信息安全管理信息安全管理是通过维护信息的机密性、完是通过维护信息的机密性、完是通过维护信息的机密性、完是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项整性和可用性等，来管理和保护信息资产的一项整性和可用性等，来管理和保护信息资产的一项整性和可用性等，来管理和保护信息资产的一项体制，是对信息安

2、全保障进行指导、规范和管理体制，是对信息安全保障进行指导、规范和管理体制，是对信息安全保障进行指导、规范和管理体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。的一系列活动和过程。的一系列活动和过程。的一系列活动和过程。上节回顾上节回顾6信息安全管理的重要性信息安全管理的重要性信息安全管理国内外现状信息安全管理国内外现状信息安全管理体系构成信息安全管理体系构成本节内容本节内容信息安全管理体系概述信息安全管理体系概述1BS7799信息安全管理体系信息安全管理体系2ISO27001信息安全管理体系信息安全管理体系36基于基于SSE-CMM的信息安全管理体系的信息安全管理体系4人力资源人

3、力资源IT信息管理信息管理Finance财务管理财务管理业务管理业务管理职业安全职业安全质量管理质量管理环境管理环境管理战略和投资管理战略和投资管理 综合管理体系综合管理体系市场市场/客户满意管理客户满意管理党务管理党务管理ISO 27000信息安全信息安全ISO 100015 培培训体系训体系 人力资人力资源管理体系源管理体系财务管理体系财务管理体系战略和投资管理体系战略和投资管理体系ISO 14001ISO 9000BS8600客户满意管理体系客户满意管理体系职业安全健康管理体系职业安全健康管理体系ISO18000Qs9000，ISMC常见管理体系2.1 2.1 信息安全管理体系概述信息安

4、全管理体系概述 信息安全管理体系信息安全管理体系（Information Security Management SystemInformation Security Management System，ISMSISMS）是组织在整体或特定范围内建立的信息安全方针和目是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体标，以及完整这些目标所用的方法和手段所构成的体系。系。2.1 2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的范围包括：的范围包括：的范围包括：的范围包括：u组织所有的信息系统；组织所有的信息系统；组织所有

5、的信息系统；组织所有的信息系统；u组织的部分信息系统；组织的部分信息系统；组织的部分信息系统；组织的部分信息系统；u特定的信息系统。特定的信息系统。特定的信息系统。特定的信息系统。2.1 2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的特点：的特点：的特点：的特点：u以预防控制为主的思想以预防控制为主的思想以预防控制为主的思想以预防控制为主的思想 ；u强调合规性；强调合规性；强调合规性；强调合规性；u强调全过程和动态控制强调全过程和动态控制强调全过程和动态控制强调全过程和动态控制 ；u关注关键性信息资产关注关键性信息资产关注关键性信息资产关注关键性信息资产 。

6、2.1 2.1 信息安全管理体系概述信息安全管理体系概述建立建立建立建立ISMSISMSISMSISMS的步骤：的步骤：的步骤：的步骤：u信息安全管理体系的策划与准备信息安全管理体系的策划与准备信息安全管理体系的策划与准备信息安全管理体系的策划与准备u信息安全管理体系文件的编制信息安全管理体系文件的编制信息安全管理体系文件的编制信息安全管理体系文件的编制u建立信息安全管理框架建立信息安全管理框架建立信息安全管理框架建立信息安全管理框架u信息安全管理体系的运行信息安全管理体系的运行信息安全管理体系的运行信息安全管理体系的运行u信息安全管理体系的审核与评审信息安全管理体系的审核与评审信息安全管理体

7、系的审核与评审信息安全管理体系的审核与评审2.1 2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的作用的作用的作用的作用 u强化员工的信息安全意识，规范组织信息安全行为；强化员工的信息安全意识，规范组织信息安全行为；u促使管理层贯彻信息安全保障体系；促使管理层贯彻信息安全保障体系；u对关键信息资产进行全面系统的保护，维持竞争优势；对关键信息资产进行全面系统的保护，维持竞争优势；u确保业务持续开展并将损失降到最低程度；确保业务持续开展并将损失降到最低程度；u使组织的生意伙伴和客户对组织充满信心；使组织的生意伙伴和客户对组织充满信心；u如果通过体系认证，可以提高组

8、织的知名度与信任度。如果通过体系认证，可以提高组织的知名度与信任度。2.1 2.1 信息安全管理体系概述信息安全管理体系概述PDCAPDCAPDCAPDCA P P（PlanPlan）计划，确定方针、目标和活动计划；计划，确定方针、目标和活动计划；D D（DoDo）实施，实现计划中的内容；实施，实现计划中的内容；C C（CheckCheck）检查，检查并总结执行计划的结果；检查，检查并总结执行计划的结果；A A（ActionAction）行动，对检查总结的结果进行处理。行动，对检查总结的结果进行处理。2.1 2.1 信息安全管理体系概述信息安全管理体系概述PDCAPDCAPDCAPDCA*P*

9、P（PlanPlan）分析目前现状，找出存在的问题；分析目前现状，找出存在的问题；分析产生问题的各种原因以及影响因素；分析产生问题的各种原因以及影响因素；分析并找出管理中的主要问题；分析并找出管理中的主要问题；制定管理计划，确定管理要点。制定管理计划，确定管理要点。2.1 2.1 信息安全管理体系概述信息安全管理体系概述PDCAPDCAPDCAPDCA*D*D（DoDo）本阶段的任务是在管理工作中全面执行制定的方案。本阶段的任务是在管理工作中全面执行制定的方案。2.1 2.1 信息安全管理体系概述信息安全管理体系概述PDCAPDCAPDCAPDCA*C*C（CheckCheck）它是对实施方案

10、是否合理、是否可行以及有何不妥它是对实施方案是否合理、是否可行以及有何不妥的检查。的检查。2.1 2.1 信息安全管理体系概述信息安全管理体系概述PDCAPDCAPDCAPDCA*A*A（ActionAction）对已解决的问题，加以标准化对已解决的问题，加以标准化对已解决的问题，加以标准化对已解决的问题，加以标准化 找出尚未解决的问题找出尚未解决的问题找出尚未解决的问题找出尚未解决的问题 2.1 2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的的的的PDCAPDCAPDCAPDCA 持续改进的持续改进的持续改进的持续改进的PDCAPDCAPDCAPDCA过程

11、过程过程过程 2.1 2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的的的的PDCAPDCAPDCAPDCA 计划阶段计划阶段计划阶段计划阶段 确定信息安全方针确定信息安全方针确定信息安全管理体系的范围确定信息安全管理体系的范围 制定风险识别和评估计划制定风险识别和评估计划 制定风险控制计划制定风险控制计划 2.1 2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的的的的PDCAPDCAPDCAPDCA 实施阶段实施阶段实施阶段实施阶段 风险治理风险治理 保证资源、提供培训、提高安全意识保证资源、提供培训、提高安全意识 2.1

12、2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的的的的PDCAPDCAPDCAPDCA 检查阶段检查阶段检查阶段检查阶段 自治程序自治程序 日常检查日常检查 从其他处学习从其他处学习 内部信息安全管理体系审核内部信息安全管理体系审核 管理评审管理评审 趋势分析趋势分析 2.1 2.1 信息安全管理体系概述信息安全管理体系概述ISMSISMSISMSISMS的的的的PDCAPDCAPDCAPDCA 行动阶段行动阶段行动阶段行动阶段 不符合项不符合项不符合项不符合项 纠正和预防措施纠正和预防措施纠正和预防措施纠正和预防措施 2.1 2.1 信息安全管理体系概述信息

13、安全管理体系概述ISMSISMSISMSISMS的的的的PDCAPDCAPDCAPDCA PDCA循环是螺旋式上升和发展的。2.1 2.1 信息安全管理体系概述信息安全管理体系概述 BS7799 BS7799信息安全管理体系信息安全管理体系信息安全管理体系信息安全管理体系BS7799BS7799的发展历史的发展历史*1993*1993年，英国贸易工业部，年，英国贸易工业部，BS7799-1:1995BS7799-1:1995信息安信息安全管理实施规则全管理实施规则；*1998*1998年，年，BS7799-2:1998BS7799-2:1998信息安全管理体系规范信息安全管理体系规范；*199

14、9*1999年，年，BS7799-1:1999BS7799-1:1999取代了取代了BS7799-1:1995BS7799-1:1995标准，标准，BS7799-2:1999BS7799-2:1999取代了取代了BS7799-2:1998BS7799-2:1998标准；标准；2.2 BS77992.2 BS7799安全管理体系安全管理体系BS7799BS7799的发展历史的发展历史*国际标准化组织于国际标准化组织于20002000年年1212月正式将月正式将BS7799BS7799转化成转化成国际标准国际标准ISO/IEC17799ISO/IEC17799；*2005*2005年年6 6月月1

15、515日发布了最新版本日发布了最新版本ISO/IEC17799:2005ISO/IEC17799:2005。2.2 BS77992.2 BS7799安全管理体系安全管理体系BS7799BS7799的发展历史的发展历史 BS7799BS7799标准的最大意义就在于它给管理层一整套标准的最大意义就在于它给管理层一整套可可“量体裁衣量体裁衣”的信息安全管理要项、一套与技术负责的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架。产的制度框架。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系B

16、S7799BS7799的内容的内容*BS7799-1:*BS7799-1:信息安全管理实施规则信息安全管理实施规则 主要是给负责开发的人员作为参考文档使用，从而主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。在他们的机构内部实施和维护信息安全。*BS7799-2:*BS7799-2:信息安全管理体系规范信息安全管理体系规范 详细说明了建立、实施和维护信息安全管理体系的详细说明了建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评估来鉴定最适宜的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并根据自己的需求采取适当的安全控制。控制对象，并

17、根据自己的需求采取适当的安全控制。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则作为国际信息作为国际信息安全指导标准安全指导标准ISO/IEC17799ISO/IEC17799基础的指导性文件，包括基础的指导性文件，包括11 11大大管理要项，管理要项，134134种控制方法。种控制方法。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS779

18、9的内容的内容BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范说明了建立、实施和维护信息安全管理体系（说明了建立、实施和维护信息安全管理体系（ISMSISMS）的要求；的要求；指出实施组织需要通过风险评估来鉴定最适宜的控制指出实施组织需要通过风险评估来鉴定最适宜的控制对象；对象；根据自己的需求采取适当的安全

19、控制。根据自己的需求采取适当的安全控制。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005更注重更注重PDCAPDCA的过程管理模式，的过程管理模式，能够更好的与组织原有的管理体系，如质量管理体系、能够更好的与组织原有的管理体系，如质量管理体系、环境管理体系等进行整合，减少

20、组织的管理过程，降低环境管理体系等进行整合，减少组织的管理过程，降低管理成本。管理成本。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 2005.10 2005.10，英国信息安全管理体系标准，英国信息安全管理体系标准BS7799-2BS7799-2：20022002作为国际标准作为国际标准ISO/IEC 27001ISO/IEC 2700

21、1：20052005采用，标志着信息安全采用，标志着信息安全管理体系认证进入了一个新阶段。管理体系认证进入了一个新阶段。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 截至截至2005.112005.11，全球共签发了，全球共签发了18821882张认证证书，张认证证书，如：如：Siemens,NEC,CANONSiemens,NEC,CA

22、NON、EPONEPON、IBMIBM等。等。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系27001标准族标准族2700027001270022700327004270052700627007ISMS原则和术语ISMS要求 200517799：2005ISMS最佳实践ISMS实施指南管理度量风险管理信息安全管理体系审核认证机构要求信息安全管理审计2.3 ISO270002.3 ISO27000标准族标准族p 每年成倍增长的全球ISMS认证证书平均每天有10家组织机构通过ISO27001体系认证.全球全球ISMS的现状的现状2.3 ISO270002.3 ISO270

23、00标准族标准族ISO 27001/ISO 27002标准发展标准改版背景国际标准化组织（ISO组织）遵循所有标准每隔5年必须进行升级的原则。当前版本的信息安全管理体系标准ISO 27001：2005与ISO27002：2005已绊使用了8年。ISO 27001：2005与ISO 27002：2005版在体系整合、控制项逻辑性不充分性等方面都有改进的空间。2000年4月将BS7799-1：1999提交ISO组织，同年10月获得通过成为ISO 17799：2000BS7799标准1992年在英国首次作为行业标准发布ISO 17799：2005 正 式更名为ISO 27002:20072013年1

24、0月19日修订原版使用：ISO 27001：2013ISO 27002：201320072013BS 7799-2：2002成为国际标准ISO 27001：2005ISO 17799：2000修订升级为ISO 17799：2005版2005将BS7799-2：2000进行修订发布了BS7799-2：20022002将BS 7799-2：1999进行修订发布了BS7799-2：200020012000在1998年、1999年绊过两次修订之后出版BS7799-1：1999BS7799-2：19991998/19991992标准改版特点管理体系更容易整合：在新版标准中采取Annex SL做结构性要求

25、，使信息安全管理体系更容易与其他管理体系融合。融入企业面临新安全挑战：对部分控制项进行了合并、删除，并且新增了部分控制项以反映当前信息安全发展趋势。更多指引延伸参考：新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化。2.3 ISO270002.3 ISO27000标准族标准族ISMS在中国2000年前后，ISMS开始被中国用户认识2002年11月，ISMS国家标准开始被研究和制定2005年6月15日，我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用规则”，该标准修改采用ISO/IEC17799:20002006年3月，国信办在5个单位开展ISMS标

26、准应用试点工作2006年4月，认监委批准4家ISMS试点认证机构2006年11月，成立中国信息安全认证中心2007年4月，中国向国际标准化组织ISO/IEC JTC1/SC27提出ISMS审核标准提案2008年 GB22080-2008-T信息技术 安全技术 信息安全 管理体系要求2008年 GB22081-2008-T信息技术 安全技术 信息安全 管理实用规则2.3 ISO270002.3 ISO27000标准族标准族u 可以强化员工的信息安全意识，规范组织信息安全行为。u 对组织的关键信息资产进行全面系统的保护，维持竞争优势。u 在信息系统受到侵害时，确保业务连续开展并将损失降到最低程度。

27、u 向贸易伙伴证明对信息安全的承诺，使贸易伙伴和客户对组织充满信心。u 如果通过体系认证，表明组织的信息安全体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。u 促使管理层坚持贯彻信息安全保障体系。通过ISO27001认证的意义2.3 ISO270002.3 ISO27000标准族标准族ISMS核心思想IS0/IEC27001:2005IS0/IEC27001:2005的要求的要求2.3 ISO270002.3 ISO27000标准族标准族相关方相关方受控的受控的信息安全信息安全信息安全信息安全要求和期望要求和期望相关方相关方检查检查Check建立ISMS实施和运行ISMS保

28、持和改进ISMS监视和评审ISMS规划规划Plan实施实施Do处置处置ActIS0/IEC27001:2005的要求PDCAPDCA各阶段各阶段内容内容对应标准条款对应标准条款P-规划规划建立建立ISMS建立与管理风险和改进信息安全有关的建立与管理风险和改进信息安全有关的ISMSISMS方方针、目标、过程和程序，以提供与组织整体方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果针和目标相一致的结果4.1 4.2.14.3 5D-实施实施实施和运行实施和运行ISMS实施和运行实施和运行ISMSISMS方针、控制措施、过程和程序方针、控制措施、过程和程序4.2.2C-检查检查监视和评审

29、监视和评审ISMS对照对照ISMSISMS方针、目标和实践经验，评估并在适方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管当时，测量过程的执行情况，并将结果报告管理者以供评审理者以供评审4.2.367A-处置处置保持和改进保持和改进ISMS基于基于ISMSISMS内部审核和管理评审的结果或者其他内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进相关信息，采取纠正和预防措施，以持续改进ISMSISMS4.2.482.3 ISO270002.3 ISO27000标准族标准族11个控制域39个控制目标133个控制项10个控制域36个控制目标127个控制项

30、对比ISO17799:2000老版ISO27001系列标准的ISMS主体内容2.3 ISO270002.3 ISO27000标准族标准族uISO27001：源自BS7799-2框架体系u是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案安全策略安全策略 Security policy人力资源安全人力资源安全 Human resources security物理与环境安全物理与环境安全 Physical and environmental security通信与操作管理通信与操作管理 Communications and operations management信息系统获取、开发

31、和维信息系统获取、开发和维护护 Information systems acquisition,development and maintenance组织信息安全组织信息安全 Organizing information security资产管理资产管理 Asset management访问控制访问控制 Access control信息安全事件管理信息安全事件管理 Information security incident management业务连续性管理业务连续性管理 Business continuity management符合性符合性 ComplianceISO27001的内容框架2

32、.3 ISO270002.3 ISO27000标准族标准族ISO/IEC27001的要求pISO/IEC27001:2005 附录附录A的要求的要求章节章节控制措施域控制措施域控制目标控制目标控制措施控制措施A.5安全方针安全方针12A.6信息安全组织信息安全组织211A.7资产管理资产管理25A.8人力资源安全人力资源安全39A.9物理和环境安全物理和环境安全213A.10通信和操作管理通信和操作管理1032A.11访问控制访问控制725A.12信息系统获取、开发和维护信息系统获取、开发和维护616A.13信息安全事故管理信息安全事故管理25A.14业务连续性管理业务连续性管理15A.15符

33、合性符合性310合计合计391332.3 ISO270002.3 ISO27000标准族标准族ISMS实施过程前期准备前期准备现状调查现状调查搜集搜集基本信息基本信息现场访谈现场访谈GAP问卷调查问卷调查运维现状运维现状问卷调查问卷调查技术安全技术安全现场检查现场检查资产清单资产清单风险评估风险评估体系建立体系建立IT资产评估资产评估确定确定风险水平风险水平IT过程评估过程评估(试点试点)培训培训风险管理风险管理策略策略体系运行体系运行体系文档体系文档编写编写培训培训完善治理完善治理机制机制建立建立安全组织安全组织资产保护资产保护过程改进过程改进体系试运行体系试运行体系体系正式运行正式运行建立

34、体系建立体系审核机制审核机制体系调整体系调整培训培训体系体系认证认证成立成立项目小组项目小组宣传动员宣传动员确定项目确定项目实施方案实施方案培训培训2.3 ISO270002.3 ISO27000标准族标准族领导重视领导重视:制定信息安全方针为信息安全管理提供导向和支持控制目标和控制方式的选择建立在 风险评估风险评估 的基础之上预防控制为主的思想原则全员参与全员参与原则动态管理原则持续改进持续改进:遵循管理的一般循环模式PDCA模式持续性原则 文件化文件化ISO27001 实施体现以下原则2.3 ISO270002.3 ISO27000标准族标准族2.3 ISO270002.3 ISO2700

35、0标准族标准族Procedures Work Instructions,checklists,forms,etc.RecordsSecurity ManualPolicy,scoperisk assessment,statement of applicabilityDescribes processes who,what,when,where(4.1-4.10)Describes how tasks and specific activities are doneProvides objective evidence of compliance to ISMS requirements cla

36、use 3.6Management frameworkpolicies relating toISO27001:2005Clause 4Level 2Level 3Level 4ISO27001体系要求基本文档 Level 1 ISO27001文档体系结构运行记录运行记录程序文件程序文件方针方针策略策略作业文件作业文件/指导书指导书第一级第一级 方针策略方针策略信息安全管理手册信息安全管理手册是是XXXX信信息安全管理工作的纲领性文件息安全管理工作的纲领性文件。第二级第二级 管理规定、规范、程序文件用来规定所要求管理规定、规范、程序文件用来规定所要求的管理制度或技术控制措施。的管理制度或技术控

37、制措施。第三级第三级 作业指导书解释特殊工作和活动的细节作业指导书解释特殊工作和活动的细节；场所文件规定某一工作区域的要求场所文件规定某一工作区域的要求。第四级第四级 记录活动实行以符合等级记录活动实行以符合等级1,2,和和3的文件的文件要求的客观证据，阐明所取得的结果或要求的客观证据，阐明所取得的结果或提供完成活动的证据提供完成活动的证据 2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结构-主策略运行记录运行记录程序文件程序文件主主策略策略作业文件作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结

38、构-程序文件运行记录运行记录程序文件程序文件主主策略策略作业文件作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结构-操作流程运行记录运行记录程序文件程序文件主主策略策略作业文件作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结构运行记录运行记录程序文件程序文件主主策略策略作业文件作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001 ISO27001 最新版本为最新版本为ISO 27001:2013ISO 27001:20132013

39、2013年年1010月正式发布月正式发布对比：对比：ISO 27001:2013 1414个控制域个控制域 3535个控制目标个控制目标 114114个控制项个控制项ISO 27001:2005 11 11个控制域个控制域 3939个控制目标个控制目标 133133个控制项个控制项2.3 ISO270002.3 ISO27000标准族标准族ISO 27001:2013ISO 27001:2013ISO Guide 83：国际标准未来框架单化，这也将使标准更易读、易懂。所 有 管 理 体 系 标 准 将 遵 循 ISOSupplement Annex SL 的要求，以便整合其他标准文件中的不同主

40、题和要求，如：统一定义，如：组织、相关方、方针、目标、能力、符合性统一的表述，如：最高管理者应确保组织内的职责、权限得到规定和沟通。1.Scope范围2.Normative Reference规范性引用文件4.Context of the Organization组织环境5.Leadership领导力6.Planning策划7.Support支持8.Operation运行9.Performance Evaluation绩效评价10.Improvement改进ISO 27001ISO 20000ISO 22301.导则83：明确了 ISO国际标准未来发展框架及方向3.Terms and Defi

41、nitions术语和定义管理体系标准新结构和格式国际标准化组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订管理体系标准的持续性、整合性和简PAS 99：整合管理体系4.Context of the Organization组织环境PAS 99Integrated ManagementFramework5.Leadership领导力Plan6.Planning策划7.Support支持DO8.Operation运行Check10.Improvement改进 Act9.Performance Evaluation绩效评价ISO 27001:2013标准结构调整相

42、关方相关方信息安全要求和期望受控的信息安全输入组织环境领导力策划支持改进绩效评价输入运行文件信息新标准正文内容结构2.3 ISO270002.3 ISO27000标准族标准族ISO 27001:2013ISO 27001:2013ISO27001:2013文档结构与PDCA新标准正文结构变化0.前言1.范围2.规范性引用文件 3.术语和定义4.信息安全管理体系4.1 总要求4.2 建立和管理ISMS4.3 文件要求5.管理职责6.ISMS内部审核7.ISMS的管理评审8.ISMS 改进0.前言1.范围2.规范性引用文件3.术语和定义4.组织环境5.领导力6.策划7.支持8.运行9.绩效评价10

43、.改进ISO 27001:2013ISO 27001:2013 章节 描述 4.组织环境属于Plan阶段的一个组成部分。本章介绍了建立适用于组织信息安全管理环境的必要要求，包括需求、要求与范围。本章涉及了解组织现状及背景、明确建立信息安全管理体系的目的、理解相关方的需求与期望、确定信息安全管理体系范围。5.领导力属于Plan阶段的一个组成部分。本章总结了最高管理层在信息安全管理体系中承担角色的具体要求，以及如何通过一件声明的策略来向组织传达领导层的期望。本章涉及了领导力和承诺、信息安全方针目标，以及角色、职责和承诺。6.策划属于Plan阶段的一个组成部分。本章介绍了处理风险和机遇的行动，以及可

44、实现的信息安全目标与实现计划。本章涉及了信息安全风险评估、风险所有者、信息安全风险处置、适用性声明、信息安全目标。7.支持属于Plan阶段的一个组成部分。参与人员的能力、意识、与利益相关方沟通、文档化信息。新标准正文内容简介本章详细叙述了建立、实施、保持和改进一个有效的信息安全管理体系所要求的支持。包括：资源要求、ISO 27001:2013ISO 27001:2013章节描述8.运行属于Do阶段的一个组成部分。本章要求组织计划并控制信息安全要求的运行。本章涉及运行计划及控制、信息安全风险评估、信息安全风险处置。9.绩效评价属于Check阶段的一个组成部分。本章总结了度量ISMS执行、ISMS

45、国际标准及管理层期望的符合性、寻求管理层期望反馈的要求。本章涉及监控、度量、分析和评价，内部审核，管理评审。10.改进属于Act阶段的一个组成部分。本章定义了通过纠正行动来识别和改进不符合项。本章涉及不符合项与纠正措施、持续改进。新标准正文内容简介ISO 27001:2013ISO 27001:2013新标准控制域变化ISO 27001：2013 DISA.5 安全方针A.6 信息安全组织A.7 人力资源安全A.8 资产管理A.9 访问控制A.10 密码学(新增)A.11 物理与环境安全A.12 操作安全(拆分）A.13 通信安全（拆分）A.14 信息系统获取、开发和维护A.15 供应关系(新

46、增)A.16 信息安全事件管理A.17 信息安全方面的业务连续性管理A.18 符合性ISO 27001：2005A.5 安全方针A6 信息安全组织A7 资产管理A8 人力资源安全A9 物理与环境安全A10 通信和操作管理A11 访问控制A12 信息系统获取、开发和维护A13 信息安全事件管理A14 业务连续性管理A15 符合性Tips2005版原本有11个领域、133项控制措施；新版标准目前调整为14个领域、113个控制措施.控制措施变化：增加11个、删除26个、合并减少5个，总计减少了20个。ISO 27001:2013ISO 27001:2013控制项描述说明A.6.1.4项目管理中的信息

47、安全信息安全应融入项目管理中，与项目类型无关。加强项目中的安全管理。A.12.6.2限制软件安装应建立规则来控制用户安装软件控制版权及技术漏洞风险。A.14.2.1安全开发策略应制定及应用关于软件和系统的开发规则加强信息系统生命周期中的信息安全管理，建立安全开发策略、程序与流程。A.14.2.5系统开发程序应建立安全系统开发流程，记彔，维护并应用到任何信息系统开发工作A.14.2.6安全的开发环境组织应建立并适当保护开发环境安全，并集成涵盖整个系统开发周期的工作A.14.2.8系统安全性测试在开发的过程中，必须测试功能的安全性A.15.1.3ICT(信息和通信技术)供应链与供应商的协议应包括解

48、决信息、通信技术服务、产品供应链相关信 息安全风险的要求控制供应链中断风险。A.16.1.4信息安全事件的评估和决策信息安全事件应当被评估与决策，若其被归类为信息安全事件。完善信息安全事件管理生命周期。A.16.1.5信息安全事故的响应信息安全事件应依照程序文件响应A.17.1.2实现信息安全的连续性 组织应建立、记彔、实施并维护流程、程序、控制项，以保证在不利情况下要求的信息安全连续性的等级。加强可用性管理，完善原BCM(业务连续性)管理的生命周期。A.17.2.1信息处理设施的可用性 信息处理设施应当实现冗余，以满足可用性需求。新增控制措施介绍ISO 27001:2013ISO 27001

49、:2013ISO 27001：2013 DISISO 27001：2005A.6.1.1信息安全的角色和 职责A.6.1.3 信息安全职责的分配A.8.1.1 角色和职责A.9.2.1用户注册和注销A.11.2.1 用户注册A.11.5.2 用户标识和鉴别A.9.4.2安全登彔程序A.11.5.1 安全登彔规程A.11.5.5 会话超时A.11.5.6 联机时间的限定A.12.4.2管理员和操作员日 志A.10.10.3 日志信息的保护A.10.10.4 管理员和操作员日志A.14.1.2保护公共网络上的应用服务A.10.9.1 电子商务A.10.9.3 公共可用信息合并控制措施介绍ISO 2

50、7001:2013ISO 27001:2013删除控制措施理由A.6.1.1信息安全的管理承诺在ISO 27001正文中管理层承诺中已绊包含其内容A.6.1.2信息安全协调内容与ISO 27003中关于ISMS建立与实施的内容重复A.6.1.4信息处理设施的授权过程在A6.1.1中的一部分，没有必要再单独出现A.6.2.1与外部各方相关风险的识别在ISO 27001正文风险评估与处理中已绊体现A.6.2.2处理与顾客有关的安全问题在ISO 27001正文风险评估与处理中已绊体现A.10.2.1服务交付没有原因A.10.7.4系统文件安全系统文件也属于信息资产，他们如何保护取决于其风险A.10.