信息安全管理体系培训ISO/IEC27001信息安全管理体系培训内容介绍一,信息安全管理体系简介二,信息安全管理体系详解信息安全管理体系培训一,信息安全管理体系简介信息安全管理体系培训ISO/IEC27001管理体系的发展历史ISO/IEC是由英国标准BS7799转换而来的。
BS7799在1993年由英国贸易工业部立项,于1995年英国首次出版BS7799—1:1995《信息安全管理实施细则》。
2000年12月,BS7799—1:1999 《信息安全管理实施细则》通过国际标准化组织ISO认证,正式成为ISO/IEC7799—1:2000《信息技术—信息安全管理实施细则》,后来升版为ISO/IEC17799:2005。
2002年9月5日,BS7799—2:2002发布。
2005年BS7799—2:2002正式转版为ISO/IEC27001:2005.信息安全管理体系培训ISO/IEC27001 信息安全管理模式信息安全管理体系培训ISO/IEC27001管理层次信息安全管理体系培训ISO/IEC 27001中信息安全的定义:保持信息的保密性、完整性、可用性;另外,也包括其他属性,如:真实性(身份识别)、可核查性(日志)、不可否认性(数字签名)和可靠性(MTBF)。
信息安全管理体系培训ISO/IEC 27001中信息安全三元组CIA:☆保密性Confidentiality:信息不能被未授权的个人、实体或者过程利用或知悉的特性。
例如,重要配方的保密。
☆完整性Integrity保护资产的准确和完整的特性。
例如,财务信息的完整性。
☆可用性Availability:根据授权实体的要求可访问和利用的特性。
例如,供应商资料库的及时更新。
信息安全管理体系培训二,信息安全管理体系详解信息安全管理体系培训ISO 27001的内容◆前言◆0 引言◆1 范围◆2 规范性引用文件◆3 术语和定义◆4 信息安全管理体系(ISMS)◆5 管理职责◆6 ISMS内部审核◆7 ISMS的管理评审◆8 ISMS改进◆附录A (规范性附录)控制目标和控制措施◆附录B (资料性附录)OECD原则和本标准◆附录C (资料性附录)9001、14001和本标准之间的对照信息安全管理体系培训引言0.1 总则描述了标准的用途及应用对象•提供一个模型,用于建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)•适用对象:一个组织•可被组织内部或外部相关方用来进行一致评估•组织ISMS的设计和实践受影响的因素:–业务需要和目标–安全要求–所采用的过程–规模和结构信息安全管理体系培训引言0.2 过程方法描述了过程、过程方法、及贯穿于本标准的PDCA模型•过程:通过使用资源和管理,将输入转化为输出的活动•过程方法:组织内诸过程的系统的应用,连同这些过程的识别和相互作用及其管理。
信息安全管理体系培训引言了解过程方法:•适用性–组织中需要重复执行的系列活动,并贯穿多个角色–通过过程的组织,可更有效地实现预期的结果或目的–保证活动的实施和结果的一致性–通过对过程的改进,可实现更佳的效果•在信息安全管理中的使用场景–信息安全风险管理–信息安全事件管理信息安全管理体系培训引言信息安全管理体系培训PDCA说明信息安全管理体系培训引言0.3 与其它管理体系标准的兼容性说明ISMS与其它管理体系的兼容性问题•与ISO 9001、14001等管理体系标准一致•ISMS可与其它相关的管理体系整合并运行–如,ISO 20000 IT服务管理体系信息安全管理体系培训1 规范1.1 总则●本标准适用于所有类型的组织(例如,商业企业、政府机构、非赢利组织)。
●本标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。
●规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
●是ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。
信息安全管理体系培训1 范围1.2 应用●本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。
●对本标准内容删减的规定•组织声称符合本标准时,对于4、5、6、7和8章的要求不能删减;•对附录A中所提供的控制措施的任何删减都必须被证明是合理的;•需要提供证据证明相关风险已被负责人员接受;•删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任。
●控制措施删减的原因•组织的业务需求和目标不同;•所采用的过程以及规模和信息安全管理体系培训2 规范性引用文件ISO/IEC 27002:2005信息安全管理实用规则信息安全管理体系培训4 信息安全管理体系(ISMS)4.1 总要求4.2 建立和管理ISMS4.2.1建立ISMS4.2.2 实施和运行ISMS4.2.3 监视和评审ISMS4.2.4 保持和改进ISMS4.3 文件要求4.3.1 总则4.3.2 文件控制4.3.3 记录控制信息安全管理体系培训4.1 总要求组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。
标准所使用的过程基于PDCA模型。
信息安全管理体系培训管理体系●信息安全管理体系(ISMS)基于业务风险方法,建立、实施、运行、监视、评审、保持和改进信息安全的体系,是一个组织整个管理体系的一部分。
注:管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。
[ISO/IEC 27001:2005]●管理体系为实现组织目标而确立的方针、规程、指南和相关资源的框架。
[ISO/IEC 27000:2009]●质量管理体系在质量方面指导和控制组织的管理体系。
[ISO 9000:2005]信息安全管理体系培训4.2 建立和管理ISMS4.2.1 建立ISMS组织要做以下方面的工作:a)确定ISMS的范围和边界;b)确定ISMS方针;c)确定组织的风险评估方法d)识别风险e)分析和评价风险f)识别和评价风险处置的可选措施g)为处理风险选择控制目标和控制措施h)获得管理者对建议的残余风险的批准i)获得管理者对实施和运行ISMS的授权j)准备适用性声明(SoA)其中d—i属于风险管理阶段信息安全管理体系培训4.2.1建ISMSa)确定ISMS的范围和边界•根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由。
信息安全管理体系培训ISMS的范围说明ISMS的范围通常包括•覆盖的组织机构、职能(部门)和涉及的人员•需要保护的信息资产和系统( ICT基础架构)•物理位置及分支机构•使用的流程和服务确定ISMS的范围还应考虑•与相关方(范围外)的接口和依赖关系某国际银行实施信息安全管理,先期所确定的范围为:因特网银行服务具体识别为:范围说明示例■提供网上银行服务的人员■人员使用的流程●系统操作手册●安全手册●网银规程■使用的信息●顾客的详细信息●内部的银行数据●来自其它银行的外部数据•用以提供在线交易的网络服务□顾客接入□与其它银行的连接和接口(内部和外部)•便利在线服务的技术□桌面计算机和其它ICT设备 □电话信息安全管理体系培训信息安全管理体系培训4.2.1建立ISMSb)确定ISMS方针根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。
ISMS方针应:1)包括设定目标的框架和建立信息安全工作的总方向和原则;2)考虑业务和法律法规的要求,及合同中的安全义务;3)在组织的战略性风险管理环境下,建立和保持ISMS;4)建立风险评价的准则(见4.2.1c);5)获得管理者批准。
信息安全管理体系培训信息安全风险管理标准引用的有关风险管理的术语和定义●风险管理(risk management)指导和控制一个组织相关风险的协调活动。
●风险评估(risk assessment)风险分析和风险评价的整个过程。
●风险分析(risk analysis)系统地使用信息来识别风险来源和估计风险。
●风险评价(risk evaluation)将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。
信息安全管理体系培训风险管理的术语和定义●风险处置(risk treatment)选择并且执行措施来更改风险的过程。
●风险接受(risk acceptance)接受风险的决定。
●残余风险(residual risk)经过风险处置后遗留的风险。
注:以上术语的定义均来自[ISO/IEC Guide 73:2002] 为ISO/IEC 27001 所引用。
●识别风险(risk identification)发现、列出并描述风险要素的过程活动。
[ISO/IEC Guide 73:2002]信息安全管理体系培训4.2.1建立ISMSc)确定组织的风险评估方法1)识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注:风险评估具有不同的方法。
在ISO/IEC TR 13335-3中描述了风险评估方法的例子。
信息安全管理体系培训风险评估方法ISO/IEC TR 13335-3给出的风险评估方法:■基准法(Baseline Approach)●组织通过选择标准的防护为系统各部分的安全保护设立统一的基准■详细的风险分析(Detailed Risk Analysis)●包括资产的深度鉴定和估价,对这些资产的威胁评估和脆弱性评估。
结果用于评估风险及选择合理的安全控制措施。
■非正式的方法(Informal Approach)●依据个人知识和经验的简化风险分析■综合的方法(Combined Approach)●先对系统进行宏观风险分析,确定出高风险或重要的业务领域,再按优先顺序分别进行详细的风险分析。
信息安全管理体系培训接受风险■接受风险的准则●判别风险造成的损失或后果为可容忍程度或量级的尺度●描述了组织愿意接受风险的情形●可以针对某类风险而具体规定,或制定为通用的判定依据信息安全管理体系培训4.2.1 建立ISMSd) 识别风险1)识别ISMS范围内的资产及其责任人;2)识别资产所面临的威胁;3)识别可能被威胁利用的脆弱性;4)识别丧失保密性、完整性和可用性可能对资产造成的影响。
信息安全管理体系培训识别风险的主要活动■识别资产●资产(asset)对组织有价值的任何东西。
[ISO/IEC 13335-1:2004]●确定资产类别资产应按组织的需要划分类别。
例如,可分类如下:信息、业务和管理过程、人员、方针和规程、服务、ICT系统、场所、以及公司的品牌和声誉等。