1、曾志峰曾志峰 博士博士 副主任副主任国家信息化测评中心国家信息化测评中心信息安全管理体系信息安全管理体系ISO27001ISO27001标准介绍标准介绍Chapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IE
2、C 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.12A.12信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2
3、)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)ISO/27001:2005附录附录A信息安全管理体系信息安全管理体系ISO27001信息安全管理体系信息安全管理体系ISO27001访问控制访问控制信息安全方针信息安全方针安全组织安全组织人力资源安全人力资源安全物理与环境安全物理与环境安全系统开发系统开发连续运营计划连续运营计划符合性符合性通信与运作通信与运作管理管理资产分级控制资产分级控制安全事件管理安全事件管理ISO27001:2005 附录附录A1 1、记录所做的事情、记录所做的事情(执行的
4、过程一定要有记录执行的过程一定要有记录)2 2、做你所写的、做你所写的(按照体系文件的要求去执行按照体系文件的要求去执行)3 3、再记录你所做的、再记录你所做的Chapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施IS
5、O/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(
6、2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)0.1 概述概述0.2 过程方法(流程、过程方法(流程、PDCA)0.3 与其它管理体系的兼容性与其它管理体系的兼容性Chapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审
7、管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A
8、.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)0.1 概述概述0.2 过程方法过程方法0.3 与其它管理体系的兼容性与其它管理体系的兼容性第0章、介绍IntroductionChapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapt
9、er 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9
10、A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)1、部门认证范围、部门认证范围2、条款范围、条款范围Contracts and agreementsDefining Scope and ParticipantsDefining Scope and Partic
11、ipants安全应用室设备室系统室运行室系统室中心管理室Defining Scope and Participants安全方针安全组织资产管理11域域39目标目标133控制措施控制措施(128个措施个措施)1.1 通则通则 General1.2 应用应用 Applicationn本标准规定的要求是本标准规定的要求是通用的通用的,意在,意在适用于各种类型、不同规模适用于各种类型、不同规模、不同性质、不同性质的企业。的企业。n当本标准的任何要求当本标准的任何要求由于组织及其业务的特点由于组织及其业务的特点而不适用时,而不适用时,可可以考虑进行删减以考虑进行删减。n如果进行删减,除非删减如果进行删减
12、,除非删减不影响组织不影响组织提供提供(满足风险评估和使满足风险评估和使用法律法规要求决定的用法律法规要求决定的)信息安全的能力、责任信息安全的能力、责任,否则不能声称,否则不能声称符合本标准。符合本标准。n对(满足风险接受准则的)控制方式的任何删减,必须评估其对(满足风险接受准则的)控制方式的任何删减,必须评估其合理性,同时必须提供相关风险已经使相关责任人接受的证据合理性,同时必须提供相关风险已经使相关责任人接受的证据.n对对4、5、6、7、8章节的任何要求的删减都是不可接受的。章节的任何要求的删减都是不可接受的。第1章、范围ScopeChapter 0:简介简介Chapter 1:范围范围
13、Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明
14、与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)0.1 概述概述0.2 过程方法过程方法0.3 与其它管理体系
15、的兼容性与其它管理体系的兼容性Chapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(
16、2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15
17、符合性符合性(3)(3)1、保密性、保密性2、完整性、完整性3、可用性、可用性4、信息安全、信息安全5、风险分析、风险分析6、风险评估、风险评估7、风险管理、风险管理8、SOAChapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目
18、标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管
19、理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)4.1 一般要求一般要求4.2 建立和管理建立和管理 4.2.1 建立建立ISMS(1.5个个月月)4.2.2 实施和运作实施和运作(3个个月月)4.2.3 监督和审查监督和审查(10天天)4.2.4 维护和改善维护和改善(10天天)4.3 文件要求文件要求 4.3.1 通则通则 4.3.2 文件控制文件控制 4.3.3 记录控制记录控制Chapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准
20、强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障
21、的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)5.1 管理层承诺管理层承诺制定信息制定信息安全策略(方针)安全策略(方针);确保信息确保信息安
22、全目标安全目标和计划的制定;和计划的制定;规定规定信息安全的作用和责任信息安全的作用和责任;向组织向组织传达传达满足信息安全目标和满足信息安全目标和符合符合信息安全策略的重要性信息安全策略的重要性,法律,法律和持续性改善需要方面的责任。和持续性改善需要方面的责任。确定确定风险的可接收水平风险的可接收水平;进行进行ISMS管理审查;管理审查;5.2 资源提供资源提供 资源提供资源提供 培训、意识和能力培训、意识和能力Chapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信
23、息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣
24、变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)检查是否按照文件的检查是否按照文件的要求贯彻执行要求贯彻执行在在11月进行培训,进月进行培训,进行各个科室的检查。行各个科室的检查。Chapter 0:简介简介Chapter 1:范围范围
25、Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A.7 A.7 资产的资产的管理管理(2)(2)工作说明
26、与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)针对检查时发现针对检查时发现的问题进行整改。的问题进行整改。C
27、hapter 0:简介简介Chapter 1:范围范围Chapter 2:强制性应用标准强制性应用标准Chapter 3:术语和定义术语和定义Chapter 4:信息安全管理体系信息安全管理体系Chapter 5:管理责任管理责任Chapter 6:ISMS内部审查(内审)内部审查(内审)Chapter 7:ISMS管理评审管理评审Chapter 8:ISMS改善改善附件附件A(强制性强制性)控制目标和控制措施)控制目标和控制措施ISO/IEC 27001:2005A.5 A.5 安全政策安全政策(1)(1)信息安全政策A.6 A.6 信息安全信息安全组织组织(2)(2)内部组织安全外部安全A
28、.7 A.7 资产的资产的管理管理(2)(2)工作说明与资源安全使用者训练安全事故和故障的回应A.8 A.8 人力资源安全人力资源安全(3)(3)雇佣之前的安全 雇佣中的安全 雇佣变化或终止的安全A.9 A.9 物理与环境安全物理与环境安全(2)(2)安全区域(6)物理安全边界人员进入控制隔离运送与装卸区域安全设备A.13A.13信息系统的获取、开会信息系统的获取、开会与维护与维护(6)(6)A.13A.13安全事件管理安全事件管理(2)(2)信息安全事件和弱点的报告信息安全事故的管理与改进A.14A.14业务连续性管理业务连续性管理(5)(5)A.15A.15符合性符合性(3)(3)针对检查时发现的问题进行针对检查时发现的问题进行整改。整改。11 subject domains;39 management objectives;133 controls;500 detail controls.A.5-A.15 ISO27001:2005 ISO27001:2005附录附录A A确定确定十一个基本的指十一个基本的指导原则导原则作为信息安全管理体系的基础作为信息安全管理体系的基础ISO27001:2005 附录附录A谢谢!谢谢!