2信息安全管理体系

信息安全管理（第二版），信息安全管理授课内容：信息安全管理体系信息安全管理Informationsecuritymanagement上节回顾6信息安全管理是通过维护信息的机密性、完整性和可用性等，来管理和保护信息资产的一项体制，是对信息安全保障进行指导、规范和管理的一系列活动和过程。上节回顾6信息安全管理的重要性信息安全管理国内外现状信息安全管理体系构成本节内容信息安全管理体系概述1BS7799信息安全管理体系2ISO27001信息安全管理体系36基于SSE-CMM的信息安全管理体系4人力资源IT信息管理Finance财务管理业务管理职业安全质量管理环境管理战略和投资管理综合管理体系市场/客户满意管理党务管理财务管理体系战略和投资管理体系ISO14001ISO9000Qs9000，ISMC常见管理体系2.1信息安全管理体系概述信息安全管理体系（InformationSecurityManagementSystem，ISMS）是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体系。2.1信息安全管理体系概述ISMS的范围包括：组织所有的信息系统；组织的部分信息系统；特定的信息系统。2.1信息安全管理体系概述ISMS的特点：以预防控制为主的思想；强调合规性；强调全过程和动态控制；关注关键性信息资产。2.1信息安全管理体系概述建立ISMS的步骤：信息安全管理体系的策划与准备信息安全管理体系文件的编制建立信息安全管理框架信息安全管理体系的运行信息安全管理体系的审核与评审2.1信息安全管理体系概述ISMS的作用强化员工的信息安全意识，规范组织信息安全行为；促使管理层贯彻信息安全保障体系；对关键信息资产进行全面系统的保护，维持竞争优势；确保业务持续开展并将损失降到最低程度；使组织的生意伙伴和客户对组织充满信心；如果通过体系认证，可以提高组织的知名度与信任度。2.1信息安全管理体系概述PDCAP（Plan）——计划，确定方针、目标和活动计划；D（Do）——实施，实现计划中的内容；C（Check）——检查，检查并总结执行计划的结果；A（Action）——行动，对检查总结的结果进行处理。2.1信息安全管理体系概述PDCA*P（Plan）分析目前现状，找出存在的问题；分析产生问题的各种原因以及影响因素；分析并找出管理中的主要问题；制定管理计划，确定管理要点。2.1信息安全管理体系概述PDCA*D（Do）本阶段的任务是在管理工作中全面执行制定的方案。2.1信息安全管理体系概述PDCA*C（Check）它是对实施方案是否合理、是否可行以及有何不妥的检查。2.1信息安全管理体系概述PDCA*A（Action）对已解决的问题，加以标准化找出尚未解决的问题2.1信息安全管理体系概述ISMS的PDCAAPCDAPCD持续改进的PDCA过程2.1信息安全管理体系概述ISMS的PDCA计划阶段确定信息安全方针确定信息安全管理体系的范围制定风险识别和评估计划制定风险控制计划2.1信息安全管理体系概述ISMS的PDCA实施阶段风险治理保证资源、提供培训、提高安全意识2.1信息安全管理体系概述ISMS的PDCA检查阶段自治程序日常检查从其他处学习内部信息安全管理体系审核管理评审趋势分析2.1信息安全管理体系概述ISMS的PDCA行动阶段不符合项纠正和预防措施2.1信息安全管理体系概述ISMS的PDCAPDCA循环是螺旋式上升和发展的。2.1信息安全管理体系概述BS7799信息安全管理体系BS7799的发展历史*1993年，英国贸易工业部，BS7799-1:1995《信息安全管理实施规则》；*1998年，BS7799-2:1998《信息安全管理体系规范》；*1999年，BS7799-1:1999取代了BS7799-1:1995标准，BS7799-2:1999取代了BS7799-2:1998标准；2.2BS7799安全管理体系BS7799的发展历史*国际标准化组织于2000年12月正式将BS7799转化成国际标准ISO/IEC17799；*2005年6月15日发布了最新版本ISO/IEC17799:2005。2.2BS7799安全管理体系BS7799的发展历史BS7799标准的最大意义就在于它给管理层一整套可“量体裁衣”的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架。2.2BS7799信息安全管理体系BS7799的内容*BS7799-1:《信息安全管理实施规则》主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。*BS7799-2:《信息安全管理体系规范》详细说明了建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并根据自己的需求采取适当的安全控制。2.2BS7799信息安全管理体系BS7799的内容BS7799-1:《信息安全管理实施规则》BS7799-1:《信息安全管理实施规则》作为国际信息安全指导标准ISO/IEC17799基础的指导性文件，包括11大管理要项，134种控制方法。2.2BS7799信息安全管理体系BS7799的内容BS7799-1:《信息安全管理实施规则》2.2BS7799信息安全管理体系BS7799的内容BS7799-2:《信息安全管理体系规范》BS7799-2:《信息安全管理体系规范》说明了建立、实施和维护信息安全管理体系（ISMS）的要求；指出实施组织需要通过风险评估来鉴定最适宜的控制对象；根据自己的需求采取适当的安全控制。2.2BS7799信息安全管理体系BS7799的内容BS7799-2:《信息安全管理体系规范》BS7799-2的新版本ISO/IEC27001:2005ISO/IEC27001:2005更注重PDCA的过程管理模式，能够更好的与组织原有的管理体系，如质量管理体系、环境管理体系等进行整合，减少组织的管理过程，降低管理成本。2.2BS7799信息安全管理体系BS7799的内容BS7799-2:《信息安全管理体系规范》BS7799-2的新版本ISO/IEC27001:20052005.10，英国信息安全管理体系标准BS7799-2：2002作为国际标准ISO/IEC27001：2005采用，标志着信息安全管理体系认证进入了一个新阶段。2.2BS7799信息安全管理体系BS7799的内容BS7799-2:《信息安全管理体系规范》BS7799-2的新版本ISO/IEC27001:2005截至2005.11，全球共签发了1882张认证证书，如：Siemens,NEC,CANON、EPON、IBM等。2.2BS7799信息安全管理体系27001标准族2700027001270022700327004270052700627007ISMS原则和术语ISMS要求200517799：2005ISMS最佳实践ISMS实施指南管理度量风险管理信息安全管理体系审核认证机构要求信息安全管理审计2.3ISO27000标准族每年成倍增长的全球ISMS认证证书平均每天有10家组织机构通过ISO27001体系认证.全球ISMS的现状2.3ISO27000标准族ISO27001/ISO27002标准发展标准改版背景国际标准化组织（ISO组织）遵循所有标准每隔5年必须进行升级的原则。当前版本的信息安全管理体系标准ISO27001：2005与ISO27002：2005已绊使用了8年。ISO27001：2005与ISO27002：2005版在体系整合、控制项逻辑性不充分性等方面都有改进的空间。2000年4月将BS7799-1：1999提交ISO组织，同年10月获得通过成为ISO17799：2000BS7799标准1992年在英国首次作为行业标准发布ISO17799：2005正式更名为ISO27002:20072013年10月19日修订原版使用：ISO27001：2013ISO27002：201320072013BS7799-2：2002成为国际标准ISO27001：2005ISO17799：2000修订升级为ISO17799：2005版2005将BS7799-2：2000进行修订发布了BS7799-2：20022002将BS7799-2：1999进行修订发布了BS7799-2：200020012000在1998年、1999年绊过两次修订之后出版BS7799-1：1999BS7799-2：19991998/19991992标准改版特点管理体系更容易整合：在新版标准中采取AnnexSL做结构性要求，使信息安全管理体系更容易与其他管理体系融合。融入企业面临新安全挑战：对部分控制项进行了合并、删除，并且新增了部分控制项以反映当前信息安全发展趋势。更多指引延伸参考：新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化。2.3ISO27000标准族ISMS在中国•2000年前后，ISMS开始被中国用户认识•2002年11月，ISMS国家标准开始被研究和制定•2005年6月15日，我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用规则”，该标准修改采用ISO/IEC17799:2000•2006年3月，国信办在5个单位开展ISMS标准应用试点工作•2006年4月，认监委批准4家ISMS试点认证机构•2006年11月，成立中国信息安全认证中心•2007年4月，中国向国际标准化组织ISO/IECJTC1/SC27提出ISMS审核标准提案•2008年GB22080-2008-T《信息技术安全技术信息安全管理体系要求》•2008年GB22081-2008-T《信息技术安全技术信息安全管理实用规则》2.3ISO27000标准族可以强化员工的信息安全意识，规范组织信息安全行为。对组织的关键信息资产进行全面系统的保护，维持竞争优势。在信息系统受到侵害时，确保业务连续开展并将损失降到最低程度。向贸易伙伴证明对信息安全的承诺，使贸易伙伴和客户对组织充满信心。如果通过体系认证，表明组织的信息安全体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。促使管理层坚持贯彻信息安全保障体系。通过ISO27001认证的意义2.3ISO27000标准族ISMS核心思想–IS0/IEC27001:2005的要求2.3ISO27000标准族相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置ActIS0/IEC27001:2005的要求PDCA各阶段内容对应标准条款P-规划建立ISMS建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果4.14.2.14.35D-实施实施和运行ISMS实施和运行ISMS方针、控制措施、过程和程序4.2.2C-检查监视和评审ISMS对照ISMS方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管理者以供评审4.2.367A-处置保持和改进ISMS基于ISMS内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进ISMS4.2.482.3ISO27000标准族11个控制域39个控制目标133个控制项10个控制域36个控制目标127个控制项对比ISO17799:2000老版……ISO27001系列标准的ISMS主体内容2.3ISO27000标准族ISO27001：源自BS7799-2框架体系是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案安全策略Securitypolicy人力资源安全Humanresourcessecurity物理与环境安全Physicalandenvironmentalsecurity通信与操作管理Communicationsandopera