您的位置:360文档中心› 信息安全管理体系_V3.0(20150123)

信息安全管理体系_V3.0(20150123)

合集下载

信息安全管理体系(ISMS)的建立与运行

信息安全管理体系(ISMS)的建立与运行

信息安全管理体系(ISMS)的建立与运行随着互联网的快速发展,信息技术的应用越来越广泛,各种信息系统成为企业、机构和个人工作与生活中不可或缺的一部分。

然而,与此同时也带来了信息安全的挑战,如数据泄露、网络攻击等。

为了保护信息资产的安全,许多组织开始建立和运行信息安全管理体系(ISMS)。

一、信息安全管理体系的定义信息安全管理体系是指由一系列的政策、规程、流程以及控制措施组成的体系,目的是确保信息资产的机密性、完整性和可用性,同时管理各种信息安全风险。

ISMS的建立和运行需要全面考虑组织内外的各种因素,包括技术、人员、流程等方面的要求。

二、信息安全管理体系的建立过程1. 确定ISMS的目标和范围在建立ISMS之前,组织需要明确目标和范围。

目标是指建立ISMS的目的和期望达到的效果,范围是指ISMS所适用的信息系统和相关流程的范围。

确定目标和范围是建立ISMS的基础步骤。

2. 进行信息资产评估与风险管理信息资产评估是识别和分类信息资产,并评估其价值和风险程度。

风险管理是指根据评估结果制定相应的控制措施,降低风险发生的可能性和影响程度。

3. 制定信息安全策略和政策信息安全策略是指组织对信息安全的整体战略和规划,包括对资源的投入、目标的设定和实施手段等。

信息安全政策是具体的规范和指导文件,明确组织对信息安全的要求和要求。

4. 设计和实施信息安全控制措施根据信息安全策略和政策,设计和实施相应的信息安全控制措施。

这包括技术措施、管理措施和组织措施等。

技术措施主要包括访问控制、加密、备份和恢复等;管理措施主要包括人员培训、安全审计和合规监测等;组织措施主要包括角色分工、责任制定和安全文化的培养等。

5. 进行监控和改进ISMS的建立和运行是一个持续的过程,组织需要定期进行监控和改进。

监控包括评估控制措施的有效性、检测潜在的安全事件和漏洞等;改进包括根据监控结果进行调整和优化,提高ISMS的效果。

三、信息安全管理体系的运行1. 信息安全意识培训组织需要对员工进行信息安全意识培训,提高员工对信息安全的认识和重视程度。

信息安全管理体系培训课件全文

信息安全管理体系培训课件全文
再认证流程
信息安全管理体系的实际应用案例
案例名称
某大型互联网公司的信息安全管理体系建设
案例描述
该公司在信息安全管理体系建设过程中,结合自身业务特点和安全需求,制定了一系列安全策略、标准和流程,并进行了有效的实施和监控。
案例分析
该案例的成功之处在于将信息安全管理体系与公司战略目标相结合,实现了全员参与和持续改进。同时,该公司在应对各类安全事件时反应迅速,有效降低了安全风险。
持续改进是信息安全管理体系的一个重要原则,它强调组织应不断评估其信息安全实践的有效性,并根据需要进行改进。
第三方认证是信息安全管理体系的一个重要组成部分,它通过独立的评估和审核来验证组织的信息安全管理体系是否符合国际标准或行业最佳实践。
通过获得第三方认证,组织可以向外部利益相关方证明其信息安全管理的可靠性和有效性,增强组织的声誉和竞争力。
信息安全管理体系能够确保组织的重要信息和数据得到充分保护,从而保障业务的连续性和数据的完整性。
保障业务连续性和数据完整性
建立信息安全管理体系可以帮助组织符合相关法律法规和行业标准的要求,避免因违规行为而导致的法律责任和经济损失。
符合法律法规和行业标准要求
一个健全的信息安全管理体系可以提升组织的形象和信誉,增强客户和合作伙伴的信任。
制定过程和控制措施
建立信息安全管理的过程和控制措施,包括物理安全、网络安全、数据保护等方面的控制措施。
03
04
05
维护安全设备和工具
定期对安全设备和工具进行检查、更新和升级,确保其有效性和可靠性。
监控安全事件和活动
对组织内部和外部的安全事件和活动进行实时监控,及时发现和处理安全问题。
定期进行风险评估和审计
审核目的

信息安全管理体系建设参考的标准

信息安全管理体系建设参考的标准

信息安全管理体系建设参考的标准信息安全管理体系建设参考的标准一、引言信息安全是当今社会发展中不可忽视的重要因素之一。

随着信息技术的飞速发展和普及,各种信息安全威胁也日益增加,给个人、企业甚至国家带来了严重的安全风险。

建立健全的信息安全管理体系成为了当下亟待解决的核心问题之一。

本文将介绍信息安全管理体系建设的参考标准,旨在帮助个人和企业更好地了解并实施信息安全管理体系。

二、信息安全管理体系的概念信息安全管理体系是指组织为了识别、管理和缓解信息安全方面的风险而建立的一系列框架、政策和程序。

其目标是确保信息系统和信息资产得到适当保护,并且能够持续有效地运作。

信息安全管理体系包括信息安全政策、信息安全目标、信息安全组织、资源管理、安全措施和风险管理等内容。

三、信息安全管理体系建设的参考标准1. ISO/IEC 27001标准ISO/IEC 27001是国际标准化组织(ISO)和国际电工委员会(IEC)联合制定的信息安全管理标准。

该标准为组织提供了一个通用的、可验证的信息安全管理框架,帮助组织建立、实施、维护和持续改进信息安全管理体系。

2. 《信息安全技术信息安全管理体系规范》《信息安全技术信息安全管理体系规范》是由中国国家标准化管理委员会发布的国家标准。

该规范是中国企业在建设信息安全管理体系时的参考依据,包括信息安全管理体系的要素、建立、实施、监督、维护和持续改进等内容。

3. 美国国家标准与技术研究所(NIST)的信息安全标准和指南NIST发布了一系列信息安全标准和指南,其中包括了信息安全管理体系的建设要求和指导,如《风险管理框架》(NIST SP 800-37)、《信息安全管理体系指南》(NIST SP 800-14)等,这些都可以作为信息安全管理体系建设的参考标准。

四、信息安全管理体系建设的重要性和价值建立健全的信息安全管理体系对组织来说是非常重要的。

信息安全管理体系能够帮助组织提前发现和应对各种信息安全风险,减少信息资产的损失。

信息安全管理制度体系

信息安全管理制度体系

信息安全管理制度体系篇一:制度体系之 - 信息安全管理制度实施指南制度体系之 - 信息安全管理制度实施指南1 策略管理 ................................................... . (7)1.1 安全策略和管理制度 ................................................... (7)1.1.11.1.21.1.31.2 信息安全策略 ................................................... ................................................ 7 信息安全管理制度 ................................................... ........................................ 7 行为规范 ................................................... ...................................................... .. 8 安全规划 ......................................................................................................... .. (8)1.2.11.2.21.2.3 系统安全规划 ................................................... ................................................ 8 系统安全规划的更新 ................................................... .................................... 9 阶段性行动计划 ................................................... .. (9)2 组织管理 ................................................... . (9)2.1 组织机构 ................................................... ...................................................... .. (9)2.1.12.1.22.2 信息安全管理机构 ................................................... ........................................ 9 信息安全管理人员 ......................................................................................... 10 人员安全 ................................................... ...................................................... (10)2.2.12.2.22.2.32.2.42.2.52.2.62.2.7 工作岗位风险分级 ................................................... ...................................... 10 人员审查 ................................................... ......................................................10 人员工作合同终止 ................................................... ...................................... 11 人员调动 ................................................... ......................................................11 工作协议和条款 ................................................... .......................................... 11 第三方人员安全 ................................................... .......................................... 12 人员处罚 ...................................................122.3 安全意识和培训 ................................................... (12)2.3.12.3.22.3.3 安全意识 ................................................... ......................................................12 安全培训 ................................................... ......................................................13 安全培训记录 ................................................... . (13)3 运行管理 ................................................... (14)3.1 风险评估和认证认可 ................................................... . (14)3.1.13.1.2 安全分类 ...................................................14 风险评估 ................................................... (14)3.1.43.1.53.1.63.2 安全认证 ................................................... ......................................................15 安全认可 ................................................... ......................................................15 持续监控 ................................................... ......................................................16 系统与服务采购 ................................................... (16)3.2.13.2.23.2.33.2.43.2.53.2.63.2.73.2.83.2.93.2.10 资源分配 ................................................... ......................................................16 生命周期支持 ................................................... .............................................. 17 采购 ................................................... ...................................................... ........ 17 信息系统文件 ................................................... .............................................. 17 软件使用限制 ................................................... .............................................. 17 用户安装的软件 ................................................... .......................................... 18 安全设计原则 ................................................... .............................................. 18 外包信息系统服务 ................................................... ...................................... 18 开发配置管理 ...................................................安全测试评估 ................................................... (19)3.3 配置管理 ................................................... ...................................................... (19)3.3.13.3.23.3.33.3.43.3.53.3.6 基线配置 ................................................... ......................................................20 配置变更控制 ................................................... .............................................. 20 监督配置变更 ................................................... .............................................. 21 变更访问限制 ................................................... .............................................. 21 配置策略设置 ...................................................最小化 ................................................... .. (21)3.4 应急计划和事件响应 ................................................... . (22)3.4.13.4.23.4.33.4.43.4.53.4.63.4.7 应急计划 ................................................... ......................................................22 应急响应培训 ................................................... .............................................. 22 应急和事件响应计划测试 ................................................... .......................... 22 应急和事件响应计划更新 ................................................... .......................... 23 事件处理 ................................................... .....................(转载于: 小龙文档网:信息安全管理制度体系)................................. 23 事件监控 ................................................... ......................................................23 事件报告 ................................................... (24)3.5 系统管理与维护 ................................................... (24)3.5.13.5.23.5.33.5.43.5.53.5.6 安全管理技术 ................................................... .............................................. 25 常规维护 ................................................... ......................................................25 维护工具管理 ................................................... .............................................. 25 远程维护 ................................................... ......................................................25 维护人员 ................................................... ......................................................26 维护及时性 ................................................... .. (26)4 技术管理 ................................................... (26)4.1 标识鉴别 ................................................... ...................................................... (26)4.1.14.1.24.1.34.1.44.1.54.2 身份标识和鉴别 ................................................... .......................................... 26 设备标识和鉴别 ................................................... .......................................... 27 标识管理 ................................................... ......................................................27 鉴别管理 ................................................... ......................................................28 登录和鉴别反馈 ................................................... .......................................... 28 访问控制 ................................................... ...................................................... (29)4.2.14.2.24.2.34.2.44.2.54.2.64.2.74.2.84.2.94.2.104.2.114.2.124.2.134.2.14 账户管理 ................................................... ......................................................29 强制访问 ................................................... ......................................................30 信息流控制 ................................................... .. (30)职责分离 ................................................... ......................................................31 最小权限 ................................................... ......................................................31 不成功登录尝试 ................................................... .......................................... 31 系统使用情况 ................................................... .............................................. 32 最近登录情况 ................................................... .............................................. 32 并发会话控制 ................................................... .............................................. 33 会话锁定 ................................................................................................. 33 会话终止 ................................................... .............................................. 33 对访问控制的监督和审查 ................................................... .................. 34 不需鉴别或认证的行为 ................................................... ...................... 34 自动化标记 ................................................... (34)4.2.164.2.174.2.184.3 无线接入访问控制 ................................................... .............................. 35 便携式移动设备的访问控制 ................................................... .............. 35 个人信息系统 ................................................... ...................................... 36 系统与信息完整性 ................................................... .. (36)4.3.14.3.24.3.34.3.44.3.5 漏洞修补 ................................................... ......................................................36 防恶意代码攻击 ................................................... .......................................... 37 输入信息的限制 ................................................... .......................................... 37 错误处理 ................................................... ......................................................37 输出信息的处理和保存 ................................................... (38)4.4 系统与通信保护 ................................................... (38)4.4.14.4.24.4.34.4.44.4.54.4.64.4.7 应用系统分区 ................................................... .............................................. 38 安全域划分 ................................................... .. (39)拒绝服务保护 ................................................... .............................................. 39 边界保护 ................................................... ......................................................39 网络连接终止 ................................................... .............................................. 39 公共访问保护 ................................................... .............................................. 39 移动代码 ................................................... (40)4.5 介质保护 ................................................... ...................................................... (40)4.5.14.5.24.5.34.5.4 介质访问 ................................................... ......................................................40 介质保存 ................................................... ......................................................40 信息彻底清除 ................................................... .............................................. 41 介质的废弃 ................................................... .. (41)4.6 物理和环境保护 ................................................... (41)4.6.14.6.24.6.34.6.44.6.54.6.6 物理访问授权 ................................................... .............................................. 42 物理访问控制 ................................................... .............................................. 42 显示介质访问控制 ................................................... ...................................... 42 物理访问监视 ................................................... .............................................. 42 来访人员控制 ................................................... .............................................. 43 来访记录 ................................................... (43)篇二:信息安全管理制度信息安全管理制度1.总则:为了切实有效的保证公司信息系统安全,提高信息系统为公司生产经营的服务能力,特制定信息系统相关管理制度,设定管理部门及专业管理人员对公司整体信息系统进行管理,以保证公司信息系统的正常运行。

信息安全管理体系

信息安全管理体系

信息安全管理体系随着信息技术的迅猛发展,信息安全问题日益突出。

为保护信息资产的安全,企业和组织越来越重视信息安全管理体系的建立和实施。

本文将从信息安全管理体系的概念、目标、原则、要素和实施步骤等方面进行论述,以帮助读者更好地了解和应用信息安全管理体系。

一、信息安全管理体系的概念信息安全管理体系是指为了确保组织内外信息资产的保密性、完整性和可用性,防止信息泄露、篡改、丢失和停用,通过制定与组织目标相适应的政策、计划和措施,建立一套完整的信息安全管理制度和体系。

它涵盖了组织内的人员、技术和制度,以及与供应商和合作伙伴之间的合作与沟通。

二、信息安全管理体系的目标信息安全管理体系的目标是确保信息资产的保密性、完整性和可用性。

保密性是指只有授权的人员可以访问相关信息,禁止非授权人员获取。

完整性是指防止信息在传输和存储过程中被篡改或损坏。

可用性是指确保信息在需要的时候能够及时访问和使用。

三、信息安全管理体系的原则信息安全管理体系应遵循以下原则:1. 领导承诺:组织的领导要提供信息安全管理的支持和承诺,为信息安全工作赋予重要性。

2. 风险导向:根据信息资产的重要性和风险等级,采用适当的安全措施进行防护。

3. 统筹兼顾:在信息安全管理中要综合考虑组织的整体利益、安全需求和业务要求。

4. 合规法律:遵循国家和行业的相关法律法规,确保信息安全管理的合规性。

5. 持续改进:信息安全管理体系应不断进行评估和改进,以适应技术和业务的变化。

四、信息安全管理体系的要素信息安全管理体系包括以下要素:1. 政策与目标:制定信息安全管理的政策和目标,明确组织对信息安全的要求和期望。

2. 组织架构:建立相应的组织架构和责任体系,确保信息安全工作的有效实施和监控。

3. 风险管理:进行信息安全风险评估和风险处理,采取相应的安全措施进行风险防护。

4. 资产管理:对信息资产进行分类、归档和管理,保护重要信息资产的安全。

5. 人员管理:制定人员管理和培训计划,提高员工的安全意识和技能水平。

信息安全管理体系

信息安全管理体系

信息安全管理体系信息安全管理体系通常包括以下几个方面:1. 风险管理:组织需要对信息资产、业务流程和技术系统进行全面的风险评估,识别潜在的威胁和漏洞,并采取相应的控制措施来降低风险。

2. 策略与规程:制定清晰的信息安全策略和规程,明确组织的信息安全目标和责任分工,确保所有员工都能理解并遵守相关的安全规定。

3. 组织和资源:建立专门的信息安全团队,负责监督和执行信息安全措施,同时提供必要的资源和培训来支持整个信息安全管理体系。

4. 安全控制:采取各种技术和管理控制措施,包括访问控制、加密、安全审计等,以保护信息资产的安全。

5. 监测与改进:建立持续监测和评估机制,定期对信息安全管理体系进行审查,发现和改进不足之处,确保其持续有效性。

信息安全管理体系的建立和实施需要组织层面的重视和支持,同时也需要全员参与和合作。

只有通过全面的规划和有效的执行,才能确保组织的信息安全得到充分的保障,避免信息泄漏和数据丢失的风险。

Information security management system is a set of regulations and processes established within an organization to protect its information assets from various threats and risks. An effective information security management system can help organizations build trust, ensure the confidentiality, integrity, and availability of information, and comply with legal and regulatory requirements.An information security management system generally includes the following aspects:1. Risk Management: Organizations need to conduct a comprehensive risk assessment of information assets, business processes, and technical systems, identify potential threats and vulnerabilities, and take corresponding control measures to reduce risks.2. Policies and Procedures: Establish clear information security policies and procedures, define the organization's information security goals and responsibilities, and ensure that all employees understand and comply with relevant security regulations.3. Organization and Resources: Establish a dedicated information security team responsible for overseeing and implementing information security measures, as well as providing the necessary resources and training to support the entire information security management system.4. Security Controls: Adopt various technical and management control measures, including access control, encryption, security audits, etc., to protect the security of information assets.5. Monitoring and Improvement: Establish a continuous monitoring and assessment mechanism, regularly review the information security management system, identify and improve deficiencies, and ensure its continued effectiveness.The establishment and implementation of an information security management system require organizational attention and support, as well as the participation and cooperation of all employees. Only through comprehensive planning and effective execution can organizations ensure that their information security is fully protected, avoiding the risks of information leakage and data loss.信息安全管理体系是组织保护信息资产不受损害的重要组成部分。

信息安全管理体系

信息安全管理体系

信息安全管理体系信息安全是当今社会中非常重要的一个议题,随着科技的不断发展,我们对信息安全的要求也越来越高。

为了更好地保护信息资产,管理信息安全风险,许多组织采用了信息安全管理体系(Information Security Management System,ISMS)来确保信息安全不受到侵害。

本文将对信息安全管理体系的概念、重要性以及实施过程进行探讨。

一、信息安全管理体系的概念信息安全管理体系是指为了满足组织对信息安全的要求,制定、实施、运行、监控、评审和持续改进信息安全管理的一系列政策、程序、流程、指南和规范的框架。

该体系基于国际标准ISO/IEC 27001,旨在帮助组织建立一个全面、系统的信息安全管理框架,确保信息资产得到保护,同时提高组织的整体安全水平。

二、信息安全管理体系的重要性1. 保护信息资产:信息资产是组织的重要财富,包括数据、软件、硬件等。

信息安全管理体系可以帮助组织制定相应的安全政策和措施,保护信息资产免受威胁。

2. 遵守法律法规:随着信息化程度的提高,各国都制定了涉及信息安全的法律法规。

信息安全管理体系能够帮助组织遵守相关法规,降低法律风险。

3. 提高组织形象:信息安全管理体系的建立和认证可以证明组织对信息安全的高度重视,提升组织在市场中的竞争力和信誉度。

4. 管理风险:信息安全管理体系可以帮助组织进行风险评估和管理,及时识别潜在的风险并采取相应的控制措施,从而降低信息安全风险。

三、信息安全管理体系的实施过程1. 制定信息安全政策:组织需要明确信息安全目标,制定信息安全政策,并将其传达给全体员工。

2. 进行风险评估:组织应该识别和评估潜在的信息安全风险,并制定相应的风险处理计划。

3. 实施信息安全控制措施:根据风险评估的结果,组织需要制定并实施适当的控制措施,以确保信息资产的安全性。

4. 进行内部审核:组织需要定期进行内部审核,评估信息安全管理体系的有效性和合规性。

5. 进行管理评审:组织需要定期进行管理评审,对信息安全管理体系进行全面的审查和评估。

信息安全管理体系

信息安全管理体系

信息安全管理体系一、引言信息安全管理体系是指为了在组织内部保护信息资产和客户信息的安全而制定的一系列规范、规程和标准。

信息安全是企业发展和客户合作的基石,因此,建立和实施信息安全管理体系对于各行业的企业来说至关重要。

本文将重点介绍信息安全管理体系的架构、关键要素和实施步骤,并结合实际案例进行论述。

二、信息安全管理体系架构1. 信息安全政策信息安全政策是信息安全管理体系的起点。

它是组织内部对信息安全的目标、原则和指导方针的表述。

一个有效的信息安全政策应该是明确、具体且可操作的,以确保所有员工清楚地了解组织对于信息安全的要求。

案例:某银行制定了一项信息安全政策,规定了员工在使用公司电脑和移动设备时必须遵守的行为准则,例如不得将敏感信息外泄、定期更改密码等。

2. 风险评估和管理风险评估和管理是信息安全管理体系中的核心。

组织需要对自身的信息资产进行全面的风险评估,识别潜在的威胁和漏洞,并制定相应的风险管理策略。

这包括制定安全保护措施、加强安全培训和意识教育,并建立应急响应机制。

案例:一家电子商务企业针对其信息系统进行了风险评估,发现了一些安全漏洞,随后采取了密码策略强化、加密技术应用等措施,有效提升了信息安全水平。

3. 组织结构和责任分配一个健全的信息安全管理体系应该明确组织内部的信息安全职责,明确责任分配和权限控制。

每个部门和岗位都应该有明确的责任人,负责监督和执行信息安全政策,并及时报告任何安全事件和风险。

案例:一家制造企业设立了信息安全部门,负责监管公司内部的信息系统和网络安全,同时每个部门也配备了信息安全责任人,协助信息安全部门管理相关安全事务。

4. 安全培训和意识教育为了确保员工具备良好的信息安全意识和技能,组织应该定期进行安全培训和意识教育。

通过培训可以提高员工对于信息安全的重要性的认识,并教授安全操作技能,避免因人为错误导致的安全事件。

案例:一家医疗机构定期举行信息安全培训和演练,向员工传授保护患者隐私和医疗数据安全的知识和技能,提高了员工的安全意识和操作能力。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

27002 27000 27003 27004
„„
27006 信息安全管理体 系审核和认证机构要求 27007 信息安全管理体 系审核指南
27005
27008 信息安全管理体 系控制措施审核员指南 „ „
19
ISMS标准我国采标情况
各国等同采标 我国采标情况
序号 1 2 3 4 国际标准 ISO/IEC 27000:2009 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27006:2007 采标形式 等同采用 等同采用 等同采用 等同采用 国家标准 《信息安全管理体系概述和词汇》 (GB/T 29246-2012) 《信息安全管理体系 要求》 (GBT 22080-2008) 《信息安全管理实用规则》 (GB/T 22081-2008) 《信息安全管理体系审核认证机 构的要求》(GB/T 25067-2010)
日常监视和检查 有效性测量 内部审核 风险再评估 管理评审
13
保持和改进ISMS
保持和改进ISMS,ACT 主要工作
实施纠正和预防措施 持续改进ISMS 沟通措施改进情况
14
用PDCA来理解什么是信息安全管理体系
ISMS的核心过程可以概括为4句话
1. 2. 3. 4.
安全方针
信息安全组织 资产管理 人力资源 安全 物理和环境 安全 访问控制 信息安全事件管理
业务连续性管理 符合性
通信和操作 管理
信息系统 获取开发 和维护
23
信息安全管理实用规则(GB/T 22081-2008)
11个域
39个目标
133个控制措施
24
信息安全管理实用规则
每个主要安全域,包括:
管理体系:
建立方针和目标并达到目标的体系
(-- ISO9000:2005 质量管理体系 基础和术语)
为达到组织目标的策略、程序、指南和相关资源的框架
(-- ISO/IEC 27000:2009 信息技术 安全技术 信息安全管理体系 概述和术语)
4
管理体系
ISO9000 质量管理体系 ISO14000 环境管理体系 OHSAS 职业健康安全管理体系 ISO/IEC27000 信息安全管理体系 管理体系 Management System
控制目标,声明要实现什么 一个或多个控制措施,用于实现该控制目标 每个(安全)控制措施的描述内容 控制措施:是对该控制措施的定义 实施指南:是对实施该控制措施的指导性说明 其它信息:其它需要说明的补充信息,如法律考虑
25
什么是控制措施
什么是控制措施
管理风险的方法。为达成企业目标提供合理保证,并 能预防、检查和纠正风险。 它们可以是行政、技术、管理、法律等方面的措施。 控制措施的分类:
ISO/IEC 27000系列
已经制定标准:>21个 正在制定标准:>11个
27000 信息安全管理体 系概述和术语 27005 信息安全风险管 理
27001
27001 信息安全管理体 系要求 27002 信息安全管理实 用规则 27003 信息安全管理体 系实施指南 27004 信息安全管理测 量
自己制定本单位的信息安全管理控制措施 学习别人实践经验,参考国际/国家标准
• 《信息安全管理实用规则》(ISO 27002) • 《信息安全管理实用规则》(GB/T 22081)
22
ISMS信息安全管理域
• 《信息安全管理实用规则》(ISO 27002:2005) • 《信息安全管理实用规则》(GB/T 22081-2008)
安全方针概述
XX系统相关信息和支撑系统、程序等,不论它们以 何种形式存在,均是XX系统的关键资产 信息的可用性、完整性和保密性是信息安全的基本 要素,关系到XX机关的形象和业务的持续运行。 必须保护这些资产不受威胁侵害 定义和监督执行XX系统网络与信息安全总体策略是 XX部门的责任
32
举例——《XX系统信息安全总体策略》
安全方针概述 资产分类和控制
信息分类
• 资产分类:信息资产,包括计算机和网络,应当依 据其价值和敏感性以及保密性、完整性和可用性原 则进行分类。信息安全主管部门应当根据各自部门 的业务特点制定本系统内具体的资产分类与分级方 法,并根据分级和分类办法制定明晰的资产清单 • 敏感信息、关键信息
ISO/IEC 27000标准簇介绍
BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的对应关系
BS7799-1
ISO17799 ISO27002 GB/T22081
BS7799
BS7799-2
18
ISO27001 GB/T22080
ISO/IEC 27000标准簇介绍
信息安全管理员培训
信息安全管理体系
课程内容
信息安全 管理基础
信息安全 管理
信息安全 管理体系
信息安全管理体系概念
信息安全管理控制措施
2
知识体:信息安全管理体系
信息安全管理体系概念
3
管理体系相关概念
体系
相互关联和相互作用的一组要素
(-- ISO9000:2005 质量管理体系 基础和术语)
信息安全管理体系是整个管理体系的一部分,它 是基于业务风险方法,来建立、实施、运行、监 视、评审、保持和改进信息安全的体系 一般地,信息安全管理体系包括信息安全组织架 构、信息安全方针、信息安全规划活动、信息安 全职责,以及信息安全相关的实践、规程、过程 和资源等要素,这些要素既相互关联,又相互作 用
7
信息安全管理体系的作用
对内


形成单位可自我持续改进的信息安全管理机制 使信息安全的角色和职责清晰,并落实到人 确保实现动态的、系统的、制度化的信息安全管理 有利于根本上保证业务的连续性,提高市场竞争力
能够使客户、业务伙伴对单位信息安全充满信心 有助于界定外包双方的信息安全责任 可以使单位更好地满足审计要求和符合法律法规 保证和外部数据交换中的信息安全
8
对外
作用解释
ISMS是一个通用的信息安全管理指南
不是说明“怎么做”的详细细节 而是具有普遍意义的安全操作规则指南 指导单位在信息安全管理方面要做什么,如何选择 适宜的安全管理控制措施
ISMS过程
信息安全管理体系标准要求建立ISMS过程 制定信息安全策略,确定体系范围,明确管理职责 单位应该实施、维护和持续改进该体系,保持其有 效性
2000年12月 —— 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS 7799-1, 颁布ISO/IEC 17799:2000《信息安全管理实用规则》 2002年9月 —— BSI对BS 7799-2进行了改版 2005年6月 —— ISO 17799:2000改版,成为ISO/IEC 17799:2005 2005年10月 —— ISO正式采用BS 7799-2:2002,命名为ISO/IEC 27001:2005 2007年7月 —— ISO 17799:2005归入ISO 27000系列,命名为ISO/IEC 27002:2005

2008年6月- 中国等同采用ISO 27001:2005, 命名为GB/T 22080-2008
中国等同采用ISO 27002:2005, 命名为GB/T 22081-2008
2013年10月 —— ISO正式发布ISO/IEC 27001:2013和ISO/IEC 27002:2013
17
• 预防性控制 • 检查性控制 • 纠正性控制
不是所有的控制措施适用于任何场合,它 也不会考虑到使用者的具体环境和技术限制, 也不可能对一个组织中所有人都适用
26
1.安全方针
27
Why?
有没有遇到过这样的事情?
案例1
• 有单位领导说:“听说信息安全工作很重要,可是 我不知道对于我们单位来说到底有多重要,也不知 道究竟有哪些信息是需要保护的。”
16
ISO/IEC 27000标准簇介绍
BS7799、ISO17799、ISO27001、ISO27002、GB/T22080、GB/T22081的历史沿革
1990年代初 —— 英国贸工部(DTI)成立工作组,立项开发一套可供开发、实施和 测量有效安全管理惯例并提供贸易伙伴间信任的通用框架 1993年9月 —— 颁布《信息安全管理实施细则》,形成BS 7799的基础 1995年2月 —— 首次出版BS 7799-1:1995《信息安全管理实用规则》 1998年2月 —— 英国公布BS 7799-2:《信息安全管理体系要求》,1999年4月修订
制定ISMS方针和策略 实施风险评估
• 识别风险、分析和评价风险
11
实施和运行ISMS
实施和运行ISMS,DO 主要工作
制定风险处理计划 实施风险处理计划 制定有效性测量程序 管理ISMS的运行
12
监视和评审ISMS
监视和评审ISMS,CHECK 主要工作
9
ISMS过程
规划Plan 相关方 建立 ISMS 相关方
信息安全 要求和期望
实施和 实 施 运行ISMS Do
保持和 改进 改进ISMS Act 受控的 信息安全
监视和 评审ISMS
检查Check
10
建立ISMS
建立ISMS,PLAN 主要工作
定义ISMS范围和边界
• 《ISMS范围说明书》:组织结构范围、业务范围、 信息系统范围和物理范围
ISO/IEC20000 服务管理体系
ISO22000食品安全管理体系
相关文档
最新文档