ISO27001咨询认证剖析

ISO27001信息安全管理体系咨询服务及认证实施目录一、ISO27001标准简介二、ISO27001信息安全项目实施流程三、ISO27001认证的价值一、ISO27000系列标准简介ISO27000标准族介绍27000～27009：ISMS基本标准，27010～27019：ISMS标准族的解释性指南与文档认证机构认可要求信息安全基本目标信息安全通常强调所谓CIA三元组的目标，即保密性、完整性和可用性。CIA概念的阐述源自信息技术安全评估标准（InformationTechnologySecurityEvaluationCriteria，ITSEC），它也是信息安全的基本要素和安全建设所应遵循的基本原则。2005与2013区别：正文2005与2013区别：附录信息安全管理咨询服务将根据组织的不同需求为其量身定做适合自己的信息安全管理体系，帮助企业更好的加强自身信息安全管理水平，降低企业业务运作过程中的风险。并采用可信任的控制措施，提供行业解决方案，满足客户的不同需求。根据ISO27001，信息安全管理体系包括：►14个控制域►35个控制目标►114个控制措施业务连续性管理访问控制系统获取开发维护管理通信安全人力资源安全合规性资产管理信息安全组织物理环境安全信息安全事件管理信息客户记录个人记录法律记录安全策略策略程序、流程工作指导书、操作说明、模板、检查表等文档、记录密码学操作安全供应商关系安全管理ISO27001信息安全管理体系计划（PLAN）实施(DO)检查(CHECK)改进（Act）业务现状了解信息资产识别威胁脆弱性当前控制措施风险评价风险处置制定风险接受标准制定ISMS文档架构策略程序与流程指导书、模板等文档、记录等1级2级3级4级可能性严重性持续改进机制管理层评审内部ISMS审计持续的风险评估ISMS体系度量与监控体系运行符合性指标效能指标损失性指标改进需求预防性措施纠正性措施风险评估风险处置计划识别不合格项根源分析记录与追踪识别潜在不合格项制定预防措施记录与追踪体系发布项目方法将基于贵公司的业务现状、对信息安全的要求及建立信息安全策略和目标。在贵公司的整体业务风险框架内，依据ISO27001标准，以风险评估为基础，根据风险处置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。ISO27001信息安全管理体系实施方法项目实施采取的程序项目可能用到的工具►访谈►文档审阅►调查问卷►现场检查►系统检查►技术扫描►信息安全风险评估工具►网络脆弱性评估►服务器端口扫描►资产识别工具►渗透测试►信息安全控制审计序号标准名称1ISO27001：2005信息安全管理体系要求3ISO27002-27005信息安全管理使用规则实施指南风险评估4烟草行业信息安全等级保护规范5《信息系统安全等级保护基本要求》6《信息系统安全等级保护实施指南》7GB22080-2008-T信息技术安全技术信息安全管理体系要求8GB22081-2008-T信息技术安全技术信息安全管理实用规则9GB50174-2008电子信息系统机房设计规范10GBT20270-2006信息安全技术网络基础安全技术要求11GBT21028-2007信息安全技术服务器安全技术要求12GBT21052-2007信息安全技术信息系统物理安全技术要求参考的相关标准项目实施采取的程序和可能用到的工具ISO27001信息安全管理体系实施方法（2）项目启动和差异分析►项目启动会议，确定项目团队、建立项目组管理架构►信息安全管理现状的快速评估►信息安全管理体系差异分析►设计信息安全方针►设计信息安全管理组织架构►信息安全管理培训►阶段项目总结会议►项目计划►差异分析报告►信息安全管理组织架构►信息安全方针阶段主要任务主要交付品风险评估►资产收集及风险评估方法与标准►资产级别划分标准►技术弱点扫描报告►资产清单、威胁列表、脆弱性列表、风险列表►风险评估报告►制定资产识别标准（包含保密级别划分）►资产收集及风险评估方法培训►信息资产收集►识别威胁、脆弱性、并安全漏洞扫描►评估风险，划分风险等级►阶段项目总结会议体系设计与发布►风险容忍标准及风险处置计划►适用性声明►ISMS制度和流程►ISMS体系、事故响应培训►信息安全体系技术落地建议书体系运行与监控►ISMS绩效监控流程►信息安全推广培训认证及持续改进►ISMS内审报告►ISMS外审报告及改进►ISMS管理评审报告►项目总结报告12345►确定风险容忍度和风险偏好►确定风险处置措施并实施整改计划►制度整合及信息安全管理体系文档编写►信息安全体系技术控制及管理落地建议►信息安全管理体系发布及培训►阶段项目总结会议►制定信息安全管理绩效监控流程►信息安全管理体系试运行►体系运行监控►业务连续性管理培训►阶段项目总结会议►ISMS内审培训►ISMS内审►ISMS外审►ISMS管理评审►纠正、预防措施持续改进建议►项目总结会议►协助后续的内审和临审PlanDoCheckAct项目实施步骤项目启动和差距分析风险评估体系设计与发布体系运行与监控认证及持续改进项目启动和差距分析►确定项目范围、建立项目组管理架构，并完成现状分析►对项目范围内现有管理体系、流程，包含内部控制制度等进行分析►业务与信息管理架构分析与设计►项目范围內信息平台、应用系统分析►项目范围內相关部门与重要信息资产的互动与权限分析►信息安全管理体系与国际标准ISO27001对标►信息安全方针设计阶段一主要任务现有制度与流程组织架构与职责信息技术与平台各职能部门信息安全现状诊断主要范围資訊安全(ISMS,ISO27001)資訊安全政策企業入口網站MESERPSPCYLDRMSPDMEMSTagRWEAPDISPDWCRMHRISAPSKMEquipmentSCM客戶供應商外包商服務提供廠商員工市場需求人員安全實體及環境安全訊息溝通及作業安全存取控制資訊系統取得、開發及維護業務持續營運計畫符合性資產管理資訊安全事件管理資訊安全組織往來銀行資訊安全(ISMS,ISO27001)資訊安全政策企業入口網站MESERPSPCYLDRMSPDMEMSTagRWEAPDISPDWCRMHRISAPSKMEquipmentSCM客戶供應商外包商服務提供廠商員工市場需求人員安全實體及環境安全訊息溝通及作業安全存取控制資訊系統取得、開發及維護業務持續營運計畫符合性資產管理資訊安全事件管理資訊安全組織往來銀行1.项目启动及差距分析项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进阶段二主要任务信息安全风险评估►制定信息资产识别标准（包含保密级别划分）►资产识别及风险评估方法培训►信息资产收集►识別关键信息资产，并评估价值►评估公司层面信息安全控制措施►安全漏洞扫描►针对关键信息资产进行威胁、弱点及影响程度评估，计算出风险值►风险分析风险评估成果示例识別关键信息资产公司层面控制信息安全管理成熟度风险评估ManagementControls•Managementsupportandcommitment•Managementreview•Performriskassessmentandmanagement•Internalaudit•Training•DocumentcontrolManagementControls•Managementsupportandcommitment•Managementreview•Performriskassessmentandmanagement•Internalaudit•Training•Documentcontrol研發銷售採購生產庫存整體企業重要資訊資產•原物料資訊•採購價格•客戶信用額度•客戶財務資訊•報價資訊•交期•市場與價格預測•客戶交付之設計圖•模具/光罩•CAD/ProE圖•研發日誌•技術發想•機台組裝參數•機台種類•產能規劃•產能資訊•製程參數•排程資訊•存貨數•庫存量•呆滯天數•客戶交易情況•採購原料價格•存貨成本•產能運用狀況•主要客戶資訊研發銷售採購生產庫存整體企業重要資訊資產•原物料資訊•採購價格•客戶信用額度•客戶財務資訊•報價資訊•交期•市場與價格預測•客戶交付之設計圖•模具/光罩•CAD/ProE圖•研發日誌•技術發想•機台組裝參數•機台種類•產能規劃•產能資訊•製程參數•排程資訊•存貨數•庫存量•呆滯天數•客戶交易情況•採購原料價格•存貨成本•產能運用狀況•主要客戶資訊2.风险评估建立适合贵公司的信息安全管理体系阶段三主要任务体系设计与发布►确定风险接受标准►制定风险处置计划►管理层汇报►定制风险处置实施整改计划►依据信息与业务重要性，制定各级信息安全管理制度和流程►信息安全体系技术控制落地及管理落地建议►依据不同对象与时机，按需制定支持上述流程的工作指导书►信息安全管理体系发布及培训ISMS策略ISMS制度和流程工作指导书、操作手册、模板、检查表等表单、记录1级2级3级4级信息安全管理体系文件第一级•信息安全方针•信息安全管理评审程序•信息安全内审管理程序•纠正和预防措施管理程序•文档记录管控程序•有效性测量程序•信息资产分类标准•风险评估实施指南•信息保密管理办法•人员安全管理程序•培训管理规定•第三方安全管理规定•机房安全管理规定•办公区域安全管理规定•系统试运行审查规定•系统安全管理规范•网络运维管理规范•IT终端设备使用管理规范•变更管理规定•帐户安全管理规范•防病毒管理策略第二级第三级•脆弱性检查列表•威胁检查表•内部审计检查项第四级•审计报告•日志检查表•文件加密指南•移动办公守则•信息安全管理手册•其它表單风险处置方法风险处置计划序号整改类型负责部门风险描述优先等级整改措施完成时间责任人管理是否已确定1物理安全运维部机房湿度过低，容易造成电火花以及静电，给IDC业务带来风险高调整机房湿度至合适范围，并设置远程监控与报警机制。2009年9月7日张三是2法律法规合规运维部单位或个人通过托管的服务器，利用IDC中心从事危害国家安全、泄露国家机密等违法犯罪活动高1.与责任单位签订信息安全责任保障书，明确责任与义务2.IDC建立相应的管理、监督和检查机制,实现实时的监控2009年10月17日张三审批中项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进3.体系设计及发布项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进阶段四主要任务体系运行与监控►制定绩效监控流程►体系运行监控►信息安全推广培训►信息安全宣传►内部审计培训►信息安全管理体系内部审计►信息安全管理体系管理评审会议►纠正措施、预防措施、持续改进建议►项目总结会体系运行与监控审计报告内部审计文件适用性按规范执行内审计划信息安全体系改进方案实施成果审计执行记录信息安全管理体系信息安全管理体系内部审计报告4.体系运行及监控►目标►推动ISMS体系在贵公司运行，并获得审核机构颁发的27001认证。►实现方法►ISMS体系文件编制完成后，应按照文件的控制要求进行审核与批准并发布实施，体系运行初期处于体系的磨合期，一般称为试运行期，在此期间运行的目的是要在实践中检验体系的充分性、适用性和有效性。►试运行3个月后，并完成内审和管理评审后，在收集到一些ISMS运行记录后，可以根据贵公司需求选择认证机构并协助贵公司通过认证。信息安全管理体系认证ISMS体系试运行ISMS内审ISMS管理评审认证前培训外审初审支持外审终审支持项目启动和差异分析风险评估体系设计与发布体系运行与监控认证及持续改进5.认证及持续改进项目实施流程计划形成企业信息安全等级保护长效机制信息安全等级保护规范制度（1）资产信息及安全评估批量录入资产配置，自动获取详细资产IT属性，资产安全等级评估，资产关联连接信息。确保资产信息及安全风险评估高度可见（2）闭环控制密码管理和访问审计，告警和信息推送，监督流程，KPI通告等手段确保运维安全风险管控（4）保持高可用