ISO27001 信息安全管理体系

ISO17799/BS7799信息安全管理体系简介什么是信息？•Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.•信息是一种资产，就如同其他的商业资产一样，对一个组织而言是具有价值的，因而需要妥善保护。•ISO17799/BS7799Part1:19992信息的类型•政府信息-国内重要的信息•内部信息-不希望竞争对手得到的信息•客户信息-不希望被泄露的信息•与贸易伙伴共享的信息•公开信息-任何人都可以自由使用的•列印或写在纸张上的•用电子方式储存的•以邮件传输（包括电子邮件）•以影视或胶片方式表现的•语言交谈3什么需要保护？•保护重要的商业“信息”资产•维持竞争优势•法律的要求•商业形象•安全威胁•安全脆弱•分瘠的安全技术4•信息-成长及成功的关键因素•15000份的医疗日志培圾桶中在被发现•30000个用户密码在Internet上公布•推广的照片提前出现在新闻书刊上•银行支付数百万元给勒索者•25位开发部的同事跳槽至竞争者公司为何信息安全是如此重要？5•盗窃：每失窃或损坏价值一英镑的信息技术设备，将造成十英镑商业损失。英国工业在1996年由电脑失窃而造成的损失超过460亿英镑。•INTERNET：美国五角大楼每日可侦测到80至100个骇客入侵。•电脑入侵：电脑骇客入侵每年以45%的速率在增长。•电子邮件：10%信息无意义，9%包含机密信息，2%笑话及2%带病毒。•病毒：起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。Source:WorldtalkCorporationE-mailsurveillanceprogramme.&Computerweekly1999/09/19为何信息安全是如此重要？（续）6•安全风险•法律和合约的需求•内部的原则，目标和需求从收集控制方式与适当的需求等级开始！安全需求7ISMS发展历史820001993199519981999ISO17799/BS7799发布瑞典开始试点认证瑞典标准SS627799Part1＆2发布新版英国标准BS7799Part1＆2发布英国开始试点认证英国公布BS7799第二部份（Part2）英国公布BS7799第一部份（Part2）率先由英国贸工部倡导ISO17799/BS7799StructureManagementoverviewISO17799/BS7799,Part1-GuidelinesIndextounderlyinglevel(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelinesforCertification10Confidentiality保密性Integrity完整性Availability可用性信息安全11ISO17799/BS7799定义信息安全如下：•保密性：确保只有被授权的人员才能操作信息•完整性：确保信息的完整和正确•可用性：确保信息在需要时随时可以获得信息安全12•管理者的承诺-方针＆目标•组织，包含定义职责•系统结构•程序•文件管制与ISO9000相同之处•记录管理•培训•管理评核•纠正与预防措施13•风险评估与适用性声明•选择适宜的控制•安全目标实现的验证•安全产品正确执行的验证•坚持程序作业的验证与ISO9000不同之处14•风险评估•业务持续计划•两个阶段的认证与ISO14000及OHSAS1800相同之处15•ISO17799/BS7799Part1-信息安全管理实施规则•ISO17799/BS7799Part2-信息安全管理体系规范ISO17799/BS7799标准16•Chapter⒈范围•Chapter⒉术语和定义•Chapter⒊安全方针•Chapter⒋组织安全•Chapter⒌资产分类和控制•Chapter⒍人员安全第一部份-章节•Chapter⒎实物和环境安全•Chapter⒏通信和操作管理•Chapter⒐访问控制•Chapter⒑系统开发和维护•Chapter⒒商务连续性管理•Chapter⒓符合性17信息安全管理体系需求：•10项控制细则•36个控制目标•127个控制方式第二部分的内容18•Chapter⒈范围•Chapter⒉术语和定义•Chapter⒊信息安全管理体系要求•Chapter⒋控制细则（与第一部份对应）第二部份-章节19•4．1安全方针•4．2组织安全•4．3资产分类和控制•4．4人员安全•4．5实物和环境安全第二部份-章节•4．6通信和操作管理•4．7访问控制•4．8系统开发和维护•4．9商务连续性管理•4．10符合性20信息安全管理体系的实施21持续改善安全方针评估检查执行计划管理评审确定范围风险分析控制目标与控制方式适用性声明业务持续计划组织安全资产分类与控制人员安全实物与环境安全重要作业的保护包含保护的资料能法律法规的符合性安全方针符合性安全技术的符合性风险评估和风险管理22通过移动避光减少重要度可能性第一部份-章节•UKASprotocol•Accreditsfor7799vanilla•Recognisescompetentauditors•Acceptsc:cureregistration•AsproofofcompetenceCouldaccreditCBfor7799withoutc:cure•LogoofCB&UKASonly•DISCprotocol•UKASisstilltheaccreditor•IRCAregistersauditors•c:cureauditorrequirementsarequitespecific:•Education•Experience•Training•Examination•Interview•Continuingprofessionaldevelopment24c:cure标志ISO17799/BS7799c:cure25认证流程保密协定第二阶段正式审核第一阶段正式审核桌面桌面审查审核小组包含技术专家〈13周〈13周〈2周追踪审核ISMS证书26