ISO27001 信息安全管理體系

1、ISO17799/BS7799 信息安全管理體系簡(jiǎn)介什么是信信息？Informationisanassetwhich,like other importantbusinessassets,has value to an organizationandconsequently needs to be suitably protected.信息是一一種資產(chǎn)產(chǎn)，就如如同其他他的商業(yè)業(yè)資產(chǎn)一一樣，對(duì)對(duì)一個(gè)組組織而言言是具有有價(jià)值的的，因而而需要妥妥善保護(hù)護(hù)。ISO17799/BS7799Part1:19992信息的類類型政府信息息-國(guó)內(nèi)重要要的信息息內(nèi)部信息息-不希望競(jìng)競(jìng)爭(zhēng)對(duì)手手得到的的信息客戶信息息

2、-不希望被被泄露的的信息與貿(mào)易伙伙伴共享享的信息息公開(kāi)信息息-任何人都都可以自自由使用用的列印或?qū)憣?xiě)在紙張張上的用電子方方式儲(chǔ)存存的以郵件傳傳輸（包包括電子子郵件）以影視或或膠片方方式表現(xiàn)現(xiàn)的語(yǔ)言交談?wù)?什么需要要保護(hù)？保護(hù)重要要的商業(yè)業(yè)“信息息”資產(chǎn)產(chǎn)維持競(jìng)爭(zhēng)爭(zhēng)優(yōu)勢(shì)法律的要要求商業(yè)形象象安全威脅脅安全脆弱弱分瘠的安安全技術(shù)術(shù)4信息-成長(zhǎng)及成成功的關(guān)關(guān)鍵因素素15000份的醫(yī)療療日志培培圾桶中中在被發(fā)發(fā)現(xiàn)30000個(gè)用戶密密碼在Internet上公布推廣的照照片提前前出現(xiàn)在在新聞書(shū)書(shū)刊上銀行支付付數(shù)百萬(wàn)萬(wàn)元給勒勒索者25位開(kāi)發(fā)部部的同事事跳槽至至競(jìng)爭(zhēng)者者公司為何信息息安全是是如此重重要？5盜竊

3、：每每失竊或或損壞價(jià)價(jià)值一英英鎊的信信息技術(shù)術(shù)設(shè)備，將造成成十英鎊鎊商業(yè)損損失。英英國(guó)工業(yè)業(yè)在1996年由電腦腦失竊而而造成的的損失超超過(guò)460億英鎊。INTERNET：美國(guó)五五角大樓樓每日可可偵測(cè)到到80至100個(gè)駭客入入侵。電 腦入入侵侵：電腦腦駭客入入侵每年年以45%的速率在在增長(zhǎng)。電 子郵郵件件：10%信息無(wú)意意義，9%包含機(jī)密密信息，2%笑話及2%帶病毒。病毒毒：起過(guò)過(guò)10000個(gè)病毒經(jīng)經(jīng)常性的的影響我我的電腦腦及每月月有150-200新的病毒毒產(chǎn)生。Source:Worldtalk Corporation E-mailsurveillanceprogramme.&Computerw

4、eekly 1999/09/19為何信息息安全是是如此重重要？（續(xù)）6安全風(fēng)險(xiǎn)險(xiǎn)法律和合合約的需需求內(nèi)部的原原則，目目標(biāo)和需需求從收集控控制方式式與適當(dāng)當(dāng)?shù)男枨笄蟮燃?jí)開(kāi)開(kāi)始！安全需求求7ISMS發(fā)展歷史史820001993199519981999ISO17799/BS7799發(fā)布瑞典開(kāi)始始試點(diǎn)認(rèn)認(rèn)證瑞典標(biāo)準(zhǔn)準(zhǔn)SS627799Part 12發(fā)布新版英國(guó)國(guó)標(biāo)準(zhǔn)BS7799 Part12發(fā)布英國(guó)開(kāi)始始試點(diǎn)認(rèn)認(rèn)證英國(guó)公布布BS7799第二部份份（Part2）英國(guó)公布布BS7799第一部份份（Part2）率先由英英國(guó)貿(mào)工工部倡導(dǎo)導(dǎo)ISO17799/BS7799StructureManagement ov

5、erviewISO17799/BS7799,Part1-GuidelinesIndextounderlying level(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelines forCertification10Confidentiality保密性Integrity完整性Availability可用性信息安全全11ISO17799/BS7799定義信息息安全如如下：保密性：確保只只有被授授權(quán)的人人員才能能

6、操作信信息完整性：確保信信息的完完整和正正確可用性：確保信信息在需需要時(shí)隨隨時(shí)可以以獲得信息安全全12管理者的的承諾-方針目目標(biāo)組織，包包含定義義職責(zé)系統(tǒng)結(jié)構(gòu)構(gòu)程序文件管制制與ISO9000相同之處處記錄管理理培訓(xùn)管理評(píng)核核糾正與預(yù)預(yù)防措施施13風(fēng)險(xiǎn)評(píng)估估與適用用性聲明明選擇適宜宜的控制制安全目標(biāo)標(biāo)實(shí)現(xiàn)的的驗(yàn)證安全產(chǎn)品品正確執(zhí)執(zhí)行的驗(yàn)驗(yàn)證堅(jiān)持程序序作業(yè)的的驗(yàn)證與ISO9000不同之處處14風(fēng)險(xiǎn)評(píng)估估業(yè)務(wù)持續(xù)續(xù)計(jì)劃兩個(gè)階段段的認(rèn)證證與ISO14000及OHSAS1800相同之處處15ISO17799/BS7799Part1-信息安全全管理實(shí)實(shí)施規(guī)則則ISO17799/BS7799Part2-信息

7、安全全管理體體系規(guī)范范ISO17799/BS7799標(biāo)準(zhǔn)16Chapter 范圍Chapter 術(shù)語(yǔ)和定定義Chapter 安全方針針Chapter 組織安全全Chapter 資產(chǎn)分類類和控制制Chapter 人員安全全第一部份份-章節(jié)Chapter 實(shí)物和環(huán)環(huán)境安全全Chapter 通信和操操作管理理Chapter 訪問(wèn)控制制Chapter 系統(tǒng)開(kāi)發(fā)發(fā)和維護(hù)護(hù)Chapter 商務(wù)連續(xù)續(xù)性管理理Chapter 符合性17信息安全全管理體體系需求求：10項(xiàng)控制細(xì)細(xì)則36個(gè)控制目目標(biāo)127個(gè)控制方方式第二部分分的內(nèi)容容18Chapter 范圍Chapter 術(shù)語(yǔ)和定定義Chapter 信息安全全管

8、理體體系要求求Chapter 控制細(xì)則則（與第第一部份份對(duì)應(yīng)）第二部份份-章節(jié)1941安全方針針42組織安全全43資產(chǎn)分類類和控制制44人員安全全45實(shí)物和環(huán)環(huán)境安全全第二部份份-章節(jié)46通信和操操作管理理47訪問(wèn)控制制48系統(tǒng)開(kāi)發(fā)發(fā)和維護(hù)護(hù)49商務(wù)連續(xù)續(xù)性管理理410符合性20信息安全全管理體體系的實(shí)實(shí)施21持續(xù)改善善安全方針針評(píng)估檢查執(zhí)行計(jì)劃管理評(píng)審審確定范圍圍風(fēng)險(xiǎn)分析析控制目標(biāo)標(biāo)與控制制方式適用性聲聲明業(yè)務(wù)持續(xù)續(xù)計(jì)劃組織安全全資產(chǎn)分類類與控制制人員安全全實(shí)物與環(huán)環(huán)境安全全重要作業(yè)業(yè)的保護(hù)護(hù)包含保保護(hù)的資資料能法律法法規(guī)的符符合性安全方針針?lè)闲孕园踩夹g(shù)術(shù)的符合合性風(fēng)險(xiǎn)評(píng)估估和風(fēng)險(xiǎn)險(xiǎn)管理

9、22通過(guò)移動(dòng)避光減少重要度可能性第一部份份-章節(jié)UKAS protocolAccredits for 7799 vanillaRecognises competent auditorsAccepts c:cure registrationAs proof of competence Could accredit CB for 7799 without c:cureLogo of CB & UKAS onlyDISC protocolUKAS is still the accreditorIRCA registers auditorsc:cure auditor requirements are quite specific:EducationExperienceTrainingExaminationInterviewConti