信息安全管理體系

1、整理課件1 信息安全管理 （第二版） ， 信信 息息 安安 全全 管管 理理 信息安全管理 上節(jié)回顧上節(jié)回顧 6 上節(jié)回顧上節(jié)回顧 6 信息安全管理的重要性信息安全管理的重要性 信息安全管理國內(nèi)外現(xiàn)狀信息安全管理國內(nèi)外現(xiàn)狀 信息安全管理體系構(gòu)成信息安全管理體系構(gòu)成 本節(jié)內(nèi)容本節(jié)內(nèi)容 信息安全管理體系概述信息安全管理體系概述1 BS7799信息安全管理體系信息安全管理體系2 ISO27001信息安全管理體系信息安全管理體系 3 6 基于基于SSE-CMM的信息安全管理體系的信息安全管理體系4 人力資源人力資源 IT 信息管理信息管理 Finance財務(wù)管理財務(wù)管理 業(yè)務(wù)管理業(yè)務(wù)管理 職業(yè)安全職業(yè)

2、安全 質(zhì)量管理質(zhì)量管理 環(huán)境管理環(huán)境管理 戰(zhàn)略和投資管理戰(zhàn)略和投資管理 綜合管理體系綜合管理體系 市場市場/客戶滿意管理客戶滿意管理 黨務(wù)管理黨務(wù)管理 ISO 27000 信息安全信息安全 ISO 100015 培培 訓(xùn)體系訓(xùn)體系 人力資人力資 源管理體系源管理體系 財務(wù)管理體系財務(wù)管理體系 戰(zhàn)略和投資管理體系戰(zhàn)略和投資管理體系 ISO 14001 ISO 9000 BS8600客戶滿意管理體系客戶滿意管理體系 職業(yè)安全健康管理體系職業(yè)安全健康管理體系 ISO18000 Qs9000，ISMC 常見管理體系常見管理體系 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 信息安全管理體系

3、信息安全管理體系 （Information Security Management SystemInformation Security Management System，ISMSISMS） 是組織在整體或特定范圍內(nèi)建立的信息安全方針和目是組織在整體或特定范圍內(nèi)建立的信息安全方針和目 標(biāo)，以及完整這些目標(biāo)所用的方法和手段所構(gòu)成的體標(biāo)，以及完整這些目標(biāo)所用的方法和手段所構(gòu)成的體 系。系。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概

4、述信息安全管理體系概述 u強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為；強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為； u促使管理層貫徹信息安全保障體系；促使管理層貫徹信息安全保障體系； u對關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢；對關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢； u確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度；確保業(yè)務(wù)持續(xù)開展并將損失降到最低程度； u使組織的生意伙伴和客戶對組織充滿信心；使組織的生意伙伴和客戶對組織充滿信心； u如果通過體系認(rèn)證，可以提高組織的知名度與信任度。如果通過體系認(rèn)證，可以提高組織的知名度與信任度。 2.1 2.1 信息安全管理體系概述信息安全管理體系

5、概述 P P（PlanPlan）計劃，確定方針、目標(biāo)和活動計劃；計劃，確定方針、目標(biāo)和活動計劃； D D（DoDo）實(shí)施，實(shí)現(xiàn)計劃中的內(nèi)容；實(shí)施，實(shí)現(xiàn)計劃中的內(nèi)容； C C（CheckCheck）檢查，檢查并總結(jié)執(zhí)行計劃的結(jié)果；檢查，檢查并總結(jié)執(zhí)行計劃的結(jié)果； A A（ActionAction）行動，對檢查總結(jié)的結(jié)果進(jìn)行處理。行動，對檢查總結(jié)的結(jié)果進(jìn)行處理。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *P P（PlanPlan） 分析目前現(xiàn)狀，找出存在的問題；分析目前現(xiàn)狀，找出存在的問題； 分析產(chǎn)生問題的各種原因以及影響因素；分析產(chǎn)生問題的各種原因以及影響因素； 分析并找出

6、管理中的主要問題；分析并找出管理中的主要問題； 制定管理計劃，確定管理要點(diǎn)。制定管理計劃，確定管理要點(diǎn)。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *D D（DoDo） 本階段的任務(wù)是在管理工作中全面執(zhí)行制定的方案。本階段的任務(wù)是在管理工作中全面執(zhí)行制定的方案。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *C C（CheckCheck） 它是對實(shí)施方案是否合理、是否可行以及有何不妥它是對實(shí)施方案是否合理、是否可行以及有何不妥 的檢查。的檢查。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 * *A A（ActionAction） 2.1 2.

7、1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 確定信息安全方針確定信息安全方針 確定信息安全管理體系的范圍確定信息安全管理體系的范圍 制定風(fēng)險識別和評估計劃制定風(fēng)險識別和評估計劃 制定風(fēng)險控制計劃制定風(fēng)險控制計劃 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 風(fēng)險治理風(fēng)險治理 保證資源、提供培訓(xùn)、提高安全意識保證資源、提供培訓(xùn)、提高安全意識 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 自治程序自治程序 日常檢查日常檢查 從其他處學(xué)習(xí)從其他處學(xué)習(xí) 內(nèi)部信息安全管理體系審核內(nèi)部信息安全管理體系審核 管理評審管理評審

8、 趨勢分析趨勢分析 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 PDCA循環(huán)是螺旋式上升和發(fā)展的。 2.1 2.1 信息安全管理體系概述信息安全管理體系概述 BS7799BS7799的發(fā)展歷史的發(fā)展歷史 * *19931993年，英國貿(mào)易工業(yè)部，年，英國貿(mào)易工業(yè)部，BS7799-1:1995BS7799-1:1995信息安信息安 全管理實(shí)施規(guī)則全管理實(shí)施規(guī)則； * *19981998年，年，BS7799-2:1998BS7799-2:1998信息安全管理體系規(guī)范信息安全管理體系規(guī)范； * *19991999年，年，BS77

9、99-1:1999BS7799-1:1999取代了取代了BS7799-1:1995BS7799-1:1995標(biāo)準(zhǔn)，標(biāo)準(zhǔn)， BS7799-2:1999BS7799-2:1999取代了取代了BS7799-2:1998BS7799-2:1998標(biāo)準(zhǔn)；標(biāo)準(zhǔn)； 2.2 BS77992.2 BS7799安全管理體系安全管理體系 BS7799BS7799的發(fā)展歷史的發(fā)展歷史 * *國際標(biāo)準(zhǔn)化組織于國際標(biāo)準(zhǔn)化組織于20002000年年1212月正式將月正式將BS7799BS7799轉(zhuǎn)化成轉(zhuǎn)化成 國際標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)ISO/IEC17799ISO/IEC17799； * *20052005年年6 6月月1515日發(fā)

10、布了最新版本日發(fā)布了最新版本ISO/IEC17799:2005ISO/IEC17799:2005。 2.2 BS77992.2 BS7799安全管理體系安全管理體系 BS7799BS7799的發(fā)展歷史的發(fā)展歷史 BS7799BS7799標(biāo)準(zhǔn)的最大意義就在于它給管理層一整套標(biāo)準(zhǔn)的最大意義就在于它給管理層一整套 可可“量體裁衣量體裁衣”的信息安全管理要項(xiàng)、一套與技術(shù)負(fù)責(zé)的信息安全管理要項(xiàng)、一套與技術(shù)負(fù)責(zé) 人或組織高層進(jìn)行溝通的共同語言，以及保護(hù)信息資人或組織高層進(jìn)行溝通的共同語言，以及保護(hù)信息資 產(chǎn)的制度框架。產(chǎn)的制度框架。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系

11、 BS7799BS7799的內(nèi)容的內(nèi)容 * *BS7799-1:BS7799-1:信息安全管理實(shí)施規(guī)則信息安全管理實(shí)施規(guī)則 主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而主要是給負(fù)責(zé)開發(fā)的人員作為參考文檔使用，從而 在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。在他們的機(jī)構(gòu)內(nèi)部實(shí)施和維護(hù)信息安全。 * *BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理體系的 要求，指出實(shí)施組織需要通過風(fēng)險評估來鑒定最適宜的要求，指出實(shí)施組織需要通過風(fēng)險評估來鑒定最適宜的 控制對象，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩?/p>

12、控制?？刂茖ο?，并根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-1:BS7799-1:信息安全管理實(shí)施規(guī)則信息安全管理實(shí)施規(guī)則 BS7799-1: BS7799-1:信息安全管理實(shí)施規(guī)則信息安全管理實(shí)施規(guī)則作為國際信息作為國際信息 安全指導(dǎo)標(biāo)準(zhǔn)安全指導(dǎo)標(biāo)準(zhǔn)ISO/IEC17799ISO/IEC17799基礎(chǔ)的指導(dǎo)性文件，包括基礎(chǔ)的指導(dǎo)性文件，包括11 11大大 管理要項(xiàng)，管理要項(xiàng)，134134種控制方法。種控制方法。 2.2 BS77992.2 BS7799信息安全管理體系信息安全

13、管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-1:BS7799-1:信息安全管理實(shí)施規(guī)則信息安全管理實(shí)施規(guī)則 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 說明了建立、實(shí)施和維護(hù)信息安全管理體系（說明了建立、實(shí)施和維護(hù)信息安全管理體系（ISMSISMS） 的要求；的要求； 指出實(shí)施組織需要通過風(fēng)險評估來鑒定最適宜的控制指出實(shí)施組織需要通過風(fēng)險評估來鑒定最適宜的控制

14、 對象；對象； 根據(jù)自己的需求采取適當(dāng)?shù)陌踩刂?。根?jù)自己的需求采取適當(dāng)?shù)陌踩刂啤?2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005更注重更注重PDCAPDCA的過程管理模式，的過程管理模式， 能夠更好的與組織原有的管理體系，如質(zhì)量管理體系、能夠更好的與組織原有的管理

15、體系，如質(zhì)量管理體系、 環(huán)境管理體系等進(jìn)行整合，減少組織的管理過程，降低環(huán)境管理體系等進(jìn)行整合，減少組織的管理過程，降低 管理成本。管理成本。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 2005.10 2005.10，英國信息安全管理體系標(biāo)準(zhǔn)，英國信息安全管理體系標(biāo)準(zhǔn)BS7799-2BS7799-2：20022002 作為國際標(biāo)準(zhǔn)作

16、為國際標(biāo)準(zhǔn)ISO/IEC 27001ISO/IEC 27001：20052005采用，標(biāo)志著信息安全采用，標(biāo)志著信息安全 管理體系認(rèn)證進(jìn)入了一個新階段。管理體系認(rèn)證進(jìn)入了一個新階段。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 BS7799BS7799的內(nèi)容的內(nèi)容BS7799-2:BS7799-2:信息安全管理體系規(guī)范信息安全管理體系規(guī)范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 截至截至2005.112005.11，全球共簽發(fā)了，全球共簽發(fā)了18821882張認(rèn)證證書，張認(rèn)證證書， 如

17、：如：Siemens,NEC,CANONSiemens,NEC,CANON、EPONEPON、IBMIBM等。等。 2.2 BS77992.2 BS7799信息安全管理體系信息安全管理體系 27001標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 27000 27001 27002 27003 27004 27005 27006 27007 ISMS原則和術(shù)語 ISMS要求 2005 17799：2005 ISMS最佳實(shí)踐 ISMS實(shí)施指南 管理度量 風(fēng)險管理 信息安全管理體系 審核認(rèn)證機(jī)構(gòu)要求 信息安全管理審計 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 p 每年成倍增長的全球ISMS認(rèn)證證書 平均每天有1

18、0家組織機(jī)構(gòu)通過ISO27001體系認(rèn)證. 全球全球ISMS的現(xiàn)狀的現(xiàn)狀 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO 27001/ISO 27002標(biāo)準(zhǔn)發(fā)展 標(biāo)準(zhǔn)改版背景標(biāo)準(zhǔn)改版背景 國際標(biāo)準(zhǔn)化組織（ISO組織）遵循所有標(biāo)準(zhǔn)每隔5年必須進(jìn) 行升級的原則。 當(dāng)前版本的信息安全管理體系標(biāo)準(zhǔn)ISO 27001：2005與ISO 27002：2005已絆使用了8年。 ISO 27001：2005與ISO 27002：2005版在體系整合、控制 項(xiàng)邏輯性不充分性等方面都有改進(jìn)的空間。 2000年4月將BS7799-1：1999 提交ISO組織，同年10月獲得 通過成為ISO 1

19、7799：2000 BS7799標(biāo)準(zhǔn)1992年 在英國首次作為行 業(yè)標(biāo)準(zhǔn)發(fā)布 ISO 17799 ： 2005 正 式 更名為ISO 27002 : 2007 2013年10月19日修訂 原版使用： ISO 27001：2013 ISO 27002：2013 2007 2013 BS 7799-2：2002成為國 際標(biāo)準(zhǔn)ISO 27001：2005 ISO 17799：2000修訂升 級為ISO 17799：2005版 2005 將BS7799-2：2000進(jìn)行修 訂發(fā)布了BS7799-2：2002 2002 將BS 7799-2：1999進(jìn)行修 訂發(fā)布了BS7799-2：2000 2001

20、2000 在1998年、1999年絆過 兩次修訂之后出版 BS7799-1：1999 BS7799-2：1999 1998 /1999 1992 標(biāo)準(zhǔn)改版特點(diǎn)標(biāo)準(zhǔn)改版特點(diǎn) 管理體系更容易整合：在新版標(biāo)準(zhǔn)中采取Annex SL做結(jié)構(gòu) 性要求，使信息安全管理體系更容易與其他管理體系融合。 融入企業(yè)面臨新安全挑戰(zhàn)：對部分控制項(xiàng)進(jìn)行了合并、刪除， 并且新增了部分控制項(xiàng)以反映當(dāng)前信息安全發(fā)展趨勢。 更多指引延伸參考：新增許多指引供企業(yè)參考，組織可以通 過不同的面以及風(fēng)險進(jìn)行深度的強(qiáng)化。 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISMS在中國在中國 2000年前后，ISMS開始被中國

21、用戶認(rèn)識 2002年11月， ISMS國家標(biāo)準(zhǔn)開始被研究和制定 2005年6月15日，我國發(fā)布第一個ISMS國家標(biāo)準(zhǔn)“GB/T19716- 2005信息安全管理實(shí)用規(guī)則”，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000 2006年3月，國信辦在5個單位開展ISMS標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作 2006年4月，認(rèn)監(jiān)委批準(zhǔn)4家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu) 2006年11月，成立中國信息安全認(rèn)證中心 2007年4月，中國向國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1/SC27提出ISMS 審核標(biāo)準(zhǔn)提案 2008年 GB22080-2008-T信息技術(shù) 安全技術(shù) 信息安全 管理體系 要求 2008年 GB22081-2008

22、-T信息技術(shù) 安全技術(shù) 信息安全 管理實(shí)用 規(guī)則 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 u 可以強(qiáng)化員工的信息安全意識，規(guī)范組織信息安全行為。 u 對組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競爭優(yōu)勢。 u 在信息系統(tǒng)受到侵害時，確保業(yè)務(wù)連續(xù)開展并將損失降到最低程度。 u 向貿(mào)易伙伴證明對信息安全的承諾，使貿(mào)易伙伴和客戶對組織充滿信心。 u 如果通過體系認(rèn)證，表明組織的信息安全體系符合標(biāo)準(zhǔn)，證明組織有能力 保障重要信息，提高組織的知名度與信任度。 u 促使管理層堅(jiān)持貫徹信息安全保障體系。 通過通過ISO27001認(rèn)證的意義認(rèn)證的意義 2.3 ISO270002.3 IS

23、O27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISMS核心思想核心思想 IS0/IEC27001:2005IS0/IEC27001:2005的要求的要求 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 相關(guān)方相關(guān)方 受控的受控的 信息安全信息安全 信息安全信息安全 要求和期望要求和期望 相關(guān)方相關(guān)方 檢查檢查Check 建立ISMS 實(shí)施和 運(yùn)行 ISMS 保持和 改進(jìn)ISMS 監(jiān)視和 評審ISMS 規(guī)劃規(guī)劃Plan 實(shí)施實(shí)施 Do 處置處置 Act IS0/IEC27001:2005的要求的要求 PDCAPDCA各階段各階段內(nèi)容內(nèi)容對應(yīng)標(biāo)準(zhǔn)條款對應(yīng)標(biāo)準(zhǔn)條款 P-規(guī)劃規(guī)劃 建立建立ISMS 建立與管

24、理風(fēng)險和改進(jìn)信息安全有關(guān)的建立與管理風(fēng)險和改進(jìn)信息安全有關(guān)的ISMSISMS方方 針、目標(biāo)、過程和程序，以提供與組織整體方針、目標(biāo)、過程和程序，以提供與組織整體方 針和目標(biāo)相一致的結(jié)果針和目標(biāo)相一致的結(jié)果 4.1 4.2.1 4.3 5 D-實(shí)施實(shí)施 實(shí)施和運(yùn)行實(shí)施和運(yùn)行 ISMS 實(shí)施和運(yùn)行實(shí)施和運(yùn)行ISMSISMS方針、控制措施、過程和程序方針、控制措施、過程和程序 4.2.2 C-檢查檢查 監(jiān)視和評審監(jiān)視和評審 ISMS 對照對照ISMSISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評估并在適方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評估并在適 當(dāng)時，測量過程的執(zhí)行情況，并將結(jié)果報告管當(dāng)時，測量過程的執(zhí)行情況，并將結(jié)果報告

25、管 理者以供評審理者以供評審 4.2.3 6 7 A-處置處置 保持和改進(jìn)保持和改進(jìn) ISMS 基于基于ISMSISMS內(nèi)部審核和管理評審的結(jié)果或者其他內(nèi)部審核和管理評審的結(jié)果或者其他 相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn) ISMSISMS 4.2.4 8 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 11個控制域39個控制目標(biāo)133個控制項(xiàng) 10個控制域36個控制目標(biāo)127個控制項(xiàng) 對比ISO17799:2000老版 ISO27001系列標(biāo)準(zhǔn)的系列標(biāo)準(zhǔn)的ISMS主體內(nèi)容主體內(nèi)容 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族

26、標(biāo)準(zhǔn)族 uISO27001：源自BS7799-2框架體系 u是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范，一個完整的解決方案 安全策略安全策略 Security policy 人力資源安全人力資源安全 Human resources security 物理與環(huán)境安全物理與環(huán)境安全 Physical and environmental security 通信與操作管理通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開發(fā)和維信息系統(tǒng)獲取、開發(fā)和維 護(hù)護(hù) Information systems acquisition, developm

27、ent and maintenance 組織信息安全組織信息安全 Organizing information security 資產(chǎn)管理資產(chǎn)管理 Asset management 訪問控制訪問控制 Access control 信息安全事件管理信息安全事件管理 Information security incident management 業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理 Business continuity management 符合性符合性 Compliance ISO27001的內(nèi)容框架的內(nèi)容框架 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO/IEC27001的

28、要求的要求 pISO/IEC27001:2005 附錄附錄A的要求的要求 章節(jié)章節(jié)控制措施域控制措施域控制目標(biāo)控制目標(biāo)控制措施控制措施 A.5安全方針安全方針12 A.6信息安全組織信息安全組織211 A.7資產(chǎn)管理資產(chǎn)管理25 A.8人力資源安全人力資源安全39 A.9物理和環(huán)境安全物理和環(huán)境安全213 A.10通信和操作管理通信和操作管理1032 A.11訪問控制訪問控制725 A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)信息系統(tǒng)獲取、開發(fā)和維護(hù)616 A.13信息安全事故管理信息安全事故管理25 A.14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理15 A.15符合性符合性310 合計合計39133 2.3 ISO

29、270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISMS實(shí)施過程實(shí)施過程 前期準(zhǔn)備前期準(zhǔn)備現(xiàn)狀調(diào)查現(xiàn)狀調(diào)查 搜集搜集 基本信息基本信息 現(xiàn)場訪談現(xiàn)場訪談 GAP 問卷調(diào)查問卷調(diào)查 運(yùn)維現(xiàn)狀運(yùn)維現(xiàn)狀 問卷調(diào)查問卷調(diào)查 技術(shù)安全技術(shù)安全 現(xiàn)場檢查現(xiàn)場檢查 資產(chǎn)清單資產(chǎn)清單 風(fēng)險評估風(fēng)險評估體系建立體系建立 IT資產(chǎn)評估資產(chǎn)評估 確定確定 風(fēng)險水平風(fēng)險水平 IT過程評估過程評估 (試點(diǎn)試點(diǎn)) 培訓(xùn)培訓(xùn) 風(fēng)險管理風(fēng)險管理 策略策略 體系運(yùn)行體系運(yùn)行 體系文檔體系文檔 編寫編寫 培訓(xùn)培訓(xùn) 完善治理完善治理 機(jī)制機(jī)制 建立建立 安全組織安全組織 資產(chǎn)保護(hù)資產(chǎn)保護(hù) 過程改進(jìn)過程改進(jìn) 體系試運(yùn)行體系試運(yùn)行 體

30、系體系 正式運(yùn)行正式運(yùn)行 建立體系建立體系 審核機(jī)制審核機(jī)制 體系調(diào)整體系調(diào)整 培訓(xùn)培訓(xùn) 體系體系 認(rèn)證認(rèn)證 成立成立 項(xiàng)目小組項(xiàng)目小組 宣傳動員宣傳動員 確定項(xiàng)目確定項(xiàng)目 實(shí)施方案實(shí)施方案 培訓(xùn)培訓(xùn) 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 領(lǐng)導(dǎo)重視領(lǐng)導(dǎo)重視:制定信息安全方針為信息安全管理提供導(dǎo)向和 支持 控制目標(biāo)和控制方式的選擇建立在 風(fēng)險評估風(fēng)險評估 的基礎(chǔ)之 上 預(yù)防控制為主的思想原則 全員參與全員參與原則 動態(tài)管理原則 持續(xù)改進(jìn)持續(xù)改進(jìn): :遵循管理的一般循環(huán)模式PDCA模式 持續(xù)性原則 文件化文件化 ISO27001 實(shí)施體現(xiàn)以下原則實(shí)施體現(xiàn)以下原則 2.3 I

31、SO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 Procedures Work Instructions, checklists, forms, etc. Records Security Manual Policy, scope risk assessment, statement of applicability Describes processes who, what, when, where (4.1- 4.10) Describes how tasks and specific activities are done

32、 Provides objective evidence of compliance to ISMS requirements clause 3.6 Management framework policies relating to ISO27001:2005 Clause 4 Level 2 Level 3 Level 4 ISO27001體系要求基本文檔體系要求基本文檔 Level 1 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu) 運(yùn)行記錄運(yùn)行記錄 程序文件程序文件 方針方針 策略策略 作業(yè)文件作業(yè)文件/指導(dǎo)書指導(dǎo)書 第一級第一級 方針策略方針策略 信息安全管理手冊信息安全管理手冊是是XXXX

33、信信 息安全管理工作的綱領(lǐng)性文件息安全管理工作的綱領(lǐng)性文件 。 第二級第二級 管理規(guī)定、規(guī)范、程序文件用來規(guī)定所要求管理規(guī)定、規(guī)范、程序文件用來規(guī)定所要求 的管理制度或技術(shù)控制措施。的管理制度或技術(shù)控制措施。 第三級第三級 作業(yè)指導(dǎo)書解釋特殊工作和活動的細(xì)節(jié)作業(yè)指導(dǎo)書解釋特殊工作和活動的細(xì)節(jié) ； 場所文件規(guī)定某一工作區(qū)域的要求場所文件規(guī)定某一工作區(qū)域的要求 。 第四級第四級 記錄活動實(shí)行以符合等級記錄活動實(shí)行以符合等級1,2,和和3的文件的文件 要求的客觀證據(jù)，闡明所取得的結(jié)果或要求的客觀證據(jù)，闡明所取得的結(jié)果或 提供完成活動的證據(jù)提供完成活動的證據(jù) 2.3 ISO270002.3 ISO27

34、000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu)-主策略主策略 運(yùn)行記錄運(yùn)行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導(dǎo)書指導(dǎo)書 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu)-程序文件程序文件 運(yùn)行記錄運(yùn)行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導(dǎo)書指導(dǎo)書 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu)-操作流程操作流程 運(yùn)行記錄運(yùn)行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導(dǎo)書指導(dǎo)書 2.3 ISO270002.

35、3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO27001文檔體系結(jié)構(gòu)文檔體系結(jié)構(gòu) 運(yùn)行記錄運(yùn)行記錄 程序文件程序文件 主主 策略策略 作業(yè)文件作業(yè)文件/指導(dǎo)書指導(dǎo)書 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO27001 ISO27001 最新版本為最新版本為ISO 27001:2013ISO 27001:2013 20132013年年1010月正式發(fā)布月正式發(fā)布 對比：對比： ISO 27001:2013 1414個控制域個控制域 3535個控制目標(biāo)個控制目標(biāo) 114114個控制項(xiàng)個控制項(xiàng) ISO 27001:2005 11 11個控制域個控制域 3939個控制目標(biāo)個控制目

36、標(biāo) 133133個控制項(xiàng)個控制項(xiàng) 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO Guide 83：國際標(biāo)準(zhǔn)未來框架 單化，這也將使標(biāo)準(zhǔn)更易讀、易懂。 所 有 管 理 體 系 標(biāo) 準(zhǔn) 將 遵 循 ISO Supplement Annex SL 的要求，以便整 合其他標(biāo)準(zhǔn)文件中的不同主題和要求， 如： 統(tǒng)一定義，如：統(tǒng)一定義，如： 組織、相關(guān)方、方針、目標(biāo)、能力、 符合性 統(tǒng)一的表述，如：統(tǒng)一的表述，如： 最高管理者應(yīng)確保組織內(nèi)的職責(zé)、 權(quán)限得到規(guī)定和溝通。 1. Scope 范圍 2. Normative Reference 規(guī)范性引用文件 4. Context of t

37、he Organization 組織環(huán)境 5. Leadership 領(lǐng)導(dǎo)力 6. Planning 策劃 7. Support 支持 8. Operation 運(yùn)行 9. Performance Evaluation 績效評價 10. Improvement 改進(jìn) ISO 27001 ISO 20000ISO 22301 . 導(dǎo)則導(dǎo)則83： 明確了明確了 ISO國際標(biāo)準(zhǔn)未來發(fā)展框架及方向國際標(biāo)準(zhǔn)未來發(fā)展框架及方向 3. Terms and Definitions 術(shù)語和定義 管理體系標(biāo)準(zhǔn)新結(jié)構(gòu)和格式 國際標(biāo)準(zhǔn)化組織對管理體系標(biāo)準(zhǔn)在 結(jié)構(gòu)、格式、通用短語和定義方面進(jìn) 行了統(tǒng)一。這將確保今后編制

38、或修訂 管理體系標(biāo)準(zhǔn)的持續(xù)性、整合性和簡 PAS 99：整合管理體系 4. Context of the Organization 組織環(huán)境 PAS 99 Integrated Management Framework 5. Leadership 領(lǐng)導(dǎo)力 Plan 6. Planning 策劃 7. Support 支持 DO 8. Operation 運(yùn)行 Check 10. Improvement 改進(jìn) Act 9. Performance Evaluation 績效評價 ISO 27001:2013標(biāo)準(zhǔn)結(jié)構(gòu)調(diào)整 相關(guān)方 相關(guān)方 信息安全 要求和期望 受控的 信息安全 輸入 組織環(huán)境 領(lǐng)導(dǎo)

39、力 策劃 支持 改進(jìn) 績效評價 輸入 運(yùn)行 文件信息 新標(biāo)準(zhǔn)正文內(nèi)容結(jié)構(gòu) 2.3 ISO270002.3 ISO27000標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 ISO27001:2013文檔結(jié)構(gòu)與PDCA 新標(biāo)準(zhǔn)正文結(jié)構(gòu)變化 0.前言 1.范圍 2.規(guī)范性引用文件 3.術(shù)語和定義 4.信息安全管理體系 4.1 總要求 4.2 建立和管理ISMS 4.3 文件要求 5.管理職責(zé) 6.ISMS內(nèi)部審核 7.ISMS的管理評審 8.ISMS 改進(jìn) 0.前言 1.范圍 2.規(guī)范性引用文件 3.術(shù)語和定義 4. 組織環(huán)境 5. 領(lǐng)導(dǎo)力 6. 策劃 7. 支持 8. 運(yùn)行 9. 績效評價 10. 改進(jìn) 章節(jié) 描述 4.組織環(huán)境

40、屬于Plan階段的一個組成部分。 本章介紹了建立適用于組織信息安全管理環(huán)境的必要要求，包括需求、要求與范圍。 本章涉及了解組織現(xiàn)狀及背景、明確建立信息安全管理體系的目的、理解相關(guān)方的需求與期望、確定信 息安全管理體系范圍。 5.領(lǐng)導(dǎo)力 屬于Plan階段的一個組成部分。 本章總結(jié)了最高管理層在信息安全管理體系中承擔(dān)角色的具體要求，以及如何通過一件聲明的策略來向 組織傳達(dá)領(lǐng)導(dǎo)層的期望。 本章涉及了領(lǐng)導(dǎo)力和承諾、信息安全方針目標(biāo)，以及角色、職責(zé)和承諾。 6.策劃 屬于Plan階段的一個組成部分。 本章介紹了處理風(fēng)險和機(jī)遇的行動，以及可實(shí)現(xiàn)的信息安全目標(biāo)與實(shí)現(xiàn)計劃。 本章涉及了信息安全風(fēng)險評估、風(fēng)險所

41、有者、信息安全風(fēng)險處置、適用性聲明、信息安全目標(biāo)。 7.支持 屬于Plan階段的一個組成部分。 參與人員的能力、意識、與利益相關(guān)方溝通、文檔化信息。 新標(biāo)準(zhǔn)正文內(nèi)容簡介 本章詳細(xì)敘述了建立、實(shí)施、保持和改進(jìn)一個有效的信息安全管理體系所要求的支持。包括：資源要求、 章節(jié)描述 8.運(yùn)行屬于Do階段的一個組成部分。 本章要求組織計劃并控制信息安全要求的運(yùn)行。 本章涉及運(yùn)行計劃及控制、信息安全風(fēng)險評估、信息安全風(fēng)險處置。 9.績效評價屬于Check階段的一個組成部分。 本章總結(jié)了度量ISMS執(zhí)行、ISMS國際標(biāo)準(zhǔn)及管理層期望的符合性、尋求管理層期望反饋的要求。 本章涉及監(jiān)控、度量、分析和評價，內(nèi)部審核

42、，管理評審。 10.改進(jìn)屬于Act階段的一個組成部分。 本章定義了通過糾正行動來識別和改進(jìn)不符合項(xiàng)。 本章涉及不符合項(xiàng)與糾正措施、持續(xù)改進(jìn)。 新標(biāo)準(zhǔn)正文內(nèi)容簡介 新標(biāo)準(zhǔn)控制域變化 ISO 27001：2013 DIS A.5 安全方針 A.6 信息安全組織 A.7 人力資源安全 A.8 資產(chǎn)管理 A.9 訪問控制 A.10 密碼學(xué)(新增) A.11 物理與環(huán)境安全 A.12 操作安全(拆分） A.13 通信安全（拆分） A.14 信息系統(tǒng)獲取、開發(fā)和維護(hù) A.15 供應(yīng)關(guān)系(新增) A.16 信息安全事件管理 A.17 信息安全方面的業(yè)務(wù)連續(xù)性管理 A.18 符合性 ISO 27001：200

43、5 A.5 安全方針 A6 信息安全組織 A7 資產(chǎn)管理 A8 人力資源安全 A9 物理與環(huán)境安全 A10 通信和操作管理 A11 訪問控制 A12 信息系統(tǒng)獲取、開發(fā)和維護(hù) A13 信息安全事件管理 A14 業(yè)務(wù)連續(xù)性管理 A15 符合性 Tips 2005版原本有11個領(lǐng)域、133項(xiàng)控制措施；新版標(biāo)準(zhǔn)目前調(diào)整為14個領(lǐng)域、113個控制措施. 控制措施變化：增加11個、刪除26個、合并減少5個，總計減少了20個。 控制項(xiàng)描述說明 A.6.1.4項(xiàng)目管理中的信息安全信息安全應(yīng)融入項(xiàng)目管理中，與項(xiàng)目類型無關(guān)。加強(qiáng)項(xiàng)目中的安全管理。 A.12.6.2限制軟件安裝應(yīng)建立規(guī)則來控制用戶安裝軟件控制版權(quán)

44、及技術(shù)漏洞風(fēng)險。 A.14.2.1安全開發(fā)策略應(yīng)制定及應(yīng)用關(guān)于軟件和系統(tǒng)的開發(fā)規(guī)則加強(qiáng)信息系統(tǒng)生命周期中 的信息安全管理，建立安 全開發(fā)策略、程序與流程。 A.14.2.5系統(tǒng)開發(fā)程序應(yīng)建立安全系統(tǒng)開發(fā)流程，記彔，維護(hù)并應(yīng)用到任何信息系統(tǒng)開發(fā) 工作 A.14.2.6安全的開發(fā)環(huán)境組織應(yīng)建立并適當(dāng)保護(hù)開發(fā)環(huán)境安全，并集成涵蓋整個系統(tǒng)開發(fā)周 期的工作 A.14.2.8系統(tǒng)安全性測試在開發(fā)的過程中，必須測試功能的安全性 A.15.1.3ICT(信息和通信技術(shù))供 應(yīng)鏈 與供應(yīng)商的協(xié)議應(yīng)包括解決信息、通信技術(shù)服務(wù)、產(chǎn)品供應(yīng)鏈相關(guān) 信 息安全風(fēng)險的要求 控制供應(yīng)鏈中斷風(fēng)險。 A.16.1.4信息安全事件

45、的評估和 決策 信息安全事件應(yīng)當(dāng)被評估與決策，若其被歸類為信息安全事件。完善信息安全事件管理生 命周期。 A.16.1.5信息安全事故的響應(yīng)信息安全事件應(yīng)依照程序文件響應(yīng) A.17.1.2實(shí)現(xiàn)信息安全的連續(xù)性 組織應(yīng)建立、記彔、實(shí)施并維護(hù)流程、程序、控制項(xiàng)，以保證在不 利情況下要求的信息安全連續(xù)性的等級。 加強(qiáng)可用性管理，完善原 BCM(業(yè)務(wù)連續(xù)性)管理的生 命周期。 A.17.2.1信息處理設(shè)施的可用性 信息處理設(shè)施應(yīng)當(dāng)實(shí)現(xiàn)冗余，以滿足可用性需求。 新增控制措施介紹 ISO 27001：2013 DISISO 27001：2005 A.6.1.1信息安全的角色和 職責(zé)A.6.1.3 信息安全

46、職責(zé)的分配 A.8.1.1 角色和職責(zé) A.9.2.1用戶注冊和注銷A.11.2.1 用戶注冊 A.11.5.2 用戶標(biāo)識和鑒別 A.9.4.2安全登彔程序A.11.5.1 安全登彔規(guī)程 A.11.5.5 會話超時 A.11.5.6 聯(lián)機(jī)時間的限定 A.12.4.2管理員和操作員日 志A.10.10.3 日志信息的保護(hù) A.10.10.4 管理員和操作員日志 A.14.1.2保護(hù)公共網(wǎng)絡(luò)上的應(yīng)用服務(wù)A.10.9.1 電子商務(wù) A.10.9.3 公共可用信息 合并控制措施介紹 刪除控制措施理由 A.6.1.1信息安全的管理承諾在ISO 27001正文中管理層承諾中已絆包含其內(nèi)容 A.6.1.2信

47、息安全協(xié)調(diào)內(nèi)容與ISO 27003中關(guān)于ISMS建立與實(shí)施的內(nèi)容重復(fù) A.6.1.4信息處理設(shè)施的授權(quán)過程在A6.1.1中的一部分，沒有必要再單獨(dú)出現(xiàn) A.6.2.1與外部各方相關(guān)風(fēng)險的識別在ISO 27001正文風(fēng)險評估與處理中已絆體現(xiàn) A.6.2.2處理與顧客有關(guān)的安全問題在ISO 27001正文風(fēng)險評估與處理中已絆體現(xiàn) A.10.2.1服務(wù)交付沒有原因 A.10.7.4系統(tǒng)文件安全系統(tǒng)文件也屬于信息資產(chǎn)，他們?nèi)绾伪Ｗo(hù)取決于其風(fēng)險 A.10.8.5業(yè)務(wù)信息系統(tǒng)該控制項(xiàng)幾乎涉及整個標(biāo)準(zhǔn)，控制效果不明顯 A.10.10.2監(jiān)視系統(tǒng)的使用是Event Logging（A12.4.1）控制措施的子

48、集 A.10.10.5故障日志是Event Logging（A12.4.1）控制措施的子集 刪除控制措施介紹 刪除控制措施理由 A.11.4.2外部連接的用戶鑒別被相關(guān)內(nèi)容被access control(A.9.1.1)涵蓋 A.11.4.3網(wǎng)絡(luò)上的設(shè)備識別相關(guān)內(nèi)容被 networks control（A.13.1.3）涵蓋 A.11.4.4 遠(yuǎn)程診斷和配置端口的保護(hù)相關(guān)內(nèi)容被 networks control（A.13.1.3）涵蓋 A.11.4.6網(wǎng)絡(luò)連接控制相關(guān)內(nèi)容被 networks control（A.13.1.3）涵蓋 A.11.4.7 網(wǎng)絡(luò)路由控制相關(guān)內(nèi)容被 networks c

49、ontrol（A.13.1.3）涵蓋 A.11.6.2敏感系統(tǒng)隔離在互聯(lián)互通的世界這個控制措施的目標(biāo)很難實(shí)現(xiàn) A.12.2.1輸入數(shù)據(jù)確訃相關(guān)內(nèi)容在System development procedures（A.14.2.5）體現(xiàn) A.12.2.2內(nèi)部處理的控制相關(guān)內(nèi)容在System development procedures（A.14.2.5）體現(xiàn) A.12.2.3消息完整性相關(guān)內(nèi)容在 Information transfer policies and procedures （A.13.2.1）體現(xiàn) A.12.2.4輸出數(shù)據(jù)確訃相關(guān)內(nèi)容在System development procedu

50、res（A.14.2.5）體現(xiàn) 刪除控制措施介紹 刪除控制措施理由 A.12.5.4信息泄露相關(guān)內(nèi)容在A.8.3.2/A.11.2.1/A.12.6.2/A.13.2.4和其他 區(qū)域都有涉及 A.14.1.1 在業(yè)務(wù)連續(xù)性管理過程中包含信息安全相關(guān)控制內(nèi)容在Implementing information security continuity（A.17.1.2）有體現(xiàn) A.14.1.3制定和實(shí)施包含信息安全的連續(xù)性計劃相關(guān)控制內(nèi)容在Implementing information security continuity（A.17.1.2）有體現(xiàn) A.14.1.4 業(yè)務(wù)連續(xù)性計劃框架相關(guān)控制內(nèi)

51、容在Implementing information security continuity（A.17.1.2）有體現(xiàn) A.15.1.5防止濫用信息處理設(shè)施該控制內(nèi)容與英國的一部法律相關(guān) A.15.3.2信息系統(tǒng)審計工具的保護(hù)審計工具也屬于信息資產(chǎn)，其保護(hù)由其有風(fēng)險決定 刪除控制措施介紹 序號標(biāo)準(zhǔn)編號標(biāo)準(zhǔn)名稱出版年件 1ISO/IEC 27000信息技術(shù)-安全技術(shù)-信息安全管理體系-概述與術(shù)語2009 2ISO/IEC 27001信息技術(shù)-安全技術(shù)-信息安全管理體系-要求2005 3ISO/IEC 27002信息技術(shù)-安全技術(shù)-信息安全管理實(shí)用規(guī)則2005 4ISO/IEC 27003信息技術(shù)

52、-安全技術(shù)-信息安全管理體系實(shí)施指南2010 5ISO/IEC 27004信息技術(shù)-安全技術(shù)-信息安全管理-度量2009 6ISO/IEC 27005信息技術(shù)-安全技術(shù)-信息安全風(fēng)險管理2011 7ISO/IEC 27006信息技術(shù)-安全技術(shù)-信息安全管理體系訃證機(jī)構(gòu)要求2007 8ISO/IEC 27007信息技術(shù)-安全技術(shù)-信息安全管理體系審核指南2011 9ISO/IEC 27008信息技術(shù)-安全技術(shù)-ISMS控制措施的審核員指南2011 10ISO/IEC 27010信息技術(shù)-安全技術(shù)-部門間和組織間通信的信息安全管理2012 11ISO/IEC 27011信息技術(shù)-安全技術(shù)-通訊行業(yè)

53、基于ISO/IEC 27002的信息安全管理指 南 2008 ISO 27000標(biāo)準(zhǔn)系列 序號標(biāo)準(zhǔn)編號標(biāo)準(zhǔn)名稱出版年件 12 ISO/IEC 27013 信息技術(shù)-安全技術(shù)- ISO/IEC 27001與 ISO/IEC 20000-1整合實(shí)施指 南 2012 13 ISO/IEC 27014 信息技術(shù)-安全技術(shù)- 信息安全治理架構(gòu) 2013 14 ISO/IEC 27015 信息技術(shù)-安全技術(shù)- 金融服務(wù)行業(yè)信息安全管理指南 2012 15 ISO/IEC 27017 信息技術(shù)-安全技術(shù)- 信息安全管理-基于ISO/IEC 27002使用云計算服 務(wù)信息安全控制措施指南 未發(fā)布 16 ISO

54、/IEC 27018 信息技術(shù)-安全技術(shù)- 公共云計算服務(wù)數(shù)據(jù)保護(hù)控制措施實(shí)用規(guī)則未發(fā)布 17 ISO/IEC 27031 信息技術(shù)-安全技術(shù)-業(yè)務(wù)連續(xù)性信息通信技術(shù)準(zhǔn)備指南 2011 18 ISO/IEC 27032 信息技術(shù)-安全技術(shù)-網(wǎng)絡(luò)安全技術(shù)指南 2012 19 ISO/IEC 27033-1 信息技術(shù)-安全技術(shù)-網(wǎng)絡(luò)安全-概述與概念 2009 20 ISO/IEC 27033-2 信息技術(shù)-安全技術(shù)-網(wǎng)絡(luò)安全-網(wǎng)絡(luò)安全設(shè)計與實(shí)施指南 2012 21 ISO/IEC 27033-3 信息技術(shù)-安全技術(shù)-網(wǎng)絡(luò)安全-參考網(wǎng)絡(luò)場景-威脅、設(shè)計技術(shù)與控制 問題 2010 ISO 27000標(biāo)

55、準(zhǔn)系列 序號標(biāo)準(zhǔn)編號標(biāo)準(zhǔn)名稱出版年件 22 ISO/IEC 27034-1 信息技術(shù)-安全技術(shù)-應(yīng)用安全-應(yīng)用安全概述與概念 2011 23 ISO/IEC 27034-2 信息技術(shù)-安全技術(shù)-應(yīng)用安全-組織規(guī)范框架未發(fā)布 24 ISO/IEC 27034-3 信息技術(shù)-安全技術(shù)-應(yīng)用安全-應(yīng)用安全管理流程未發(fā)布 25 ISO/IEC 27034-4 信息技術(shù)-安全技術(shù)-應(yīng)用安全-應(yīng)用安全驗(yàn)證未發(fā)布 26 ISO/IEC 27034-5 信息技術(shù)-安全技術(shù)-應(yīng)用安全-協(xié)議和應(yīng)用安全控制數(shù)據(jù)結(jié)構(gòu)未發(fā)布 27 ISO/IEC 27034-6 信息技術(shù)-安全技術(shù)-應(yīng)用安全-特定應(yīng)用安全指南未發(fā)布 2

56、8 ISO/IEC 27035 信息技術(shù)-安全技術(shù)-信息安全事件管理 2011 29 ISO/IEC 27036 信息技術(shù)-安全技術(shù)-供應(yīng)關(guān)系信息安全（4部分）未發(fā)布 30 ISO/IEC 27040 信息技術(shù)-安全技術(shù)-存儲安全未發(fā)布 31 ISO/IEC 27044 信息技術(shù)-安全技術(shù)-安全信息與事態(tài)管理指南未發(fā)布 ISO 27000標(biāo)準(zhǔn)系列 ISO27001:2013 DIS版草稿向 公眾開放并征求意見。2013年 6-7 月發(fā)布DIS最終版。 發(fā)布發(fā)布DIS最終版最終版 ISO 組 織 公 布 的 正 式 版 本的頒布時間為2013年10月 19日。 發(fā)布正式版發(fā)布正式版 個月內(nèi)是認(rèn)證

57、轉(zhuǎn)換緩沖期， 即 原 有 已 取 得 ISO27001 證 書的企業(yè)最遲需要在2015年 10月19日前轉(zhuǎn)換到新版標(biāo)準(zhǔn)。 完成認(rèn)證轉(zhuǎn)換完成認(rèn)證轉(zhuǎn)換 新標(biāo)準(zhǔn)認(rèn)證轉(zhuǎn)換時間安排 在 新 版 公 布 后 的 18 至 24 體系認(rèn)證換證方案 PlanDoCheckAction 最佳實(shí)踐國際國內(nèi)標(biāo)準(zhǔn)監(jiān)管要求法律法規(guī) 安全實(shí)踐 項(xiàng)目準(zhǔn)備 獲 得 新 版 證 書 現(xiàn)狀調(diào)研風(fēng)險評估 體系建設(shè)體系運(yùn)行認(rèn)證審核 1.項(xiàng)目資源準(zhǔn)備 2.項(xiàng)目計劃編制 3.實(shí)施工具準(zhǔn)備 4.項(xiàng)目啟勱大會 5.新版標(biāo)準(zhǔn)培訓(xùn) 課堂培訓(xùn)、共同實(shí)施、資料交付、知識轉(zhuǎn)移 1.體系文件評審 2.現(xiàn)場訪談走查 3.安全技術(shù)評估 4.新版差距分析 5

58、.現(xiàn)狀調(diào)研總結(jié) 1.評估方法更新 2.信息資產(chǎn)更新 3.安全風(fēng)險分析 4.安全風(fēng)險處置 5.風(fēng)險評估總結(jié) 1.體系整合設(shè)計 2.文件架構(gòu)更新 3.制度文件編寫 4.制度文件評審 5.制度文件發(fā)布 1.體系運(yùn)行跟蹤 2.運(yùn)行工具更新 3.體系內(nèi)部審核 4.體系管理評審 5.體系持續(xù)改進(jìn) 1.宣傳培訓(xùn) 2.文件審核 3.現(xiàn)場審核 4.審核整改 5.宣傳展示 系統(tǒng)安全工程能力成熟度模型系統(tǒng)安全工程能力成熟度模型 （System Security Engineering-Capability Maturity ModelSystem Security Engineering-Capability Ma

59、turity Model，SSE-CMMSSE-CMM） 的提出是為了改善安全系統(tǒng)、產(chǎn)品和服務(wù)的性能、價格的提出是為了改善安全系統(tǒng)、產(chǎn)品和服務(wù)的性能、價格 及可用性。及可用性。 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理體系的管理體系 SSE-CMMSSE-CMM是一個過程參考模型是一個過程參考模型 關(guān)注的是信息技術(shù)安全(ITS)領(lǐng)域內(nèi)某個系統(tǒng)或者若干相 關(guān)系統(tǒng)實(shí)現(xiàn)安全的要求 SSE-CMM關(guān)注的是用來實(shí)現(xiàn)ITS的過程，尤其是這些過程 的成熟度 SSE-CMM的目的不是規(guī)定組織使用的具體過程，更不必說 具體的方法。而是希望準(zhǔn)備使用SSE-CMM的組織利用其現(xiàn) 有的過程那些以其他

60、任何信息技術(shù)安全指導(dǎo)文件為基 礎(chǔ)的過程 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理體系的管理體系 SSE-CMM范圍包括：范圍包括： 涉及整個生存周期的安全產(chǎn)品或可信系統(tǒng)的系統(tǒng)安全工 程活動： 概念定義、需求分析、設(shè)計、開發(fā)、集成、概念定義、需求分析、設(shè)計、開發(fā)、集成、 安裝、運(yùn)行、維護(hù)、最終退役安裝、運(yùn)行、維護(hù)、最終退役 對產(chǎn)品開發(fā)商、安全系統(tǒng)開發(fā)和集成商，以及提供計算 機(jī)安全服務(wù)和計算機(jī)安全工程組織的要求； 適用于從商業(yè)界到政府部門和學(xué)術(shù)界的各種類型和規(guī)模 的安全工程組織。 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理體系的管理體系 【原文標(biāo)準(zhǔn)名稱原文標(biāo)準(zhǔn)名稱