ISO27001标准详解

1、ISO27001标准详解,1,10/23/2020, 信息安全管理体系背景介绍 信息作为组织的重要资产，需要得到妥善保护。但随着信息技术的高速发展，特别是Internet的问世及网上交易的启用，许多信息安全的问题也纷纷出现：系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。 安全问题所带来的损失远大于交易的帐面损失，它可分为三类，包括直接损失、间接损失和法律损失： 一.直接损失：丢失订单，减少直接收入，损失生产率； 二.间接损失：恢复成本，竞争力受损，品牌、声誉受损，负面的公众影响，失去未来的业务机会，影响

2、股票市值或政治声誉； 三.法律损失：法律、法规的制裁，带来相关联的诉讼或追索等。,ISO27001的内容,2,10/23/2020, 信息安全管理体系背景介绍 所以，在享用现代信息系统带来的快捷、方便的同时，如何充分防范信息的损坏和泄露，已成为当前企业迫切需要解决的问题。 俗话说三分技术七分管理。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足，缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位，如系统的运行、维护、开发等岗位不清，职责不分，存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因

3、。缺乏系统的管理思想也是一个重要的问题。所以，我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务之安全与正常运作。,ISO27001的内容,3,10/23/2020, 信息安全管理体系标准发展历史 目前，在信息安全管理体系方面，ISO/IEC27001:2005-信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。 BS7799标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995信息安全管理实施细则，它提供了一套综合的、由信息安全最佳惯

4、例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准，适用于大、中、小组织。2000年12月，BS7799-1：1999信息安全管理实施细则通过了国际标准化组织ISO的认可，正式成为国际标准- ISO/IEC17799：2000信息技术-信息安全管理实施细则，后来该标准已升版为,ISO27001的内容,4,10/23/2020, 信息安全管理体系标准发展历史 ISO/IEC17799：2005。2002年9月5日，BS7799-2:2002正式发布，2002版标准主要在结构上做了修订，引入了PDCA(Plan-Do-Check-Act)的过程管理模式，建立了与IS

5、O 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年，BS 7799-2: 2002正式转换为国际标准ISO/IEC27001：2005。,ISO27001的内容,5,10/23/2020, 信息安全管理体系要求 11个控制领域 39个控制目标 133个控制措施,ISO27001的内容,6,10/23/2020, 必须的ISMS文件： 1、ISMS方针文件，包括ISMS的范围； 2、风险评估程序和风险处理程序； 3、文件控制程序和记录控制程序； 4、内部审核程序和管理评审程序（尽管没有强制）； 5、纠正措施和预防措施控制程序； 6、控制措施有效

6、性的测量程序； 7、适用性声明,ISO27001的内容,7,10/23/2020,对外 增强顾客信心和满意 改善对安全方针及要求的符合性 提供竞争优势 对内 改善总体安全 管理并减少安全事件的影响 便利持续改进 提高员工动力与参与 提高盈利能力,形成文件的ISMS的益处,8,10/23/2020, PDCA方法 纠正和预防措施 内部审核 ISMS管理评审,ISMS的持续改进,9,10/23/2020,P,PDCA（戴明环）,PDCA（Plan、Do、Check 和Act）是管理学惯用的一个过程模型，最早是由休哈特（WalterShewhart）于19 世纪30 年代构想的，后来被戴明（Edwa

7、rds Deming）采纳、宣传并运用于持续改善产品质量的过程当中。 1、P（Plan）-计划，确定方针和目标，确定活动计划； 2、D（Do）-执行，实地去做，实现计划中的内容； 3、C（Check）-检查，总结执行计划的结果，注意效 果，找出问题； 4、A（Action）-行动，对总结检查的结果进行处理， 成功的经验加以肯定并适当推广、标准化；失败的教 训加以总结，以免重现，未解决的问题放到下一个 PDCA循环。,10,P,PDCA特点,大环套小环，小环保大环，推动大循环 PDCA循环作为质量管理的基本方法，不仅适用于整个工程项目，也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门

8、根据企业的方针目标，都有自己的PDCA循环，层层循环，形成大环套小环，小环里面又套更小的环。大环是小环的母体和依据，小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来，彼此协同，互相促进。以上特点。,11,P,PDCA特点(续),不断前进、不断提高 PDCA循环就像爬楼梯一样，一个循环运转结束，生产的质量就会提高一步，然后再制定下一个循环，再运转、再提高，不断前进，不断提高，是一个螺旋式上升的过程。,P,D,C,A,质量水平,螺旋上升的PDCA,12,P,PDCA和ISMS的结合,13,P,重点章节,本标准的重点章节

9、是48章。 前三章的内容结构如下所示： 引言 0.1 总则 0.2 过程方法 0.3 与其他管理体系的兼容性 1 范围 1.1 总则 1.2 应用 2 规范性引用文件 3 术语和定义,14, 0.1总则 0.2过程方法 过程方法的定义：组织内各过程系统的应用，连同这些过程 的识别和相互作用及其管理，可以被称为“过程方法”。 过程方法鼓励其使用者以强调以下方面的重要性：, ,理解业务信息安全要求以及建立信息安全方针和目标的需求 在管理组织的整体业务风险中实施并运作控制 监控并评审ISMS的绩效及有效性 在客观测量基础上持续改进,0 引言,15,10/23/2020, 1.1总则 本标准规定了在组

10、织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求 1.2应用 适用于各种类型、不同规模和提供不同产品的组织 可以考虑删减，但条款4、5、6、7和8是不能删减的,1 范围,16,10/23/2020, ISO/IEC 17799：2005 信息技术安全技术信息安全管理实施指南,2 引用标准,17,10/23/2020,信息 是经过加工的数据或消息，信息是对决策者有价值的数据 资产 任何对组织有价值的事物 可用性 确保授权用户可以在需要时可以获得信息和相关资产 保密性 确保信息仅为被授权的用户获得,3 术语和定义,18,10/23/2020, 完整性 确保

11、信息及其处理方法的准确性和完整性 信息安全 保护信息的保密性、完整性、可用性；另外也包括其他属 性，如：真实性、可核查性、不可抵赖性和可靠性 信息安全事件 已识别出的发生的系统、服务或网络状态表明可能违反信息安全策略或防护措施失效的事件，或以前未知的与安全相关的情况,3术语和定义（续）,19,10/23/2020, 信息安全事故 信息安全事故是指一个或系列非期望的或非预期的信息安全事件，这些信息安全事件可能对业务运营造成严重影响或威 胁信息安全。 信息安全管理体系（ISMS） 全面管理体系的一部分，基于业务风险方法，旨在建立、实施、运行、监控、评审、维持和改进信息安全 适用性声明 基于风险评估

12、和风险处理过程的结果和结论，描述与组织的信息安全管理体系相关并适用的控制目标和控制的文件,3 术语和定义（续）,20,10/23/2020,残余风险 实施风险处置后仍旧残留的风险 风险接受 接受风险的决定。 风险分析 系统地使用信息以识别来源和估计风险。,3 术语和定义（续）,21,10/23/2020,风险评估 风险分析和风险评价的全过程。 风险评价 将估计的风险与既定的风险准则进行比较以确定重要风险的过程。 风险管理 指导和控制一个组织关于风险的协调活动。 风险处置 选择和实施措施以改变风险的过程。,3术语和定义（续）,22,10/23/2020,P,4信息安全管理体系,4.1 总要求 一

13、个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言，使用的过程基于图1所示的PDCA模型。 4. 2 建立和管理ISMS 4.2.1 建立ISMS(PLAN) 定义ISMS 的范围 定义ISMS 策略 定义系统的风险评估途径 识别风险 评估风险 识别并评价风险处理措施 选择用于风险处理的控制目标和控制 准备适用性声明（SoA） 取得管理层对残留风险的承认，并授权实施和操作ISMS,P,D,C,A,23,P,4信息安全管理体系(续),4.2.2 实施和运行ISMS(DO) 制定风险处理计划 实施风险处理计划 实施所选的控制措施以满足

14、控制目标 实施培训和意识程序 管理操作 管理资源（参见5.2） 实施能够激发安全事件检测和响应的程序和控制,P,D,C,A,24,P,4信息安全管理体系(续),4.2.3 监控和评审ISMS(CHECK) 执行监视程序和控制 对ISMS 的效力进行定期复审 复审残留风险和可接受风险的水平 按照预定计划进行内部ISMS 审计 定期对ISMS 进行管理复审 记录活动和事件可能对ISMS 的效力或执行力度造成影响,P,D,C,A,25,P,4信息安全管理体系(续),4.2.4 保持和改进ISMS(ACT) 对ISMS 实施可识别的改进 采取恰当的纠正和预防措施 与所有利益伙伴沟通 确保改进成果满足其

15、预期目标,P,D,C,A,26,P,4信息安全管理体系(续),4.3 文件要求 总则 文件控制 记录控制,ISO27001 标准所要求建立的ISMS 是一个文件化的体系，ISO27001 认证第一阶段就是进行文件审核，文件是否完整、足够、有效，都关乎审核的成败，所以，在整个ISO27001认证项目实施过程中，逐步建立并完善文件体系非常重要。,27,ISMS 文 件,方针 范围、风险评价 适用性声明,描述过程：,who,what,when,where,描述任务及具体的活动如何 完成,提供符合ISMS条款3.6要求的可感证据,第一层次,第二层次,第三层次,第四层次,安全手册,程,序,作业指导书 检

16、查表、表格,记,录,管理框架,与ISO27001条款 4有关的方针,28,10/23/2020,P,4信息安全管理体系(续),ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系，通常是由四个层次构成的： 信息安全手册：该手册由信息安全委员会负责制定和修改，是对信息安全管理体系框架的整体描述，以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。 一级文件：全组织范围内的信息安全方针，以及下属各个方面的策略方针等。一级文件至少包括（可能不限于此）： 信息安全方针 风险评估报告 适用性声明（SoA） 二级文件：各类程序文件。至少包

17、括（可能不限于此）： 风险评估流程风险管理流程风险处理计划管理评审程序 信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序 第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定 系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定 文件及材料控制程序安全事件处理流程 三级文件：具体的作业指导书。描述了某项任务具体的操作步骤和方法，是对各个程序文件所规定的领域内工作的细化。 四级文件：各种记录文件，包括实施各项流程的记录成果。这些文件通常表现为记录表格，应该成为ISMS 得以持续运行的有力证据，由各个相关部门自行维护。,29,5.1管理承诺

18、 5.2资源管理 5.2.1提供资源 5.2.2培训、意识和能力,5 管理职责,30,10/23/2020,管理者应通过如下所示向ISMS的建立、实施、运作、 监管、审核、维持和改进提供承诺的证据： a) 建立信息安全方针； b) 确保信息安全目标和计划的建立； c) 为信息安全定岗并建立岗位职责； d) 向本组织宣传达到信息安全目标和符合信息安全方针的重要性， 以及本组织的法律责任和持续改进的需求；,e) 为ISMS的发展、实施、运作和维持提供充足的资源； f )确定接受风险的准则和可接受的风险等级； g)确保ISMS内部审核的实施； h)进行ISMS管理评审。,5.1 管理承诺,31,10

19、/23/2020, 组织应确定并提供以下方面所需资源： 建立、实施、运作和维持ISMS； 确保信息安全程序支持业务需要； 识别和定位法律法规要求和合同安全责任； 通过正确的应用所有的已被实施的控制方法来维持适当的安 全； 必要时进行评审，并对审核结果采取适当的行动 ； 在有需要的地方改进ISMS的有效性,5.2.1 提供资源,32,10/23/2020, ,确定员工在执行与ISMS相关的工作时所必需具备的能力； 提供能力培训，必要时，聘请专业人士以满足需要； 评价所提供的培训和采取的行动的有效性； 保持教育、培训、技能、经验和资格的记录,组织应确保所有相关人员认识其信息安全活动的相关性和重要性

20、，并知道怎样为实现ISMS的目标做出贡献,5.2.2 培训、意识和能力,33,10/23/2020, 组织应按策划的时间间隔对ISMS进行内审,以决定ISMS的控制目标、控制行为、过程和程序是否 与本标准的要求和相关法律法规相适应 与已识别信息安全需求相适应 有效地实施和维护 达到预期目标 文件化内审程序、保持内审记录,6 ISMS内部审核,34,10/23/2020,7.1 总则 7.2 评审输入 7.3 评审输出,7 ISMS的管理评审,35,10/23/2020, 定期管理评审，以确保适宜性、充分性和有效性 评审应包括评价ISMS的改进机会和变更需要，包括安全 方针和安全目标 评审结果应

21、清楚地写入文件，保持评审的记录,7.1总则,36,10/23/2020, ,ISMS审核和评审的结果； 相关方的反馈； 在组织中被用于改进ISMS性能和有效性的技术、产 品或程序； 预防和纠正措施的状况； 以前风险评估中没有准确定位的薄弱点或威胁； 有效性测量的结果； 以往管理评审的跟踪措施； 任何可能影响ISMS的变更； 改进的建议,7.2评审输入,37,10/23/2020, ISMS有效性的改进信息 风险评估和风险处理计划的更新 修改影响信息安全的程序，必要时，对可能影响ISMS的内部或外部事件做出反应，变更包括如下 ：, ,业务需求 安全需求 影响现有业务需求的业务过程 法律法规环境

22、风险等级或/和可接受风险水平, 资源需求 对如何测量控制措施的有效性的改进,7.3评审输出,38,10/23/2020,8.1 持续改进 8.2 纠正措施 8.3 预防措施,8 ISMS的改进,39,10/23/2020, 组织应通过信息安全方针、安全目标、审核结果、监督事件的分析、纠正和预防措施以及管理评审来持续改进ISMS的有效性,8.1持续改进,40,10/23/2020, 建立文件化的纠正措施程序以满足如下要求 识别ISMS的实施和/或运行的不合格 确定不合格原因 评价确保不合格不再发生的措施的需求 确定和实施所需的纠正措施 记录所采取的措施结果 评审所采取的纠正措施,8.2纠正措施,

23、41,10/23/2020, 建立文件化的预防措施程序以满足如下要求： 识别潜在的不合格及其原因 评价预防不符合发生所需的措施 确定和实施所需的预防措施 记录所采取的措施的结果 评审所采取的预防措施,8.3 预防措施,42,10/23/2020,预防 预防是主动的 意图为防止问题发生 在过程策划和设计阶段 控制 增值 成本更低 更大的顾客信心 所有ISO标准的主要关 注点,预防与探测,探测 探测是被动的 意图为探测发生的问题 在过程输出阶段控制 不增加价值 成本很大 顾客信心有限 需要，但远不是重点,43,10/23/2020, ,管理者承诺 组织 资源 关注预防 培训 沟通 参与 系统评审,

24、ISMS的有效实施,44,10/23/2020,ISO27001:2005 控制目标和控制方法,附录：A,45,10/23/2020,11大控制域,信息资产,保密性,完整性,可用性,安全方针,信息安全组织,资产管理,人力资源安全 物理和环境安全 通信与操作安全,信息安全事件管理 信息系统的获取 开发和维护 访问控制,业务持续性管理,符合性,46,10/23/2020, 评审与评价,A.5 信息安全方针,方,针,积极预防、全面管理、 控制风险、保障安全。,目标：根据业务需求和,相关法律、法规，为 信息安全提供管理指,导和支持。 信息安全方针文件,47,10/23/2020,A.6 信息安全组织,

25、48,10/23/2020,A.6.1 内部组织,目标：在组织内部管理信息安全。 信息安全的管理承诺 信息安全协调 信息安全职责划分 信息处理设备的授权过程 保密协议 与权威机构的联系 与专业的利益团体保持联系 信息安全的独立评审,49,10/23/2020,A.6.2外部组织,目标：保持被外部组织访问、处理、通信或管 理的组织信息和信息处理设施的安全。 关于外部组织风险的识别 当与顾客接触时强调安全 第三方合同中的安全要求,50,10/23/2020,A.7 资产管理,51,10/23/2020,A.7.1资产责任,目标：实现并保持组织资产的适当保护。 资产的清单 资产所有者关系 可接受的资

26、产使用,52,10/23/2020, 分类指南, 信息的标识与处理,目标：确保信息受到适当程度的保护。,限,制,高度机密,秘 保,密 密,限,制,直到2007/1/1 保护标识,A.7.2 资产分类与控制,53,10/23/2020,A.8 人力资源安全,54,10/23/2020,目标：确保员工、合同方和第三方用户明白他们的职责， 适合于他们被赋予的任务，减少因盗窃、欺诈或设施 误用造成的风险。 任务和职责 人员考察 雇用条款和条件,A.8.1雇佣前,55,10/23/2020,A.8.2雇佣期间,目标：确保所有的员工、合同方和第三方用户了,解信息安全威胁和相关事宜、他们的责任和义务，,并在

27、他们的日常工作中支持组织的信息安全方针，,减少人为错误的风险。 管理职责 信息安全意识、教育与培训 惩戒程序,56,10/23/2020,A.8.3雇佣的终止或变更,目标：确保员工、合同方和第三方用户离开组织或雇佣变更时以一种有序的方式进行应有合适的职责确保管理雇员、合同方和第三方用户从组织的退出，并确保他们归还所有设备及删除他们的所有访问权力。 终止职责 资产归还 撤销访问权限,57,10/23/2020,A.9 物理与环境安全,58,10/23/2020,A.9.1安全区域,目标：防止对组织办公场所和信息的非授权物理 访问、破坏和干扰。 物理安全边界 物理进入控制 办公室、房间和设施的安全

28、 防范外部和环境的威胁 在安全区域工作 公共访问和装卸区域,59,10/23/2020,A.9.2 设备安全,目标：防止资产的丢失、损坏或被盗，以及对 组织活动的中断。 设备的定置和保护 支持性设施 线缆安全 设备维护 场外设备的安全 设备的安全处理或再利用 资产迁移,60,10/23/2020,A.10 通信与操作管理,61,10/23/2020,A.10.1操作程序及职责,目标：确保信息处理设施的正确和安全操作。 文件化的操作程序 变更管理 职责分离 开发、测试和运营设施的 分离,62,10/23/2020,A.10.2第三方服务交付管理,目标：实施并保持信息安全的适当水平，确保 第三方交

29、付的服务符合协议要求。 服务交付 监控和评审第三方服务 管理第三方服务的变更,63,10/23/2020,A.10.3系统规划和验收,目标：最小化系统失效的风险。 容量管理 系统验收,64,10/23/2020,A.10.4 防范恶意代码和移动代码,目标：保护软件和信息的完整性。 防范恶意代码 防范移动代码,65,10/23/2020,A.10.5 备份,目标：保持信息和信息处理设施的完整性和可用性。 信息备份,66,10/23/2020, 网络控制 网络服务的安全,A.10.6 网络安全管理,目标：确保网络中的信息和支持性基础设施 得到保护。,67,10/23/2020,A.10.7 媒介处

30、置,目标：防止对资产的未授权泄漏、修改、移动 或损坏，及对业务活动的干扰。 可移动计算机介质的管理 介质处理 信息处理程序 系统文档的安全,68,10/23/2020,A.10.8 信息交换,目标：应保持组织内部或组织与外部 组织之间交换信息和软件的安全。 信息交换策略和程序 交换协议 物理媒体传输 电子信息 业务信息系统,69,10/23/2020, 在线交易 公共可用信息,A.10.9 电子商务服务,目标：确保电子商务的安全及他们的安全使用。 电子商务,70,10/23/2020,A.10.10 监控,目标：检测非授权的信息处理活动。 审计日志 监视系统的使用 日志信息保护 管理员和操作者

31、日志 故障记录 时钟同步,71,10/23/2020,A.11 访问控制,72,10/23/2020,A.11.1 访问控制业务需求,目标：控制对信息的访问。 访问控制策略 系统管理员 菜 单,73,10/23/2020, 用户注册 特权管理, 用户口令管理 用户访问权限的评审,A.11.2 用户访问管理,你无权访问 本系统,目标：确保授权用户的访问，并预防信息 系统的非授权访问。,74,10/23/2020,A.11.3 用户责任,目标：预防未授权用户的访问，信息和信 息处理设施的破坏或被盗。 口令使用 无人值守的用户设备 清理桌面及清除屏幕 策略,75,10/23/2020,A.11.4

32、网络访问控制,目标：防止对网络服务未经授权的访问。 网络服务使用策略 外部连接用户的鉴别 网络设备的识别 远程诊断和配置端口保护 网内隔离 网络连接控制 网络路由控制,76,10/23/2020,A.11.5 操作系统访问控制,目标：防止对操作系统的非授权访问。 安全登陆程序 用户标识和鉴别 口令管理系统 系统实用程序的使用 终端时限 连接时间限制,77,10/23/2020,A.11.6应用系统和信息访问控制,目标：防止对应用系统中信息的非授权访问。 信息访问限制 敏感系统隔离,78,10/23/2020,A.11.7 移动计算与远程工作,目标：确保在使用移动计算和远程工作设施时信息的安全。

33、 移动计算和通信 远程工作,79,10/23/2020,A.12 信息系统的获取、开发和维护,80,10/23/2020,A.12.2 应用系统的正确处理,目标：防止应用系统信息的错误、丢失、非授 权的修改或误用。 输入数据确认 内部处理的控制 消息完整性 输出数据确认,81,10/23/2020,A.12.3 加密控制,目标：通过加密手段来保护信息的保密性、真 实性或完整性。 使用加密控制的策略 密钥管理,82,10/23/2020,A.12.4 系统文档的安全,目标：确保系统文档的安全。 操作软件的控制 系统测试数据的保护 源代码的访问控制,83,10/23/2020, ,变更控制程序 操作系统变更后的技术评审 软件包变更限制 信息泄漏 软件开发外包,A.12.5 开发与支持过程中的安全,目标：保持应用系统软件