27000標(biāo)準(zhǔn)族與ISMS

1、2022-4-17127000標(biāo)準(zhǔn)族與標(biāo)準(zhǔn)族與ISMS王新杰王新杰北京知識安全工程中心北京知識安全工程中心2022-4-172自我介紹自我介紹王新杰王新杰n2000年開始年開始ISMS相關(guān)工作，目前主要從事：相關(guān)工作，目前主要從事：ISMS認(rèn)證咨詢認(rèn)證咨詢國家注冊國家注冊ISMS審核員培訓(xùn)審核員培訓(xùn)n國家注冊國家注冊ISMS審核員培訓(xùn)教師審核員培訓(xùn)教師n中國合格評定國家認(rèn)可委員會信息安全專業(yè)委員會中國合格評定國家認(rèn)可委員會信息安全專業(yè)委員會委員委員n聯(lián)系：聯(lián)系2022-4-173縮略語介紹縮略語介紹ISMSnInformation Security Managemen

2、t System-ISMS 信息安全管理體系信息安全管理體系n基于國際標(biāo)準(zhǔn)基于國際標(biāo)準(zhǔn)ISO/IEC27001：信息安全管理體系：信息安全管理體系要求要求n是綜合信息安全管理和技術(shù)手段，保障組織信息安是綜合信息安全管理和技術(shù)手段，保障組織信息安全的一種方法全的一種方法nISMS是管理體系（是管理體系（MS）家族的一個成員）家族的一個成員2022-4-174ISMS是一門交叉學(xué)科是一門交叉學(xué)科信息安全信息安全管理體系管理體系ISMS2022-4-175o 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSo 遇到的問題

3、遇到的問題主要議題主要議題2022-4-176p國際標(biāo)準(zhǔn)化組織國際標(biāo)準(zhǔn)化組織 ISO/IEC JTC1/SC27/WG1 http:/www.jtc1sc27.din.dep國內(nèi)標(biāo)準(zhǔn)化組織國內(nèi)標(biāo)準(zhǔn)化組織 全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會 http:/ n ISMS標(biāo)準(zhǔn)化組織標(biāo)準(zhǔn)化組織1. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起2022-4-177pISO/IEC27001:2005pISO/IEC27002:2005pISO/IEC27006:2007pISMS標(biāo)準(zhǔn)族：標(biāo)準(zhǔn)族：27000系列系列n已經(jīng)發(fā)布的已經(jīng)發(fā)布的ISMS標(biāo)準(zhǔn)和制定中的標(biāo)準(zhǔn)和制定中的ISMS標(biāo)準(zhǔn)族標(biāo)準(zhǔn)族 1.

4、從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起2022-4-1781. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起nISO/IEC27001:2005 Information technology- Security techniques-Information security management systems-requirements 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息信息安全管理體系安全管理體系- -要求要求2022-4-1791. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起nISO/IEC27001:2005 pISO/IEC27001:2005的名稱的名稱 Information technology- Sec

5、urity techniques-Information security management systems-requirements 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息安全管理體系信息安全管理體系- -要求要求p該該標(biāo)準(zhǔn)用于：為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安標(biāo)準(zhǔn)用于：為建立、實(shí)施、運(yùn)行、監(jiān)視、評審、保持和改進(jìn)信息安全管理體系提供模型，并規(guī)定了要求。全管理體系提供模型，并規(guī)定了要求。p該該標(biāo)準(zhǔn)適用于：所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏標(biāo)準(zhǔn)適用于：所有類型的組織（例如，商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織）。利組織）。p是建立和實(shí)施是建立和實(shí)施ISMSIS

6、MS的依據(jù)，是的依據(jù)，是ISMSISMS認(rèn)證的依據(jù)。認(rèn)證的依據(jù)。2022-4-1710nIS0/IEC27001:2005的內(nèi)容的內(nèi)容相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評審ISMS規(guī)劃Plan實(shí)施Do處置Act1. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起2022-4-1711nIS0/IEC27001:2005的內(nèi)容的內(nèi)容PDCA各階段內(nèi)容對應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.1 5D-實(shí)施實(shí)施和運(yùn)行ISM

7、S實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序。4.2.2C-檢查監(jiān)視和評審ISMS對照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評估并在適當(dāng)時，測量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。4.2.481. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起2022-4-17121. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起nISO/IEC27002:2005 Information technology- Security techniques-Code of practice for informa

8、tion security management 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息信息安全管理實(shí)用規(guī)則安全管理實(shí)用規(guī)則2022-4-1713nISO/IEC27002:2005 1. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起p該該標(biāo)準(zhǔn)給出了一個組織啟動、實(shí)施、保持和改進(jìn)信息安全管理的指南標(biāo)準(zhǔn)給出了一個組織啟動、實(shí)施、保持和改進(jìn)信息安全管理的指南和一般原則，可作為建立組織的安全準(zhǔn)則和有效安全管理實(shí)踐的實(shí)用和一般原則，可作為建立組織的安全準(zhǔn)則和有效安全管理實(shí)踐的實(shí)用指南。指南。p該該標(biāo)準(zhǔn)是標(biāo)準(zhǔn)是IS0/IEC27001:2005IS0/IEC27001:2005附錄附錄A A的實(shí)施指南。的實(shí)施

9、指南。pISO/IEC27002:2005 Information technology- Security techniques-Code of practice for information security management 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息安全管理實(shí)用規(guī)則信息安全管理實(shí)用規(guī)則2022-4-1714pISO/IEC27002:2005 的主要內(nèi)容的主要內(nèi)容章節(jié)章節(jié)控制措施域控制措施域控制目標(biāo)控制目標(biāo)控制措施控制措施5安全方針安全方針126信息安全組織信息安全組織2117資產(chǎn)管理資產(chǎn)管理258人力資源安全人力資源安全399物理和環(huán)境安全物理和環(huán)境安全2

10、1310通信和操作管理通信和操作管理103211訪問控制訪問控制72512信息系統(tǒng)獲取、開發(fā)和維護(hù)信息系統(tǒng)獲取、開發(fā)和維護(hù)61613信息安全事故管理信息安全事故管理2514業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理1515符合性符合性310合計(jì)合計(jì)391331. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起2022-4-1715nISO/IEC27006:2007 1. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起 Information technology- Security techniques- Requirements for bodies providing audit and certification of informa

11、tion security management systems 信息技術(shù)信息技術(shù)- -安全技術(shù)安全技術(shù)- -信息安信息安全管理體系認(rèn)證機(jī)構(gòu)要求全管理體系認(rèn)證機(jī)構(gòu)要求2022-4-17161. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起 nSC27/WG1正在制定中的正在制定中的27000族標(biāo)準(zhǔn)族標(biāo)準(zhǔn) 序號序號ISO/IEC標(biāo)準(zhǔn)號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)名稱當(dāng)前狀態(tài)（當(dāng)前狀態(tài)（07.11）1ISO/IEC27000ISMS概述和詞匯3rdWD2ISO/IEC27003ISMS實(shí)施指南4thWD3ISO/IEC27004ISMS測量3rdCD4ISO/IEC27005信息安全風(fēng)險管理FDIS5ISO/IEC2700

12、7ISMS審核指南1stWD6ISO/IEC27011通信業(yè)基于27002的信息安全管理指南FDIS2022-4-17171. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起 nSC27/WG1正在開展的幾個研究項(xiàng)目正在開展的幾個研究項(xiàng)目 序號序號研究項(xiàng)目名稱研究項(xiàng)目名稱投稿時間投稿時間1Information security for Critical Infrastructure2008-3-142Information security for e-government2008-3-143Sector-Specific ISMS Standards for the Automotive Industry2

13、008-3-144Technical ISMS Audits2008-3-142022-4-17181. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起 nSC27/WG4正在制定中的正在制定中的27000族標(biāo)準(zhǔn)族標(biāo)準(zhǔn) 序號序號ISO/IEC標(biāo)準(zhǔn)號標(biāo)準(zhǔn)號標(biāo)準(zhǔn)名稱標(biāo)準(zhǔn)名稱當(dāng)前狀態(tài)當(dāng)前狀態(tài)（07.11）1ISO/IEC27031ICT readiness for business continuity2ISO/IEC27032guidelines for cybersecurity3ISO/IEC27033network security4ISO/IEC27034Guidelines for application

14、security2022-4-1719 Code of practice英國英國DTIBS 7799-Part11993.9英國英國BSI1995.2BS 7799-Part21998.2BS 7799-1:19991999.4ISO/IEC JTC1/SC272000.12+BS 7799-2:1999ISO 17799:2000BS7799 Part 2version C2001.6ISO 17799:FDISBS7799 Part 2：20022002.92004.10ISO 17799:2005ISO27001:20052005.10.152005.6.152005ISMS標(biāo)準(zhǔn)的由來I

15、SO/IEC JTC1/SC27ISO/IEC JTC1/SC271. 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起2022-4-1720o 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSo 遇到的問題遇到的問題主要議題主要議題2022-4-17212. 為什么需要為什么需要ISMSo生產(chǎn)工具的發(fā)展生產(chǎn)工具的發(fā)展o信息安全就是生產(chǎn)安全信息安全就是生產(chǎn)安全2022-4-1722解決信息安全問題的方案解決信息安全問題的方案o產(chǎn)品導(dǎo)向型產(chǎn)品導(dǎo)向型o需求導(dǎo)向型需求導(dǎo)向型2. 為什么需要為什么需要ISMS 組織有價值的信息在哪里？組織有價

16、值的信息在哪里？ ISMS是需求導(dǎo)向型的解決是需求導(dǎo)向型的解決信息安全問題的方案。信息安全問題的方案。2022-4-17232. 為什么需要為什么需要ISMSoinformation security the third wave ntechnical wave nmanagement wave ninstitutional wave o2006年年3月，又提出：月，又提出：ncorporate governance Prof. Basie von Solms Head of the Academy for Information Technology，University of Johann

17、esburg2022-4-1724o 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSo 遇到的問題遇到的問題主要議題主要議題2022-4-17253. 全球全球ISMS的現(xiàn)狀的現(xiàn)狀p 每年成倍增長的全球ISMS認(rèn)證證書2022-4-17262007.12ISMS證書Japan2354* Switzerland12 Sri Lanka3 India370 Turkey12 Vietnam3 UK366 Saudi Arabia10 Belgium2 Taiwan154 UAE 9 Denmark2 Germany9

18、0 Iceland8 Lithuania2 China80 Sweden8 Oman2 Korea59 Greece7 Peru2 USA57 Pakistan7 Portugal2 Hungary56 France6 Qatar2 Australia53 Kuwait6 Armenia1 Italy45 Russian Federation6 Bulgaria1 Netherlands32 Thailand6 Egypt1 Hong Kong30 Slovakia5 Gibraltar1 CzechRepublic 28 Slovenia5 Lebanon1 Singapore28 Arge

19、ntina4 Luxemburg 1 Malaysia22 Bahrain4 Macedonia1 Poland21 Canada4 Moldova1 Austria20 Chile3 Morocco1 Brazil18 Colombia3 New Zealand1 Ireland17 Croatia3 Ukraine1 Finland14 Indonesia3 Uruguay1 Norway14 Isle of Man3 Yugoslavia1 Mexico12 Macau3 Philippines12 Romania3 Relative Total 4151Spain12 South Af

20、rica3 Absolute Total 4140* 2022-4-1727nISMS在中國在中國2000年前后，年前后，ISMS開始被中國用戶認(rèn)識；開始被中國用戶認(rèn)識；2002年年11月，月， ISMS國家標(biāo)準(zhǔn)開始被研究和制定；國家標(biāo)準(zhǔn)開始被研究和制定；2005年年6月月15日，我國發(fā)布第一個日，我國發(fā)布第一個ISMS國家標(biāo)準(zhǔn)國家標(biāo)準(zhǔn)“GB/T19716-2005信息安信息安全管理實(shí)用規(guī)則全管理實(shí)用規(guī)則”，該標(biāo)準(zhǔn)修改采用，該標(biāo)準(zhǔn)修改采用ISO/IEC17799:2000； 2005年年8月，認(rèn)監(jiān)委批準(zhǔn)北京知識安全工程中心為月，認(rèn)監(jiān)委批準(zhǔn)北京知識安全工程中心為ISMS認(rèn)證培訓(xùn)機(jī)構(gòu)；認(rèn)證培訓(xùn)機(jī)構(gòu)

21、；2006年年3月，國信辦在月，國信辦在5個單位開展個單位開展ISMS標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作；標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作；2006年年4月，認(rèn)監(jiān)委批準(zhǔn)月，認(rèn)監(jiān)委批準(zhǔn)4家家ISMS試點(diǎn)認(rèn)證機(jī)構(gòu)；試點(diǎn)認(rèn)證機(jī)構(gòu)；2006年年11月，成立中國信息安全認(rèn)證中心；月，成立中國信息安全認(rèn)證中心；2007年年4月，中國向國際標(biāo)準(zhǔn)化組織月，中國向國際標(biāo)準(zhǔn)化組織ISO/IEC JTC1/SC27提出提出ISMS審核審核標(biāo)準(zhǔn)提案。標(biāo)準(zhǔn)提案。3. 全球全球ISMS的現(xiàn)狀的現(xiàn)狀2022-4-1728o 從從ISMS標(biāo)準(zhǔn)說起標(biāo)準(zhǔn)說起o 為什么需要為什么需要ISMSo 全球全球ISMS認(rèn)證現(xiàn)狀認(rèn)證現(xiàn)狀o 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSo 遇

22、到的問題遇到的問題主要議題主要議題2022-4-17294. 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSnIS0/IEC27001:2005的要求的要求n開發(fā)和實(shí)施開發(fā)和實(shí)施ISMS信息本身信息本身信息處理設(shè)施信息處理設(shè)施信息處理者信息處理者信息處理信息處理過程過程 保密 可用 完整 2022-4-17304. 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSnIS0/IEC27001:2005的要求的要求相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評審ISMS規(guī)劃Plan實(shí)施Do處置Act2022-4-17314. 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSnIS0/IE

23、C27001:2005的要求的要求PDCA各階段內(nèi)容對應(yīng)標(biāo)準(zhǔn)條款P-規(guī)劃建立ISMS建立與管理風(fēng)險和改進(jìn)信息安全有關(guān)的ISMS方針、目標(biāo)、過程和程序，以提供與組織整體方針和目標(biāo)相一致的結(jié)果。4.1 5D-實(shí)施實(shí)施和運(yùn)行ISMS實(shí)施和運(yùn)行ISMS方針、控制措施、過程和程序。4.2.2C-檢查監(jiān)視和評審ISMS對照ISMS方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評估并在適當(dāng)時，測量過程的執(zhí)行情況，并將結(jié)果報(bào)告管理者以供評審。4.2.367A-處置保持和改進(jìn)ISMS基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進(jìn)ISMS。4.2.482022-4-1732ISO/

24、IEC27001的要求的要求pISO/IEC27001:2005 附錄附錄A的要求的要求章節(jié)章節(jié)控制措施域控制措施域控制目標(biāo)控制目標(biāo)控制措施控制措施A.5安全方針安全方針12A.6信息安全組織信息安全組織211A.7資產(chǎn)管理資產(chǎn)管理25A.8人力資源安全人力資源安全39A.9物理和環(huán)境安全物理和環(huán)境安全213A.10通信和操作管理通信和操作管理1032A.11訪問控制訪問控制725A.12信息系統(tǒng)獲取、開發(fā)和維護(hù)信息系統(tǒng)獲取、開發(fā)和維護(hù)616A.13信息安全事故管理信息安全事故管理25A.14業(yè)務(wù)連續(xù)性管理業(yè)務(wù)連續(xù)性管理15A.15符合性符合性310合計(jì)合計(jì)391332022-4-17334.

25、 開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSn開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSp正確理解正確理解ISMSp建立信息安全管理機(jī)構(gòu)建立信息安全管理機(jī)構(gòu)p識別識別ISMS文件要求文件要求p執(zhí)行風(fēng)險評估和處理執(zhí)行風(fēng)險評估和處理p遵循標(biāo)準(zhǔn)規(guī)定的遵循標(biāo)準(zhǔn)規(guī)定的ISMS運(yùn)行過程運(yùn)行過程-PDCA2022-4-1734正確理解正確理解ISMSo正確理解正確理解ISMSo分析分析ISMS的要素的要素o正確的正確的ISMS設(shè)計(jì)與開發(fā)思路設(shè)計(jì)與開發(fā)思路 在在SINOCOM實(shí)施實(shí)施ISMS動員大動員大會上的一個比喻：會上的一個比喻：ISMS就是一就是一臺臺“機(jī)器機(jī)器”！2022-4-1735建立建立ISMS管理機(jī)構(gòu)管理機(jī)構(gòu)o什么是什么

26、是ISMS管理機(jī)構(gòu)管理機(jī)構(gòu)o為什么需要管理機(jī)構(gòu)為什么需要管理機(jī)構(gòu)o管理者承諾管理者承諾2022-4-1736識別識別ISMS文件要求文件要求o文件的作用文件的作用oISMS文件的類型文件的類型o文件的創(chuàng)建文件的創(chuàng)建o文件的基本要求文件的基本要求oISMS文件與文件與QMS文件的比較文件的比較2022-4-1737執(zhí)行風(fēng)險評估和處理執(zhí)行風(fēng)險評估和處理o必須的活動必須的活動o產(chǎn)生兩個文件：風(fēng)險評估報(bào)告和風(fēng)險處理計(jì)劃產(chǎn)生兩個文件：風(fēng)險評估報(bào)告和風(fēng)險處理計(jì)劃o主要過程：主要過程：4.2.1中中c)h)n確定風(fēng)險評估方法n識別風(fēng)險n分析和評價風(fēng)險n識別和評價風(fēng)險處理的可選措施n為處理風(fēng)險選擇控制目標(biāo)和控

27、制措施c)獲得管理者對建議的殘余風(fēng)險的批準(zhǔn)2022-4-1738遵循標(biāo)準(zhǔn)規(guī)定的遵循標(biāo)準(zhǔn)規(guī)定的ISMS運(yùn)行過程運(yùn)行過程PDCA相關(guān)方相關(guān)方受控的受控的信息安全信息安全信息安全信息安全要求和期望要求和期望相關(guān)方相關(guān)方檢查檢查Check建立ISMS實(shí)施和運(yùn)行ISMS保持和改進(jìn)ISMS監(jiān)視和評審ISMS規(guī)劃規(guī)劃Plan實(shí)施實(shí)施Do處置處置Act2022-4-1739o應(yīng)用于應(yīng)用于ISMS的的PDCA模型，可以概括為：模型，可以概括為：1）規(guī)定應(yīng)該做什么并形成ISMS文件；2）做ISMS文件已規(guī)定的事情；3）評審你所做的事情的符合性和有效性；4）通過預(yù)防和糾正措施，持續(xù)改進(jìn)。ISMS開發(fā)和實(shí)施開發(fā)和實(shí)施

28、規(guī)劃實(shí)施檢查改進(jìn)PDAC2022-4-1740基于基于PDCA的的ISMS的實(shí)際建設(shè)流程的實(shí)際建設(shè)流程2022-4-1741ISMS開發(fā)和實(shí)施中的開發(fā)和實(shí)施中的3個關(guān)鍵個關(guān)鍵oISMS方法方法o信息安全策略的建立信息安全策略的建立oISMS的運(yùn)行的運(yùn)行2022-4-1742o為什么需要為什么需要ISMSoISMS標(biāo)準(zhǔn)標(biāo)準(zhǔn)o全球全球ISMS的現(xiàn)狀的現(xiàn)狀o開發(fā)和實(shí)施開發(fā)和實(shí)施ISMSo遇到的問題遇到的問題主要議題主要議題2022-4-1743Q1: 區(qū)分兩種不同的區(qū)分兩種不同的“信息安全管理信息安全管理”Q2: 認(rèn)識認(rèn)識“技術(shù)技術(shù)”和和“管理管理”的辨證關(guān)系的辨證關(guān)系Q3: 理解理解ISMS與等級

29、保護(hù)、風(fēng)險評估的關(guān)系與等級保護(hù)、風(fēng)險評估的關(guān)系Q4: 實(shí)施實(shí)施ISMS要有耐心要有耐心5. 遇到的問題遇到的問題2022-4-1744Q1-區(qū)分兩種不同的區(qū)分兩種不同的“信息安全管理信息安全管理” 舉例舉例項(xiàng)目項(xiàng)目舉例舉例1：海淀區(qū)政府發(fā)文，要求行：海淀區(qū)政府發(fā)文，要求行政機(jī)關(guān)和事業(yè)單位建立和實(shí)施政機(jī)關(guān)和事業(yè)單位建立和實(shí)施ISMS舉例舉例2：海淀區(qū)政府根據(jù)自身需：海淀區(qū)政府根據(jù)自身需要決定建立和實(shí)施要決定建立和實(shí)施ISMS性質(zhì)性質(zhì) 行政（政府）行為行政（政府）行為 組織自身事務(wù)組織自身事務(wù)依據(jù)依據(jù) 行政許可法行政許可法 組織自身業(yè)務(wù)需要和規(guī)章制度組織自身業(yè)務(wù)需要和規(guī)章制度主體主體 行政機(jī)關(guān)行政

30、機(jī)關(guān) 組織組織目的目的 行政管理行政管理 組織自身的業(yè)務(wù)管理組織自身的業(yè)務(wù)管理方法方法 法規(guī)、文件法規(guī)、文件 組織自己決定組織自己決定2022-4-1745Q2-認(rèn)識認(rèn)識“技術(shù)技術(shù)”和和“管理管理”的辨證關(guān)系的辨證關(guān)系l完全完全“技術(shù)技術(shù)”l完全完全“管理管理”l三分技術(shù)，七分管理？三分技術(shù)，七分管理？lISMS并非僅僅管理！并非僅僅管理！2022-4-1746Q3-理解理解ISMS與等級保護(hù)、風(fēng)險評估的關(guān)系與等級保護(hù)、風(fēng)險評估的關(guān)系l等級保護(hù)、等級保護(hù)、ISMS都是保障信息安全的方法，即都是保障信息安全的方法，即相對獨(dú)立，又相互聯(lián)系，可以聯(lián)合實(shí)施，也可選相對獨(dú)立，又相互聯(lián)系，可以聯(lián)合實(shí)施，也

31、可選擇其一。擇其一。l等級保護(hù)和等級保護(hù)和ISMS中需要風(fēng)險評估和處理過程。中需要風(fēng)險評估和處理過程。l等級保護(hù)是制度要求，等級保護(hù)是制度要求，ISMS可以支持等級保護(hù)可以支持等級保護(hù)的實(shí)施。的實(shí)施。2022-4-1747Q4-實(shí)施實(shí)施ISMS要有耐心要有耐心l實(shí)施實(shí)施ISMS的組織的愿望總是的組織的愿望總是“短平快短平快”l人、時間、投入嚴(yán)重不足人、時間、投入嚴(yán)重不足l2006年試點(diǎn)經(jīng)驗(yàn)：年試點(diǎn)經(jīng)驗(yàn)： 中等規(guī)模的組織（中等規(guī)模的組織（500人）人） 人員：至少人員：至少5人人 時間：時間：12個月以上個月以上 經(jīng)費(fèi)：經(jīng)費(fèi)：50萬左右（不包括申請認(rèn)證的費(fèi)用）萬左右（不包括申請認(rèn)證的費(fèi)用）202

32、2-4-1748Q&A2022-4-1749謝謝！謝謝！2022-4-1750n北京知識安全工程中心北京知識安全工程中心 Peking Knowledge Security Engineering Center -PKSECn20032003年年6 6月，呂述望教授創(chuàng)辦，并擔(dān)任主任，趙戰(zhàn)生教授擔(dān)任學(xué)術(shù)月，呂述望教授創(chuàng)辦，并擔(dān)任主任，趙戰(zhàn)生教授擔(dān)任學(xué)術(shù)委員會主任，陳華平研究員擔(dān)任總工程師。委員會主任，陳華平研究員擔(dān)任總工程師。n定位：面向知識安全的科學(xué)研究、產(chǎn)品研制和咨詢服務(wù)。定位：面向知識安全的科學(xué)研究、產(chǎn)品研制和咨詢服務(wù)。n目標(biāo)：建設(shè)一個知識安全創(chuàng)新基地；建設(shè)一個知識安全人才培訓(xùn)基目標(biāo)：建設(shè)一個知識安全創(chuàng)新基地；建設(shè)一個知