1、信息安全管理体系信息安全管理体系相关知识培训相关知识培训技术质量部技术质量部信息安全管理标准介绍4 4 需要搞清楚的几个问题需要搞清楚的几个问题 需要搞清楚的几个问题需要搞清楚的几个问题 需要搞清楚的几个问题需要搞清楚的几个问题 需要搞清楚的几个问题需要搞清楚的几个问题 需要搞清楚的几个问题需要搞清楚的几个问题 需要搞清楚的几个问题需要搞清楚的几个问题 需要搞清楚的几个问题需要搞清楚的几个问题 信息安全体系概述ISO/IEC 27000:2014 信息安全相关的术语信息安全相关的术语 1、访问控制、访问控制确保对资产的访问基于业务和安全要求予以授权和限制。2、攻击、攻击试图破坏、曝露、更改、盗
2、窃资产,或使资产失去功能,或获取资产的非授权访问权,或非授权使用资产等。3、信息安全事态、信息安全事态系统、服务或网络的已识别的状态的发生,该状态表明一项可能的违反信息安全策略或控制措施失效,或一种先前未知的可能与安全相关的状况。4、信息安全事件、信息安全事件单个或一系列不期望的或意外的信息安全事态,它们具有危害业务运行和威胁信息安全的极大的可能性。ISO/IEC 27000:2014 信息安全相关的术语信息安全相关的术语 5、风险、风险不确定性对目标的影响。6、威胁、威胁一个不期望事件的潜在原因,它可导致对系统或组织的危害。7、脆弱性、脆弱性一个资产或控制措施的弱点,可被一个或多个威胁利用。
3、8、可能性、可能性事情发生的机会。9、后果、后果影响目标的事态的输出。标准解读标准解读ISO/IECISO/IEC 27001:201327001:2013 信息安全管理体系要求信息安全管理体系要求发布日期:发布日期:20132013年年1010月月1 1日日实施日期:实施日期:20132013年年1010月月1 1日日ISO/IEC 27001:2013 信息安全管理体系要求信息安全管理体系要求 ISO/IEC 27002:2005 ISO/IEC 27002:2013 p A5安全方针安全方针p A6信息安全组织信息安全组织p A7资产管理资产管理p A8人力资源安全人力资源安全p A9物
4、理和环境安全物理和环境安全p A10通信和运行管理通信和运行管理p A11访问控制访问控制p A12信息系统的获取开发和维护信息系统的获取开发和维护p A13信息安全事件管理信息安全事件管理p A14业务连续性管理业务连续性管理p A15符合性符合性ISO/IEC 27002:2013新版本附录新版本附录A解析解析A13 p A5安全方针安全方针p A6信息安全组织信息安全组织p A7人力资源安全人力资源安全p A8资产管理资产管理p A9访问控制访问控制p A10密码学密码学p A11物理环境安全物理环境安全p A12操作安全操作安全p A13通信安全通信安全p A14信息系统的获取、开发和
5、维护信息系统的获取、开发和维护p A15供应商关系供应商关系p A16信息安全事件管理信息安全事件管理p A17信息安全方面的业务连续性管信息安全方面的业务连续性管理理p A18符合性符合性ISO/IEC 27002:2005 ISO/IEC 27002:2013 p A5安全方针安全方针p A6信息安全组织信息安全组织p A7资产管理资产管理p A8人力资源安全人力资源安全p A9物理和环境安全物理和环境安全p A10通信和运行管理通信和运行管理p A11访问控制访问控制p A12信息系统的获取开发和维护信息系统的获取开发和维护p A13信息安全事件管理信息安全事件管理p A14业务连续性管
6、理业务连续性管理p A15符合性符合性p A5安全方针安全方针p A6信息安全组织信息安全组织p A7人力资源安全人力资源安全p A8资产管理资产管理p A9访问控制访问控制p A10密码学密码学p A11物理环境安全物理环境安全p A12操作安全操作安全p A13通信安全通信安全p A14信息系统的获取、开发和维护信息系统的获取、开发和维护p A15供应商关系供应商关系p A16信息安全事件管理信息安全事件管理p A17信息安全方面的业务连续性管信息安全方面的业务连续性管理理p A18符合性符合性ISO/IEC 27002:2013新版本附录新版本附录A解析解析A14 ISO/IEC 270
7、02:2013新版本附录新版本附录A解析解析A15 ISO/IEC 27002:2005 ISO/IEC 27002:2013 p A5安全方针安全方针p A6信息安全组织信息安全组织p A7资产管理资产管理p A8人力资源安全人力资源安全p A9物理和环境安全物理和环境安全p A10通信和运行管理通信和运行管理p A11访问控制访问控制p A12信息系统的获取开发和维护信息系统的获取开发和维护p A13信息安全事件管理信息安全事件管理p A14业务连续性管理业务连续性管理p A15符合性符合性p A5安全方针安全方针p A6信息安全组织信息安全组织p A7人力资源安全人力资源安全p A8资产
8、管理资产管理p A9访问控制访问控制p A10密码学密码学p A11物理环境安全物理环境安全p A12操作安全操作安全p A13通信安全通信安全p A14信息系统的获取、开发和维护信息系统的获取、开发和维护p A15供应商关系供应商关系p A16信息安全事件管理信息安全事件管理p A17信息安全方面的业务连续性管信息安全方面的业务连续性管理理p A18符合性符合性ISO/IEC 27002:2013新版本附录新版本附录A解析解析A16 ISO/IEC 27002:2005 ISO/IEC 27002:2013 p A5安全方针安全方针p A6信息安全组织信息安全组织p A7资产管理资产管理p
9、A8人力资源安全人力资源安全p A9物理和环境安全物理和环境安全p A10通信和运行管理通信和运行管理p A11访问控制访问控制p A12信息系统的获取开发和维护信息系统的获取开发和维护p A13信息安全事件管理信息安全事件管理p A14业务连续性管理业务连续性管理p A15符合性符合性p A5安全方针安全方针p A6信息安全组织信息安全组织p A7人力资源安全人力资源安全p A8资产管理资产管理p A9访问控制访问控制p A10密码学密码学p A11物理环境安全物理环境安全p A12操作安全操作安全p A13通信安全通信安全p A14信息系统的获取、开发和维护信息系统的获取、开发和维护p A
10、15供应商关系供应商关系p A16信息安全事件管理信息安全事件管理p A17信息安全方面的业务连续性管信息安全方面的业务连续性管理理p A18符合性符合性ISO/IEC 27002:2013新版本附录新版本附录A解析解析A17 ISO/IEC 27002:2005 ISO/IEC 27002:2013 p A5安全方针安全方针p A6信息安全组织信息安全组织p A7资产管理资产管理p A8人力资源安全人力资源安全p A9物理和环境安全物理和环境安全p A10通信和运行管理通信和运行管理p A11访问控制访问控制p A12信息系统的获取开发和维护信息系统的获取开发和维护p A13信息安全事件管理
11、信息安全事件管理p A14业务连续性管理业务连续性管理p A15符合性符合性p A5安全方针安全方针p A6信息安全组织信息安全组织p A7人力资源安全人力资源安全p A8资产管理资产管理p A9访问控制访问控制p A10密码学密码学p A11物理环境安全物理环境安全p A12操作安全操作安全p A13通信安全通信安全p A14信息系统的获取、开发和维护信息系统的获取、开发和维护p A15供应商关系供应商关系p A16信息安全事件管理信息安全事件管理p A17信息安全方面的业务连续性管信息安全方面的业务连续性管理理p A18符合性符合性ISO/IEC 27002:2013新版本附录新版本附录A
12、解析解析A18 ISO/IEC 27002:2005 ISO/IEC 27002:2013 p A5安全方针安全方针p A6信息安全组织信息安全组织p A7资产管理资产管理p A8人力资源安全人力资源安全p A9物理和环境安全物理和环境安全p A10通信和运行管理通信和运行管理p A11访问控制访问控制p A12信息系统的获取开发和维护信息系统的获取开发和维护p A13信息安全事件管理信息安全事件管理p A14业务连续性管理业务连续性管理p A15符合性符合性p A5安全方针安全方针p A6信息安全组织信息安全组织p A7人力资源安全人力资源安全p A8资产管理资产管理p A9访问控制访问控制p A10密码学密码学p A11物理环境安全物理环境安全p A12操作安全操作安全p A13通信安全通信安全p A14信息系统的获取、开发和维护信息系统的获取、开发和维护p A15供应商关系供应商关系p A16信息安全事件管理信息安全事件管理p A17信息安全方面的业务连续性管信息安全方面的业务连续性管理理p A18符合性符合性后续工作开展:信息资产评估,风险处置、控制方法确定等后续工作开展:信息资产评估,风险处置、控制方法确定等公司的信息安全到底该做什么?公司的信息安全到底该做什么?