信息安全管理体系与技术提纲
第一讲信息安全管理体系
?信息资产及其价值
?组织的信息资产有哪些?
业务数据、应用系统、专利及标准、设施和环境、关键人员、文件、图纸、管理规章等等。
?信息安全-信息安全的基本要素、需求来源、目标
?信息安全基本要素?(在不同历史阶段有着不同的涵义)
COMSEC阶段:保密性
COMPUSEC阶段:CIA三元组-保密性、完整性、可用性
IA阶段:私密性、可追溯性、抗抵赖性、可控性、真实性等
?信息安全的需求来源?
法律法规和合同的约束;组织的原则、目标和规定;风险评估的结果
?信息安全的目标?
一般目标:维护信息的保密性、完整性、可用性、可追溯性、真实性和可靠性。
根本目标:维护组织关键业务活动的持续性和有效性。
?信息安全管理
?对于信息安全管理的认识(大题)
管理最基本的职能:计划、组织、领导、控制
信息安全管理就是风险管理。
安全技术只是信息安全控制的手段,要让安全技术发挥应有的作用,必须要有适当的管理
程序支持。信息安全管理作为组织完整的管理体系中一个重要的环节,构成了信息安全具
有能动性部分,是指导和控制组织关于信息安全风险的相互协调的活动。如果说安全技术
是信息安全的构筑材料,那安全管理就是真正的粘合剂和催化剂。只有将有效的安全管理
从始至终贯彻落实于安全建设的方方面面,信息安全的长期性和稳定性才能有所保证。
管理过程而非技术过程
高层支持
策略并不等于执行力
动态而非静态
主动而非被动
全员参与,培训开路
平衡性原则
?信息安全管理的认识误区
重技术、轻管理
缺少安全意识
缺乏安全策略
缺乏系统的管理思想
法律法规不完善
?信息安全管理模型
P2DR 模型(CC):P: 策略P: 防护D: 检测R: 响应
PDRR 模型:P: 策略P: 防护D: 检测R: 响应R: 恢复
HTP 模型(IATF):H: 人员与管理T: 技术与产品P: 流程与体系
P-POT-PDRR模型:
PDCA模型(建设模型):
?常见的国际信息标准
BS7799(信息安全管理标准)
---BS7799-1: 信息安全管理体系的实施指南
---BS7799-2: 信息安全管理体系规范
ISO/IEC 13335(风险管理标准)- IT安全管理指南GMITS
ISO/IEC 15408(技术与工程标准)- CC
ITIL(IT 服务管理标准)- 信息技术基础设施库
CobiT(信息系统审计标准)- 信息及其相关技术控制目标
?信息安全管理体系(ISMS)
?为什么需要ISMS?
木桶原理
?ISMS建设可遵循的模型?
BS7799:PDCA
IATF:HTP
CC:P2DR
?BS7799
?BS7799-1覆盖范围
原BS7799-1 包括10 区域,36 个控制目标,127 项控制措施;新版ISO/IEC 27002:2005 包括11 个区域,39个控制目标,133 项控制措施。
?ISMS的建设模型
PDCA -Plan 建立ISMS -> Do 实施和运作ISMS -> Check 监控和评审ISMS -> Act 维护和改进ISMS
?ISMS的建设方法
1.确定范围
2.识别信息资产
3.确定信息资产的价值
4.确定风险
5.策略及控制措施保证程度的确定
6.控制目标和控制措施的识别
7.定义策略,标准和流程以实施控制措施
8.策略,标准和流程的实施
9.完成ISMS 文件需求
10.审核和评审ISMS
?ISMS的审核、有效性验证
内部ISMS审核
---定期执行内部审核计划
---审核计划以及报告结果和维护记录的责任应该在文件和流程中加以规定
---审核区域的管理者应该及时采取纠正措施以消除已发现的不符合项
---一般包括审核策划、审核准备、审核实施、审核报告、审核跟踪等五个步骤。
?ISMS的认证
?认证与认可
认证是由第三方进行的,认可是由权威机构进行的:认证证明的是依从性(或符合性),认可证明的是某种能力。
认可机构包括:UKAS(英国认可服务组织)、RvA(荷兰国家认可委员会)、Swedac(瑞典认可和合格评定委员会)
?认证体系对审核员的要求(IRCA)
实习审核员(Provisional Auditor):适用于所有希望成为专职审核员或希望暂时停止审核活动或从审核岗位转向管理岗位的原注册审核员。
审核员(Auditor):适用于审核组成员。
主任审核员(Lead Auditor):适用于审核组长,特别是那些就职于认证机构或为大型企业实施供方审核的人员。
首席审核员(Principal Auditor):适用于(以独立成组形式)单独实施审核活动的、有经验的审核员。
?BS7799 认证过程
对ISMS进行审核时,应当先进行文件审核,再进行现场审核。
不符合事项根据其严重程序一般分为三类:观察项、轻微不符合项和严重不符合项。
?风险评估
?风险评估一般途径(描述是什么类型的评估)
基线评估
---优点:耗费资源少、周期短、操作简单、经济有效。
---缺点:基线水平较难把握,对安全变化不敏感。
详细评估
---优点:可使组织对安全风险有一个精确认识。可用来管理安全变化。
---缺点:较费资源。
组合评估
---优点:结合了基线评估和详细评估的优势,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果。
---缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统可能被忽略,最终导致结果失准。
?风险控制措施功能分类及目的
威慑性控制措施(防止威胁源)- firewall
预防性控制措施(保护弱点)
检测性控制措施(发现威胁事件)- IDS
纠正性控制措施(减小影响)- 备份
?风险识别、评估的时间、方法
风险评估是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。
威胁(Threat)-某种威胁源(threat source)或威胁代理(threat agent)成功利用特定弱点对资产造成负面影响的潜在可能。
弱点(Vulnerability)-也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的
缺点。弱点一旦被利用,就可能对资产造成损害。
?评估威胁的方法
威胁问卷调查;威胁顾问访谈;IDS 取样分析
?弱点评估常用方法
工具扫描;人工检查;渗透测试;网络架构分析;管理问卷调查;管理顾问访谈;安全策略分析
?风险要素之间的关系
第二讲网络安全管理协议
?安全资源的集中管理
?为什么集中管理安全资源?
提高管理效率(管控角度)
数据增值利用(审计角度)
安全资源协同(策略角度:自动化、最优化)
?集中管理一般模型结构?
信息模型(包括: MIB结构与定义等)SNMP信息模型SMI
组织模型(包括: 角色,职责)
通信模型(包括: MIB访问管理协议等)
功能模型(包括:功能域管理功能等)
?常见的管理数据传输协议
SNMP
WBEM/CIM
Syslog、IDMEF
OPSEC
?简单网络管理协议(SNMP)
?基本概念
?管理站UDP 162
?管理代理UDP 161
?管理信息库MIB
MIB是由ASN.1定义的MO的集合,每一个MO都有一个全局唯一的OID,OID形成树状结构(MIB TREE),树状结构由SMI定义。
通过OID访问对象实例,当对象所在设备上有且仅有一个实例时以OID.0作为该变量标识;对象在所在设备上超过一个实例的情况,以此对象的对象标识符加上为此对象
所定义的索引作为单个变量的标识
?SMI:ASN.1+BER
抽象语法是传输和使用数据的需要。传输者和使用者对数据的理解不同,对于传输者,数据的单位是二进制字节,但对于使用者,必须能够识别出数据类型和数据内容,因
此,需要一种对数据类型和数据内容进行描述的语法。
编程语言虽然也都有类似的数据定义功能,但它们一方面缺乏统一的标准,另一方面数据定义不是它们的主要功能,不够强大也无法扩展。更重要的,是它们一般缺乏对
传输语法的支持。
BER编码结构:
当标签号大于30 时,将标签字段的第一个八位位组的后五位全部置1,标签字段的
后继八位位组除最后一个外,最高位均置1,并且第一个后继八位位组不能所有位全
为0;长度字段分为确定和非确定格式,确定格式有短格式和长格式;
?SNMP消息类型
GET:由管理站去获取代理的MIB 对象值
SET:由管理站去设置代理的MIB 对象值
TRAP:使得代理能够向管理站通告重要事件
?预定义trap类型:7种
ColdStart(0);WarmStart(1);LinkDown(2);LinkUp(3);AuthenticationFailure(4);
EgpNeighborLoss(5);EnterpriseSpecific(6)
?SNMP安全性
SNMPv1 –共同体、共同体名、共同体框架
?基于Web的企业级管理/公共信息模型(WBEM/CIM)
?CIM的三个核心标准
通用信息模型—CIM
编码规范—xmlCIM 编码规范
传输机制—CIM Operations over HTTP
?CIM基本概念
Schema;类;属性;方法;关联;聚集;引用;描述符;事件;名字空间
?CIM Schema
Schema 是具有相同所有者,用于描述某一个问题域的一组类
CIM Schema分为:
---Meta Schema:描述CIM元素之间的关系;
---核心模型:适用于任何管理领域,与具体实现无关,为剩余的管理环境提供了概念框架,是一种高层次的抽象。
---公共模型:适用于特定管理领域,独立于具体的实现技术;
---扩展模型:与具体的技术、应用环境相关。
?模型定义方法
VISIO for UML;MOF;XML;White Papers
?Syslog
Syslog协议数据包结构:PRI(Facilities * 8 + Severity)+ HEADER(Timestamp + Hostname)+ MSG(Tag + Content)
TAG = 产生消息的程序或进程名
UDP 514,C/S模式
Syslog存在的问题:UDP协议不可靠、安全问题(不加密、无校验、不含身份认证)、同步数据量大于1024不可预测,消息优先级并不决定消息在网络传递时的优先级,导致重要程度高的消息可能由于网络或接收者的阻塞而无法优先抵达。
?CIM&SNMP各自优缺点
CIM面向对象,over HTTP
SNMP面向量纲,方法是额外的而不是自带的
CIM具备面向对象语言的抽象、继承、重载等概念,并引入了关联类、描述符等机制,即对象之间有关联性;具有极高的灵活性、可扩展性,能够包容现在所有的管理应用模型,能在最大程度上减少模型集成时带来的信息损失。
SNMP简单,易于实现。
第三讲安全事件管理
?安全事件管理的需求来源
安全建设引入了众多异构技术
海量安全事件难以人为管理
上报事件中充斥着大量不可靠的信息
安全设备之间无法信息共享,管理人员难以及时感知全网安全态势;
安全设备独立作战,无法形成有效的、整合的主动安全防御体系。
?安全事件管理系统功能
功能指标:
控制安全告警的规模和复杂度;
降低安全事件的误报率;
减轻潜在安全问题所带来的风险;
加快应急响应速度。
?安全事件的采集
?IDMEF―Intrusion Detection Message Exchange Format特点
IDMEF 定义了事件数据格式以及与其它入侵检测响应系统、分析器、管理系统间的信息交换方式。
可将不同种类IDS 上报的事件存储在同一个数据库中,便于对事件作全局性分析;
便于事件关联系统对事件作更为复杂的多源、异构关联;
使用户可以在一个图形终端上监控所有上报的事件;
便于机构间交换数据;
?IDMEF解决方案
采用了面向对象的数据模型,通过继承、聚合等手段现实灵活性、可扩展性;
定义了多种多样的辅助类,支持不同产品的表述需求。
?IDMEF数据模型
采用XML语言描述入侵事件,xmldtd?
?IDMEF安全性问题
安全性的实现依赖于外部数据加密及签名,草案本身未包含强制性措施
?其它相关标准- CVE、CPE、CCE
CVE定义了安全漏洞和其他安全问题的标准化的统一名字列表
CPE定义了平台/产品的标准化的统一名字列表
CCE定义了安全相关的系统配置项的标准化的统一名字列表
?告警关联
?告警关联十步模型(大题)
?基本顺序
各步骤主要功能
标准化(Normalization)
将不同Sensor 所产生的告警转换为一种公共的格式,如IDMEF。
预处理(Pre-Processing)
依照定义的公共格式,填补告警所缺乏的属性字段,如DetectTime、
CreateTime、AnalyzerTime。
融合(Fusion)
将不同IDS 对同一攻击事件产生的告警合并。
查证(Verification)
滤除虚警或发现误警。
被动式查证与主动式查证。
线程重构(Thread Reconstruction)
将同一攻击者使用不同类型对同一目标进行的攻击所触发的告警合并。
将同一攻击者使用单一类型但不同参数对同一目标进行的攻击所触发的告警
合并。
会话重构(Session Reconstruction)
将网络IDS 与主机IDS 产生的对应告警合并。
焦点识别(Focus Recognition)
识别一组攻击的共同起源或目标。
多步关联(Multi-Step Correlation)
识别由多个攻击组成的高级攻击模式。
影响分析(Impact Analysis)
评估攻击对受保护网络合法操作的影响。
可利用资产数据库、心跳检测提供的数据。
优先级分配(Prioritization)
为关联后的告警分配一定的优先级。
优先级的分配与组织安全策略有关。
ISMS手册信息安全管理体系手册
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
【精品推荐】ISO27001信息安全管理体系全套文件
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
信息安全管理体系建设
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
最新ISO27001:2013信息安全管理体系一整套程序文件(共41个程序184页)
XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号:XXXX-B-01~XXXX-B-41 (符合ISO/IEC 27001-2013标准) 拟编:信息安全小组日期:2015年02月01日 审核:管代日期:2015年02月01日 批准:批准人名日期:2015年02月01日 发放编号: 01 受控状态:受控 2015年2月1日发布2015年2月1日实施
[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序
ISO27001信息安全管理体系标准中文版
ISO标准——IEC 27001:2005 信息安全管理体系—— 规范与使用指南 Reference number ISO/IEC 27001:2005(E)
0简介 0.1总则 本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。采用ISMS应是一个组织的战略决定。组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。上述因素和他们的支持系统预计会随事件而变化。希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。 本国际标准可以用于内部、外部评估其符合性。 0.2过程方法 本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。 一个组织必须识别和管理许多活动使其有效地运行。通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。通常,一个过程的输出直接形成了下一个过程的输入。 组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。 在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性: a)了解组织信息安全需求和建立信息安 全策略和目标的需求; b)在组织的整体业务风险框架下,通过 实施及运作控制措施管理组织的信息 安全风险; c)监控和评审ISMS的执行和有效性; d)基于客观测量的持续改进。 本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。 采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction 0.1 General This International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution. This International Standard can be used in order to assess conformance by interested internal and external parties. 0.2 Process approach This International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS. An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”. The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks; c) monitoring and reviewing the performance and effectiveness of the ISMS; and d) continual improvement based on objective measurement. This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8. The adoption of the PDCA model will also reflect the principles as set out in the
信息安全演讲稿
信息安全演讲稿 篇一:信息安全演讲稿 呵呵,前面都是文科生的演讲,下面是理科生的。尊敬的各位领导、同事们:大家好,很高兴能参加这次演讲,生命是如此的精彩,生命是如此的辉煌,不过今天我演讲的内容里没有生死间的大悲恸,也没有平平仄平平的华丽辞藻,我演讲题目是:互联, 精彩而危险的世界。 XX年,中国开发联盟csdn,中国最大的开发者技术社区,密码泄漏,超1亿用户密码 被泄,黑客在上公开了一部分用户信息数据库,导致600余万个注册邮箱账号和与之对应的 明文密码泄露。这次事件以后,又陆续曝出了多玩、人人、搜狗浏览器等安全事件。唔前面的案例大家没有亲身体会,说个大家接触过的,考过职称考试的人都知道,有时候会被杂志社打电话问到要不要发表职称论文,呵呵,这个大家都有经验吧,恩,很明显你 的电话信息泄露了呀,怎么泄露的呢,考职称考试要上注册报名缴费吧?报名时电话号码 是必填选项,呃,基本就是这么泄露的。当然很可能其他信息也泄露了。下面进入正题,我的演讲的内容分为四个版块:什么叫络安全、络安全的重要性、
络安全的现状、如何防范络安全、打造一个和谐络。首先讲一下什么是我们这里所讲的“络安全”,络安全呢,就是指络系统的硬件、 软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露, 系统连续可靠正常地运行,络服务不中断。络安全是一门涉及计算机科学、络技术、通信技术、密码技术、信息安全技术、应 用数学、数论、信息论等多种学科的综合性学科。是个高难度的行业啊。有人说过,“谁掌握领了信息,控制了络,谁将拥有整个世界。”这句话不完全对啊。 不过这点在股市里体现的挺好。从此可见掌握络是何等的重要,络安全的重要性也从中 体现出来。 在大量络应用中,安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。 在一个开放的络环境中,大量信息在上流动,这为不法分子提供了攻击目标。他们利用 不同的攻击手段,获得访问或修改在中流动的敏感信息,闯入用户或政府部门的计算机系 统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的络诈骗,其“低成本和高
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
ISMS手册-信息安全管理体系手册
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责:
a) 建立服务管理计划; b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期:
ISO 270001 信息安全管理体系标准业务
一、信息安全管理体系标准业务介绍 1、背景介绍 信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失: ·直接损失:丢失订单,减少直接收入,损失生产率; ·间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉; ·法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。 所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。 俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
2、标准发展 目前,在信息安全管理体系方面,ISO27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。标准适用于各种性质、各种规模的组织,如政府、银行、电讯、研究机构、外包服务企业、软件服务企业等。 2008年6月,ISO27001同等转换成国内标准GB/T22080-2008,并在2008年11月1日正式实施。 经过多年的发展,信息安全管理体系国际标准已经出版了一系列的标准,其中ISO/IEC27001是可用于认证的标准,其他标准可为实施信息安全管理的组织提供实施的指南。目前各标准的现行状态如下表1: 表1 ISO27000标准族现行状态
信息安全管理体系建设
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
ISO27001信息安全管理体系-信息安全管理手册2019新版
ISO/IEC27001:2013信息安全管理体系管理手册 ISMS-M-2019 版本号:A/1 受控状态:■受控□非受控 编制审核批准 编写组审核人总经理 XXX XXX XXX 日期: 2019年1月8日实施日期: 2019年1月8日
修改履历 版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人A同意 A/1编写组2017-1-15定版审核人B同意
00 目录 00 目录 (3) 01 颁布令 (5) 02 管理者代表授权书 (6) 03 企业概况 (7) 04 信息安全管理方针目标 (8) 05 手册的管理 (10) 06 信息安全管理手册 (11) 1 范围 (11) 1.1 总则 (11) 1.2 应用 (11) 2 规范性引用文件 (11) 3 术语和定义 (11) 3.1 本公司 (12) 3.2 信息系统 (12) 3.3 计算机病毒 (12) 3.4 信息安全事件 (12) 3.5 相关方 (12) 4 组织环境 (12) 4.1 组织及其环境 (12) 4.2 相关方的需求和期望 (12) 4.3 确定信息安全管理体系的范围 (13) 4.4 信息安全管理体系 (13) 5 领导力 (14) 5.1 领导和承诺 (14) 5.2 方针 (14) 5.3 组织角色、职责和权限 (14) 6 规划 (14) 6.1 应对风险和机会的措施 (15) 6.2 信息安全目标和规划实现 (17) 7 支持 (18) 7.1 资源 (18) 7.2 能力 (18) 7.3 意识 (18) 7.4 沟通 (18) 7.5 文件化信息 (19) 8 运行 (20) 8.1 运行的规划和控制 (20) 8.2 信息安全风险评估 (20) 8.3 信息安全风险处置 (20) 9 绩效评价 (21) 9.1 监视、测量、分析和评价 (21) 9.2 内部审核 (22) 9.3 管理评审 (22)
网络与信息安全管理体系
网络与信息安全管理工作体系制度 总则 依据《网络信息机构业务活动管理暂行办法》第十八条、第二十一条、第二十二条、第二十三条的相关规定,规范公司的信息安全、网络安全的管理工作,确保公司的系统运行安全、网络运行安全以及客户信息、项目信息的保护,特制订本制度。 本管理办法适用于公司所有涉及信息、安全与重要岗位的管理。 信息安全领导小组 1,公司成立信息安全领导小组,就是信息安全的最高决策机构。 2,信息安全领导小组负责研究重大事件,落实方针政策与制定总体策略等。职责主要包括: (1)根据国家与行业有关信息安全的策略、法律与法规,批准公司信息安全总体策略规划、管理规范与技术标准; (2)监督、督导公司整体信息安全工作的落实与执行情况; (3)制订相关信息安全、网络安全、以及信息、网络的应急管理的制度; 3,信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组,作为日常工作执行机构。 4,信息安全领导小组组长由公司负责人担任,副组长由公司科技部门领导担任,各部门负责人自动成为信息安全领导小组成员。 信息安全工作组 1,信息安全工作组由信息技术部门负责人担任组长,成员由信息安全
2,信息安全工作组的主要职责包括: (一)、贯彻执行公司信息安全领导小组的决议,协调与规范公司信息安全工作; (二)、根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; (三)、组织对重大的信息安全工作制度与技术操作策略进行审查,拟定信息安全总体策略规划,并监督执行; (四)、负责协调、督促各职能部门与有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行; (五)、组织信息安全工作检查,分析信息安全总体状况,提出分析报告与安全风险的防范对策; (六)、负责接收各单位的紧急信息安全事件报告,组织进行时间调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全时间防范措施; (七)、及时向信息安全工作领导小组与上级有关部门、单位报告信息安全时间。 (八)、跟踪先进的信息安全技术,组织信息安全知识的培训与宣传工作。 (九)、信息安全领导小组授权开展的其她信息安全工作。 应急处理工作组 1,应急处理工作组组长由信息技术部门负责人担任,成员由信息安全
信息安全管理手册全解
信息安全管理手册 (一)发布说明 为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。 信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。 信息安全管理手册于发布之日起正式实施。 XXXX 局长 _________________ 年月日 (二)授权书 为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX 管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
?负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系; ?负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础; ?负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识; ?负责XXXX信息安全管理体系对外联络工作。 (三)信息安全要求 1.具体阐述如下: (1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX内建立可持续改进的信息安全管理体系。 (2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。 (3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。 (4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。 (5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。 (6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX所有企业和社会公众提供安全可靠的电子政务服务。 2.信息安全总体要求 (1)建立XXXX信息化资产(软件、硬件、数据库等)目录。
企业内部信息安全管理体系
企业内部信息安全管理体系 建议书 太极英泰信息科技XX
目录 1理昌科技网络现状和安全需求分析:2 1.1概述2 1.2网络现状:3 1.3安全需求:3 2解决方案:4 2.1 总体思路:4 2.2TO-KEY主动反泄密系统:5 2.2.1系统结构:5 2.2.2系统功能:6 2.2.3主要算法:6 2.2.4问题?7 2.3打印机管理错误!未定义书签。 2.3.1打印机管理员碰到的问题错误!未定义书签。 2.3.2产品定位错误!未定义书签。 2.3.3产品目标错误!未定义书签。 2.3.4概念—TO-KEY电子钥匙预付费错误!未定义书签。 2.3.5功能错误!未定义书签。 3方案实施与成本分析错误!未定义书签。 1企业网络现状和安全需求分析: 1.1 概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要
解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2 网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3 安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企图”。根据此总体需求,和目前的网络现状,我们可以从下面几个方面去考虑信息泄露的途径: ●通过网络方式将信息发送出去,包括MAIL、QQ、MSN、FTP等多种文件传输方 式。 ●通过对内部网络的窃听来非法获取信息 ●内部人员在其他人的计算机上种植木马,引导外部人员获取XX信息。可以有效逃 避网络督察的监控。 ●内部人员将文件以密文方式发送出去,也能逃避网络督察的监控,网络上的加密工 具太多了。 ●通过COPY方式将文件传送出去。 ●非法获取内部非自己权限内的信息,包括获取他人计算机上的信息以及越权访问服 务器上的信息等。 ●网络管理人员将服务器上的信息复制出去。 ●制造计算机硬盘故障,将硬盘以维修的理由携带出去。 ●制造计算机故障,以维修的理由,将计算机带出公司 ●内部的高级人员携带笔记本外出后丢失或主动将重要资料泄露出去。
《信息安全管理体系要求》ISOIEC 27001 2013(E)
目录 前言 (3) 0 引言 (4) 0.1 总则 (4) 0.2 与其他管理系统标准的兼容性 (4) 1. 范围 (5) 2 规范性引用文件 (5) 3 术语和定义 (5) 4 组织景况 (5) 4.1 了解组织及其景况 (5) 4.2 了解相关利益方的需求和期望 (5) 4.3 确立信息安全管理体系的范围 (6) 4.4 信息安全管理体系 (6) 5 领导 (6) 5.1 领导和承诺 (6) 5.2 方针 (6) 5.3 组织的角色,职责和权限 (7) 6. 计划 (7) 6.1 应对风险和机遇的行为 (7) 6.2 信息安全目标及达成目标的计划 (9) 7 支持 (9) 7.1 资源 (9) 7.2 权限 (9) 7.3 意识 (10) 7.4 沟通 (10) 7.5 记录信息 (10) 8 操作 (11) 8.1 操作的计划和控制措施 (11) 8.2 信息安全风险评估 (11) 8.3 信息安全风险处置 (11) 9 性能评价 (12) 9.1监测、测量、分析和评价 (12) 9.2 内部审核 (12) 9.3 管理评审 (12) 10 改进 (13) 10.1 不符合和纠正措施 (13) 10.2 持续改进 (14) 附录A(规范)参考控制目标和控制措施 (15) 参考文献 (28)
前言
0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4])及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性 本标准应用了ISO/IEC 导则第一部分的ISO补充部分附录SL中定义的高层结构、同一子条款标题、同一文本、通用术语和核心定义,因此保持了与其它采用附录SL的管理体系标准的兼容性。 附录SL定义的通用方法有助于组织选择实施单一管理体系来满足两个或多个管理体系标准要求。