ISO27001咨询认证剖析.ppt

,ISO27001信息安全管理体系咨询服务及认证实施,目录,一、ISO27001标准简介二、ISO27001信息安全项目实施流程三、ISO27001认证的价值,一、ISO27000系列标准简介,ISO27000标准族介绍,2700027009：ISMS基本标准，2701027019：ISMS标准族的解释性指南与文档,认证机构认可要求,信息安全基本目标,信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性。CIA概念的阐述源自信息技术安全评估标准（InformationTechnologySecurityEvaluationCriteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。,2005与2013区别：正文,2005与2013区别：附录,信息安全管理咨询服务将根据组织的不同需求为其量身定做适合自己的信息安全管理体系，帮助企业更好的加强自身信息安全管理水平，降低企业业务运作过程中的风险。并采用可信任的控制措施，提供行业解决方案，满足客户的不同需求。,根据ISO27001，信息安全管理体系包括：14个控制域35个控制目标114个控制措施,密码学,操作安全,供应商关系安全管理,ISO27001信息安全管理体系,项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险框架内，依据ISO27001标准，以风险评估为基础，根据风险处置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。,ISO27001信息安全管理体系实施方法,参考的相关标准,项目实施采取的程序和可能用到的工具,ISO27001信息安全管理体系实施方法（2）,项目启动和差异分析,项目启动会议，确定项目团队、建立项目组管理架构信息安全管理现状的快速评估信息安全管理体系差异分析设计信息安全方针设计信息安全管理组织架构信息安全管理培训阶段项目总结会议,项目计划差异分析报告信息安全管理组织架构信息安全方针,阶段,主要任务,主要交付品,风险评估,资产收集及风险评估方法与标准资产级别划分标准技术弱点扫描报告资产清单、威胁列表、脆弱性列表、风险列表风险评估报告,制定资产识别标准（包含保密级别划分）资产收集及风险评估方法培训信息资产收集识别威胁、脆弱性、并安全漏洞扫描评估风险，划分风险等级阶段项目总结会议,体系设计与发布,风险容忍标准及风险处置计划适用性声明ISMS制度和流程ISMS体系、事故响应培训信息安全体系技术落地建议书,体系运行与监控,ISMS绩效监控流程信息安全推广培训,认证及持续改进,ISMS内审报告ISMS外审报告及改进ISMS管理评审报告项目总结报告,1,2,3,4,5,确定风险容忍度和风险偏好确定风险处置措施并实施整改计划制度整合及信息安全管理体系文档编写信息安全体系技术控制及管理落地建议信息安全管理体系发布及培训阶段项目总结会议,制定信息安全管理绩效监控流程信息安全管理体系试运行体系运行监控业务连续性管理培训阶段项目总结会议,ISMS内审培训ISMS内审ISMS外审ISMS管理评审纠正、预防措施持续改进建议项目总结会议协助后续的内审和临审,项目实施步骤,项目启动和差距分析,确定项目范围、建立项目组管理架构，并完成现状分析对项目范围内现有管理体系、流程，包含内部控制制度等进行分析业务与信息管理架构分析与设计项目范围內信息平台、应用系统分析项目范围內相关部门与重要信息资产的互动与权限分析信息安全管理体系与国际标准ISO27001对标信息安全方针设计,阶段一,主要任务,现有制度与流程,组织架构与职责,信息技术与平台,各职能部门,信息安全现状诊断主要范围,1.项目启动及差距分析,阶段二,主要任务,信息安全风险评估,制定信息资产识别标准（包含保密级别划分）资产识别及风险评估方法培训信息资产收集识別关键信息资产，并评估价值评估公司层面信息安全控制措施安全漏洞扫描针对关键信息资产进行威胁、弱点及影响程度评估，计算出风险值风险分析,风险评估成果示例,2.风险评估,建立适合贵公司的信息安全管理体系,阶段三,主要任务,体系设计与发布,确定风险接受标准制定风险处置计划管理层汇报定制风险处置实施整改计划依据信息与业务重要性，制定各级信息安全管理制度和流程信息安全体系技术控制落地及管理落地建议依据不同对象与时机，按需制定支持上述流程的工作指导书信息安全管理体系发布及培训,信息安全管理体系文件,风险处置方法,风险处置计划,3.体系设计及发布,阶段四,主要任务,体系运行与监控,制定绩效监控流程体系运行监控信息安全推广培训信息安全宣传,内部审计培训信息安全管理体系内部审计信息安全管理体系管理评审会议纠正措施、预防措施、持续改进建议项目总结会,体系运行与监控,审计报告,内部审计,文件适用性,按规范执行,内审计划,信息安全体系改进方案,实施成果,审计执行记录,信息安全管理体系,信息安全管理体系内部审计报告,4.体系运行及监控,目标推动ISMS体系在贵公司运行，并获得审核机构颁发的27001认证。实现方法ISMS体系文件编制完成后，应按照文件的控制要求进行审核与批准并发布实施，体系运行初期处于体系的磨合期，一般称为试运行期，在此期间运行的目的是要在实践中检验体系的充分性、适用性和有效性。试运行3个月后，并完成内审和管理评审后，在收集到一些ISMS运行记录后，可以根据贵公司需求选择认证机构并协助贵公司通过认证。,信息安全管理体系认证,ISMS体系试运行,ISMS内审,ISMS管理评审,认证前培训,外审初审支持,外审终审支持,5.认证及持续改进,项目实施流程计划,形成企业信息安全等级保护长效机制,信息安全等级保护规范制度,（1）资产信息及安全评估批量录入资产配置，自动获取详细资产IT属性，资产安全等级评估，资产关联连接信息。确保资产信息及安全风险评估高度可见,（2）闭环控制密码管理和访问审计，告警和信息推送，监督流程，KPI通告等手段确保运维安全风险管控,（4）保持高可用性主动预警、主动运维，过程监督，高效协同，SLA管控等手段，大幅度提高可用性,（5）重大事故应急机制重大事故应急流程，事故处置关注信息推送，监督监听，多层次协调机制确保重大事故发生时能得到及时处置,（3）信息安全事件管理流程权责管控，任务计划，监督流程，过程控制，痕迹化，将信息安全规范制度的