PPTISO27001-BSI讲师资料

ISO27001信息安全管理体系介绍IntroductionofISO27001InformationSecurityManagementSystem姓名：苏玺职位：销售经理Name：SusieTitle：NCSalesManager关于英国标准协会（BSI）•成立于1901年•全球领先的业务服务机构•客户遍及120多个国家，现已拥有2,300位员工•主要业务：ƒ开发、销售和发布私人、国家和国际标准ƒ管理体系标准的审核、认证和培训ƒ产品测试ƒ提供标准和国际贸易等相关信息BSI服务介绍ISO14001ISO22000IMSISO9001BSIBenchmarkISO27001OHSAS18001TS16949ISO20000ISO1406419002007百年权威1979BS5750（后转化为ISO9000）正式颁行1929获英国皇家特许认可1901成立工程标准委员会1926颁布第一个英国标准,建立第一个英国标准标志-风筝标志1946国际标准化组织（ISO）创始会员1992BS7750（后转化为ISO14000）正式颁行1996BS8800（后转化为0HSAS18000）正式颁行2000BS15000（后转化为ISO20000)正式颁行2002收购KPMG(毕马威)北美管理体系认证业务，成为北美昀大的认证机构之一2004--2005连续两年被国际公认品牌裁决机构选为全球性超级品牌KiteMarkKiteMark1995BS7799（后转化为ISO27001/ISO17799）正式颁行产生绩效Profitability:EnablerISO9001/ITIL/ISO20000CMM/CMMI防止失效Sustainability:RiskISO27001/BS7799/BS25999RiskRisk$$管理者面临的挑战Manager’sChallenge主题•什么是ISO27001•ISO27001对于组织的重要性•BSI成功案例分享•BSI的增值服务Topics•What’sISO27001•Importancefororganize•BSIsuccessfulstories•BSIvalueaddserviceBIP0074ISO27004:200?信息安全管理的评测（如何评测ISMS实施过程和控制的有效性）InformationSecurityManagementMeasurement(HowtomeasuretheeffectivenessofISMSimplementations(Processandcontrols)).ISO27000:2008总则及词汇OverviewandVocabularyISO27003:200?ISMS实施指引(ISO27001实施过程和控制指引）ISMSImplementationGuidance(GuidanceonimplementingtheprocessesandcontrolsinISO27001)ISO27006:2007认证机构的要求RequirementsforCertificationBodyBS7799-3:2006ISO27005:200?风险管理RiskManagementBS7799-1:1999ISO17799:2000ISO17799:2005ISO27002:2007信息安全管理实践参考CodeofpracticeforInformationSecurityManagementBS7799-2:1999BS7799-2:2002ISO27001:2005ISO27001:2005信息安全管理体系(ISMS)-要求InformationSecurityManagementSystems(ISMS)-RequirementsBefore20002000~20022005~2006ISO27000系列seriesISMS标准/指引ISMSStandard/GuidanceISO27000标准族/系列Family/Series各国信息安全相关法律法规要求：Informationrelatedregulationsofsomecountries:¾1995年10月，欧盟出台了《关于处理个人数据时保护个人的欧洲议会及理事会指令》，被称之为EU指令。EU指令于1998年开始生效，要求各成员国在3年之内各自制定出有关个人信息保护的法律。根据EU指令，在此之前未曾制定过隐私保护法的意大利和希腊分别于1996和1997年制定了相关法律条款。另外，EU指令第25条还规定，对不具备完善保护措施的非欧盟成员国，禁止从欧盟区域内转移个人资料。Oct.1995,EuropeEUDirective,rule52,forbiddentransferpersonaldataoutofEuropetothecountrywhodonothavedataprotectpolicy.¾1984年英国制定了《数据保护法》（DataProtectionAct）并在1998年对其进行了修订。该法确立了八项“数据保护原则”，并适用于部分纸质记录和所有电子记录中的个人数据、信息。根据该法，英国成立了“信息专员办公室”（ICO），负责监督、指导《数据保护法》的具体实施。1984,UK《DataProtectionAct》,guide8protectionprinciples.¾美国通过一系列的立法活动构筑其信息安全法律体系，主要从几个以下方面进行管控：（1）反间谍软件；（2）隐私/身份保护/数据安全；（3）互联网安全；（4）国土安全；（5）卫生健康安全管理；（6）因特网和电信服务安全；（7）控制系统安全。USAlaunchseriesregulationofinformationdataprotection.¾日本从2005年4月开始实施《个人信息保护法》，制定了保护个人信息的基本原则及基本方针，明确了国家及地方公共团体的责任义务，同时规定使用个人信息的企事业应遵守的义务。Apr.2005,Japanlaunch《PersonalInformationProtection》regulation.¾中国自90年代起，开始着手研究信息安全，至今为止，已经制订并出台了一系列有关信息安全的法律法规。国务院有关部门启动了中国《个人信息保护法》的立法程序，目前正在积极推进中。From90’s,Chinaindevelopinginformationsecurityregulation.对信息安全的关注：WhyISMSbeenconcerned¾信息是业务的基础Information—lifebloodofBusiness¾竞争环境的要求CompetitiveBusinessEnvironment¾保证服务水平–取胜之道ServiceLevel—winningfactor¾定制的服务要求更多的客户信息Tailor-madeservice—moreinformationfromcustomers¾控制成本要求尽量少的信息壁垒CostControl—lessinformationbarrier¾合法性Legalcompliance¾商业信誉Commercialimage系统/技术System/Technology管理/策略Management/Policy人People信息安全InformationSecurity信息安全因素InformationSecurityFactors风险来源RiskSources信息资产InformationAsset信息资产信息资产InformationAssetInformationAsset拒绝服务逻辑炸弹黑客渗透内部人员威胁木马后门病毒和蠕虫社会工程系统Bug硬件故障网络通信故障供电中断失火雷雨地震HACKTrojanHorseVirus/WormLogicBombDoSSocialEngineeringEarthquakeThunderStormFirePowerCutCommunicationOutHardwareProblemSystemBugInternalmenace损失LoseEstimated直接损失(水面上的部分)损失了数据间接损失(6-53倍于直接损失)损失了时间替代的成本法律费用声誉受损丢失了潜在的业务生产力的损失传统方法TraditionalApproachInformationITKKKKKKKKKK反应式ReactiveAttitude点状方案PointSolution终极目标方法DestinationApproach技术层面TechnologicalIssueInformation过程方法ProcessApproach主动式ProactiveAttitude管理层面ManagementIssue战略的规划StrategicPlanningISMS方法ISMSApproachWhyISO27001_IncidentCauses?•员工缺乏适当的安全策略和方针缺乏正规的培训•竞争•互联网机制•……ISO27001标准的发展ISMSISMSISO27001•‘Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected’“信息是一种资产，象其他重要的业务资产一样，对组织具有价值因此需要妥善保护。”----ISO/IEC17799InformationLifecycle信息生命周期Created创造Processed处理Transmitted传输Stored储存Destroyed?破坏Used-(forproperandimproperpurposes)使用–(适当与不当的用途)Corrupted!损毁Lost!遗失Informationcanbe:信息可以被:Confidentiality保密性Availability可用性Integrity完整性信息安全–CIA原则InformationSecurity–CIAPrincipleISO27001_Framework•DefinethescopeofISMS定义范围•Definethepolicy定义方针•Defineriskassessmentapproach确定风险评估的方法•Identifytherisks识别风险ISO27001_Framework•Assesstherisks评估风险•Identifyandevaluateoptionsforrisktreatment识别并评估风险处理的措施•Selectcontrolobjectivesandcontrolsforrisktreatment为处理风险选择控制目标和控制措施•Prepareastatementofapplicability准备适用性声明RiskElements风险因素Threats威胁Vulnerabilities脆弱性Controls控制Risks风险Assets资产SecurityRequirements安全要求AssetValues资产价值protectagainst预防metby符合Exploit利用Increase增加Increase增加Expose暴露Indicate显示Increase增加Have具有Reduce降低PotentialimpactonBusiness对企业的潜在冲击ISO27001_RiskAssessmentProcessAssetIdentificationandValuation资产鉴别与评价Identificationofvulnerabilities脆弱性的鉴别IdentificationofThreats威胁的鉴别EvaluationofImpacts冲击的评估ReviewofExistingSecurityControls现有的安全控制措施审查IdentificationofnewSecurityCont