ISO27001 信息安全管理体系培训基础知识

信息安全管理体系

(ISMS)

基础知识培训ISO27001

信息安全管理体系培训基础知识目表录·

什么是信息·

什么是信息安全·

为什么实施信息安全管理·

如何实施信息安全管理·

信息安全管理体系

(ISMS)

概述·

信息安全管理体系

(ISMS)

标准介绍·

信息安全管理体系

(ISMS)

实施控制重点ISO27001

信息安全管理体系培训基础知识·

什么是信息·

什么是信息安全·

为什么实施信息安全管理·

如何实施信息安全管理·

信息安全管理体系

(ISMS)

概述·

信息安全管理体系

(ISMS)

标准介绍·

信息安全管理体系

(ISMS)

实施控制重点ISO27001

信息安全管理体系培训基础知识什么是信息信息通常指消息、情报、数据和知识等，在ISO/IEC27001

标准中信息是指对组织具有重要价值，可以通过多媒体传递和存储的一种资产。什

么

是

信

息ISO27001

信息安全管理体系培训基础知识·

什么是信息·

什么是信息安全·

为什么实施信息安全管理·

如何实施信息安全管理·

信息安全管理体系

(ISMS)

概述·

信息安全管理体系

(ISMS)

标准介绍·

信息安全管理体系

(ISMS)

实施控制重点ISO27001

信息安全管理体系培训基础知识信息安全的作用是保护信息业务涉及范围不受威胁所干扰，使组织业务畅顺，减少损失及增大投资回报和

商机。在ISO/IEC27001

标准中信息安全主要指信息的

机密性、完整性和可用性的保持。即指通过采用计算

机软硬件技术、网络技术、密钥技术等安全技术和各

种组织管理措施，来保护信息在其生命周期内的产生、

传输、交换、处理和存储的各个环节中，信息的机密

性、完整性和可用性不被破坏。什么是信息安全ISO27001

信息安全管理体系培训基础知识什么是信息安全-信息的机密性信息的机密性是指确保授予或特定权限的人才能访问到信息。信息的机密性依据信息被允许访问对象的多

少而不同，所有人员都可以访问的信息为公开信息，

需要限制访问的信息为敏感信息或秘密信息，根据信

息的重要程度和保密要求将信息分为不同密级。

一般

分为秘密、机密和绝密三个等级，已授权用户根据所

授予的操作权限可以对保密信息进行操作。ISO27001

信息安全管理体系培训基础知识信息的完整性是指要保证信息使用和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、

存储、备份、交换信息的过程中不发生篡改信息、丢

失信息、错误信息等现象；另一方面是指信息处理方

法的正确性，信息备份、系统恢复、销毁等处理不正

当的操作，有可能造成重要文件的丢失，甚至整个系

统的瘫痪。什么是信息安全一信息的完整性ISO27001

信息安全管理体系培训基础知识什么是信息安全一信息的可用性可

用

性信息的可用性是指确保已被授权的用户访问时得到所需要信息。即信息及相关信息资产在授权人需要时可立即

获得。例如，通信线路中断故障、网络的拥堵会造成信

息在一段时间内不可用，影响正常的业务运营，这是信

息可用性的破坏。提供信息的系统必须能适当地承受攻

击并在失败时及时恢复。另外还要保证信息的真实性和有效性，即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。ISO27001

信息安全管理体系培训基础知识·

什么是信息·

什么是信息安全·

为什么实施信息安全管理·

如何实施信息安全管理·

信息安全管理体系

(ISMS)

概述·

信息安全管理体系

(ISMS)

标准介绍·

信息安全管理体系

(ISMS)

实施控制重点ISO27001

信息安全管理体系培训基础知识实施信息管理原因：自1987年以来，全世界已发现超过50000种计算机病毒，2000年爆发的“爱虫”病毒给全球

用户造成了100亿美元的损失；美国每年因信息与网络安全

问题所造成的损失高达75亿美元。即使是防备森严的美国

国防信息系统2000年也受到25万次黑客攻击，且成功进入

率高达63%。然而，能对组织造成巨大损失的风险主要还是来源于组织内部，国外统计结果表明企业信息受到的损失中，70%是

由于内部员工的疏忽或有意泄密造成。ISO27001

信息安全管理体系培训基础知识实施信息管理原因：多数计算机使用者很少接受严格的信息安全意识培训，每天都在以不安全的方式处理企业的大量重要信息，而且企业的合作单位、咨询机构等外部

人员都以不同的方式使用企业的信息系统，对企业的信息

系统构成了潜在的威胁。如员工为了方便记忆系统登录口

令而在明显处粘一便条，就足以毁掉花费了大量成本建立的信息系统。许多对企业心存不满的员工把“黑”掉企业网站，偷窃并散布客户敏感信息，为竞争对手提供机密资

料，甚至破坏关键信息系统作为报复企业，致使企业蒙受

了巨大的经济损失。ISO27001

信息安全管理体系培训基础知识实施信息管理原因：目前单一的技术手段已难以解决企业信息安全问题，只有建立一套完善的信息安全管理流程并严格执行，才能有效降低信息安全风险，保障企业信

息业务的连续性。实施信息管理必然性：

实践证明信息安全是个复杂的系统问题，解决系统性安全问题，必须以系统的方法来解决，建立管理体系(明确方针和目标并实现这些目标的体系，是系统性解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适

宜性组织需要建立信息安全管理体系(ISMS),

信息安全管理体系通过固化信息安全管理范围，制定信息安全管理策略方针与与目标，明确信息安全管理职责、落实控制目标并选择控制措施进行

管控，全面系统保障管理信息的安全。ISO27001

信息安全管理体系培训基础知识实施信息管理必然性：·

从系统论观点来看，

一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效

性。·

信息安全管理体系通过不断的识别组织和相关方的信息安全要求，不断的识别外界环境和组织自身的变化，不断的学习采用

最新的管理理念和技术手段，不断的调整自己的目标、方针、

程序和过程等，才可以实现持续的安全。本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/IEC

27001认

证是不必要的。ISO27001

信息安全管理体系培训基础知识实施信息管理必然性：·

如果因为预算困难或其他原因，不能一下子降低所有不可接受风险到可接受程度时，能否通过体系认证，也是很多

人关心的问题。通常审核员关心的是组织建立的ISMS

是否

完整，是否运行正常，是否有重大的信息安全风险没有得

到识别和评估。有小部分的风险暂时得不到有效处置是允

许的，当然“暂时接受”的不可接受风险不可以包括违背法律法规的风险。ISO27001

信息安全管理体系培训基础知识·

什么是信息·

什么是信息安全·

为什么实施信息安全管理·

信息安全管理体系

(ISMS)

概述·

信息安全管理体系

(ISMS)

标准介绍·

信息安全管理体系

(ISMS)

实施控制重点ISO27001

信息安全管理体系培训基础知识本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全ISMS

概

述管理体系

(Information

Security

Management

System,简称ISMS)

提供模型。采用ISMS

应当是一个组织的一项战略性决策。

一个组织的ISMS

的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简

单的ISMS

解决方案。·

本标准可被相关的内部方和外部方运用以评估一致性。ISO27001

信息安全管理体系培训基础知识·

什么是信息·

什么是信息安全·

为什么实施信息安全管理·

信息安全管理体系

(ISMS)

概述·

信息安全管理体系

(ISMS)

标准介绍·

信息安全管理体系

(ISMS)

实施控制重点ISO27001

信息安全管理体系培训基础知识ISMS标准体系一ISO/IEC27000族介绍27000--信息安全管理体系综述与术语27001-信息安全管理体系要求27002--信息安全管理体系实践规范27003--信息安全管理体系实施指南ISO/IEC27000

族27004--信息安全管理体系测量27005--信息安全管理体系信息安全风险管理27006--信息安全管理体系认证机构要求27007信息安全管理体系审核指南ISO27001

信息安全管理体系培训基础知识ISO/IEC

17799:2005

信息安全管理实施细则，于2005年6月15日正式发布

；ISO/IEC

27001信息安全管理体系要求，于2005年10月15日正式发布；ISO/IEC

27002信息安全管理体系最佳实践，于2007年4月正式发布；ISO/IEC

27003

信息安全管理体系实施指南，正在ISMS标准的工作组研究并征求意见阶段；ISO/IEC

27004

信息安全管理度量和改进，正在委员会草案阶段；ISO/IEC

27005

信息安全风险管理指南，以2005年底刚刚推出的BS7799-3为准。ISO27001

信息安全管理体系培训基础知识·

IS09001:2008

质量管理体系·

IS014001:2004

环境管理体系·

ISO/TS16949:2009

汽车行业质量管理体系·

TL9000:

通信行业质量管理体系·

IEC

QC080000:2005

有害物质过程管理体系·

ISOIEC20000:ISO27001

信息安全管理体系培训基础知识·

什么是信息·

什么是信息安全·

为什么实施信息安全管理·

信息安全管理体系

(ISMS)

概述·

信息安全管理体系

(ISMS)

标准介绍·

信息安全管理体系

(ISMS)

实施控制重点ISO27001

信息安全管理体系培训基础知识A.8人力资源安全A.

12系统获取开发和维护A.9物理和环境安全A.

14业务持续性管理A.6信息安全组织A.

13信息安全事件管理A.

11访问控制A.

15符合性A.

16教育培训A.

7资产管理ISO/IEC27001

控

制

大

项ISO27001信息安全管理体系培训基础知识A.

10通信和操作管理A.

5信息安全方针·

安全方针：制定信息安全方针，为信息安全提供管理指导和支持，ISM8

控

制

大

项

说

明·

信息安全组织：建立信息安全基础设施，管理组织范围内的信息安全；维护被第三方所访问的组织的信息处理设施和信息资产的安全，

以及当信息处理外包给其他组织时，确保信息的安全。·资产管理：核查所有信息资产，做好信息分类，确保信息资产受到适当程度的保护。·

人力资源安全：确保所有员工、合同方和第三方了解信息安全威胁和相关事宜，他们的责任、义务，以减少人为差错、盗窃、欺诈或

误用设施的风险。ISO27001

信息安全管理体系培训基础知识·

物理与环境安全：定义安全区域，防止对办公场所和信息的未授权ISM

时

控

制

大

项

说

明

的安全，防止信息资产的丢失、损坏或被盗，以及对业务活动的午扰；同时，还要做好一般控制，防止信息和信息处理设施的损坏或被盗。·

通讯和操作管理：制定操作规程和职责，确保信息处理设施的正确和安全操作；建立系统规划和验收准则，将系统失效的风险减到最

低；防范恶意代码和移动代码，保护软件和信息的完整性；做好信

息备份和网络安全管理，确保信息在网络中的安全，确保其支持性

基础设施得到保护；建立媒体处置和安全的规程，防止资产损坏和

业务活动的中断；防止信息和软件在组织之间交换时丢失、修改或

误用。ISO27001

信息安全管理体系培训基础知识·

访问控制：制定文件化的访问控制策略，避免信息系统的未授权访ISMS

控

制

大

顿

说

明，包括网络访问控制、操作系统访

问控制、应用系统和信息访向控制、监视系统访问和使用，定期检

测未授权的活动；当使用移动办公和远程工作时，也要确保信息安

全。信息系统的获取、开发和维护：标识系统的安全要求，确保安全成为信息系统的内置部分；控制应用系统的安全，防止应用系统中用

户数据的丢失、被修改或误用；通过加密手段保护信息的保密性、

真实性和完整性；控制对系统文件的访问，确保系统文档的安全；

严格控制开发和支持过程，维护应用系统软件和信息的安全。ISO27001

信息安全管理体系培训基础知识·

信

息

安

全

事

故

的

管

理

：

报

告

信

息

安

全

事

件

和

弱

点

，

及

时

采

取

纠

正

措

ISMS

控

制

大

项

说

明

信息安全事故。·

业务连续性管理：目的是为了减少业务活动的中断，使关键业务过程免受主要故障或天灾的影响，并确保他们的及时恢复。·

符合性：信息系统的设计、操作、使用和管理要符合法律法规的要求，符合组织安全方针和标准，还要控制系统审核，使系统审核过程的效力最大化、干扰最小化。ISO27001

信息安全管理体系培训基础知识ISO/IEC27001

信息安全管理体系将信息安全管理的内容划分为11个控制域，

39个信息安全管理的控制目标，133项安全控制措施，以下是12项管理大项关

系图。方针与策略管理风险管理数据/文档介质管理应用与业务管理主机与系统管理网络与通信管理

环境与设备管理业务连续性管理15021U01

结总女生官理体示后则基仙知识项目运行维护管理人员与组织管瑚合规性管理工程管理方针与策略

管理确保企业、组织拥有明确的信息安全方针以及配套的策略和制度，以实现

对信息安全工作的支持和承诺，保证信息安全的资金投入。风险管理信息安全建设不是避免风险的过程，而是管理风险的过程。没有绝对的安

全，风险总是存在的。信息安全体系建设的目标就是要把风险控制在可以

接受的范围之内。风险管理同时也是一个动态持续的过程。人员与组织

管理建立组织机构，明确人员岗位职责，提供安全教育和培训，对第三方人员

进行管理，协调信息安全监管部门与行内其他部门之间的关系，保证信息

安全工作的人力资源要求，避免由于人员和组织上的错误产生的信息安全

风

险

。环境与设备

管理控制由于物理环境和硬件设施的不当所产生的风险。管理内容包括物理环

境安全、设备安全、介质安全等。网络与通信

管理控制、保护网络和通信系统，防止其受到破坏和滥用，避免和降低由于网

络和通信系统的问题对业务系统的损害。主机与系统

管理控制和保护计算机主机及其系统，防止其受到破坏和滥用，避免和降低由

此对业务系统的损害。信息安全管理体系构成-管理内容ISO27001

信息安全管理体系培训基础知识应用与业务

管理对各类应用和业务系统进行安全管理，防止其受到破坏和滥用。数据/文档/

介质管理采用数据加密和完整性保护机制，防止数据被窃取和篡改，保护业务数据的

安

全

。项目工程管理保护信息系统项目工程过程的安全，确保项目的成果是可靠的安全系统。运行维护管理保护信息系统在运行期间的安全，并确保系统维护工作的安全。业务连续性管理通过设计和执行业务连续性计划，确保信息系统在任何灾难和攻击下，都能

够保证业务的连续性。合规性管理确保信息安全保障工作符合国家法律、法规的要求；且信息安全方针、规定

和标准得到了遵循。信息安全管理体系构成--管理内容SU2U1信息安生官理体系培训基硒知识采用一种过程方法来建立、实施、运行、监视、评审、保持和改进一个组织的ISMSISO27001

信息安全管理体系培训基础知识信息安全管理体系PDCA

模型监视和评审

ISMS检查信息安全要求

和期望被管理的信

息

安

全保持和改进

ISMS实施和运行ISMS建立

ISMS相关方相关方实施计划改进PDCA模式步骤方法全管理策划体系PDCA模

型业务特征、地理位置、资产、技术等确定I

S

M

S

的

范

围

。定义方针方针是信息安全活动的总方向和总原则，是建立目

标的框架，应考虑业务、合同安全义务和法律法规要

求

。确定风险评估的

方法识别适用的风险评估方法，确定风险接收准则，识别可接受的等级