ISO／IEC-27003(CN)信息技术-安全技术 信息安全管理体系实施指南

信息技术-安全技术信息安全管理体系实施指南(Information technology — Security techniqes — Information security management system implementation guidance)（ISO/IEC CD 27003）目录1范围52引用的标准文件 (5)3术语和定义 (5)4本标准的结构 (5)4.1总则54.2图表64.2.1图形符号 (6)4.2.2部署与图表 (8)4.3ISMS 实施总图 (8)4.4总说明 (9)4.4.1实施考虑事项 (9)4.4.2中小企业(SME)的考虑事项 (10)5.3.1ISMS 范围的概要 (15)5.3.2角色和责任的定义 (15)5.5获得管理者对实施 ISMS 的正式批准和承诺 (18)6定义ISMS 范围和ISMS 方针 (21)6.1定义 ISMS 范围和ISMS 方针的概要 (21)6.2定义组织的边界 (23)6.3定义信息通信技术边界 (24)6.4定义物理边界 (24)6.5完成 ISMS 范围边界 (25)6.6开发 ISMS 方针 (26)7进行业务分析 (28)7.1业务分析概要 (28)前言ISO（国际标准化组织）和 IEC (国际电工委员会)是专业的世界性标准发布者。

ISO 或 IEC 成员的国家，通过各自组织为处理特定技术活动领域所设立的技术委员会，参与开发国际标准。

ISO 和 IEC 技术委员会协调合作领域的共同利益。

与 ISO 和IEC 保持联系的其它国际组织（官方的或非官方的）也可参加有关工作。

在信息技术领域，ISO 和IEC 已经设立了一个联合技术委员会，ISO/IEC JTC 1。

国际标准遵照 ISO/IEC 导则第 2 部分的规则起草。

ISO/IEC 27003 是由信息技术-安全技术 SC 27 小组委员会 ISO/IEC JTC 1 技术委员会制定的。

信息安全管理体系实施信息安全管理体系（Information Security Management System，简称ISMS）是一种以风险管理为基础，为组织提供持续保护信息资产机密性、完整性和可用性的体系。

本文将讨论信息安全管理体系的实施过程，包括制定策略、组织架构、风险评估、控制措施、培训教育和监测评估等方面。

一、策略制定信息安全管理体系实施的第一步是制定策略。

首先，组织需要明确信息资产的价值和重要性，以便有效确定资源投入的大小。

其次，组织需要参考相关的法规、标准和最佳实践，制定信息安全政策和目标，并确保其与组织的整体战略和目标一致。

最后，制定详细的实施计划和时间表，确保每个阶段的任务和目标都能够得到明确并有效的执行。

二、组织架构建立组织架构的建立是信息安全管理体系实施的重要一环。

首先，需要明确责任和职责，确定信息安全管理的组织结构以及各个岗位的职责要求。

其次，组织需要任命一位信息安全管理负责人，负责制定和推进信息安全管理体系的实施，并确保制度和流程的有效执行。

此外，还需要建立信息安全委员会或工作组，由相关部门和岗位代表组成，负责协调和推动信息安全相关事务的落实。

三、风险评估与控制措施风险评估是信息安全管理体系实施的核心环节之一。

组织需要识别和评估信息资产的威胁和漏洞，以确定潜在的风险。

然后，根据风险评估结果，制定相应的控制措施，包括物理控制、技术控制和组织控制等。

物理控制措施可以包括门禁系统、监控系统和访客管理等；技术控制措施可以包括防火墙、入侵检测系统和加密技术等；组织控制措施可以包括权限管理、人员背景调查和培训教育等。

同时，还需建立有效的监视和追踪机制，对控制措施的有效性进行评估和持续改进。

四、培训教育培训教育在信息安全管理体系实施中起到至关重要的作用。

组织需要定期对员工进行信息安全意识培训，提高员工对信息安全的认知和理解。

培训内容可以包括信息安全政策和规程、常见威胁和风险、安全操作规范和安全意识等。

ISO27001-2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)ISO 27001.2013 信息技术--安全技术--信息安全管理体系--要求中文版(正式发布版)1.背景和目的该标准详细规定了建立、实施、操作、监控、审查、维护和持续改进信息安全管理体系（ISMS）的要求。

它旨在确保组织合理评估信息安全风险，并采取适当的安全措施来保护机密性、完整性和可用性。

2.规范性引用文件本标准适用于以下引用文档:- ISO/IEC 27000.2018 信息技术－安全技术－信息安全管理体系－概述和词汇- ISO/IEC 27002.2013 信息技术－安全技术－信息安全管理实施指南- ISO/IEC 27003.2017 信息技术－安全技术－信息安全管理系统实施指南3.术语和定义以下术语和定义适用于本标准：- 组织：指定了ISMS的范围并对其进行实施、操作、监控、审查、维护和持续改进的实体。

- 高层管理：按照组织的要求，履行其职权和责任的最高级别管理职位。

- ISMS：信息安全管理体系。

4.理解组织和其上下文组织应确定和理解其内外部各方的需求和期望，以及相关方和利益相关者，以确保ISMS的有效性。

5.领导的承诺高层管理应明确表达对ISMS的支持和承诺，确保其适当实施和维护，并提供资源以满足ISMS的要求。

6.政策组织应制定和实施信息安全政策，为ISMS提供框架和方向，并与组织的活动和风险管理策略保持一致。

7.组织内部的风险评估组织应在ISMS实施之前进行风险评估，以确保全面了解和评估信息资产相关的威胁和风险。

8.管理资源组织应为ISMS指定适当的资源，包括人员、设备和财务资源，以确保其有效实施、操作、监控、审查和持续改进。

9.专门支持组织应为ISMS提供必要的支持，包括培训、意识和沟通，以确保员工的积极参与和遵守ISMS的要求。

10.安全风险管理组织应基于风险评估结果，采取适当的措施来管理和缓解信息安全风险，确保信息资产的安全性。

信息安全管理体系认证简介信息安全管理体系认证简介一．信息安全管理随着以计算机和网络通信为代表的信息技术（IT）的迅猛发展，政府部门、金融机构、企事业单位和商业组织对IT 系统的依赖也日益加重，信息技术几乎渗透到了世界各地和社会生活的方方面面。

如今，遍布全球的互联网使得组织机构不仅内在依赖IT 系统，还不可避免地与外部的IT 系统建立了错综复杂的联系，但系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等事情时有发生，这些给组织的经营管理、生存甚至国家安全都带来严重的影响。

所以，对信息加以保护，防范信息的损坏和泄露，已成为当前组织迫切需要解决的问题。

俗话说“三分技术七分管理”。

目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。

但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。

这些都是造成信息安全事件的重要原因。

缺乏系统的管理思想也是一个重要的问题。

所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。

二．信息安全管理体系标准发展历史及主要内容目前，在信息安全管理体系方面，ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。

ISO/IEC27001是由英国标准BS7799转换而成的。

BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。

1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。

信息安全基础(习题卷66)第1部分：单项选择题，共57题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]扫描工具A)只能作为攻击工具B)只能作为防范工具C)既可作为攻击工具也可以作为防范工具答案:C解析:2.[单选题]在自主访问控制机制下，文件的拥有者可以按照自己的意愿精确指定系统中的其他用户对其文件的( )。

A)读取权B)控制权C)访问权D)浏览权答案:C解析:3.[单选题]在USG系列防火墙中，可以通过以下哪个命令查询NAT转换结果？A)display nat translationB)display firewall session tableC)display current natD)display firewall nat translation答案:B解析:4.[单选题]数据恢复的第一步一般是做什么的恢复：（ ）A)分区恢复B)主引导扇区记录C)文件分配表的恢复D)数据文件的恢复答案:A解析:5.[单选题]信息的哪条属性具有这样的两面性：一方面它有利于知识的传播，另一方面也可以造成信息的贬值，不利于保密，不利于保护信息所有者的积极性（）。

A)共享性B)传输性C)可扩散性D)转换性答案:C解析:6.[单选题]“安全网关-主机防护套餐”提供的标准套餐服务中，防护主机数量是多少个？D)8个答案:C解析:7.[单选题]针对ARP欺骗攻击的描述，以下哪项是错误的A)ARP实现机制只考虑正常业务交互，对非正常业务交互或恶意行为不做任何验证B)ARP欺骗攻击只能通过ARP应答来实现，无法通过ARP请求实现C)当某主机发送正常ARP请求时，攻击者会抢先应答，导致主机建立一个错误的IP和MAC映射关系D)ARP静态绑定是解决ARP欺骗攻击的一种方案，主要应用在网络规模不大的场景答案:B解析:8.[单选题]身份认证含义是____？A)注册一个用户B)标识一个用户C)验证一个用户D)授权一个用户答案:C解析:9.[单选题]《网络安全法》规定，网络运营者应当制定（ ），及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险。

信息安全 (Information security)通俗讲的安全风险入发现机制处理机制书面上讲的信息安全: 信息安全的基本目标 保密性 (Confidentiality) 完整性 (Integrity) 可用性 (Availability) 信息安全模型: 应用安全技术 数据加密技术 主机安全技术 网络安全技术 桌面安全技术 物理安全技术 认证授权技术 访问控制技术 审计跟踪技术 防病毒技术 灾难恢复和备份技术信息安全遵循的标准和模式：标准是ISO27001，模式是PDCA 目前容易看到两个的误区：一个是：罗列一堆产品和技术；另一个是：网络安全架构规划，等同于网络安全。

ISO已为信息安全管理体系标准预留了ISO/IEC27000系列编号，类似质量管理体系的ISO9000系列和环境管理体系ISO14000系 信息安全是建立各种系统的保障.风险是组成信息安全的重要组成部分.信息安全的ISO2700X系列,每一个代码的意思 ISO/IEC 27000ISO/IEC 27001ISO/IEC 27002ISO/IEC 27003ISO/IEC 27004ISO/IEC 27005 ISO/IEC 27006 ISO/IEC 27007 ISO/IEC 27008 风险管理各要素间的关系ISO27003实施指南与其它关系ISO27002 ISO27001ISO27000 获得实施 ISMS的正获得实施 ISMS的正 式批准信息安全老三样: 安全重点在数据,即信息,即信息安全,而不是网络一个单途径的安全. 以前信息安全在网络上,如漏洞,病毒,黑客等,这些得到不利益,只能是搞怪.现在重点已从网络转向应用.如挂码,木马,大马套 信息安全:由于自然或者人为的原因，对信息系统造成危害，或在信息系统内发生对社会造成负面影响的事件信息安全的现状:信息安全的原则:信息安全技术实现内部信息安全技术 (是在隔离基础之上 采取措施)内部信息安全管理手段信息安全五步原则信息领域涉及安全问 题分类根据信息安全事件发 生的原因、表现形式 等，对信息安全事件 进行七个分类.每个 基本分类分别包括若 干个第二层分类 共25个二级事件信息安全 (Information security)是设防线，做多道防线或叫安全级别，增加入侵的难度，延缓时间来做有效的处理。

要求-体系标准集信息安全管理的标准族【多选】【2016-06】信息安全管理的标准族在“信息技术-安全技术”的总标题下包括的国标标准有（）A、ISO/IEC 27000B、ISO/IEC 27001C、ISO 19011D、ISO/IEC 27005【解析】ABD『M037』【单选】在ISO组织框架中，负责ISO/IEC27000系列标准编制工作的技术委员会（A）ISO/IEC JTC SC27（B）ISO/IEC JTC SC40（C）ISO/IEC TC27（D）ISO/IEC TC40【解析】A『S621』【单选】GB/T22080-2016/ISO/IEC27001-2013《信息技术安全技术信息安全管理体系要求》是由（）提出并归口。

（A）全国信息技术标准化技术委员会（B）全国信息安全标准化技术委员会（C）全国认证认可标准化技术委员会（D）全国公共安全基础标准化技术委员会【解析】B 『S667』【单选】【2017-03】信息安全管理体系标准族中关于信息安全风险管理的标准是()(A)ISO/IEC27002(B)ISO/IEC27003(C)ISO/IEC27004(D)ISO/IEC27005【解析】D『S516』【单选】信息安全管理领域权威的标准是:(A)ISO15408(B) ISO 17799/ISO27001(英) (C) ISO9001 (D) ISO14001 【解析】B『S372』描述概述和术语的标准27000信息技术-安全技术-信息安全管理体系-概述和词汇描述要求的标准27001信息技术-安全技术-信息安全管理体系-要求27006信息技术-安全技术-提供信息安全管理体系审计和认证的机构的要求描述一般指南的标准27002信息技术-安全技术-信息安全控制实用规则27003信息技术-安全技术-信息安全管理体系实施指南27004信息技术-安全技术-信息安全管理-测量27005信息技术-安全技术-信息安全风险管理27007信息技术-安全技术-信息安全管理体系审计指南27008信息技术-安全技术-审计人员关于信息安全控制的指导原则27013信息技术-安全技术-关于综合实施ISO/IEC 27001和ISO/IEC 20000-1的指南27014信息技术-安全技术-信息安全治理TR 27016信息技术-安全技术-信息安全管理-组织经济学描述特定行业指南的标准27011 电信信息技术-安全技术-基于ISO/IEC 27002的电信组织信息安全管理指南GBT22080-2016 ISO/IEC 27001 要求【单选】【2017-03】信息安全体系的要求类标准是:A 22080-2016 B22081-2008 C ISO/IEC27003 D ISO/IEC27004【解析】A『S669』【单选】ISMS标准族中,要求类标准是()(A) ISO27002 (B)ISO27001和ISO27003 (C)ISO27002和ISO27006 ( D ) ISO27001 和ISO27006【解析】D『S670』【单选】ISO/IEC 27001 是( )A)以信息安全为主题的管理标准B)与信息安全相关的技术性标准C)编制业务连续性计划的指南D)以上都不是【解析】A『S257』【单选】【2018-03】组织应按照本标准的要求（）信息安全管理体系A 策划、实现、监视和持续改进B 建立、实施、监视和持续改进C 建立、实现、维护和持续改进D 实现、维护和持续改进【解析】C 『S543』GBT22081-2016 ISO/IEC 27002 使用规则【单选】【2016-06】信息安全管理实用规则ISO/IEC 27002 属于（）标准A、词汇类标准B、指南类标准C、要求类标准D、技术类标准【解析】B『S109』【单选】【2019-11】《信息技术安全技术信息安全控制实践指南》属于（）标准A、词汇类标准B、指南类标准C、要求类标准D、强制标准【解析】B【单选】【2017-03】以下对GBT22081-2016 ISO/IEC 27002：2013 的描述，正确的是（）A、该标准属于要求类标准B、该标准属于指南类标准C、该标准可用于一致性评估D、组织在建立ISMS 时，必须满足该标准的所有要求【解析】B『S111』【单选】【2017-09】关于GBT22081-2016 下列说法错误的是：A 该标准是指南类标准B 该标准中给出了ISO27001附录A中所有的控制措施和应用指南C 该标准给出了ISMS的实施指南D 该标准的名称是《信息技术安全技术信息安全管理实用规则》【解析】D『S588』27002信息技术-安全技术-信息安全控制实用规则【单选】【2015-12】【2016-12】【2018-09】关于ISO/IEC27002 标准，以下说法正确的是：（）A提供了选择控制措施的指南，可用作信息安全管理体系认证的依据B提供了选择控制措施的指南，不可用作信息安全管理体系认证的依据C提供了信息安全风险评估的指南，是ISO/IEC27001 的构成部分D提供了信息安全风险评估的依据，是实施ISO/IEC27000 的支持性标准【解析】B『S078』ISO/IEC 27004 测量【单选】【2016-12】【2017-09】ISO/IEC27000标准族中关于信息安全测量的标准是（）A、27002B、27003C、27004D、27005【解析】C『S167』【单选】【2015-12】【2016-12】旨在评估信息安全管理体系有效性的标准是：A 27001 B27002 C27006 D 27004 【解析】D『S068』ISO/IEC 27014 信息安全治理【单选】【2017-09】《信息技术安全技术信息安全治理》对应的国际标准号为（）A27011 B27012 C27013 D27014【单选】【】编号:42 作为信息安全治理的成果,战略方针提供了: A 、企业所需的安全要求 B 、遵从最佳实务的安全基准 C 、日常化、制度化的解决方案 D 、风险暴露的理解 【解析】A 『S486』 词汇变化【单选】【2017-03】【2017-09】下列不属于GBT22080-2016与GBT22080-2008主要关键词变化的是（ ） A control 由 措施实施 改为 控制B implement 由 实施 改为 实现C asset owner 有资产责任人 改为 资产拥有者D context of the organization 组织背景 改为 组织环境【解析】D 『S490』ISO/IEC 17799【单选】ISO/IEC 17799源于以下哪个标准？A BS7799-1 B BS7799-2 C BS7799-3 D GB 7799【解析】A BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》。