信息安全標(biāo)準(zhǔn)介紹

信息平安相關(guān)標(biāo)準(zhǔn)介紹平安效勞部袁曙光聯(lián)想網(wǎng)御科技〔北京〕目錄信息平安標(biāo)準(zhǔn)概述等級保護(hù)標(biāo)準(zhǔn)聯(lián)想網(wǎng)御信息平安ISO27000系列標(biāo)準(zhǔn)

ITIL與ISO20000

企業(yè)內(nèi)控相關(guān)標(biāo)準(zhǔn)什么是標(biāo)準(zhǔn)“沒有規(guī)矩，不成方圓〞主要的信息平安標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1ISO（國際標(biāo)準(zhǔn)組織）ISO17799/ISO27001/ISO27002ISO/IEC15408ISO/IEC13335ISO/TR135692ISACA（信息系統(tǒng)審計(jì)與控制學(xué)會）COBIT4.13ISSEA（國際系統(tǒng)安全工程協(xié)會）SSE-CMMSystemsSecurityEngineering-CapabilityMaturityModel3.04ISSA（信息系統(tǒng)安全協(xié)會）GAISPVersion3.05ISF(信息安全論壇）TheStandardofGoodPracticeforInformationSecurity6IETF（互聯(lián)網(wǎng)工程任務(wù)小組）各種RFC（RequestforComments）主要的信息平安標(biāo)準(zhǔn)－國際標(biāo)準(zhǔn)(續(xù)〕發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)7NIST（國家標(biāo)準(zhǔn)和技術(shù)研究所）NIST800系列8DOD(美國國防部)TCSEC（可信計(jì)算機(jī)系統(tǒng)評測標(biāo)準(zhǔn)）－彩虹系列9CarnegieMellonSoftwareEngineeringInstitute(SEI)OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation(OCTAVE)CriteriaVersion2.010OECD（經(jīng)濟(jì)與貿(mào)易發(fā)展組織）GuidelinesfortheSecurityofInformationSystemsandNetworksandAssociatedImplementationPlan11TheOpenGroupManager’sGuidetoInformationSecurity12ITILSecuritymanagement除了上述標(biāo)準(zhǔn)，世界各國的官方機(jī)構(gòu)和行業(yè)監(jiān)管機(jī)構(gòu)還有許多信息平安方面的標(biāo)準(zhǔn)、指引和建議的操作實(shí)踐。主要的信息平安標(biāo)準(zhǔn)－國內(nèi)標(biāo)準(zhǔn)發(fā)布的機(jī)構(gòu)安全標(biāo)準(zhǔn)1全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等級保護(hù)系列標(biāo)準(zhǔn)信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南其他信息安全標(biāo)準(zhǔn)－截至2007年底，共完成了國家標(biāo)準(zhǔn)59項(xiàng)，還有56項(xiàng)國家標(biāo)準(zhǔn)在研制中。2公安部、安全部、國家保密局、國家密碼管理委員會等部門一系列的信息安全方面的政策法規(guī)如：計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法互聯(lián)網(wǎng)信息服務(wù)管理辦法計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定計(jì)算機(jī)軟件保護(hù)條例商用密碼管理?xiàng)l例，等。第7

頁信息平安標(biāo)準(zhǔn)的演進(jìn)各個主流標(biāo)準(zhǔn)的使用位置目錄信息平安標(biāo)準(zhǔn)概述等級保護(hù)標(biāo)準(zhǔn)聯(lián)想網(wǎng)御信息平安ISO27000系列標(biāo)準(zhǔn)

ITIL與ISO20000

企業(yè)內(nèi)控相關(guān)標(biāo)準(zhǔn)等級保護(hù)相關(guān)法規(guī)重要法規(guī)梳理27號文：明確指出“實(shí)行信息平安等級保護(hù)〞，這是我國第一個信息平安保障工作的綱領(lǐng)性文件。66號文：等級保護(hù)是今后國家信息平安的根本制度也是根本方法、等級保護(hù)制度的重要意義、原那么、根本內(nèi)容、工作職責(zé)分工、工作要求和實(shí)施方案。43號文：明確五個平安等級，確立了等級保護(hù)主要內(nèi)容是定級、備案、系統(tǒng)建設(shè)整改、等級測評、監(jiān)督檢查。736號文：是等級保護(hù)檢查工作制定的工作標(biāo)準(zhǔn)，在檢查依據(jù)、內(nèi)容、程序、形式、時限要求等方面了詳細(xì)規(guī)定。2021年10月發(fā)布?關(guān)于開展信息平安等級保護(hù)平安建設(shè)整改工作的指導(dǎo)意見?，是信息系統(tǒng)定級備案工作完成后，開展信息平安等級保護(hù)后續(xù)工作的指導(dǎo)性文件。類別要求公安機(jī)關(guān)監(jiān)督、檢查、指導(dǎo)。國家保密工作部門保密工作的監(jiān)督、檢查、指導(dǎo)。國家密碼管理部門密碼工作的監(jiān)督、檢查、指導(dǎo)。工信部信息安全協(xié)調(diào)司部門間的協(xié)調(diào)其他職能部門依據(jù)國際法律法規(guī)的規(guī)定我國信息平安等級保護(hù)職責(zé)分工等級保護(hù)職責(zé)分工原那么誰主管、誰負(fù)責(zé)誰運(yùn)營、誰負(fù)責(zé)誰建設(shè)、誰負(fù)責(zé)等級保護(hù)標(biāo)準(zhǔn)體系—根底類標(biāo)準(zhǔn)?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?〔GB17859-1999〕?信息系統(tǒng)平安等級保護(hù)根本要求?〔GB/T22239-2021〕等級保護(hù)標(biāo)準(zhǔn)體系—應(yīng)用類標(biāo)準(zhǔn)等級測評?信息系統(tǒng)平安等級保護(hù)測評要求?〔報(bào)批稿〕?信息系統(tǒng)平安等級保護(hù)測評過程指南?〔報(bào)批稿〕?信息系統(tǒng)平安管理測評?〔GA/T713-2007〕等級保護(hù)標(biāo)準(zhǔn)體系—產(chǎn)品類標(biāo)準(zhǔn)等級保護(hù)標(biāo)準(zhǔn)體系—其他類標(biāo)準(zhǔn)風(fēng)險評估?信息平安風(fēng)險評估標(biāo)準(zhǔn)?〔GB/T20984-2007〕事件管理?信息平安事件管理指南?〔GB/Z20985-2007〕?信息平安事件分類分級指南?〔GB/Z20986-2007〕?信息系統(tǒng)災(zāi)難恢復(fù)標(biāo)準(zhǔn)?〔GB/T20988-2007〕等級保護(hù)標(biāo)準(zhǔn)關(guān)系信息系統(tǒng)安全等級保護(hù)基本要求GB/T22239-2008計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則（GB17859）信息系統(tǒng)通用安全技術(shù)要求信息系統(tǒng)物理安全技術(shù)要求技術(shù)類其他技術(shù)類標(biāo)準(zhǔn)信息系統(tǒng)安全管理要求信息系統(tǒng)安全工程管理要求其他管理類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)定級指南(GB/T22240-2008)信息系統(tǒng)安全等級保護(hù)基本要求的行業(yè)細(xì)則信息系統(tǒng)安全等級保護(hù)測評過程指南信息系統(tǒng)安全等級保護(hù)測評要求信息系統(tǒng)等級保護(hù)安全設(shè)計(jì)技術(shù)要求管理類產(chǎn)品類數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求其他產(chǎn)品類標(biāo)準(zhǔn)信息系統(tǒng)安全等級保護(hù)行業(yè)定級細(xì)則操作系統(tǒng)安全技術(shù)要求信息安全等級保護(hù)安全建設(shè)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求網(wǎng)絡(luò)和終端設(shè)備隔離部件技術(shù)要求安全等級基線要求狀況分析方法指導(dǎo)信息系統(tǒng)安全等級保護(hù)實(shí)施指南?關(guān)于開展信息平安等級保護(hù)平安建設(shè)整改工作的指導(dǎo)意見??計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?〔GB17859-1999〕?信息系統(tǒng)平安等級保護(hù)根本要求?〔GB/T22239-2021〕?信息系統(tǒng)平安等級保護(hù)實(shí)施指南?〔報(bào)批稿〕指導(dǎo)意見指導(dǎo)意見中的“工作目標(biāo)〞〔一〕工作主體—各地區(qū)、各部門，這其中包括信息系統(tǒng)備案單位；〔二〕工作對象—平安保護(hù)等級為第三級以上的信息系統(tǒng)；〔三〕工作內(nèi)容—信息系統(tǒng)等級測評工作、信息系統(tǒng)平安建設(shè)整改工作、等級保護(hù)工作監(jiān)督、檢查；〔五〕時間要求—總體上用三年時間完成重要信息系統(tǒng)平安建設(shè)工作。各地區(qū)、各部門要于2021年底前完成工作部署，從2021年開始到2021年底前完成全國三級以上重要信息系統(tǒng)平安建設(shè)工作。為表達(dá)“突出重點(diǎn)、保護(hù)重點(diǎn)〞的原那么，平安保護(hù)等級為第四級的信息系統(tǒng)應(yīng)于2021年底前完成等級保護(hù)平安建設(shè)工作；建設(shè)整改的流程信息系統(tǒng)安全管理建設(shè)信息系統(tǒng)安全技術(shù)建設(shè)開展信息系統(tǒng)安全自查和等級測評信息系統(tǒng)安全保護(hù)現(xiàn)狀分析信息系統(tǒng)安全建設(shè)整改工作規(guī)劃和工作部署確定安全策略，制定安全建設(shè)整改方案物理安全網(wǎng)絡(luò)安全主機(jī)安全應(yīng)用安全數(shù)據(jù)安全安全管理機(jī)構(gòu)安全管理制度人員安全管理系統(tǒng)建設(shè)管理系統(tǒng)運(yùn)行管理建設(shè)整改的流程管理制度建設(shè)明確主管領(lǐng)導(dǎo)、落實(shí)責(zé)任部門落實(shí)安全崗位和人員信息系統(tǒng)安全管理現(xiàn)狀分析確定安全管理策略、制定安全管理制度安全自查和調(diào)整系統(tǒng)建設(shè)管理落實(shí)安全管理措施人員安全管理環(huán)境和資產(chǎn)管理設(shè)備和介質(zhì)管理日常運(yùn)行維護(hù)集中安全管理事件處置和應(yīng)急響應(yīng)災(zāi)難備份安全監(jiān)測……系統(tǒng)運(yùn)維管理信息系統(tǒng)安全保護(hù)技術(shù)現(xiàn)狀分析開展建設(shè)整改技術(shù)方案詳細(xì)設(shè)計(jì)工程實(shí)施及驗(yàn)收等級測評不符合標(biāo)準(zhǔn)要求開展建設(shè)整改技術(shù)方案論證和評審確定安全策略，開展建設(shè)整改技術(shù)方案總體設(shè)計(jì)通信網(wǎng)絡(luò)安全物理安全。。。。應(yīng)用系統(tǒng)安全區(qū)域邊界安全主機(jī)系統(tǒng)安全備份和恢復(fù)建設(shè)并落實(shí)安全技術(shù)措施?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?早在1985年，美國國防部為指導(dǎo)計(jì)算機(jī)平安產(chǎn)品的制造和數(shù)據(jù)處理系統(tǒng)的平安建設(shè)與評估，制定并公布了?可信計(jì)算機(jī)系統(tǒng)評估準(zhǔn)那么?〔DoD5200.28-STD〕，也就是TCSEC。1999年我國在此標(biāo)準(zhǔn)的根底上修改制定了國家強(qiáng)制標(biāo)準(zhǔn)GB17859-1999?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么??計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么?計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么GB17859-1999計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級劃分準(zhǔn)那么用戶自主保護(hù)級自主訪問控制、身份鑒別、數(shù)據(jù)完整性系統(tǒng)審計(jì)保護(hù)級自主訪問控制、身份鑒別、數(shù)據(jù)完整性、平安審計(jì)、客體重用平安標(biāo)記保護(hù)級自主訪問控制、身份鑒別、數(shù)據(jù)完整性、平安審計(jì)、客體重用、強(qiáng)制訪問控制、標(biāo)記結(jié)構(gòu)化保護(hù)級自主訪問控制、身份鑒別、數(shù)據(jù)完整性、平安審計(jì)、客體重用、強(qiáng)制訪問控制、標(biāo)記、隱蔽信道分析、可信路徑訪問驗(yàn)證保護(hù)級自主訪問控制、身份鑒別、數(shù)據(jù)完整性、平安審計(jì)、客體重用、強(qiáng)制訪問控制、標(biāo)記、隱蔽信道分析、可信路徑、可信恢復(fù)根本要求—標(biāo)準(zhǔn)編制思路一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)防護(hù)防護(hù)/監(jiān)測策略/防護(hù)/監(jiān)測/恢復(fù)策略/防護(hù)/監(jiān)測/恢復(fù)/響應(yīng)一級系統(tǒng)二級系統(tǒng)三級系統(tǒng)四級系統(tǒng)通信/邊界〔根本〕通信/邊界/內(nèi)部〔關(guān)鍵設(shè)備〕通信/邊界/內(nèi)部〔主要設(shè)備〕通信/邊界/內(nèi)部/根底設(shè)施〔所有設(shè)備〕根本要求—標(biāo)準(zhǔn)編制思路根本要求的組織方式某級系統(tǒng)類技術(shù)要求管理要求基本要求類控制點(diǎn)具體要求控制點(diǎn)具體要求………………………………三、標(biāo)準(zhǔn)的主要內(nèi)容實(shí)施指南-根本實(shí)施過程重大變更局部調(diào)整系統(tǒng)定級安全規(guī)劃設(shè)計(jì)安全實(shí)施/實(shí)現(xiàn)安全運(yùn)行管理系統(tǒng)終止與信息系統(tǒng)生命周期之間的關(guān)系新建信息系統(tǒng)新建信息系統(tǒng)等級保護(hù)實(shí)施過程信息系統(tǒng)生命周期安全運(yùn)行管理（變更管理/定期安全測評/監(jiān)督檢查）系統(tǒng)定級安全規(guī)劃設(shè)計(jì)安全實(shí)施系統(tǒng)終止設(shè)計(jì)開發(fā)階段運(yùn)行維護(hù)階段啟動階段實(shí)施階段中止階段平安態(tài)勢分析信息平安標(biāo)準(zhǔn)概述等級保護(hù)標(biāo)準(zhǔn)聯(lián)想網(wǎng)御信息平安ISO27000系列標(biāo)準(zhǔn)

ITIL與ISO20000

企業(yè)內(nèi)控相關(guān)標(biāo)準(zhǔn)ISO27001介紹什么是ＩＳＭＳ文檔化體系信息平安策略風(fēng)險處置方案范圍內(nèi)的信息資產(chǎn)清單風(fēng)險評估適用性聲明策略、流程、指南、程序ISMS需要執(zhí)行與管理復(fù)查、審計(jì)和考核持續(xù)改進(jìn)認(rèn)證有意義但不是根本最終階段需要第三方認(rèn)證證據(jù)業(yè)務(wù)驅(qū)動證明您對信息平安的承諾信息是一種非常重要的資產(chǎn)，它貫穿并支持組織的整個經(jīng)營活動，從小交易到公司合并，從大工程到員工資料管理如果沒有有效的信息管理，一些僅供組織內(nèi)部使用的敏感信息，很容易泄漏。如果組織的信息體系從信息質(zhì)量、數(shù)量或溝通環(huán)節(jié)被攻擊，那么組織會處于極大的風(fēng)險中這就是為什么您需要主動地管理信息平安，向您的員工、股東、合作伙伴分享信息平安管理經(jīng)驗(yàn)確保您的信息平安并持續(xù)保持ISO27001:2005信息平安管理體系(ISMS)認(rèn)證說明您對信息平安、客戶要求和持續(xù)改進(jìn)的承諾標(biāo)準(zhǔn)由兩局部構(gòu)成：ISO27002:2005信息平安管理實(shí)施指南，指導(dǎo)ISMS實(shí)踐ISO27001:2005信息平安管理體系標(biāo)準(zhǔn)，ISMS認(rèn)證標(biāo)準(zhǔn)界定ISMS認(rèn)證范圍，對于識別風(fēng)險和評審風(fēng)險至關(guān)重要一個成功ISMS體系包括建立、運(yùn)行、評審、維護(hù)和改進(jìn)一系列過程標(biāo)準(zhǔn)的開展199519981999.042000.1220022005.62005.10BS7799-2:1998信息平安管理體系標(biāo)準(zhǔn)BS7799:1999BS7799的兩個局部進(jìn)行合并BS7799-2:2002平安管理體系標(biāo)準(zhǔn)與使用指南ISO/IEC17799:2005信息平安管理體系實(shí)施規(guī)那么BS7799-1:1995信息平安管理實(shí)施規(guī)那么ISO/IEC27002:2005信息平安管理體系實(shí)施規(guī)那么信息平安標(biāo)準(zhǔn)現(xiàn)狀已有二十多個國家和地區(qū)引用BS7799作為本國標(biāo)準(zhǔn)，并有四十多個國家和地區(qū)開展了相關(guān)業(yè)務(wù)。澳大利亞/新西蘭〔前國標(biāo)AS/NZS4444，現(xiàn)國標(biāo)AS/NZS7799〕荷蘭〔SPE20003〕瑞典〔SS627799〕日本〔JISX5080，相當(dāng)于BS7799-1〕……國內(nèi)，ISO17799:2000已被轉(zhuǎn)化為GB/T19716:2005國際，ISO17799:2000已被轉(zhuǎn)化為ISO27002:2005ISO27001認(rèn)證機(jī)構(gòu)認(rèn)可機(jī)制認(rèn)證〔Certification〕和認(rèn)可〔Accreditation〕認(rèn)證是第三方依據(jù)程序?qū)Ξa(chǎn)品、過程、效勞符合規(guī)定要求給予的書面保證〔合格證書〕，其根底是相關(guān)標(biāo)準(zhǔn)。根據(jù)對象的不同，認(rèn)證通常分為產(chǎn)品認(rèn)證和體系認(rèn)證。通過認(rèn)證，組織可以對外提供某種信任和保證認(rèn)可是由某權(quán)威機(jī)構(gòu)依據(jù)程序?qū)δ硤F(tuán)體〔例如對認(rèn)證機(jī)構(gòu)的認(rèn)可〕或個人〔例如對審核員資格的認(rèn)可〕具有從事特定任務(wù)的能力給予的正式成認(rèn)認(rèn)可機(jī)構(gòu)英國UKAS、荷蘭RvA、瑞典Swedac基于流程的ISMSInterestedPartiesInformationsecurityrequirementsandexpectationsInterestedPartiesManagedInformationsecurityContinualimprovement

oftheInformationSecurityManagementSystemEstablishISMSMonitorandReviewtheISMSImplementandOperatetheISMSMaintainandimprovetheISMSInputOutputInformationsecuritymanagementsystemPDACPDACPDACPDACISO/IEC17799模型ISO/IEC17799標(biāo)準(zhǔn)的內(nèi)容涉及10個領(lǐng)域，36個控制目標(biāo)和127個控制措施。ISO/IEC27001/27002:2005

的內(nèi)容總共分成

11個領(lǐng)域、

39個控制目標(biāo)、

133個控制措施。

11個領(lǐng)域包括

A.1

Security

Policy

A.2

organization

of

information

security

A.3

Asset

management

A.4

Human

resources

security

A.5

Physical

and

environmental

security

A.6

Communications

and

operations

management

A.7

Access

control

A.8

Information

systems

acquisition,

development

and

maintenance

A.8

Information

security

incident

management

A.10

Business

continuity

management

A.11

Compliance

BS7799Part2:2002vsISO27001:2005BS7799-2:2002ISO27001:2005ISO17799:2000ISO17799:2000vsISO17799:2005ISO17799:2005ISO27001SeriesISO27000-willcontainthevocabularyanddefinitions

i.e.terminologyforalloftheseinformationsecuritymanagementstandardsISO27001-istheInformationSecurityManagementSystemrequirementsstandard(specification)againstwhichorganizationsareformallycertifiedcompliantISO27002willbethenewnameforthestandardcurrentlyknownasISO17799andformerlyknownasBS7799part1.

Thisisthecodeofpracticeforinformationsecuritymanagementdescribingacomprehensivesetofinformationsecuritycontrolobjectivesandamenuofbest-practicesecuritycontrolsISO27003-willbeanimplementationguide

ISO27004-willbeaninformationsecuritymanagementmeasurementstandardtohelpmeasuretheeffectivenessofinformationsecuritymanagementsystemimplementations.ISO27005-willbeaninformationsecurityriskmanagementstandard(willreplacetherecentlyissuedBS7799Part3).ISO27006-isaguidetothecertification/registrationprocessforaccreditedISMScertification/registration

bodies.ISO27007-willprobablybeaguidelineforauditingInformationSecurityManagementSystems.ISO27031willbetelecommssector-specificimplementationguidanceforISO17799/27002.ISO27008-59-isourholdingpagewithpreliminaryinformationonvariousotherrumouredISO27000-seriesInformationSecurityManagementstandardsincludingindustry-specificimplementationguidelinesandadisasterrecoverystandard.ISO27799-willbehealthsector-specificimplementationguidanceforISO17799/27002.ISO27001:2005的益處ISO的聲譽(yù)和通過國際認(rèn)可的ISO27001:2005認(rèn)證增強(qiáng)了所有公司的可信度。它清楚地說明了您的信息的有效性和一個真正對信息平安支持的承諾ISMS的建立和認(rèn)證也可以改變您公司內(nèi)外的文化，使您贏得具與有平安意識的客戶開拓新業(yè)務(wù)的時機(jī)，以及提升員工的道德觀念和他們對整個工作場所信息平安的思想觀念。而且，它使您可以增強(qiáng)信息平安，減少可能產(chǎn)生欺騙、信息喪失和泄漏的風(fēng)險獲得BS7799認(rèn)證的組織將要換證為ISO27001:2005。根據(jù)2006年1月UKAS換證聲明，通過BS7799-2:2002認(rèn)證的公司可以在2007年7月前完成換證。ISO27001實(shí)施與認(rèn)證過程ISO27001一般認(rèn)證過程ISO27001證書獲取過程PeriodicalAuditsFollowUp

CertificateISMSInitialAuditPre-

AssessmentPre-Study/Implementation顧問/咨詢機(jī)構(gòu)Auditor(s)ConfidentialityAgreementAwarenesscreationISO27001認(rèn)證費(fèi)用認(rèn)證機(jī)構(gòu)的報(bào)價根據(jù)其投入的時間和人員來確定，決定因素包括：ThesizeofthecompanyScopeIT-environmentThereadinessforcertificationwithinthecompanyPriorcertification~￡10,000foracompanywith100employeesprovidedthatthecompanyalreadyiswellonitswaywiththeimplementation.ISMSProjectRoadmap確定范圍資產(chǎn)調(diào)研管理層策略風(fēng)險評估適用性聲明PLAN文檔準(zhǔn)備實(shí)施ISMS教育培訓(xùn)證據(jù)持續(xù)改進(jìn)復(fù)查、監(jiān)控檢查、審計(jì)DOCHECKACTISMS實(shí)施過程0.獲得管理層支持說起來容易做起來難提高管理層意識當(dāng)前的風(fēng)險與最正確實(shí)踐的差距分析1.定義ISMS范圍BusinessesBusinessunitsDepartmentsSystems2.準(zhǔn)備適用性聲明(SOA)哪些控制目標(biāo)適用(applicable)哪些控制目標(biāo)不相關(guān)(irrelevant)、不適用(notappropriate)、不需要(notrequired)ISMS實(shí)施過程〔續(xù)〕3.資產(chǎn)調(diào)研informationsystems,networks,databases,dataitems,documentsetc.4.風(fēng)險評估標(biāo)準(zhǔn)中并沒有指定風(fēng)險評估方法Mehari/CRAMM/OCTAVE/CiticusOne/ISOTR13335/AS/NZS4360:2004:/HB436:2004/NISTSP800-30…DIY5.準(zhǔn)備風(fēng)險處置方案(RTP)哪些控制用來應(yīng)對已識別的風(fēng)險6.制定ISMS實(shí)施方案需要的資源專家的支持InternalAudit,Risk,Compliance,HR,Finance的支持ISMS實(shí)施過程〔續(xù)〕7.ISMS實(shí)施工程管理方案、預(yù)算、進(jìn)度8.ISMS運(yùn)行是一項(xiàng)持續(xù)的活動9.收集ISMS運(yùn)行證據(jù)securitylogs,logreviewreports,firewallconfigurationfiles,riskassessmentreportsetc.10.審查合規(guī)性A.15內(nèi)部需求：策略外部要求：法律、法規(guī)11.實(shí)施糾正措施Plan-Do-Check-ActISMS實(shí)施過程〔續(xù)〕12.認(rèn)證前自評估ISMS穩(wěn)定、有效檢查SOA、RTP有沒有遺漏地方13.認(rèn)證審核SOA、RTP、證據(jù)關(guān)鍵成功因素a)informationsecuritypolicy,objectives,andactivitiesthatreflectbusinessobjectives;

信息平安策略、目標(biāo)和行為應(yīng)與業(yè)務(wù)目標(biāo)保持一致；

b)anapproachandframeworktoimplementing,maintaining,monitoring,andimprovinginformationsecuritythatisconsistentwiththeorganizationalculture;

信息平安實(shí)施、維護(hù)、監(jiān)控、改進(jìn)的方法應(yīng)該符合組織的文化；

c)visiblesupportandcommitmentfromalllevelsofmanagement;

來自所有管理層可見的支持和承諾；

d)agoodunderstandingoftheinformationsecurityrequirements,riskassessment,andriskmanagement;

對信息平安需求、風(fēng)險評估、風(fēng)險管理應(yīng)有很好的理解；

e)effectivemarketingofinformationsecuritytoallmanagers,employees,andotherpartiestoachieveawareness;

應(yīng)對所有經(jīng)理、員工和第三方進(jìn)行信息平安的有效宣傳；

f)distributionofguidanceoninformationsecuritypolicyandstandardstoallmanagers,employeesandotherparties;

對所有經(jīng)理、員工和第三方發(fā)布信息平安策略和標(biāo)準(zhǔn)的指南；

g)provisiontofundinformationsecuritymanagementactivities;

為信息平安活動提供資金；

h)providingappropriateawareness,training,andeducation;

提供適當(dāng)?shù)慕逃团嘤?xùn)；

i)establishinganeffectiveinformationsecurityincidentmanagementprocess;

建立有效的信息平安事件管理流程；

j)implementationofameasurement1systemthatisusedtoevaluateperformanceininformationsecuritymanagementandfeedbacksuggestionsforimprovement.

建立一套用來評估信息平安管理的性能和有關(guān)改進(jìn)平安管理的反響建議的測量系統(tǒng)。平安態(tài)勢分析信息平安標(biāo)準(zhǔn)概述等級保護(hù)標(biāo)準(zhǔn)聯(lián)想網(wǎng)御信息平安

ISO27000系列標(biāo)準(zhǔn)

ITIL與ISO20000

企業(yè)內(nèi)控相關(guān)標(biāo)準(zhǔn)ITIL的產(chǎn)生80年代中期，英國政府計(jì)算機(jī)和電信局〔CCTA〕，也就是現(xiàn)在的政府商務(wù)辦公室〔OGC〕，啟動一個IT效勞質(zhì)量調(diào)查的工程，從IT供給商、咨詢參謀及用戶收集信息，由IT專家及咨詢參謀開發(fā)出一套有效的、可進(jìn)行財(cái)務(wù)計(jì)量的IT資源管理方法。該工程的最終結(jié)果是一套公開出版的IT效勞管理指南，及ITIL，收集、整理、文檔化和維護(hù)效勞管理最正確實(shí)踐并將其組織成一個合理和有一定邏輯性的知識庫。ITIL是什么?ITIL不是:硬件軟件可供參考使用的最正確實(shí)踐ProjectrequestbyCCTAITILfirstGuideBookissued1985itSMF1989ITIL1.019911993PD00051995199820002002200320042005PD0005BIP0005-AManagerGuidePD0005/BS15000-2BecometoISO20000PD0015/BS15000-1PD0015/BS15000-1/ITIL2.01999ITServiceCMMVrijeUniv.國際ITSM的開展2007BecometoITILV3ISO20000家族InternalProcessesandProceduresITILBIP0005ISO20000Part2ISO20000Part1PD0015Workbook內(nèi)部流程和業(yè)界解決方案流程定義管理概覽實(shí)踐指南標(biāo)準(zhǔn)ISO20000標(biāo)準(zhǔn)6.效勞交付流程效勞級別管理效勞報(bào)告能力管理效勞持續(xù)和可用性管理信息平安管理IT效勞預(yù)算和財(cái)務(wù)管理9.控制流程配置管理變更管理10.發(fā)布流程發(fā)布管理8.解