ISO27001信息安全管理體系介紹

招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)IS027001信息安全管理體系介紹2009年3月招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)12ISMS

介

紹3IS027001

信息安全管理體系要求4信息安全風(fēng)險(xiǎn)評(píng)估5

IS027002

信息安全管理實(shí)用規(guī)則

招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)2信息安全概述目錄1信息是否是企業(yè)的重要資產(chǎn)?信息的泄漏是否會(huì)給企業(yè)帶來重大影響?信息的真實(shí)性對(duì)企業(yè)是否帶來重大影響?信息的可用性對(duì)企業(yè)是否帶來重大影響?我們是否清楚知道什么信息對(duì)企業(yè)是重要的?信息的價(jià)值是否在企業(yè)內(nèi)部有一個(gè)統(tǒng)一的

標(biāo)準(zhǔn)?我們是否知道企業(yè)關(guān)系信息的所有人我們是否知道企業(yè)關(guān)系信息的信息流向、狀態(tài)、存儲(chǔ)方式，是否收到足夠保護(hù)?信息安全事件給企業(yè)造成的最大/最壞影響?招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)3幾個(gè)問題ISMS

介

紹

IS027001

信息安全管理體系要求

信息安全風(fēng)險(xiǎn)評(píng)估

IS027002

信息安全管理實(shí)用規(guī)則招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)4信息安全概述目錄1信息資產(chǎn)類型：信息：數(shù)據(jù)庫和數(shù)據(jù)文件、合同和協(xié)議、系統(tǒng)文件、研究信息、用戶手冊(cè)、培訓(xùn)材料、操作或支持程序、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)變安排(fallback

arrangement)、

審核跟蹤記錄

(audit

trails)、

歸檔信息；軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、開發(fā)工具和實(shí)用程序；物理資產(chǎn)：計(jì)算機(jī)設(shè)備、通信設(shè)備、可移動(dòng)介質(zhì)和其他設(shè)備；服務(wù)：計(jì)算和通信服務(wù)(例如，網(wǎng)絡(luò)瀏覽、域名解析)、公用設(shè)施

(例如，供暖，照明，能源，空調(diào));人員，他們的資格、技能和經(jīng)驗(yàn)；無形資產(chǎn)，如組織的聲譽(yù)和形象。招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)5信息資產(chǎn)信息資產(chǎn)存在方式：電

腦數(shù)據(jù)網(wǎng)

絡(luò)

傳

輸傳

真紙

上

記

錄圖

片數(shù)

碼

照

片光

盤

磁帶電

話

交

談人的大腦等招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁

數(shù)

6信息資產(chǎn)信息資產(chǎn)的生命周期：產(chǎn)

生使用存儲(chǔ)傳輸銷毀/拋棄產(chǎn)生使用銷毀/拋棄存貯傳輸招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁

數(shù)

7信息資產(chǎn)IS027001

將信息安全定義如下：保證信息的保密性，完整性，可用性；另外也可包括諸

如真實(shí)性，可核查性，不可否認(rèn)性和可靠性等特性保密性：信息不能被未授權(quán)的個(gè)人，實(shí)體或者過程利用或知悉的特性可用性：根據(jù)授權(quán)實(shí)體的要求可訪問和利用的特性完整性：保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁

數(shù)

8什么是信息安全?2ISMS

介

紹IS027001

信息安全管理體系要求信息安全風(fēng)險(xiǎn)評(píng)估IS027002

信息安全管理實(shí)用規(guī)則招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)9

信息安全概述目錄Information

Security

Management

System(ISMS)信息安全管理體系基

于

國

際

標(biāo)

準(zhǔn)ISO/IEC27001:

信息安全管理體系要求是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法ISMS

是管理體系

(MS)

家族的一個(gè)成員ISO/IEC

JTC1/SC27/WG1

(國際標(biāo)準(zhǔn)化組織/國際電工委員會(huì)聯(lián)合技術(shù)委員會(huì)1/子委員27/工作組1),

WG1

做為ISMS

標(biāo)準(zhǔn)的工作組，負(fù)責(zé)開發(fā)ISMS

相關(guān)的標(biāo)準(zhǔn)與指南信息安全管理體系

(ISMS)

介紹招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)10標(biāo)準(zhǔn)序號(hào)標(biāo)準(zhǔn)名稱發(fā)布時(shí)間ISO/IEC

27000基礎(chǔ)與術(shù)語起草中，未發(fā)布ISO/IEC

27001ISMS

Requirement

ISMS要求2005年10月ISO/IEC

27002Code

of

Practice

for

ISMS實(shí)用規(guī)則2007年4月ISO/IEC

27003ISMS

Implementation

Guidance

ISMS實(shí)施指南起草中，未發(fā)布ISO/IEC

27004ISMS

Metrics

and

Measurement

ISMS的測(cè)量起草中，未發(fā)布ISO/IEC

27005Information

Security

Risk

Management信息安全風(fēng)險(xiǎn)管理2008年6月ISO/IEC

27006Certification

and

Registration

process審核認(rèn)證機(jī)構(gòu)要求2007年2月IS027000

系列標(biāo)準(zhǔn)招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)111995年發(fā)布BS

7799

Part

11998年發(fā)布BS

7799

Part

21999年→發(fā)布新版

BS

7799

Part

1

&

22000年

發(fā)

布IS017799:20002002年發(fā)布新版BS

7799-2發(fā)布ISO

17799:2005發(fā)布IS027001:2005招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)12IS027001

的歷史IS027002:2005

替代ISO

17799:20052005年2007年我國已將IS027001

和

IS027002

系列標(biāo)準(zhǔn)等同轉(zhuǎn)化為國家標(biāo)準(zhǔn)。2008年9月經(jīng)國家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布

兩個(gè)新的國家標(biāo)準(zhǔn)，并于2008年11月1日起實(shí)施。GB/T

22080-2008

信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T

22081-2008

信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)13等同的國家標(biāo)準(zhǔn)實(shí)施ISMS的好處ISO

27001滿足利益相關(guān)方期望更好的IT服務(wù)質(zhì)量保證業(yè)務(wù)連續(xù)性增強(qiáng)自信與客戶信任度提升投資回報(bào)率提升競(jìng)爭力建立持續(xù)改進(jìn)的信息安全與

風(fēng)險(xiǎn)管理有效保護(hù)組織的知識(shí)產(chǎn)權(quán)有效保護(hù)客戶信息提升組織形象提高合規(guī)性提升內(nèi)部控制符合國家信息安全管理標(biāo)準(zhǔn)

要求保護(hù)商業(yè)機(jī)密遵從法律法規(guī)要求招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)14Japan2789*Netherlands11Vietnam3India427Singapore11Bulgaria2UIK368France10Gibraltar2Taiwan187Philippines10Isle

of

Man2China160Saudi

Arabia10Morocco2Germany108Pakistan10oman2USA77Russian

Federation10Qatar2Hungary74Colombia7Yemen2Czech

Republic66Sweden7Armenia1Korea58Sloyakia6Bangladesh1Italy54Sloyenia6Belgium1Poland37Croatia5Egypt1HongKong30Greece5Iran1Australia28South

Africa5Kazakhstan1Ireland26Bahrain4Kyrgyzstan1Malaysia26Indonesia4Lebanon1Spain25Kuwait4Lithuania1Austria21Norway4Luxembourg1Brazil20Sri

Lanka4Macedonia1Mexico20Switzerland4Moldova1Thailand17Canada3New

Zealand1Romania16Chile3Ukraine1Turkey15Macau3Lruguay1UAE14Peru3Relative

Total4858Iceland11Portugal3A.bsolute

Total4848當(dāng)前獲得IS027001證書的組織分布(2008年9月)招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)15ISMS

介

紹3IS027001

信息安全管理體系要求信息安全風(fēng)險(xiǎn)評(píng)估

IS027002

信息安全管理實(shí)用規(guī)則

招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)16

信息安全概述目錄規(guī)劃Plan建

立ISMS相關(guān)方實(shí)施Do受控的信息安全監(jiān)視和評(píng)

審ISMS檢查CheckIS027001信息安全管理體系要求信息安全管理體系

(Information

Securitry

Management

Systems)

是組織在整

體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。

它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表( Checklists)

等要素的集合。招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)17信息安全

要求和期望實(shí)施和

運(yùn)

行ISMS保持和

改

進(jìn)ISMS處置

Act相關(guān)方1.定義范圍和邊界2.定義安全策略3.定義風(fēng)險(xiǎn)評(píng)估方法

4.識(shí)別風(fēng)險(xiǎn)5.識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)6.識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施7.

為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施

8.獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)

9.獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)

10.準(zhǔn)備適用性聲明

(SoA)招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)18監(jiān)視和

評(píng)

審ISMS檢

查Check建

立ISMS規(guī)劃Plan建

立ISMS實(shí)施和

運(yùn)

行ISMS保持和

改

進(jìn)ISMS實(shí)施

Do1.

制定風(fēng)險(xiǎn)處理計(jì)劃2.

實(shí)施風(fēng)險(xiǎn)處理計(jì)劃3.

實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃4.

管理ISMS的運(yùn)行5.

管理ISMS的資源6.

應(yīng)急響應(yīng)、事故管理招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁

數(shù)

1

9實(shí)施和運(yùn)行ISMS監(jiān)視和評(píng)審ISMS檢

查Check規(guī)劃Plan建

立ISMS實(shí)施和運(yùn)

行ISMS保持和

改

進(jìn)ISMS實(shí)施

Do1.

執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施

2.

ISMS

有效性的定期評(píng)審3.

測(cè)量控制措施的有效性4.

定期實(shí)施ISMS內(nèi)部審核5.

定期進(jìn)行ISMS管理評(píng)審招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁

數(shù)

2

0監(jiān)視和評(píng)審ISMS監(jiān)視和

評(píng)

審ISMS檢

查Check規(guī)劃Plan建

立ISMS實(shí)施和

運(yùn)

行ISMS保持和

改

進(jìn)ISMS實(shí)施

Do1.

實(shí)施已識(shí)別的ISMS改進(jìn)措施2.

采取合適的糾正和預(yù)防措施3.

從安全經(jīng)驗(yàn)中吸取教訓(xùn)4.

向所有相關(guān)方溝通措施和改進(jìn)情況招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)21保持和改進(jìn)ISMS監(jiān)視和

評(píng)審ISMS檢

查Check規(guī)劃Plan建

立ISMS保持和

改進(jìn)ISMS實(shí)施和運(yùn)

行ISMS實(shí)施

DoISMS

介

紹4IS027001

信息安全管理體系要求信息安全風(fēng)險(xiǎn)評(píng)估

IS027002

信息安全管理實(shí)用規(guī)則招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)22

信息安全概述目錄風(fēng)險(xiǎn)是指遭受損害或損失的可能性，是實(shí)現(xiàn)一個(gè)事件的不想要的負(fù)面結(jié)果的潛在因素。對(duì)信息系統(tǒng)而言：兩種因素造成對(duì)其使命的實(shí)際影響：一個(gè)特定的威脅源利用或偶然觸發(fā)一個(gè)特定的信息系統(tǒng)脆弱性的概率上述事件發(fā)生之后所帶來的影響在ISO/IEC

GUIDE73將風(fēng)險(xiǎn)定義為：事件的概率及其結(jié)果的組合。招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)23風(fēng)險(xiǎn)的概念風(fēng)險(xiǎn)管理指標(biāo)識(shí)、控制和減少可能影響信息系統(tǒng)資源的不確定事件或使這些事件降至最少的全部過程。風(fēng)險(xiǎn)管理被認(rèn)為是良好管理的

一個(gè)組成部分。風(fēng)

險(xiǎn)

管

理

的

目

標(biāo)

：高影響低概率低影響低概率高影響

高概率底影響

低概率招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)24風(fēng)險(xiǎn)管理的目標(biāo)影響概率信息安全風(fēng)險(xiǎn)管理一般方法招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)25資產(chǎn)識(shí)別

威脅識(shí)別

識(shí)別脆弱性分析和評(píng)價(jià)

風(fēng)險(xiǎn)風(fēng)險(xiǎn)監(jiān)控、檢查與溝通當(dāng)前控制

措施分析風(fēng)險(xiǎn)處理

計(jì)劃IS027001

將威脅定義如下：可能導(dǎo)致對(duì)系統(tǒng)或組織的損害的不期望事件發(fā)生的潛在

原威脅可多種屬性來刻畫：威脅的主體(威脅源)、能力、資源、動(dòng)機(jī)、途徑幾種常見威脅：自

然

災(zāi)

害計(jì)算機(jī)犯罪員工操作失誤商業(yè)

間

諜黑客招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)26識(shí)別威脅IS027001

將

脆

弱

性

定

義

如

下

：可

能

會(huì)

被

一

個(gè)

或

多

個(gè)

威

脅

所

利

用

的

資

產(chǎn)

或

一

組

資

產(chǎn)

的

弱占簡單口令員工安全意思淡薄第三方缺乏保密協(xié)議變

更

管

理

薄

弱明文傳輸信息經(jīng)驗(yàn)表明：大多數(shù)重大的脆弱性通常是由于缺乏良好的流程或指定了

不適當(dāng)?shù)男畔踩?zé)任才出現(xiàn)的，但是進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)往往過分注重

技術(shù)脆弱性。不脆弱性常被成為漏洞幾種常見脆弱性：招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)27識(shí)別脆弱性IS027002

將控制定義如下：管理風(fēng)險(xiǎn)的方法，包括策略、規(guī)程、指南、慣例或組織

結(jié)構(gòu)。它們可以是行政、技術(shù)、管理、法律等方面的?？刂拼胧┮灿糜诜雷o(hù)措施或?qū)Σ叩耐x詞。本步的目標(biāo)是對(duì)已經(jīng)實(shí)現(xiàn)或規(guī)劃中的安全防護(hù)措施進(jìn)行分析——

單位通過這些措施來減小或消除一個(gè)威脅源利用系統(tǒng)脆弱性的可能性(或概率)招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)28分析當(dāng)前控制Level

of

ThreatLowMediumHighLevel

ofVulnerabilityLMHLMHLMHAsset

Value0LLLLLMLMM1LLMLMMMMM2MMMMMMMMM3MMMMMMMMH4MMMMMHMHH風(fēng)險(xiǎn)分析：系統(tǒng)地使用信息來識(shí)別風(fēng)險(xiǎn)來源和估計(jì)風(fēng)險(xiǎn)風(fēng)險(xiǎn)評(píng)價(jià)：將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過程存在定性、定量兩種風(fēng)險(xiǎn)分析方法實(shí)例：招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)29風(fēng)險(xiǎn)的分析與評(píng)價(jià)經(jīng)過風(fēng)險(xiǎn)評(píng)估后識(shí)別出來的風(fēng)險(xiǎn)，接著便是制定其對(duì)應(yīng)的風(fēng)險(xiǎn)處理計(jì)劃.

可能的風(fēng)險(xiǎn)處理計(jì)劃包括以下四種之一或四種的組合：采取適當(dāng)?shù)目刂拼胧﹣斫档?reduce)

風(fēng)險(xiǎn)。了解并客觀地接受(

accept)

風(fēng)險(xiǎn)，倘若他們清除的符合公司策略并在

可接受風(fēng)險(xiǎn)范圍之內(nèi)，或者如果采取控制

(control)

措施的話，成

本太高。通過放棄當(dāng)前的某些活動(dòng)來規(guī)避(avoid)風(fēng)險(xiǎn)發(fā)生。轉(zhuǎn)嫁(transfer)風(fēng)險(xiǎn)至其它組織，

例如保險(xiǎn)公司、供應(yīng)商等。招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)30風(fēng)險(xiǎn)處理策略風(fēng)險(xiǎn)控制措施風(fēng)險(xiǎn)控制措施

可接受的風(fēng)險(xiǎn)水平

(Low)殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)處理計(jì)劃完成后的殘余風(fēng)險(xiǎn)水平應(yīng)在可接受風(fēng)險(xiǎn)水平之內(nèi)招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)31定義風(fēng)險(xiǎn)接收水平風(fēng)險(xiǎn)級(jí)別高初始風(fēng)險(xiǎn)水平

(高)低中從針對(duì)性和實(shí)施方式來看，控制措施分三類：管

理(Administrative)性：安全策略，流程，組織與職責(zé)等操

作(Operation)性：人員職責(zé)，事故反應(yīng)，意識(shí)培訓(xùn)，系統(tǒng)開發(fā)等等技

術(shù)(Technical)性：加密，訪問控制，審計(jì)等或者從功能上來分，控制措施類型包括：威

懾

性(Deterrent):告示、標(biāo)語預(yù)

防

性(Preventive):培訓(xùn)，操作手冊(cè)，加密，身份認(rèn)證檢

測(cè)

性(Detective):

CCTV,保安，報(bào)警糾正性(Corrective):培訓(xùn)，問責(zé)，應(yīng)急響應(yīng)，災(zāi)備招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001

信息安全管理體系介紹

頁數(shù)32控制措施選擇基本原則實(shí)施安全控制措施的代價(jià)不應(yīng)該大于要保護(hù)的資產(chǎn)的價(jià)值選擇控制措施時(shí)的成本效益分析招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁

數(shù)

3

3ISMS

介

紹IS027001

信息安全管理體系要求信息安全風(fēng)險(xiǎn)評(píng)估5

IS027002

信息安全管理實(shí)用規(guī)則

招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)34

信息安全概述目錄一、安全方針(Security

Policy)二、組織信息安全(Organizing

Information

Security)三、資產(chǎn)管理(Asset

Management)四、人力資源安全(Human

Resource

Security)五、物理及環(huán)境安全

(Physical

and

Environmental

Security)六、通信與操作管

理(Communicat

ions

andOperations

Management)八、系統(tǒng)獲取、開發(fā)

與維護(hù)(InformationSystemAcquisition,

Development

andMaintenance)七、訪問控制(Access

Control)九、信息安全事件管理(Information

Security

Incident

Management)十、業(yè)務(wù)持續(xù)性管理(Business

Continuity

Management)十一、符合性(Compliance)IS027002信息安全管理體系實(shí)用規(guī)則11個(gè)安全域，39個(gè)控制目標(biāo)，133個(gè)控制點(diǎn)招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)35依據(jù)業(yè)務(wù)要求和相關(guān)法律法

規(guī)提供管理指導(dǎo)并支持信息

安全控制域1:安全方針招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)36信息安全方針文件信息安全方針文件的評(píng)審1.1信息安全方針保持組織的被外部各方訪問

、處理、管理或與外部進(jìn)行

通信的信息和信息處理設(shè)施

的安全信息安全的管理承諾信息安全協(xié)調(diào)信息安全職責(zé)的分配信息處理設(shè)施的授權(quán)過程保

密

性

協(xié)

議控制域2:組織信息安全與外部各方相關(guān)風(fēng)險(xiǎn)的識(shí)別處理與顧客有關(guān)的安全問題處理第三方協(xié)議中的安全問題招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)37在組織內(nèi)管理信息安全2.2組織外部各方2.1內(nèi)部組織確保信息受到適當(dāng)級(jí)別的保

護(hù)實(shí)現(xiàn)和保持對(duì)組織資產(chǎn)的適當(dāng)保護(hù)控制域3:資產(chǎn)管理招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)38資

產(chǎn)

清

單資

產(chǎn)

責(zé)

任

人資產(chǎn)的合格使用分

類

指

南信息的標(biāo)記和處理3.1資產(chǎn)責(zé)任3.2資產(chǎn)分類確保所有的雇員、承包方人員和第三方人員知悉信息安全威脅和利害關(guān)系、他管

理

職

責(zé)信息安全意識(shí)、教育和培訓(xùn)4.2任用中們的職責(zé)和義務(wù)、并準(zhǔn)備好在其正常工作過程中支持組織的安全方針，以減少

人為過失的風(fēng)險(xiǎn)紀(jì)律處理過程確保雇員、承包方人員和第終

止

職

責(zé)4.3任用的終止三方人員以一個(gè)規(guī)范的方式資

產(chǎn)

的

歸

還或變化退出一個(gè)組織或改變其任用關(guān)系撤

銷

訪

問

權(quán)確保雇員、承包方人員和第三

方人員理解其職責(zé)、考慮對(duì)其承擔(dān)的角色是適合的，以降低

設(shè)施被竊、欺詐和誤用的風(fēng)險(xiǎn)控制域4:人力資源安全招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)39角

色

和

職

責(zé)背

景

審

查任用條款和條件4.1任用之前物理安全邊界物理入口控制辦公室、房間和設(shè)施的安全保護(hù)外部和環(huán)境威脅的安全防護(hù)在安全區(qū)域工作公共訪問、交接區(qū)安全設(shè)備安置和保護(hù)支

持

性

設(shè)

施布

纜

安

全設(shè)

備

維

護(hù)組織場(chǎng)所外的設(shè)備安全設(shè)備的安全處置和再利用資

產(chǎn)

的

移

動(dòng)防止資產(chǎn)的丟失、損壞、失竊

或危及資產(chǎn)安全以及組織活動(dòng)的中斷控制域5:物理和環(huán)境安全防止對(duì)組織場(chǎng)所和信息的未授權(quán)物理訪問、損壞和干擾招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)405.2設(shè)備安全5.1安全區(qū)域容

量

管

理系

統(tǒng)

驗(yàn)

收將系統(tǒng)失效的風(fēng)險(xiǎn)降至最小實(shí)施和保持符合第三方服務(wù)交

付協(xié)議的信息安全和服務(wù)交付

的適當(dāng)水準(zhǔn)文件化的操作程序變

更

管

理責(zé)

任

分

割開發(fā)、測(cè)試和運(yùn)行設(shè)施分離控制域6:通信和操作管理確保正確、安全的操作信息處

理設(shè)施招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)41服

務(wù)

交

付第三方服務(wù)的監(jiān)視和評(píng)審第三方服務(wù)的變更管理6.3系統(tǒng)規(guī)劃和

驗(yàn)收6.1操作程序和

職責(zé)6.2第三方服務(wù)

交付管理信

息

備

份保持信息和信息處理設(shè)施的完整性及可用性控制惡意代碼控制移動(dòng)代碼保護(hù)軟件和信息的完整性控制域6:通信和操作管理(續(xù))招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)42確保網(wǎng)絡(luò)中信息的安全性并

保護(hù)支持性的基礎(chǔ)設(shè)施6.4防范惡意和

移動(dòng)代碼網(wǎng)

絡(luò)

控

制網(wǎng)絡(luò)服務(wù)安全6.6網(wǎng)絡(luò)安全管理6.5備份防止資產(chǎn)遭受未授權(quán)泄露、修

改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)

的中斷控制域6:通信和操作管理(續(xù))保持組織內(nèi)信息和軟件交換及

與外部組織信息和軟件交換的

安全信息交換策略和程序交

換

協(xié)

議運(yùn)輸中的物理介質(zhì)電子消息發(fā)送業(yè)務(wù)信息系統(tǒng)確保電子商務(wù)服務(wù)的安全及其安全使用招商銀行信息系統(tǒng)內(nèi)部審計(jì)培訓(xùn)

IS027001信息安全管理體系介紹

頁數(shù)43可移動(dòng)介質(zhì)的管理介

質(zhì)

的

處

置信息處理程序系統(tǒng)文件安全電

子

商

務(wù)在

線

交

易公共可用信息6.9電子商務(wù)服務(wù)6.8信息的交換6.7介質(zhì)處置檢測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)審

計(jì)

日

志監(jiān)視系統(tǒng)的使用日志信息的保護(hù)管理員和操作員日志故

障

日

志時(shí)

鐘

同

步6.10