ISO27001标准详解PPT课件

.,ISO27001标准详解,.,主题,信息安全管理体系管理框架,ISO27001控制措施,ISO27001与知识产权保护,.,信息安全管理体系背景介绍信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失：一.直接损失：丢失订单，减少直接收入，损失生产率；二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响股票市值或政治声誉；三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。,ISO27001的内容,.,信息安全管理体系背景介绍所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。,ISO27001的内容,.,信息安全管理体系标准发展历史目前，在信息安全管理体系方面，ISO/IEC27001:2005-信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS7799-1：1995信息安全管理实施细则，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999信息安全管理实施细则通过了国际标准化组织ISO的认可，正式成为国际标准-ISO/IEC17799：2000信息技术-信息安全管理实施细则，后来该标准已升版为,ISO27001的内容,.,信息安全管理体系标准发展历史ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。2005年，BS7799-2:2002正式转换为国际标准ISO/IEC27001：2005。,ISO27001的内容,.,信息安全管理体系要求11个控制领域39个控制目标133个控制措施,ISO27001的内容,.,必须的ISMS文件：1、ISMS方针文件，包括ISMS的范围；2、风险评估程序和风险处理程序；3、文件控制程序和记录控制程序；4、内部审核程序和管理评审程序（尽管没有强制）；5、纠正措施和预防措施控制程序；6、控制措施有效性的测量程序；7、适用性声明,ISO27001的内容,.,对外增强顾客信心和满意改善对安全方针及要求的符合性提供竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力,形成文件的ISMS的益处,.,PDCA方法纠正和预防措施内部审核ISMS管理评审,ISMS的持续改进,.,0.1总则0.2过程方法过程方法的定义：组织内各过程系统的应用，连同这些过程的识别和相互作用及其管理，可以被称为“过程方法”。过程方法鼓励其使用者以强调以下方面的重要性：,理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进,0介绍,.,PDCA模型,.,1.1总则本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求1.2应用适用于各种类型、不同规模和提供不同产品的组织可以考虑删减，但条款4、5、6、7和8是不能删减的,1范围,.,ISO/IEC17799：2005信息技术安全技术信息安全管理实施指南,2引用标准,.,信息是经过加工的数据或消息，信息是对决策者有价值的数据资产任何对组织有价值的事物可用性确保授权用户可以在需要时可以获得信息和相关资产保密性确保信息仅为被授权的用户获得,3术语和定义,.,完整性确保信息及其处理方法的准确性和完整性信息安全保护信息的保密性、完整性、可用性；另外也包括其他属性，如：真实性、可核查性、不可抵赖性和可靠性信息安全事件已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效的事件，或以前未知的与安全相关的情况,3术语和定义（续）,.,信息安全事故信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威胁信息安全。信息安全管理体系（ISMS）全面管理体系的一部分，基于业务风险方法，旨在建立、实施、运行、监控、评审、维持和改进信息安全适用性声明基于风险评估和风险处理过程的结果和结论，描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件,3术语和定义（续）,.,残余风险实施风险处置后仍旧残留的风险风险接受接受风险的决定。风险分析系统地使用信息以识别来源和估计风险。,3术语和定义（续）,.,风险评估风险分析和风险评价的全过程。风险评价将估计的风险与既定的风险准则进行比较以确定重要风险的过程。风险管理指导和控制一个组织关于风险的协调活动。风险处置选择和实施措施以改变风险的过程。14,3术语和定义（续）,.,组织应根据整体业务活动和风险，建立、实施、运行、监控、评审、保持并改进文件化的信息安全管理体系。为了适应标准的需要，过程运用PDCA模式,4.1总要求,.,确定ISMS范围（划分业务或重要资产均可）确定信息安全方针定义系统化的风险评估方法风险识别风险评估识别并评价风险处理，并对其处理进行选择选择风险处理的控制目标和控制方式编制适用性声明获得剩余风险的管理认可，并授权实施和运行ISMS,4.2.1建立和管理ISMS,.,阐明风险处理计划，它为信息安全风险管理（见第5章）指出了适当的管理措施、职责和优先级；,实施风险处理计划以达到确定的控制目标，应考虑资金需求以及角色和职责分配；实施所选择的控制方法以满足控制目标.确定如何测量所选择的一个/组控制措施的有效性，并规定这些测量措施如何用于评估控制的有效性以得出可比较的、可重复的结果实施培训和教育运作管理资源管理实施过程和其它控制以便能对安全事故及时检查并做出反应,4.2.2实施和运行ISMS,.,执行监视和评审程序和其它控制措施对ISMS的有效性进行定期的评审测量控制措施的有效性，以证实安全要求已得到满足评审剩余风险水平和可接受风险按照计划的间隔实施内部ISMS的审核对ISMS实施规律性的管理评审更新安全计划，考虑监视和评审活动的发现记录对ISMS的有效性或绩效可能会产生影响的行为和事件,4.2.3监控和评审ISMS,.,实施ISMS中已识别的改进措施采用合适的纠正性和预防性措施与所有相关方交流结果、行为和协议确保改进活动达到预想的目标,4.2.4维持和改进ISMS,.,4.3.1总则4.3.2文件控制4.3.3记录控制,4.3文件要求,.,ISMS文件应包括：文件化的安全方针和控制目标；ISMS的范围，支持ISMS的程序和控制措施；支持ISMS的程序和控制措施；风险评估方法的描述风险评估报告；风险处理计划；组织需要文件化的过程以确保信息安全过程得到有效计划、运行和实施；本标准所要求的记录适用性声明,4.3.1总则,.,文件发布前要得到批准，以确保文件的适当性；根据需要评审和修订文件，并重新批准确保文件的更改和现行修订情况得到识别；确保在使用时能得到有关文件的适当版本；确保文件保持清晰，易于识别；确保文件可以为需要者所获得，并根据适用于他们类别的程序进行转移、存储和最终的销毁；确保外来文件得到识别；确保文件的分发受控；防止废旧文件的非预期使用；若因任何原因而保留作废文件时，应做适当的标识,4.3.2文件控制,.,应建立并保持记录，以提供满足本规范的要求和信息安全管理体系有效运行的证据建立程序文件，以规定记录的识别、贮存、保护、恢复、保存时间和处置所需的控制如：记录控制程序记录应清晰易读，具有标识和可追溯性考虑任何相关的法律要求如：来访登记表（本）、审核记录、授权访问记录,4.3.3记录控制,.,ISMS文件,方针范围、风险评价适用性声明,描述过程：,who,what,when,where,描述任务及具体的活动如何完成,提供符合ISMS条款3.6要求的可感证据,第一层次,第二层次,第三层次,第四层次,安全手册,程,序,作业指导书检查表、表格,记,录,管理框架,与ISO27001条款4有关的方针,.,第一层次（安全手册）：管理框架概要，包括信息安全方针、控制目标以及在适用性声明上给出的实施的控制方法。应引用下一层次的文件第二层次（程序）：采用的程序，规定实施要求的控制方法。描述安全过程的“WHO、WHAT、WHEN、WHERE”以及部门间的控制方法；可以按照ISO27001顺序，也可按照过程顺序；引用下一层次文件25,ISMS文件,.,第三层次：解释具体任务或活动的细节如何执行具体的任务。包括详细的作业指导书、表格、流程图、服务标准、系统手册，等等。第四层次（记录）：按照第一、二、三层次文件开展的活动的客观证据。可能是强制性的，或者是ISO27001各个条款隐含的要求。例如：访问者登记簿、审核记录、访问的授权。26,ISMS文件,.,5.1管理承诺5.2资源管理5.2.1提供资源5.2.2培训、意识和能力,5管理职责,.,管理者应通过如下所示向ISMS的建立、实施、运作、监管、审核、维持和改进提供承诺的证据：a)建立信息安全方针；b)确保信息安全目标和计划的建立；c)为信息安全定岗并建立岗位职责；d)向本组织宣传达到信息安全目标和符合信息安全方针的重要性，以及本组织的法律责任和持续改进的需求；,e)为ISMS的发展、实施、运作和维持提供充足的资源；f)确定接受风险的准则和可接受的风险等级；g)确保ISMS内部审核的实施；h)进行ISMS管理评审。,5.1管理承诺,.,组织应确定并提供以下方面所需资源：建立、实施、运作和维持ISMS；确保信息安全程序支持业务需要；识别和定位法律法规要求和合同安全责任；通过正确的应用所有的已被实施的控制方法来维持适当的安全；必要时进行评审，并对审核结果采取适当的行动；在有需要的地方改进ISMS的有效性,5.2.1提供资源,.,确定员工在执行与ISMS相关的工作时所必需具备的能力；提供能力培训，必要时，聘请专业人士以满足需要；评价所提供的培训和采取的行动的有效性；保持教育、培训、技能、经验和资格的记录,组织应确保所有相关人员认识其信息安全活动的相关性和重要性，并知道怎样为实现ISMS的目标做出贡献30,5.2.2培训、意识和能力,.,组织应按策划的时间间隔对ISMS进行内审,以决定ISMS的控制目标、控制行为、过程和程序是否与本标准的要求和相关法律法规相适应与已识别信息安全需求相适应有效地实施和维护达到预期目标文件化内审程序、保持内审记录31,6ISMS内部审核,.,7.1总则7.2评审输入7.3评审输出,7ISMS的管理评审,.,定期管理评审，以确保适宜性、充分性和有效性评审应包括评价ISMS的改进机会和变更需要，包括安全方针和安全目标评审结果应清楚地写入文件，保持评审的记录33,7.1总则,.,ISMS审核和评审的结果；相关方的反馈；在组织中被用于改进ISMS性能和有效性的技术、产品或程序；预防和纠正措施的状况；以前风险评估中没有准确定位的薄弱点或威胁；有效性测量的结果；以往管理评审的跟踪措施；任何可能影响ISMS的变更；改进的建议,7.2评审输入,.,ISMS有效性的改进信息风险评估和风险处理计划的更新修改影响信息安全的程序，必要时，对可能影响ISMS的内部或外部事件做出反应，变更包括如下：,业务需求安全需求影响现有业务需求的业务过程法律法规环境风险等级或/和可接受风险水平,资源需求对如何测量控制措施的有效性的改进,7.3评审输出,.,8.1持续改进8.2纠正措施8.3预防措施,8ISMS的改进,.,组织应通过信息安全方针、安全目标、审核结果、监督事件的分析、纠正和预防措施以及管理评审来持续改进ISMS的有效性,8.1持续改进,.,建立文件化的纠正措施程序以满足如下要求识别ISMS的实施和/或运行的不合格确定不合格原因评价确保不合格不再发生的措施的需求确定和实施所需的纠正措施记录所采取的措施结果评审所采取的纠正措施,8.2纠正措施,.,建立文件化的预防措施程序以满足如下要求：识别潜在的不合格及其原因评价预防不符合发生所需的措施确定和实施所需的预防措施记录所采取的措施的结果评审所采取的预防措施,8.3预防措施,.,预防预防是主动的意图为防止问题发生在过程策划和设计阶段控制增值成本更低更大的顾客信心所有ISO标准的主要关注点,预防与探测,探测探测是被动的意图为探测发生的问题在过程输出阶段控制不增加价值成本很大顾客信心有限需要，但远不是重点,.,管理者承诺组织资源关注预防培训沟通参与系统评审,ISMS的有效实施,.,主题,信息安全管理体系管理框架,ISO27001控制方法,ISO27001与知识产权保护,.,ISO27001:2005控制目标和控制方法,附录：A,.,11大控制域,信息资产,保密性,完整性,可用性,安全方针,信息安全组织,资产管理,人力资源安全物理和环境安全通信与操作安全,信息安全事件管理信息系统的获取开发和维护访问控制,业务持续性管理,符合性,.,A.5安全方针,.,评审与评价,A.5信息安全方针,方,针,积极预防、全面管理、控制风险、保障安全。,目标：根据业务需求和,相关法律、法规，为信息安全提供管理指,导和支持。信息安全方针文件,.,信息安全方针文件应经管理层批准认可，并向所有雇员和有关外部组织发布、传达。47,A.5.1信息安全方针文件,.,应按策划的时间间隔或当发生重大变化时，对信息安全方针文档进行评审，以确保其持续的适宜性、充分性和有效性。48,A.5.2信息安全方针评审,.,A.6信息安全组织,.,A.6.1内部组织,目标：在组织内部管理信息安全。信息安全的管理承诺信息安全协调信息安全职责划分信息处理设备的授权过程保密协议与权威机构的联系与专业的利益团体保持联系信息安全的独立评审,.,A.6.1.1信息安全的管理承诺A.6.1.2信息安全协调A.6.1.3信息安全职责划分A.6.1.4信息处理设施的授权过程A.6.1.5保密协议A.6.1.6与权威机构的联系A.6.1.7与专业的利益团体保持联系A.6.1.8信息安全的独立评审,控制措施：管理应通过明确的指导、已证实的承诺、明确的任务委派和信息安全职责的确认来积极支持组织内部的安全。控制措施：来自组织不同部门的代表应保持信息安全活动与有关角色和工作职责的协调。控制措施：应明确规定所有的信息安全职责。控制措施：应定义和实施对新的信息处理设施的管理授权过程。控制措施：应识别和定期评审反映组织信息保护需要的保密或不许泄露协议的需求控制措施：应保持与相关权威机构的适当联系。控制措施：应与专业的利益团体或专家安全论坛以及专业协会保持适当的联系。控制措施：对组织信息安全的管理方法和实施情况（如信息安全的控制目标、措施、方针、过程、流程）应按计划的时间间隔进行独立评审，或是在,信息安全实施发生重大变更时进行独立评审。,.,A.6.2外部组织,目标：保持被外部组织访问、处理、通信或管理的组织信息和信息处理设施的安全。关于外部组织风险的识别当与顾客接触时强调安全第三方合同中的安全要求,.,.,A.7资产管理,.,A.7.1资产责任,目标：实现并保持组织资产的适当保护。资产的清单资产所有者关系可接受的资产使用,.,1术语“所有者”是为控制生产、开发、保持、使用和保护资产而赋予管理职责的个人或实体。术语“所有者”不指对资产有实际所有权的人员。,.,分类指南,信息的标识与处理,目标：确保信息受到适当程度的保护。,限,制,高度机密,秘保,密密,限,制,直到2007/1/1保护标识,A.7.2资产分类与控制,.,.,A.8人力资源安全,.,目标：确保员工、合同方和第三方用户明白他们的职责，适合于他们被赋予的任务，减少因盗窃、欺诈或设施误用造成的风险。任务和职责人员考察雇用条款和条件,A.8.1雇佣前,.,.,A.8.2雇佣期间,目标：确保所有的员工、合同方和第三方用户了,解信息安全威胁和相关事宜、他们的责任和义务，,并在他们的日常工作中支持组织的信息安全方针，,减少人为错误的风险。管理职责信息安全意识、教育与培训惩戒程序,.,.,A.8.3雇佣的终止或变更,目标：确保员工、合同方和第三方用户离开组织或雇佣变更时以一种有序的方式进行应有合适的职责确保管理雇员、合同方和第三方用户从组织的退出，并确保他们归还所有设备及删除他们的所有访问权力。终止职责资产归还撤销访问权限66,.,.,A.9物理与环境安全,.,A.9.1安全区域,目标：防止对组织办公场所和信息的非授权物理访问、破坏和干扰。物理安全边界物理进入控制办公室、房间和设施的安全防范外部和环境的威胁在安全区域工作公共访问和装卸区域,.,.,A.9.2设备安全,目标：防止资产的丢失、损坏或被盗，以及对组织活动的中断。设备的定置和保护支持性设施线缆安全设备维护场外设备的安全设备的安全处理或再利用资产迁移,.,.,A.10通信与操作管理,74,.,A.10.1操作程序及职责,目标：确保信息处理设施的正确和安全操作。文件化的操作程序变更管理职责分离开发、测试和运营设施的分离,.,.,A.10.2第三方服务交付管理,目标：实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。服务交付监控和评审第三方服务管理第三方服务的变更,.,.,A.10.3系统规划和验收,目标：最小化系统失效的风险。容量管理系统验收,.,.,A.10.4防范恶意代码和移动代码,目标：保护软件和信息的完整性。防范恶意代码防范移动代码,.,.,A.10.5备份,目标：保持信息和信息处理设施的完整性和可用性。信息备份,.,A.10.5.1,信息备份,控制措施：应根据既定的备份策略对信息和软件进行备份并定期测试。,.,网络控制网络服务的安全,A.10.6网络安全管理,目标：确保网络中的信息和支持性基础设施得到保护。,.,.,A.10.7媒介处置,目标：防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰。可移动计算机介质的管理介质处理信息处理程序系统文档的安全,.,.,A.10.8信息交换,目标：应保持组织内部或组织与外部组织之间交换信息和软件的安全。信息交换策略和程序交换协议物理媒体传输电子信息业务信息系统,.,.,在线交易公共可用信息,A.10.9电子商务服务,目标：确保电子商务的安全及他们的安全使用。电子商务,.,.,A.10.10监控,目标：检测非授权的信息处理活动。审计日志监视系统的使用日志信息保护管理员和操作者日志故障记录时钟同步,.,.,A.11访问控制,.,A.11.1访问控制业务需求,目标：控制对信息的访问。访问控制策略系统管理员菜单,.,A.11.1.1,访问控制策略,控制措施：应建立文件化的访问控制策略，并根据对访问的业务和安全要求进行评审。,.,用户注册特权管理,用户口令管理用户访问权限的评审,A.11.2用户访问管理,你无权访问本系统,目标：确保授权用户的访问，并预防信息系统的非授权访问。,.,.,A.11.3用户责任,目标：预防未授权用户的访问，信息和信息处理设施的破坏或被盗。口令使用无人值守的用户设备清理桌面及清除屏幕策略,.,.,A.11.4网络访问控制,目标：防止对网络服务未经授权的访问。网络服务使用策略外部连接用户的鉴别网络设备的识别远程诊断和配置端口保护网内隔离网络连接控制网络路由控制,.,.,A.11.5操作系统访问控制,目标：防止对操作系统的非授权访问。安全登陆程序用户标识和鉴别口令管理系统系统实用程序的使用终端时限连接时间限制,.,.,A.11.6应用系统和信息访问控制,目标：防止对应用系统中信息的非授权访问。信息访问限制敏感系统隔离,.,.,A.11.7移动计算与远程工作,目标：确保在使用移动计算和远程工作设施时信息的安全。移动计算和通信远程工作,.,.,A.12信息系统的获取、开发和维护,.,安全要求分析与规范,A.12.1信息系统的安全要求,规范,商务案例。如企业新购的ERP系统在购买之后就进行常规的测试和需求处理。,安全要求,目标：确保安全成为信息系统的一部分。,.,.,A.12.2应用系统的正确处理,目标：防止应用系统信息的错误、丢失、非授权的修改或误用。输入数据确认内部处理的控制消息完整性输出数据确认,.,.,A.12.3加密控制,目标：通过加密手段来保护信息的保密性、真实性或完整性。使用加密控制的策略密钥管理,.,.,A.12.4系统文档的安全,目标：确保系统文档的安全。操作软件的控制系统测试数据的保护源代码的访问控制,.,.,变更控制程序操作系统变更后的技术评审软件包变更限制信息泄漏软件开发外包,A.12.5开发与支持过程中的安全,目标：保持应用系统软件和信息的安全。,.,.,A.12.6技术漏洞管理,目标：减少由利用公开的技术漏洞带来的风险。控制技术漏洞,.,A.12.6.1,控制技术漏洞,控制措施：应及时获得组织所使用的信息系统的技术漏洞的信息，评估组织对此类技术漏洞的保护，并采取适当的措施。,.,A.13信息安全事件管理,.,A.13.1报告信息事件和弱点,目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。报告安全事件报告安全弱点,.,.,A.13.2对安全事件与故障做出响应,目标：确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。职责和程序从信息安全事故中学习收集证据,.,.,A.14业务持续性管理,.,目标:防止业务活动的中断，保护关键业务流程不会受信息系统重大失误或灾难的影响，并确保他们的及时恢复在业务连续性管理过程中包含的信息安全业务连续性和风险评估制定并实施包含信息安全的连续性计划业务连续性计划框架BCP的测试、保持和再评估,A.14.1业务连续性管理的信息安全方面,.,.,A.15符合性,.,目标：避免违反法律、法规、规章、合同要求和其他的安全要求适用法律要求的识别知识产权组织记录的保护数据保护以及个人信息的隐私防止信息处理设备的误用密码控制方法的规定,A.15.1符合法律要求,.,.,目标：确保系统符合组织的安全策略及标准,符合安全策略和标准技术符合性检查,