ISMS给组织带来的利益.ppt

A,1,ISMS给组织带来的利益,PKSEC北京知识安全工程中心,ISO/IEC27001&ISO/IEC17799实施,A,2,自我介绍,王新杰来自北京知识安全工程中心()2000年开始ISMS相关工作，目前主要工作：ISMS认证咨询国家注册ISMS审核员培训联系angxinjie,A,3,ISMS的背景ISMS的国际标准全球ISMS的现状ISMS给组织带来的利益ISMS建设和实施,主要议题,A,4,1.ISMS的背景,生产力的发展信息安全就是生产安全ISMS是组织实现信息安全的优秀方法之一,A,5,1.ISMS的背景,ISMS是管理体系（MS）家族的一员ISMS认证证书，是证明一个组织的信息安全水平和能力满足信息安全管理体系国际标准ISO/IEC27001要求的书面证明。,管理体系家族成员：质量管理体系QMS环境管理体系EMS职业健康安全管理体系OHSMS食品安全管理体系FSMS信息安全管理体系ISMS,A,6,1.ISMS的背景,A,7,申请证书组织,认证机构,证书申请,审核、颁发证书,认可机构,认证咨询机构,提供咨询服务,认证培训机构,审核员,培训并颁发证书,任职,国际互认双边互认多边互认,国家行政管理机构,机构认可,管理体系产业链,认证认可条例,认证机构通用要求ISOGuide62,认证培训机构通用要求ISO/IEC17024,管理体系证书,审核指南-ISO/IEC19011,1.ISMS的背景,A,8,1.ISMS的背景,国家认证认可监督管理委员会,中国合格评定国家认可中心,CNAB,CNAT,CNAL,2005年9月以前的结构,中国的管理机构,A,9,1.ISMS的背景,国家认证认可监督管理委员会,（CNAT）,（CNAB/CNAL）,目前的结构,中国的管理机构,A,10,ISMS的背景ISMS的国际标准全球ISMS的现状ISMS给组织带来的利益ISMS建设和实施,主要议题,A,11,ISO/IEC27001:2005Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-requirements信息技术-安全技术-信息安全管理体系-要求,ISO/IEC17799:2005Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritymanagement信息技术-安全技术-信息安全管理实用规则注：ISO/IECJTC1/SC27计划于2007年4月将其标准号更改为ISO/IEC27002,ISMS标准族：27000系列,2.ISMS的国际标准,A,12,正在制定中的ISMS标准族：27000系列ISO/IEC27000基础和术语ISO/IEC27003ISMS实施指南ISO/IEC27004ISMS测量ISO/IEC27005信息安全风险管理ISO/IEC27006ISMS认证机构认可要求,2.ISMS的国际标准,A,13,图1应用于ISMS过程的PDCA模型,2.ISMS的国际标准,ISO/IEC27001:2005的核心内容,A,14,2.ISMS的国际标准,A,15,ISO/IEC17799:2005的核心内容,2.ISMS的国际标准,A,16,2.ISMS的国际标准,Codeofpractice,英国DTI,BS7799-Part1,1993.9,英国BSI,1995.2,BS7799-Part2,1998.2,BS7799-1:1999,1999.4,ISO/IECJTC1/SC27,2000.12,+,BS7799-2:1999,ISO17799:2000,BS7799Part2versionC,2001.6,ISO17799:FDIS,BS7799Part2：2002,2002.9,2004.10,ISO17799:2005,ISO27001:2005,2005.10.15,2005.6.15,2005,ISMS标准的由来,ISO/IECJTC1/SC27,ISO/IECJTC1/SC27,A,17,ISMS的背景ISMS的国际标准全球ISMS的现状ISMS给组织带来的利益ISMS建设和实施,主要议题,A,18,3.全球ISMS的现状,每年成倍增长的全球ISMS认证证书,A,19,3.全球ISMS的现状,截止2006年11月，全球ISMS认证证书明细,A,20,中国政府关注ISMS2000年4月我们把ISMS介绍给国信安办（原）；2002年4月，认监委与国信办在中认大厦召开国家ISMS认证认可高层研讨会；2002年11月，信安标委WG7开始研究和制定ISMS国家标准；2004年4月，认监委在其办公大楼会议室召开ISMS认证认可工作会议；2005年6月15日，我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用规则”，该标准修改采用ISO/IEC17799:2000；2005年8月，认监委批准北京知识安全工程中心为ISMS认证培训机构；2006年2月，国信办在5个单位开展ISMS标准应用试点工作：国家税务总局、证监会、北京、上海、武钢；2006年3月，认监委批准4家ISMS试点认证机构：信产部4所、华夏认证中心、上海认证中心、赛宝认证中心；,3.全球ISMS的现状,A,21,ISMS的背景ISMS的国际标准全球ISMS的现状ISMS给组织带来的利益ISMS建设和实施,主要议题,A,22,4.ISMS给组织带来的利益,预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范：重要的商业秘密信息的泄漏、丢失、篡改和不可用；重要业务所依赖的信息系统因故障、遭受病毒或攻击而中断；节省费用。一个好的ISMS不仅可通过避免安全事故而使组织节省费用，而且也能帮助组织合理筹划信息安全费用支出，包括：依据信息资产的风险级别，安排安全控制措施的投资优先级；对于可接受的信息资产的风险，不投资安全控制；保持组织良好的竞争力和成功运作的状态，提高在公众中的形象和声誉，最大限度的增加投资回报和商业机会；增强客户、合作伙伴等相关方的信任和信心。,A,23,ISMS的背景ISMS的国际标准全球ISMS的现状ISMS给组织带来的利益ISMS建设和实施,主要议题,A,24,5.如何建立和实施ISMS,获得正确的ISMS的设计与开发思路建立信息安全管理机构识别ISMS文件的要求执行风险评估和处理遵循标准规定的ISMS开发过程-PDCA,A,25,获得正确的ISMS设计与开发思路,正确理解ISMS分析ISMS的要素正确的ISMS设计与开发思路,在SINOCOM实施ISMS动员大会上的一个比喻：ISMS就是一台“机器”！,A,26,分析ISMS的构成要素,ISMS体系由以下3个要素(部件)构成：信息安全的管理机构(Managementframework)ISMS文件资源(包括必需的人员、资金和设备等),A,27,正确的ISMS设计与开发思路,高级管理者提供ISMS开发所需要的足够资源和方向识别组织对信息安全的需求逐一设计和建设ISMS要素（包括管理机构和ISMS文件）各个ISMS体系要素相互作用，投入运行，并加以维护管理。,A,28,建立ISMS管理机构,什么是ISMS管理机构为什么需要管理机构管理者承诺,A,29,识别ISMS文件的要求,文件的作用ISMS文件的类型文件的创建文件的基本要求ISMS文件与QMS文件的比较,A,30,执行风险评估和处理,必须的活动产生两个文件：风险评估报告和风险处理计划主要过程：4.2.1中c)h)确定风险评估方法识别风险分析和评价风险识别和评价风险处理的可选措施为处理风险选择控制目标和控制措施获得管理者对建议的残余风险的批准,A,31,遵循标准规定的ISMS建设过程PDCA,A,32,应用于ISMS的PDCA模型，可以概括为：1）规定应该做什么并形成ISMS文件；2）做ISMS文件已规定的事情；3）评审你所做的事情的符合性和有效性；4）通过预防和纠正措施，持续改进。,遵循标准规定的ISMS建设过程PDCA,计划,实施,检查,改进,A,33,基于PDCA的ISMS的实际建设流程,A,34,Q&A,A,35,北京知识安全工程中心PekingKnowledgeSecurityEngineeringCenter-PKSEC2003年6月，吕述望教授创办，并担任主任，赵战生教授担任学术委员会主任，陈华平研究员担任总工程师。定位：面向知识安全的科学研究、产品研制和咨询服务。目标：建设一个知识安全创新基地；建设一个知识安全人才培训基地。,附：PKSEC介绍,A,36,知识安全知识安全是继计算机数据安全、网络信息安全之后的新的更高和更深层次的信息资源的安全。在信息资源中，数据是事实与数字组成的原始的素材；信息是对原始素材进行整理后形成的消息与情报；知识是对消息与情报进行理性分析与综合后形成的系统的认识与思想及清晰表述的论断。知识安全是数据安全和信息安全的扩展与延伸，又是信息资源安全一个新的发展阶段。fromDCS,IStoKS,PKSEC知识安全,A,37,当前主要业务领域信息安全管理体系（ISMS）认证服务ISMS认证培训ISMS认证咨询密码技术研究与开发密码编码密码分析,PKSEC业务领域,A,38,PKSEC在ISMS认证服务领域的优势国家批准的全国首家ISMS认证培训机构ISMS国家标准核心起草单位全国信息安全标准化技术委员会WG7、WG1、TCG成员专业信息安全科研服务机构具有6年ISMS研究和推广经验的咨询顾问团队,PKSEC在ISM