ISO 信息安全管理體系

ISO17799/BS7799信息安全管理體系簡介

什么是信息？Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.信息是一種資產，就如同其他的商業(yè)資產一樣，對一個組織而言是具有價值的，因而需要妥善保護。ISO17799/BS7799Part1:19992

信息的類型政府信息-國內重要的信息內部信息-不希望競爭對手得到的信息客戶信息-不希望被泄露的信息與貿易伙伴共享的信息公開信息-任何人都可以自由使用的列印或寫在紙張上的用電子方式儲存的以郵件傳輸（包括電子郵件）以影視或膠片方式表現(xiàn)的語言交談3

什么需要保護？保護重要的商業(yè)“信息”資產維持競爭優(yōu)勢法律的要求商業(yè)形象安全威脅安全脆弱分瘠的安全技術4信息-成長及成功的關鍵因素15000份的醫(yī)療日志培圾桶中在被發(fā)現(xiàn)30000個用戶密碼在Internet上公布推廣的照片提前出現(xiàn)在新聞書刊上銀行支付數百萬元給勒索者25位開發(fā)部的同事跳槽至競爭者公司

為何信息安全是如此重要？5盜竊：每失竊或損壞價值一英鎊的信息技術設備，將造成十英鎊商業(yè)損失。英國工業(yè)在1996年由電腦失竊而造成的損失超過460億英鎊。INTERNET：美國五角大樓每日可偵測到80至100個駭客入侵。電腦入侵：電腦駭客入侵每年以45%的速率在增長。電子郵件：10%信息無意義，9%包含機密信息，2%笑話及2%帶病毒。病毒：起過10000個病毒經常性的影響我的電腦及每月有150-200新的病毒產生。Source:WorldtalkCorporationE-mailsurveillanceprogramme.&Computerweekly1999/09/19

為何信息安全是如此重要？（續(xù)）6安全風險法律和合約的需求內部的原則，目標和需求從收集控制方式與適當的需求等級開始！

安全需求7ISMS發(fā)展歷史820001993199519981999ISO17799/BS7799發(fā)布

瑞典開始試點認證瑞典標準SS627799Part1＆2發(fā)布新版英國標準BS7799Part1＆2發(fā)布英國開始試點認證英國公布BS7799第二部份（Part2）英國公布BS7799第一部份（Part2）率先由英國貿工部倡導

ISO17799/BS7799StructureManagementoverviewISO17799/BS7799,Part1-GuidelinesIndextounderlyinglevel(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelinesforCertification10Confidentiality保密性Integrity完整性Availability可用性

信息安全11ISO17799/BS7799定義信信息安安全如如下：：保密性性：確確保只只有被被授權權的人人員才才能操操作信信息完整性性：確確保信信息的的完整整和正正確可用性性：確確保信信息在在需要要時隨隨時可可以獲獲得信息安安全12管理者者的承承諾-方針＆＆目標標組織，，包含含定義義職責責系統(tǒng)結結構程序文件管管制與ISO9000相同之之處記錄管管理培訓管理評評核糾正與與預防防措施施13風險評評估與與適用用性聲聲明選擇適適宜的的控制制安全目目標實實現(xiàn)的的驗證證安全產產品正正確執(zhí)執(zhí)行的的驗證證堅持程程序作作業(yè)的的驗證證與ISO9000不同之之處14風險評評估業(yè)務持持續(xù)計計劃兩個階階段的的認證證與ISO14000及OHSAS1800相同之之處15ISO17799/BS7799Part1-信息安安全管管理實實施規(guī)規(guī)則ISO17799/BS7799Part2-信息安安全管管理體體系規(guī)規(guī)范ISO17799/BS7799標準16Chapter⒈⒈范圍Chapter⒉⒉術語和和定義義Chapter⒊⒊安全方方針Chapter⒋⒋組織安安全Chapter⒌⒌資產分分類和和控制制Chapter⒍⒍人員安安全第一部部份-章節(jié)Chapter⒎⒎實物和和環(huán)境境安全全Chapter⒏⒏通信和和操作作管理理Chapter⒐⒐訪問控控制Chapter⒑⒑系統(tǒng)開開發(fā)和和維護護Chapter⒒⒒商務連連續(xù)性性管理理Chapter⒓⒓符合性性17信息安安全管管理體體系需需求：：10項控制制細則則36個控制制目標標127個控制制方式式第二部部分的的內容容18Chapter⒈⒈范圍Chapter⒉⒉術語和定義義Chapter⒊⒊信息安全管管理體系要要求Chapter⒋⒋控制細則（（與第一部部份對應））第二部份-章節(jié)194．1安全方針4．2組織安全4．3資產分類和和控制4．4人員安全4．5實物和環(huán)境境安全第二部份-章節(jié)4．6通信和操作作管理4．7訪問控制4．8系統(tǒng)開發(fā)和和維護4．9商務連續(xù)性性管理4．10符合性20信息安全管管理體系的的實施21持續(xù)改善安全方針評估檢查執(zhí)行計劃管理評審確定范圍風險分析控制目標與與控制方式式適用性聲明明業(yè)務持續(xù)計計劃組織安全資產分類與與控制人員安全實物與環(huán)境境安全重要作業(yè)的的保護包含含保護的資資料能法律法規(guī)規(guī)的符合性性安全方針符符合性安全技術的的符合性風險評估和和風險管理理22通過移動避光減少重要度可能性第一部份-章節(jié)UKASprotocolAccreditsfor7799vanillaRecognisescompetentauditorsAcceptsc:cureregistrationAsproofofcompetenceCouldaccreditCBfor7799withoutc:cureLogoofCB&UKASonlyDISCprotocolUKASisstilltheaccreditorIRCAregistersauditorsc:cureauditorrequirementsarequitespecific:EducationExperienceTrainingExaminationInterviewContinuingprofessionaldevelopment24c:cure標志INFORMATIONSECURITYISO17799/BS7799c:cure25認證流程保密協(xié)定第二階段正式審核第一階段正式審核桌面桌面審查審核小組包含技術專家