1、ISO27001ISO27001信息安全管理体系信息安全管理体系咨询服务及认证实施咨询服务及认证实施目录一、一、ISO27001ISO27001标准简介标准简介二、二、ISO27001ISO27001信息安全项目实施流程信息安全项目实施流程三、三、ISO27001ISO27001认证的价值认证的价值一、一、ISO27000ISO27000系列标准简介系列标准简介ISO27000标准族介绍2700027009:ISMS基本标准,基本标准,2701027019:ISMS标准族的解释性指南与文档标准族的解释性指南与文档 认证机构 认可要求 信息安全基本目标信息安全基本目标20052005与与2013
2、2013区别:正文区别:正文20052005与与20132013区别:附录区别:附录信息安全管理咨询服务将根据组织的不同需求为其量身定做适合自己的信息安全管理体系,帮助企业更好的加强自身信息安全管理水平,降低企业业务运作过程中的风险。并采用可信任的控制措施,提供行业解决方案,满足客户的不同需求。根据ISO 27001,信息安全管理体系包括:14 个控制域 35 个控制目标 114 个控制措施业务连续性业务连续性管理管理访问控制访问控制系统获取系统获取开发维护管理开发维护管理通信安全通信安全人力资源安全人力资源安全合规性合规性资产管理资产管理信息安全组织信息安全组织物理环境物理环境安全安全信息安
3、全信息安全事件管理事件管理信息信息客户记录客户记录个人记录个人记录法律记录法律记录安全策略安全策略策略策略程序、流程程序、流程工作指导书、操作工作指导书、操作说明、模板、检查说明、模板、检查表等表等文档、记录文档、记录密码学密码学操作安全操作安全供应商关系安全供应商关系安全管理管理ISO27001信息安全管理体系计 划(PLAN)实 施(DO)检 查(CHECK)改 进(Act)业务现状了解业务现状了解信息资产信息资产识别识别威胁脆弱性当前控制措施风险评价风险评价风风险险处处置置制定风险接受标准制定风险接受标准制定制定ISMSISMS文档架构文档架构策略程序与流程指导书、模板等文档、记录等1级
4、2级3级4级可能性可能性严重性严重性持续改进机制持续改进机制管理层评审管理层评审内部内部ISMSISMS审计审计持续的风险评估持续的风险评估ISMSISMS体系度量与监体系度量与监控控体体系系运运行行 符合性指标符合性指标效能指标效能指标损失性指标损失性指标改改进进需需求求预防性措施预防性措施纠正性措施纠正性措施风险评估风险处置计划风险处置计划识别不合格项识别不合格项根源分析根源分析 记录与追踪记录与追踪识别潜在不合识别潜在不合格项格项 制定预防措施制定预防措施 记录与追踪记录与追踪体系发布体系发布项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险
5、框架内,依据ISO27001标准,以风险评估为基础,根据风险处置计划建立和实施信息安全管理体系(ISMS)以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性,最终将针对监测结果对信息安全管理体系进行持续改进。ISO27001信息安全管理体系实施方法项目实施采取的程序项目实施采取的程序项目可能用到的工具项目可能用到的工具访谈访谈文档审阅文档审阅调查问卷调查问卷现场检查现场检查系统检查系统检查技术扫描技术扫描信息安全风险评估工具信息安全风险评估工具网络脆弱性评估网络脆弱性评估服务器端口扫描服务器端口扫描资产识别工具资产识别工具渗透测试渗透测试信息安全控制审计信息安全控制审计序号标准名称
6、1ISO 27001:2005信息安全管理体系要求3ISO 27002-27005 信息安全管理 使用规则 实施指南 风险评估4烟草行业信息安全等级保护规范5信息系统安全等级保护基本要求6信息系统安全等级保护实施指南7GB22080-2008-T 信息技术 安全技术 信息安全管理体系 要求8GB22081-2008-T 信息技术 安全技术 信息安全管理实用规则9GB50174-2008 电子信息系统机房设计规范10GBT 20270-2006 信息安全技术 网络基础安全技术要求11GBT 21028-2007 信息安全技术 服务器安全技术要求12GBT 21052-2007 信息安全技术 信息
7、系统物理安全技术要求参考的相关标准项目实施采取的程序和可能用到的工具ISO27001信息安全管理体系实施方法(2)项目启动和差异分析项目启动和差异分析项目启动会议,确项目启动会议,确定项目团队、建立定项目团队、建立项目组管理架构项目组管理架构信息安全管理现状信息安全管理现状的快速评估的快速评估信息安全管理体系信息安全管理体系差异分析差异分析设计信息安全方针设计信息安全方针设计信息安全管理设计信息安全管理组织架构组织架构信息安全管理培训信息安全管理培训阶段项目总结会议阶段项目总结会议项目计划项目计划差异分析报告差异分析报告信息安全管理组织信息安全管理组织架构架构信息安全方针信息安全方针阶段主要任
8、务主要交付品风险评估风险评估资产收集及风险评资产收集及风险评估方法与标准估方法与标准资产级别划分标准资产级别划分标准技术弱点扫描报告技术弱点扫描报告资产清单、威胁列资产清单、威胁列表、脆弱性列表、表、脆弱性列表、风险列表风险列表风险评估报告风险评估报告制定资产识别标准制定资产识别标准(包含保密级别划(包含保密级别划分)分)资产收集及风险评资产收集及风险评估方法培训估方法培训信息资产收集信息资产收集识别威胁、脆弱性、识别威胁、脆弱性、并安全漏洞扫描并安全漏洞扫描评估风险,划分风评估风险,划分风险等级险等级阶段项目总结会议阶段项目总结会议体系设计与发布体系设计与发布风险容忍标准及风风险容忍标准及风
9、险处置计划险处置计划适用性声明适用性声明ISMSISMS制度和流程制度和流程ISMSISMS体系、事故响体系、事故响应培训应培训信息安全体系技术信息安全体系技术落地建议书落地建议书体系运行与监控体系运行与监控ISMSISMS绩效监控流程绩效监控流程信息安全推广培训信息安全推广培训认证及持续改进认证及持续改进ISMSISMS内审报告内审报告ISMSISMS外审报告及改外审报告及改进进ISMSISMS管理评审报告管理评审报告项目总结报告项目总结报告12345确定风险容忍度和确定风险容忍度和风险偏好风险偏好确定风险处置措施确定风险处置措施并实施整改计划并实施整改计划制度整合及信息安制度整合及信息安全
10、管理体系文档编全管理体系文档编写写信息安全体系技术信息安全体系技术控制及管理落地建控制及管理落地建议议信息安全管理体系信息安全管理体系发布及培训发布及培训阶段项目总结会议阶段项目总结会议制定信息安全管理制定信息安全管理绩效监控流程绩效监控流程信息安全管理体系信息安全管理体系试运行试运行体系运行监控体系运行监控业务连续性管理培业务连续性管理培训训阶段项目总结会议阶段项目总结会议ISMSISMS内审培训内审培训ISMSISMS内审内审ISMSISMS外审外审ISMSISMS管理评审管理评审纠正、预防措施持纠正、预防措施持续改进建议续改进建议项目总结会议项目总结会议协助后续的内审和协助后续的内审和临
11、审临审项目实施步骤项目启动和差距分析确定项目范围、建立项目组管理架构,并完成现状分析对项目范围内现有管理体系、流程,包含内部控制制度等进行分析业务与信息管理架构分析与设计项目范围內信息平台、应用系统分析项目范围內相关部门与重要信息资产的互动与权限分析信息安全管理体系与国际标准ISO27001对标信息安全方针设计阶段一主要任务现有制度与流程组织架构与职责信息技术与平台各职能部门信息安全现状诊断主要范围資資訊訊安安全全(ISMS,ISO27001)資資訊訊安安全全政政策策企企業業入入口口網網站站MESERPSPCYLDRMSPDMEMSTagRWEAPDISPDWCRMHRISAPSKMEquip
12、mentSCM客客戶戶供供應應商商外外包包商商服服務務提提供供廠廠商商員員工工市市場場需需求求人人員員安安全全實實體體及及環環境境安安全全訊訊息息溝溝通通及及作作業業安安全全存存取取控控制制資資訊訊系系統統取取得得、開開發發及及維維護護業業務務持持續續營營運運計計畫畫符符合合性性資資產產管管理理資資訊訊安安全全事事件件管管理理資資訊訊安安全全組組織織往往來來銀銀行行資資訊訊安安全全(ISMS,ISO27001)資資訊訊安安全全政政策策企企業業入入口口網網站站MESERPSPCYLDRMSPDMEMSTagRWEAPDISPDWCRMHRISAPSKMEquipmentSCM客客戶戶供供應應商商
13、外外包包商商服服務務提提供供廠廠商商員員工工市市場場需需求求人人員員安安全全實實體體及及環環境境安安全全訊訊息息溝溝通通及及作作業業安安全全存存取取控控制制資資訊訊系系統統取取得得、開開發發及及維維護護業業務務持持續續營營運運計計畫畫符符合合性性資資產產管管理理資資訊訊安安全全事事件件管管理理資資訊訊安安全全組組織織往往來來銀銀行行1.项目启动及差距分析阶段二主要任务信息安全风险评估制定信息资产识别标准(包含保密级别划分)资产识别及风险评估方法培训信息资产收集识別关键信息资产,并评估价值评估公司层面信息安全控制措施安全漏洞扫描针对关键信息资产进行威胁、弱点及影响程度评估,计算出风险值风险分析风
14、险评估成果示例识別关键信息资产公司层面控制信息安全管理成熟度风险评估M anagem ent ControlsM anagem ent support and com m itm entM anagem ent reviewPerform risk assessm ent and m anagem entInternal auditTraining Docum ent controlM anagem ent ControlsM anagem ent support and com m itm entM anagem ent reviewPerform risk assessm ent and
15、m anagem entInternal auditTraining Docum ent control研研發發銷銷售售採採購購生生產產庫庫存存整整體體企企業業重重要要資資訊訊資資產產原原物物料料資資訊訊採採購購價價格格客客戶戶信信用用額額度度客客戶戶財財務務資資訊訊報報價價資資訊訊交交期期市市場場與與價價格格預預測測客客戶戶交交付付之之設設計計圖圖模模具具/光光罩罩CAD/ProE圖圖研研發發日日誌誌技技術術發發想想機機台台組組裝裝參參數數機機台台種種類類產產能能規規劃劃產產能能資資訊訊製製程程參參數數排排程程資資訊訊存存貨貨數數庫庫存存量量呆呆滯滯天天數數客客戶戶交交易易情情況況採採購購原
16、原料料價價格格存存貨貨成成本本產產能能運運用用狀狀況況主主要要客客戶戶資資訊訊研研發發銷銷售售採採購購生生產產庫庫存存整整體體企企業業重重要要資資訊訊資資產產原原物物料料資資訊訊採採購購價價格格客客戶戶信信用用額額度度客客戶戶財財務務資資訊訊報報價價資資訊訊交交期期市市場場與與價價格格預預測測客客戶戶交交付付之之設設計計圖圖模模具具/光光罩罩CAD/ProE圖圖研研發發日日誌誌技技術術發發想想機機台台組組裝裝參參數數機機台台種種類類產產能能規規劃劃產產能能資資訊訊製製程程參參數數排排程程資資訊訊存存貨貨數數庫庫存存量量呆呆滯滯天天數數客客戶戶交交易易情情況況採採購購原原料料價價格格存存貨貨成成
17、本本產產能能運運用用狀狀況況主主要要客客戶戶資資訊訊2.风险评估建立适合贵公司的信息安全管理体系阶段三主要任务体系设计与发布确定风险接受标准制定风险处置计划管理层汇报定制风险处置实施整改计划依据信息与业务重要性,制定各级信息安全管理制度和流程信息安全体系技术控制落地及管理落地建议依据不同对象与时机,按需制定支持上述流程的工作指导书信息安全管理体系发布及培训ISMS策略ISMS制度和流程工作指导书、操作手册、模板、检查表等表单、记录1级2级3级4级信息安全管理体系文件第一级 信息安全方针 信息安全管理评审程序 信息安全内审管理程序 纠正和预防措施管理程序 文档记录管控程序 有效性测量程序 信息资
18、产分类标准 风险评估实施指南 信息保密管理办法 人员安全管理程序 培训管理规定 第三方安全管理规定 机房安全管理规定 办公区域安全管理规定 系统试运行审查规定 系统安全管理规范 网络运维管理规范 IT终端设备使用管理规范 变更管理规定 帐户安全管理规范 防病毒管理策略第二级第三级 脆弱性检查列表 威胁检查表 内部审计检查项第四级 审计报告 日志检查表 文件加密指南 移动办公守则 信息安全管理手册 其它表單风险处置方法风险处置计划序号 整改类型 负责部门 风险描述 优先等级 整改措施 完成时间 责任人管 理 是否 已 确定1物 理 安全 运 维部机房湿度过低,容易造成电火花以及静电,给IDC业务
19、带来风险高调整机房湿度至合适范围,并设置远程监控与报警机制。2009年9月7日 张三是2法 律 法规合规运 维部单位或个人通过托管的服务器,利用IDC中心从事危害国家安全、泄露国家机密等违法犯罪活动高1.与责任单位签订信息安全责任保障书,明确责任与义务2.IDC建立相应的管理、监督和检查机制,实现实时的监控2009年10月17日 张三审批中3.体系设计及发布阶段四主要任务体系运行与监控制定绩效监控流程体系运行监控信息安全推广培训信息安全宣传内部审计培训信息安全管理体系内部审计信息安全管理体系管理评审会议纠正措施、预防措施、持续改进建议项目总结会体系运行与监控审计报告内部审计文件适用性按规范执行
20、内审计划信息安全体系改进方案实施成果审计 执 行 记 录信息 安全管理体系信息安全管理体系内部审计报告4.体系运行及监控目标推动ISMS体系在贵公司运行,并获得审核机构颁发的27001认证。实现方法ISMS体系文件编制完成后,应按照文件的控制要求进行审核与批准并发布实施,体系运行初期处于体系的磨合期,一般称为试运行期,在此期间运行的目的是要在实践中检验体系的充分性、适用性和有效性。试运行3个月后,并完成内审和管理评审后,在收集到一些ISMS运行记录后,可以根据贵公司需求选择认证机构并协助贵公司通过认证。ISMS体系试运行ISMS内审ISMS管理评审认证前培训外审初审支持外审终审支持5.认证及持续改进项目实施流程计划