ISO27001华为内部讲稿

马毅900034542009年5月5日ISO/IEC27001简介2024/3/14

目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page2

BS7799BS7799是英国标准协会〔BritishStandardsInstitute，BSI〕针对信息平安管理而制定的一个标准。1995年，BS7799-1:1995《信息平安管理实施细那么》首次出版，它提供了一套综合性的、由信息平安最正确惯例构成的实施细那么，目的是为确定各类信息系统通用控制提供唯一的参考基准。1998年，BS7799-2:1998《信息平安管理体系标准》公布，这是对BS7799-1的有效补充，它规定了信息平安管理体系的要求和对信息平安控制的要求，是一个组织信息平安管理体系评估的根底，可以作为认证的依据。1999年4月，BS7799的两个局部被重新修订和扩展，形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新开展，特别是在网络和通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括电子商务、移动计算、远程工作等。Page3ISO/IEC27002(17799)2000年12月，国际标准化组织ISO/IECJTC1/SC27工作组认可BS7799-1:1999，正式将其转化为国际标准，即所公布的ISO/IEC17799:2000《信息技术——信息平安管理实施细那么》。2005年6月，ISO/IEC17799:2000经过改版，形成了新的ISO/IEC17799:2005，新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式发布为ISO/IEC27002:2005，这次更新只在于标准上的号码,内容并没有改变。Page4ISO/IEC270012002年，BSI对BS7799:2-1999进行了重新修订，正式引入PDCA过程模型，2004年9月5日，BS7799-2:2002正式发布。2005年，BS7799-2:2002终于被ISO组织所采纳，于同年10月推出了ISO/IEC27001:2005。Page5对应国内标准大陆2005年6月15日，我国发布了国家标准《信息平安管理实用规那么》(GB/T19716-2005)。该标准修改采用了ISO/IEC17799:2000标准。2008年6月19日，GB/T19716-2005作废，改为GB/T22081-2008。台湾省在台湾，BS7799-1:1999被引用为CNS17799，而BS7799-2:2002那么被引用为CNS17800。Page6

目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page717799标准内容ISO/IEC17799:2005版包括11个方面、39个控制目标和133项控制措施1)平安方针 7)访问控制2)信息平安组织 8)信息系统获取、开发和维护3)资产管理 9)信息平安事故管理4)人力资源平安 10)业务连续性管理5)物理和环境平安 11)符合性6)通信和操作管理注：详细内容见附录二Page817799:2000Vs17799:2005ISO/IEC17799:2005版的内容与2000版相比，新增加了17项控制，在客户往来平安、资产属主定义、人员离职管理、第三方效劳交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9项控制，这些控制或者是不再适应信息通信技术的开展，或者是已经并入到新标准的其他控制内容中了。Page917799的适用性本实用规那么可认为是组织开发其详细指南的起点。对一个组织来说，本实用规那么中的控制措施和指南并非全部适用，此外，很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查，当开发包含另外的指南或控制措施的文件时，对本标准中条款的相互参考可能是有用的。〔引用自ISO/IEC17799:2005中“0.8开发你自己的指南”〕Page10信息平安起点实施细那么中有些内容可能并不使用于所有组织和企业，但是有些措施可以使用于大多数的组织，他们被成为“信息平安起点”。从法律的观点看，根据适用的法律，对某个组织重要的控制措施包括：a)数据保护和个人信息的隐私〔见〕；b)保护组织的记录〔见〕；c)知识产权〔见〕。被认为是信息平安的常用惯例的控制措施包括：a)信息平安方针文件〔见〕；b)信息平安职责的分配〔见〕；c)信息平安意识、教育和培训〔见〕；d)应用中的正确处理〔见12.2〕；e)技术脆弱性管理〔见12.6〕；f)业务连续性管理〔见14〕；g)信息平安事故和改进管理〔见13.2〕。这些控制措施适用于大多数组织和环境。〔引用自ISO/IEC17799:2005中“0.6信息平安起点”〕Page11

目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page12ISMS(信息平安管理系统)ISO/IEC27001:2005版通篇就在讲一件事，ISMS(信息平安管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息平安管理体系〔InformationSecurityManagementSystem，简称ISMS〕提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、平安要求、所采用的过程以及组织的规模和结构的影响，上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS，是本标准所期望的，例如，简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。〔引用自ISO/IEC27001:2005中“0.1总那么”〕Page13PDCA〔戴明环〕PDCA〔Plan、Do、Check和Act〕是管理学惯用的一个过程模型，最早是由休哈特〔WalterShewhart〕于19世纪30年代设想的，后来被戴明〔EdwardsDeming〕采纳、宣传并运用于持续改善产品质量的过程当中。1、P〔Plan〕--方案，确定方针和目标，确定活动方案；2、D〔Do〕--执行，实地去做，实现方案中的内容；3、C〔Check〕--检查，总结执行方案的结果，注意效果，找出问题；4、A〔Action〕--行动，对总结检查的结果进行处理，成功的经验加以肯定并适当推广、标准化；失败的教训加以总结，以免重现，未解决的问题放到下一个PDCA循环。Page14PDCA特点大环套小环，小环保大环，推动大循环PDCA循环作为质量管理的根本方法，不仅适用于整个工程工程，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程工程的各项工作有机地联系起来，彼此协同，互相促进。以上特点。Page15PDCA特点(续)

不断前进、不断提高

PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。PDCA质量水平螺旋上升的PDCAPage16PDCA和ISMS的结合Page17与其他标准的兼容性本标准与GB/T19001-2000及GB/T24001-1996相结合，以支持与相关管理标准一致的、整合的实施和运行。因此，一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T19001-2000〔ISO9001:2000〕和GB/T24001-1996〔ISO14001:2004〕的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。〔引用自ISO/IEC27001:2005中“0.3与其它管理体系的兼容性”〕注：ISO14001:2004－环境管理体系－标准及使用指南ISO9001:2000－国际性质量管理标准Page18与其他标准的兼容性(续)Page19

目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page20重点章节本标准的重点章节是4－8章。前三章的内容结构如下所示： 引言 0.1总那么 0.2过程方法 0.3与其他管理体系的兼容性 1范围 1.1总那么 1.2应用 2标准性引用文件 3术语和定义Page21第四章信息平安管理体系4.1总要求一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。4.2建立和管理ISMS4.2.1建立ISMS(PLAN)定义ISMS的范围定义ISMS策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明〔SoA〕取得管理层对残留风险的成认，并授权实施和操作ISMSPDCAPage22第四章信息平安管理体系(续)4.2.2实施和运行ISMS(DO)制定风险处理方案实施风险处理方案实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源〔参见5.2〕实施能够激发平安事件检测和响应的程序和控制PDCAPage23第四章信息平安管理体系(续)4.2.3监控和评审ISMS(CHECK)执行监视程序和控制对ISMS的效力进行定期复审复审残留风险和可接受风险的水平按照预定方案进行内部ISMS审计定期对ISMS进行管理复审记录活动和事件可能对ISMS的效力或执行力度造成影响PDCAPage24第四章信息平安管理体系(续)4.2.4保持和改进ISMS(ACT)对ISMS实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标PDCAPage25第四章信息平安管理体系(续)4.3文件要求总那么文件控制记录控制ISO27001标准所要求建立的ISMS是一个文件化的体系，ISO27001认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证工程实施过程中，逐步建立并完善文件体系非常重要。Page26第四章信息平安管理体系(续)ISO27001标准要求的ISMS文件体系应该是一个层次化的体系，通常是由四个层次构成的：信息平安手册：该手册由信息平安委员会负责制定和修改，是对信息平安管理体系框架的整体描述，以此说明确定范围内ISMS是按照ISO27001标准要求建立并运行的。信息平安手册包含各个一级文件。一级文件：全组织范围内的信息平安方针，以及下属各个方面的策略方针等。一级文件至少包括〔可能不限于此〕：信息平安方针风险评估报告适用性声明〔SoA〕二级文件：各类程序文件。至少包括〔可能不限于此〕：风险评估流程 风险管理流程 风险处理方案 管理评审程序信息设备管理程序 信息平安组织建设规定 新设施管理程序 内部审核程序第三方和外包管理规定 信息资产管理规定 工作环境平安管理规定 介质处理与平安规定系统开发与维护程序 业务连续性管理程序 法律符合性管理规定 信息系统平安审计规定文件及材料控制程序 平安事件处理流程三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS得以持续运行的有力证据，由各个相关部门自行维护。Page27第五章管理职责5.1管理层责任说明管理层在ISMS建设过程中应该承担的责任。5.2对资源的管理5.2.1资源提供－组织应该确定并提供ISMS相关所有活动必要的资源5.2.2培训、意识和能力－通过培训，组织应该确保所有在ISMS中承担责任的人能够胜任其职Page28第六章ISMS内部审计组织应该通过定期的内部审计来确定ISMS的控制目标、控制、过程和程序满足相关要求。Page29第七章ISMS的管理评审7.1概要

管理层应该对组织的ISMS定期进行评审，确保其持续适宜、充分和有效。7.2评审输入

评审时需要的输入资料，包括内审结果。7.3评审输出

评审成果，应该包含任何决策及相关行动。Page30第八章ISMS改进8.1持续改进 组织应该借助信息平安策略、平安目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS的效力。8.2纠正措施 组织应该采取措施，消除并实施和操作ISMS相关的不一致因素，防止其再次出现。8.3预防措施 为了防止将来出现不一致，应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜。Page31

目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page32建设ISMS第一步工作是建设ISMS系统，这局部工作可以由组织或者公司自己进行，前提是该组织拥有专业的人才。大局部的公司不具备这样的能力，这就需要一些专业的咨询公司或者平安公司等有27001专业实施经验的公司协助进行。建设ISMS的工作不是一个纯粹的IT建设，而是建立一个循序渐进的体系，需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负责这项工作。Page33建设ISMS〔续〕文件化很重要，针对标准4.3的内容，各个层次的文件和记录都需要编写完备，这些工作也可以由第三方来协助进行。风险评估，培训等工作的进行也需要在咨询公司的协助下进行。ISMS初步建立之后，需要运行一段时间，针对出现的问题进行修正。Page34提出申请待ISMS稳定运行一段时间之后，可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社)等。Page35认证审核－预审预审核〔Pre-assessmentAudit〕也称预审，是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。预审是审核员通过使用“差距分析”方法，分析和检查组织的ISMS与ISO/IEC27001：2005要求的差距，包括(但不仅限于)： 分析ISMS方针与程序，组织当前的业务保护情况； 检查ISMS是否与其实际业务融合一起； 检查ISMS是否符合正式审核的根本条件； 检查组织还有哪些未能按照标准要求进行运行的领域，包括员工的平安意识和员工是否知道ISMS 等； 检查ISMS运行的时间长度。注：预审也是要收费的！Page36认证审核－桌面审核强制性ISMS文件说明(1)ISMS方针文件，包括ISMS的范围根据ISO/IEC27001:2005标准“4.3.1”a)和b)的要求。(2)风险评估程序根据ISO/IEC27001:2005标准“4.3.1”d)和e)的要求,要有形成文件的“风险评估方法的描述”和“风险评估报告”。为了减少文件量，可创建一个《风险评估程序》。该程序文件应包括“风险评估方法的描述”，而其运行的结果应产生《风险评估报告》。(3)风险处理程序根据ISO/IEC27001:2005标准“4.3.1”f)的要求,要有形成文件的“风险处理计划”。因此，可创建一个《风险处理程序》。该程序文件运行的结果应产生《风险处理计划》。(4)文件控制程序根据ISO/IEC27001:2005标准的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。

(5)记录控制程序根据ISO/IEC27001:2005标准的“4.3.3记录控制”的要求，要有形成文件的“记录控制程序”。(6)内部审核程序根据ISO/IEC27001:2005标准的“6内部ISMS审核”的要求，要有形成文件的“内部审核程序”。(7)纠正措施与预防措施程序根据ISO/IEC27001:2005标准的“8.2纠正措施”的要求，要有形成文件的“纠正措施程序”。根据“8.3预防措施”的要求，要有形成文件的“预防措施程序”。“纠正措施程序”和“预防措施程序”通常可以合并成一个文件。(8)控制措施有效性的测量程序根据ISO/IEC27001:2005标准的“4.3.1g)”的要求，要有形成文件的“控制措施有效性的测量程序”。(9)管理评审程序“管理评审”过程不一定要形成文件，但最好形成“管理评审程序”文件，以方便实际工作。(9)适用性声明根据ISO/IEC27001:2005标准的“4.3.1i)”的要求,要有形成文件的适用性声明。Page37认证审核－现场审核桌面审核〔文件审核〕的结果作为现场审核输入。现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。审核内容验证第一阶段的审核发现是否获得纠正。证实受审核组织是否按照其方针、目标和程序，执行工作。证实受审核组织的ISMS是否符合ISO/IEC27001:2005第4-8章的所有要求Page38认证审核－获得证书所有审核工作结束并到达要求后，用户会得到证书。半年或者一年，用户需要进行复审三年时，证书期满，需要重新审核。Page39

目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page40区别ISO/IEC17799－《信息技术——信息平安管理实施细那么》ISO/IEC27001－《信息技术——信息平安管理体系要求》17799重点关注的是实施细那么，同时，针对17799并没有认证机制。27001重点关注的是建设体系的要求，并且有认证机制。Page41联系ISO/IEC27001的附录中有ISO/IEC17799中的5到15章的全部内容，也就是说在进行ISMS建设以及27001认证时，ISO/IEC17799中11个方面，39个控制点，以及133个控制措施都作为重要的参考点，进行差距分析时，这些内容都是重要的依据。所以，我们经常提到27001，实际上27001应该是ISO/IEC27001和ISO/IEC17799的组合体，两者缺一不可。Page42举例为了方便大家理解，举个例子来进行说明：华赛公司要参加上地地区的一个卫生评比，评比通过发放《上地地区高科技企业卫生红旗》。该次评比有个评比要求《上地地区高科技企业卫生评比要求》，要求内容包括，建立长效的卫生机制，如划定公司卫生范围，购置各种卫生用具，专门领导负责，成立专门团队，聘请专业保洁公司，组织内部检查，内部互查等等。Page43举例(续)该《上地地区高科技企业卫生评比要求》还附带了一个《上地地区高科技企业卫生评比细那么》，细那么内容包括11个方面办公室卫生机房卫生楼道卫生卫生间卫生个人卫生。。。。Page44举例(续)评比由上地地区卫生检疫所进行，该次评比首先进行预查，确认到达根本要求后开始进行标准评比，检查公司的各种卫生标准，之后进行现场评比，由专门的检查员深入公司检查卫生的实际执行情况，并和相关责任人进行沟通。评比结束，华赛公司各种卫生标准齐全，卫生情况良好，得到了海淀区环卫局颁发的《上地地区高科技企业卫生红旗》，有效期三年，三年后需要重新申请评比检查。Page45举例(续)通过这个例子，希望大家可以理解27001认证的流程，以及17799和27001的关系。《上地地区高科技企业卫生红旗》－27001认证《上地地区高科技企业卫生评比要求》－ISO/IEC27001《上地地区高科技企业卫生评比细那么》－ISO/IEC17799专业保洁公司－咨询公司上地地区卫生检疫所－授权评审组织〔BSI，DNV〕海淀区环卫局－ISOPage46

目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001我司业务与ISO/IEC27001Page47平安集成用户如果后续有进行27001认证的需求，在进行集成工程时会关注设备的部署，配置等情况。我们需要作的工作是，让用户明确我们的设备部署，功能性能，日志审计，平安域划分等是符合ISO/IEC17799:2005中的相关控制措施的，并且，有些功能特性还是超出了ISO/IEC17799:2005的范围，极大的支持了用户ISMS体系的建立，可以让用户在进行27001认证时更加容易的通过审核。Page48风险评估公司后续需要建立的平安效劳团队，早期可能更加偏向于技术评估，业务评估等，那么我们就可以协助用户在建立ISMS的工作中进行风险评估的工作。在实际工作中，有些咨询公司的技术评估能力较差，在ISMS的建设过程中，需要专业的平安公司帮助，这就是我们的切入点。Page49咨询效劳公司的平安效劳团队，在人力，经验足够情况下，可以协助用户进行完整的ISMS体系建设。我们需要帮助用户针对IS0/IEC27001:2005的建设步骤建立完整的ISMS体系，并且协助用户通过认证。后续还要协助用户维护并修正ISMS体系，这是一个长期的工作。Page50

附录一Page51

附录二ISO/IEC17799:2005版11个方面、39个控制目标和133项控制措施列表1)平安方针 7)访问控制2)信息平安组织 8)信息系统获取、开发和维护3)资产管理 9)信息平安事故管理4)人力资源平安 10)业务连续性管理5)物理和环境平安 11)符合性6)通信和操作管理Page52平安方针控制目标信息平安方针〔5.1〕控制措施信息平安方针文件〔〕信息平安方针评审〔〕Page53信息平安组织控制目标内部组织〔6.1〕控制措施信息平安的管理承诺〔〕信息平安协调〔〕信息平安职责的分配〔〕信息处理设施的授权过程〔〕保密性协议〔〕与政府部门的联系〔〕与特定利益集团的联系〔〕信息平安的独立评审〔〕Page54信息平安组织〔续〕控制目标外部各方〔6.2〕控制措施与外部各方相关风险的识别〔〕处理与顾客有关的平安问题〔〕处理第三方协议中的平安问题〔〕Page55资产管理控制目标对资产负责〔7.1〕控制措施资产清单〔〕资产责任人〔〕资产的合格使用〔〕Page56资产管理(续)控制目标信息分类〔7.2〕控制措施分类指南〔〕信息的标记和处理〔〕Page57人力资源平安控制目标任用之前〔8.1〕控制措施角色和职责〔〕审查〔〕任用条款和条件〔〕Page58人力资源平安〔续〕控制目标任用中〔8.2〕控制措施管理职责〔〕信息平安意识、教育和培训〔〕纪律处理过程〔〕Page59人力资源平安〔续〕控制目标任用的终止或变化〔8.3〕控制措施终止职责〔〕资产的归还〔〕撤销访问权〔〕Page60物理与环境平安控制目标平安区域〔9.1〕控制措施物理平安边界〔〕物理入口控制〔〕办公室、房间和设施的平安保护〔〕外部和环境威胁的平安防护〔〕在平安区域工作〔〕公共访问、交接区平安〔〕Page61物理与环境平安〔续〕控制目标设备平安〔9.2〕控制措施设备安置和保护〔〕支持性设施〔〕布缆平安〔〕设备维护〔〕组织场所外的设备平安〔〕设备的平安处置和再利用〔〕资产的移动〔〕Page62通信与操作管理控制目标操作程序和职责〔10.1〕控制措施文件化的操作程序〔〕变更管理〔〕责任分割〔〕开发、测试和运行设施别离〔〕Page63通信与操作管理〔续〕控制目标第三方效劳交付管理〔10.2〕控制措施效劳交付〔〕第三方效劳的监视和评审〔〕第三方效劳的变更管理〔〕Page64通信与操作管理〔续〕控制目标系统规划和验收〔10.3〕控制措施容量管理〔〕系统验收〔〕Page65通信与操作管理〔续〕控制目标防范恶意和移动代码〔10.4〕控制措施控制恶意代码〔〕控制移动代码〔〕Page66通信与操作管理〔续〕控制目标备份〔10.5〕控制措施信息备份〔〕Page67通信与操作管理〔续〕控制目标网络平安管理〔10.6〕控制措施网络控制〔〕网络效劳平安〔〕Page68通信与操作管理〔续〕控制目标介质处理〔10.7〕控制措施可移动介质的管理〔〕介质的处置〔〕信息处理程序〔〕系统文件平安〔〕Page69通信与操作管理〔续〕控制目标信息的交换〔10.8〕控制措施信息交换策略和程序〔〕交换协议〔〕运输中的物理介质〔〕电子消息发送〔〕业务信息系统〔〕Page70通信与操作管理〔续〕控制目标电子商务效劳〔10.9〕控制措施电子商务〔〕在线交易〔〕公共可用信息〔〕Page71通信与操作管理〔续〕控制目标监视〔10.10〕控制措施审计日志〔〕监视系统的使用〔〕日志信息的保护〔〕管理员和操作员日志〔〕故障日志〔〕时钟同步〔〕Page72访问控制控制目标访问控制的业务要求〔11.1〕控制措施访问控制策略〔〕Page73访问控制〔续〕控制目标用户访问管理〔11.2〕控制措施用户注册〔〕特殊权限管理〔〕用户口令管理〔〕用户访问权的复查〔〕Page74访问控制〔续〕控制目标用户职责〔11.3〕控制措施口令使用〔〕无人值守的用户设备〔〕清空桌面和屏幕策略〔〕Page75访问控制〔续〕控制目标网