ISO27001信息安全管理体系标准介绍课件

1、曾志峰 博士 副主任国家信息化测评中心信息安全管理体系ISO27001标准介绍Chapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者

2、训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.12信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)ISO/ 27001:2005附录A控制域（Domain）11控制目标（Object）39控制措施（Control）133信息安全管理体系ISO27001信息安全管理体系ISO27001访问控制信息安全方针安全组织人力资源安全物理与环境安全系统

3、开发连续运营计划符合性信 息客户记录人事记录法律记录通信与运作管理资产分级控制安全事件管理ISO27001:2005 附录A1、记录所做的事情(执行的过程一定要有记录)2、做你所写的(按照体系文件的要求去执行)3、再记录你所做的Chapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC

4、 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)0.1 概述0.2 过程方法（流程、PDCA）0.3 与其它管理体系的兼容性Chapter 0

5、 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止

6、的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)0.1 概述0.2 过程方法0.3 与其它管理体系的兼容性第0章、介绍IntroductionChapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审

7、）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续

8、性管理(5)A.15符合性(3)1、部门认证范围2、条款范围Contracts and agreementsDefining Scope and ParticipantsDefining Scope and Participants安全应用室设备室系统室运行室系统室中心管理室Defining Scope and Participants安全方针安全组织资产管理11域39目标133控制措施（128个措施）1.1 通则 General1.2 应用 Application本标准规定的要求是通用的，意在适用于各种类型、不同规模、不同性质的企业。当本标准的任何要求由于组织及其业务的特点而不适用时，可以考

9、虑进行删减。如果进行删减，除非删减不影响组织提供(满足风险评估和使用法律法规要求决定的)信息安全的能力、责任，否则不能声称符合本标准。对（满足风险接受准则的）控制方式的任何删减，必须评估其合理性，同时必须提供相关风险已经使相关责任人接受的证据.对4、5、6、7、8章节的任何要求的删减都是不可接受的。第1章、范围ScopeChapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISM

10、S管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)

11、0.1 概述0.2 过程方法0.3 与其它管理体系的兼容性Chapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的

12、回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)1、保密性2、完整性3、可用性4、信息安全5、风险分析6、风险评估7、风险管理8、SOAChapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chap

13、ter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理

14、(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)4.1 一般要求4.2 建立和管理 4.2.1 建立ISMS ( 1.5个月 ) 4.2.2 实施和运作(3个月) 4.2.3 监督和审查(10天) 4.2.4 维护和改善(10天)4.3 文件要求 4.3.1 通则 4.3.2 文件控制 4.3.3 记录控制Chapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审

15、查（内审）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14

16、业务连续性管理(5)A.15符合性(3)5.1 管理层承诺制定信息安全策略（方针）；确保信息安全目标和计划的制定；规定信息安全的作用和责任；向组织传达满足信息安全目标和符合信息安全策略的重要性，法律和持续性改善需要方面的责任。确定风险的可接收水平；进行ISMS管理审查；5.2 资源提供 资源提供 培训、意识和能力Chapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISMS管理评

17、审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)检查是否

18、按照文件的要求贯彻执行在11月进行培训，进行各个科室的检查。Chapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审）Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施ISO/IEC 27001:2005A.5 安全政策(1)信息安全政策A.6 信息安全组织(2)内部组织安全外部安全A.7 资产的管理(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 人力资源安全(3) 雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 物理与环境安全(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13信息系统的获取、开会与维护(6)A.13安全事件管理(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14业务连续性管理(5)A.15符合性(3)