信息安全管理体系培训-课件.ppt

1、信息安全管理体系培训信息安全管理体系培训信息安全管理体系信息安全管理体系1.ISMS概述 2.ISMS标准 3.ISMS认证 1、ISMS概述概述什么是什么是ISMS？在在ISMS的要求标准的要求标准ISO/IEC27001:2005（信息安全（信息安全管理体系管理体系 要求）的第要求）的第3章术语和定义中，对章术语和定义中，对ISMS的定义的定义如下如下:ISMS（信息安全管理体系）：是整个管理体系的一（信息安全管理体系）：是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组视

2、、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程织结构、方针策略、规划活动、职责、实践、程序、过程和资源。和资源。1、ISMS概述概述 为什么要建立ISMS？今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌

3、生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：1、ISMS概述概述 20052005年年6 6月月1919日，万事达公司宣布，储存有大约日，万事达公司宣布，储存有大约4 4千千万信用卡客户信息的电脑系统遭到一名黑客入侵。万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每被盗账号的信息资料已经在互联网上公开出售，每条条100100美元，并可能被用于金融欺诈活动。美元，并可能被用于金融欺诈活动。2005年年5月月19日，深圳市中级人民法院对华为公司日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人诉其前员

4、工案作出终审判决，维持深圳市南山区人民法院民法院2004年年12月作出的一审判决。月作出的一审判决。3名前华为公名前华为公司员工，因辞职后带走公司技术资料并以此赢利。司员工，因辞职后带走公司技术资料并以此赢利。这这3名高学历的名高学历的IT界科技精英，最终因侵犯商业秘界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。密罪将分别在牢房里度过两到三年光阴。1、ISMS概述概述 2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方

5、案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。1、ISMS概述概述如何建立如何建立ISMS?a)正确理解正确理解ISMS的含义和要素的含义和要素1、ISMS概述概述如何建立如何建立ISMS?a)正确理解正确理解ISMS的含义和要素的含义和要素 管理体系包括管理体系包括“组织的

6、结构、方针、规划活动、职责、组织的结构、方针、规划活动、职责、实践、程序、过程和资源实践、程序、过程和资源”（见（见ISO/IEC 27001:2005 3.7）。）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，组成部分或要素。我们将其归纳后，ISMS的要素要包括：的要素要包括：信息安全管理机构高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。中层：负责该组织日常信息安全的管理与监督活动。基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全

7、监视和检查工作。1、ISMS概述概述如何建立如何建立ISMS?a)正确理解正确理解ISMS的含义和要素的含义和要素 管理体系包括管理体系包括“组织的结构、方针、规划活动组织的结构、方针、规划活动、职责、实践、程序、过程和资源、职责、实践、程序、过程和资源”（见（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，们将其归纳后，ISMS的要素要包括：的要素要包括：信息安全管理机构 ISMS文件包括ISMS方针、过程、程序和其它必须的文件等。1

8、、ISMS概述概述如何建立如何建立ISMS?a)正确理解正确理解ISMS的含义和要素的含义和要素 管理体系包括管理体系包括“组织的结构、方针、规划活动组织的结构、方针、规划活动、职责、实践、程序、过程和资源、职责、实践、程序、过程和资源”（见（见ISO/IEC 27001:2005 3.7）。这些就是构成管理体系的相互）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，们将其归纳后，ISMS的要素要包括：的要素要包括：信息安全管理机构 ISMS文件 资源 包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设

9、备等。1、ISMS概述概述如何建立如何建立ISMS?a)正确理解正确理解ISMS的含义和要素的含义和要素b)建立信息安全管理机构建立信息安全管理机构 1、ISMS概述概述如何建立如何建立ISMS?a)正确理解正确理解ISMS的含义和要素的含义和要素b)建立信息安全管理机构建立信息安全管理机构 c)执行标准要求的执行标准要求的ISMS建立过程建立过程 按照按照ISO/IEC 27001:2005“4.2.1建立建立ISMS”条款的要条款的要求，建立求，建立ISMS的步骤包括：的步骤包括：定义定义ISMSISMS的范围和边界，形成的范围和边界，形成ISMSISMS的范围文件；的范围文件；定义定义I

10、SMSISMS方针（包括建立风险评价的准则等）方针（包括建立风险评价的准则等）,形成形成ISMSISMS方针文件；方针文件；定义组织的风险评估方法；定义组织的风险评估方法；识别要保护的信息资产的风险；识别要保护的信息资产的风险；分析和评价安全风险，形成分析和评价安全风险，形成风险评估报告风险评估报告文件，包括要保护的信文件，包括要保护的信息资产清单；息资产清单；识别和评价风险处理的可选措施，形成识别和评价风险处理的可选措施，形成风险处理计划风险处理计划文件；文件；根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；文件；

11、管理者正式批准所有残余风险；管理者正式批准所有残余风险；管理者授权管理者授权ISMSISMS的实施和运行；的实施和运行；准备适用性声明。准备适用性声明。1、ISMS概述概述如何建立如何建立ISMS?a)正确理解正确理解ISMS的含义和要素的含义和要素b)建立信息安全管理机构建立信息安全管理机构 c)执行标准要求的执行标准要求的ISMS建立过程建立过程 d)编写所需要的ISMS文件 信息安全管理体系文件信息安全管理体系文件 程序程序文件文件 作业作业指指导书导书 等等 纪录纪录、表单、表单 信息信息安全手册安全手册 策略，范围，策略，范围，安全方针安全方针，适用性声明，适用性声明 描述流程：描述

12、流程：谁，何时，在哪里，做什么事情谁，何时，在哪里，做什么事情 描述执行任务和特定活动的详细步骤描述执行任务和特定活动的详细步骤 提供遵守提供遵守ISMSISMS要求的客观证据要求的客观证据 第一第一级级 关于关于ISMS管理管理 框架的方针策略框架的方针策略 第二第二级级 第三第三级级 第四第四级级 2、ISMS标准标准 ISO/IEC27000族简介 ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划，该系列标准的序号已经预留到27019，其中将2700027009留给ISMS基本标准，2701027019预留给ISMS标

13、准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。2、ISMS标准标准ISMS国际标准化组织国际标准化组织 ISO/IEC JTC1/SC27（国际标准化组织（国际标准化组织/国际国际电工委员会电工委员会 信息技术委员会信息技术委员会/安全技术分委员会安全技术分委员会）设有）设有5个工作组：个工作组：WG1：ISMS标准工作组标准工作组WG2：安全技术与机制工作组：安全技术与机制工作组WG3：信息系统、部件和产品相关的安全评估准则：信息系统、部件和产品相关的安全评估准则工作组工作组WG4：安全控制与服务工作组：安全控制与服务工作组WG5：身份管理与隐私保护技术工作组：身份管理与隐

14、私保护技术工作组2、ISMS标准标准 已经发布的ISMS标准 目前国际标准化组织已经正式发布的ISMS国际标准有两个：ISO/IEC27001和ISO/IEC27002，它们是ISMS的核心标准。ISO/IEC27001:2005：信息安全管理体系要求 ISO/IEC27002:2005：信息安全管理实用规则 ISO/IEC ISO/IEC 27001 27001 宏观层面宏观层面-建什么？建什么？Chapter 0.Chapter 0.简介简介Chapter 1.Chapter 1.范围范围Chapter 2.Chapter 2.相关规范相关规范Chapter 3.Chapter 3.术语和

15、定义术语和定义Chapter 4.Chapter 4.信息安全管理体系信息安全管理体系 Chapter 5.Chapter 5.管理责任管理责任Chapter 6.Chapter 6.ISMS ISMS内部审计内部审计 Chapter Chapter 7 7.ISMSISMS管理评审管理评审Chapter Chapter 8 8.ISMSISMS改进改进附录附录A A：ISO27002ISO2700290909090改进改进执行执行计划计划检查检查C CA AD DP P达到新的水平达到新的水平改进改进(修订标准修订标准)维持原有水平维持原有水平90909090改进改进执行执行计划计划检查检查

16、C CA AD DP PISO/IEC 27001:2005 ISO/IEC 27001:2005标准适用于所有类型的组织，而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说，该标准要求组织通过业务风险评估的方法，来建立、实施、运行、监视、评审、保持和改进其ISMS，确保其信息资产的保密性、可用性和完整性。ISO/IEC ISO/IEC 2700227002微观层面微观层面-怎么建？怎么建？Chapter Chapter 0 00.0.简介简介Chapter Chapter 0 01.1.范围范围Chapter Chapter 0 02.2.术语和定义术语和定义C

17、hapter Chapter 0 03.3.本标准结构介绍本标准结构介绍Chapter Chapter 0404.风险评估及风险处置风险评估及风险处置Chapter Chapter 0505.安全方针安全方针Chapter Chapter 0606.组织的信息安全组织的信息安全Chapter Chapter 0707.资产管理资产管理Chapter Chapter 0808.人力资源安全人力资源安全Chapter Chapter 0909.物理安全和环境安全物理安全和环境安全Chapter Chapter 1010.通信和运营管理通信和运营管理Chapter Chapter 1111.访问控制

18、访问控制Chapter Chapter 1 12 2.信息系统获取、开发和维护信息系统获取、开发和维护Chapter Chapter 1 13 3.信息安全事件管理信息安全事件管理Chapter Chapter 1 14 4.业务连续性管理业务连续性管理Chapter Chapter 1 15 5.符合性符合性ISO/IEC27002:2005 从内容和机构上看，可以将标准分为四个部分：一、引言部分。主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。二、标准的通用要素部分（13章）。第1章是标准的范围，给出了该标准的内容概述、用

19、途及目标。第2章是术语和定义，介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。三、风险评估和处理部分。该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。四、控制措施部分（515章）。ISO/IEC27002:2005 ISO/IEC27002:2005作为信息安全管理的最佳实践，它的应用既有专用性的特点，也有通用性特点。说它具有专用性，是因为作为信息安全管理体系标准族（ISMS标准）中的一员，目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的，ISO/IEC27001:2005中的规范性附录A就是ISO/IEC2700

20、2:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织，应根据ISO/IEC27001:2005的要求，选择ISMS范围，制定信息安全方针和目标，实施风险评估，根据风险评估的结果，选择控制目标和控制措施，制定和实施风险处理计划，执行内部审核和管理评审，以持续改进。ISO/IEC27002:2005 ISO/IEC27002:2005的通用性，体现在标准中提出的控制措施是从信息安全工作实践中总结出来的，是最佳实践。任何规模、任何性质的有信息安全要求的组织，不管其是否建设ISMS，都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。2、ISMS标准标准 正在制定的ISMS标

21、准1、ISO/IEC 27000 ISO/IEC 27000（Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语），属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。ISO/IEC 27000目前处于WD（工作组草案）阶段，正在SC27内研究并征求意见。2、ISMS标准标准 正在

22、制定的ISMS标准2、ISO/IE 27003 ISO/IEC27003（Information security management system implementation guidance 信息安全管理体系实施指南），属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施ISMS的人员。该标准给出了ISMS实施的关键成功因素，实施过程依照ISO/IEC27001要求的PDCA模型进行，并进一步介绍了各个阶段的活动内容及详细实施指南。ISO/IEC 27003目前也处在WD

23、阶段，正在SC27内研究并征求意见。2、ISMS标准标准 正在制定的ISMS标准3、ISO/IEC 27004 ISO/IEC27004（Information security management measurements 信息安全管理测量），属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。该标准将测量分为两个类别：有效性测量和过程测量，列出了多种测量方法，例如调查问卷、观察、知识评估、检查、二次执行、测试（包括设计测试和运行测试）以及抽样等。目前该标准已经处于CD（委员会草案）阶段。2、ISMS标准标准 正在制定的ISMS标准4、ISO/IEC 2700

24、5 ISO/IEC27005（Information security risk management 信息安全风险管理），属于C类标准。该标准给出了信息安全风险管理的指南，其中所描述的技术遵循ISO/IEC27001中的通用概念、模型和过程。该标准介绍了一般性的风险管理过程，并重点阐述了风险评估的几个重要环节，包括风险评估、风险处理、风险接受等。在标准的附录中，给出了资产、影响、脆弱性以及风险评估的方法，并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。目前该标准处于Final CD（最终委员会草案）阶段。2、ISMS标准标准 正在制定的ISM

25、S标准5、ISO/IEC 27006 ISO/IEC27005（Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理体系认证机构的认可要求），属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范，或者说它规定了一个机构“具备怎样的条件就可以从事ISMS认证业务”。目前该标准处于Final CD（最终委员会草案）阶段。3、ISMS认证 全球ISMS认证状况及发展趋势 自2002年以来，全球许多组织开始建立和实施ISMS，并认识到ISMS认证给组织带来的利益。截至Saturday,06 January 2007，全球通过的ISMS认证的组织已达3274家，其中包括我国大陆的41家（在xisec网站上列出了39个证书的企业名称），台湾112家，香港26家和澳门3家。3、ISMS认证 中国ISMS证书统计 中国大陆地区目前已经取得ISMS认证的企业有44家（xisec网站上只统计了41个证书），大多数都是从去年下半年开始新出现的，详见附表详见附表。