翰纬iso27001认证咨询介绍 v1 0 080724 hxf

1、ISO27001认证咨询介绍上海翰纬信息管理咨询有限公司黄新峰IT管理挑战和行业标准IT管理面临的挑战：Specific安全性（防止数据泄密、信息系统的安全性） 运行效率&质量（特别是成本）用户体验（关系到用户购买、感受和和用户投诉) 稳定性（IT基础架构可用性/可靠性；重要业务系统稳定性，业务连续性管理） 行业监管要求和监管标准团队培养、服务意识培养HolisticLowHigh Level of Abstraction2018/10/102IS/ITRelevanceeTOMTCOMOFITILCMMISO27001ISO27001COBITPeopleCMMLean (Toyota)Si

2、x SigmaSOXISO 9000National Awards (e.g., Baldrige)ScorecardsISO27001定义 简单讲，ISO27001是认证组织对敏感信息和资产进行管理和控制水平的的国际标准 ISO27001基于业务风险管理方法，以建立、实施、运行、监视、评审、保持和改进组织的信息安全 三分技术、七分管理2018/10/103ISO27000族标准ISO/IEC 27000 Information technology Security techniques Information security management systems Overview and

3、 vocabularyISO/IEC 27001 Information technology Security techniques Information security management systems RequirementsISO/IEC 27002 Information technology Security techniques Code of practice for information security management（即原来的17799：2005）ISO/IEC 27003 Information technology Security technique

4、s Information security management system implementation guidanceISO/IEC 27004 Information technology Security techniques Information security management measurementsISO/IEC 27005 Information technology Security techniques Information security risk managementISO/IEC 27006 Information technology Secur

5、ity techniques Requirements for bodies providing audit and certification of information security management systemsISO/IEC 27007 Information technology Security techniques Information security management systems Auditor guidelines2018/10/104ISO27001发展历程2005年10月14号,BS7799-2:2005成为ISO/IEC 270012005年，I

6、SO/IEC 17799:2005正式发布2004年9月5号，BS7799-2:2002正式发布，提交ISO，可望近期成为国际标准。BSI对BS7799-2:1999进行了修订，正式引入PDCA过程模型。 9月BS7799-2:2002公布发行。BS7799-1:1999通过国际化标准组织ISO认可,12月正式成为国际标准ISO/IEC17799:2000信息技术-信息学安全管理实施细则BS7799-1:1999与BS7799-2:1999经过修订后重新发布2004200220001999英国出版 BS7799-2:1998信息安全管理体系规范1998英国出版 BS7799-1:1995信息安

7、全管理实施细则199519935率先由英国贸易工业部进行。2018/10/10ISO27001介绍Chapter 0 : 简介Chapter 1 : 范围Chapter 2 : 强制性应用标准Chapter 3 : 术语和定义Chapter 4 : 信息安全管理体系Chapter 5 : 管理责任Chapter 6 : ISMS内部审查（内审） Chapter 7 : ISMS管理评审Chapter 8 : ISMS改善附件A（强制性）控制目标和控制措施2018/10/106附录A：11个控制域信息安全符合性安全组织连续运营计划资产分级控制安全管理人力资源安全系统开发物理与环境安全通信与运作管

8、理访问控制2018/10/10739个控制目标A.5、安全（Security Policy）(1,2)（附注）A.6、安全组织（Security Organization）(2,11)A.7、资产分类与控制(Asset classification and Control)(2,5)A.8、人员安全(PersonnelSecurity)(3,9)A.9、物理与环境安全(Physic and EnvironmentSecurity)(2,13)A.10、通信与运行管理(Communicationand OperationManagement)(10,32)A.12、系统开发与维护(System

9、develop andmaintenance) (6,16)A.11、访问控制(Access control)(7,25)A.13、安全管理(Compliance)(2,5)A.14、业务持续性管理(Business continuity management)(1,5)A.15、符合性(Compliance)(3,10)附注：(m，n) m：执行目标的数目n：控制措施的数目ISO27001定义的信息安全管理体系1.评估安全风险 确定安全需求3.建立信息安全管理框架 设定信息安全的方向和目标，ISMS定义管理层承诺的策略2.选择并实施控制 根据需求采取措施消减风险， 以实现既定安全目标2018

10、/10/109ISO27001体系必须明确的内容要保护的资产风险管理的途径控制目标和控制措施需要保证的程度2018/10/1010全球ISMS证书数量统计 数据来源：/2018/10/1011认证范围 项目目标： 帮助客户建立ISMS体系 建立持续改进机制 认证范围：适用于组织所有部门，无论是IT服务部门还是业务部门、人事行政或是财务部门。2018/10/1012总体方案架构体系审核和认证2018/10/1013现状调研/差距分析ISO27001认知培训ISO27001内审员培训ISO27001体系建设ISMS专项咨询体系试运行主要工作内容 工作包（一）