ISO詳細(xì)介紹PPT學(xué)習(xí)教案

1、會(huì)計(jì)學(xué)1ISO詳細(xì)介紹詳細(xì)介紹Page 2第1頁/共43頁P(yáng)age 3第2頁/共43頁P(yáng)age 4版本較老版本無論是組織編排還是內(nèi)容完整性上都有了很大增強(qiáng)和提升。nISO/IEC 17799 :2005已更新并在2007年 7 月1日正式發(fā)布為ISO/IEC 27002:2005，這次更新只在于標(biāo)準(zhǔn)上的號(hào)碼, 內(nèi)容并沒有改變。第3頁/共43頁P(yáng)age 5第4頁/共43頁P(yáng)age 6第5頁/共43頁P(yáng)age 7第6頁/共43頁P(yáng)age 8第7頁/共43頁P(yáng)age 9他控制內(nèi)容中了。第8頁/共43頁P(yáng)age 10l本實(shí)用規(guī)則可認(rèn)為是組織開發(fā)其詳細(xì)指南的起點(diǎn)。對(duì)一個(gè)組織來說，本實(shí)用規(guī)則中的控制措施和

2、指南并非全部適用，此外，很可能還需要本標(biāo)準(zhǔn)中未包括的另外的控制措施和指南。為便于審核員和業(yè)務(wù)伙伴進(jìn)行符合性檢查，當(dāng)開發(fā)包含另外的指南或控制措施的文件時(shí)，對(duì)本標(biāo)準(zhǔn)中條款的相互參考可能是有用的。l（引用自ISO/IEC 17799:2005中 “0.8 開發(fā)你自己的指南” ）第9頁/共43頁P(yáng)age 11l實(shí)施細(xì)則中有些內(nèi)容可能并不使用于所有組織和企業(yè)，但是有些措施可以使用于大多數(shù)的組織，他們被成為“信息安全起點(diǎn)”。p從法律的觀點(diǎn)看，根據(jù)適用的法律，對(duì)某個(gè)組織重要的控制措施包括：na) 數(shù)據(jù)保護(hù)和個(gè)人信息的隱私（見）；nb) 保護(hù)組織的記錄（見）；nc) 知識(shí)產(chǎn)權(quán)（見）。p被認(rèn)為是信息安全的常用慣

3、例的控制措施包括：na) 信息安全方針文件（見）；nb) 信息安全職責(zé)的分配（見）；nc) 信息安全意識(shí)、教育和培訓(xùn)（見）；nd) 應(yīng)用中的正確處理（見12.2）；ne) 技術(shù)脆弱性管理（見12.6）；nf) 業(yè)務(wù)連續(xù)性管理（見14）；ng) 信息安全事故和改進(jìn)管理（見13.2）。l這些控制措施適用于大多數(shù)組織和環(huán)境。l（引用自ISO/IEC 17799:2005中 “0.6 信息安全起點(diǎn)” ）第10頁/共43頁P(yáng)age 12第11頁/共43頁P(yáng)age 13lISO/IEC 27001:2005版通篇就在講一件事，ISMS(信息安全管理系統(tǒng))。l本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和

4、改進(jìn)信息安全管理體系（InformationSecurity Management System，簡稱ISMS）提供模型。采用ISMS應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。一個(gè)組織的ISMS的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷發(fā)生變化。按照組織的需要實(shí)施ISMS，是本標(biāo)準(zhǔn)所期望的，例如，簡單的情況可采用簡單的ISMS解決方案。 本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評(píng)估。l（引用自ISO/IEC 27001:2005中 “0.1 總則” ）第12頁/共43頁P(yáng)age 14lPDCA（Plan、Do、Check 和Act）是管理學(xué)慣用的

5、一個(gè)過程模型，最早是由休哈特（WalterShewhart）于19 世紀(jì)30 年代構(gòu)想的，后來被戴明（Edwards Deming）采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過程當(dāng)中。p1、P（Plan）-計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃；p2、D（Do）-執(zhí)行，實(shí)地去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；p3、C（Check）-檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效果，找出問題；p4、A（Action）-行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問題放到下一個(gè)PDCA循環(huán)。第13頁/共43頁P(yáng)age 15l 大環(huán)套小環(huán)，小環(huán)保大環(huán)，推動(dòng)大循環(huán) pPDC

6、A循環(huán)作為質(zhì)量管理的基本方法，不僅適用于整個(gè)工程項(xiàng)目，也適應(yīng)于整個(gè)企業(yè)和企業(yè)內(nèi)的科室、工段、班組以至個(gè)人。各級(jí)部門根據(jù)企業(yè)的方針目標(biāo)，都有自己的PDCA循環(huán)，層層循環(huán)，形成大環(huán)套小環(huán)，小環(huán)里面又套更小的環(huán)。大環(huán)是小環(huán)的母體和依據(jù)，小環(huán)是大環(huán)的分解和保證。各級(jí)部門的小環(huán)都圍繞著企業(yè)的總目標(biāo)朝著同一方向轉(zhuǎn)動(dòng)。通過循環(huán)把企業(yè)上下或工程項(xiàng)目的各項(xiàng)工作有機(jī)地聯(lián)系起來，彼此協(xié)同，互相促進(jìn)。以上特點(diǎn)。 第14頁/共43頁P(yáng)age 16l 不斷前進(jìn)、不斷提高 p PDCA循環(huán)就像爬樓梯一樣，一個(gè)循環(huán)運(yùn)轉(zhuǎn)結(jié)束，生產(chǎn)的質(zhì)量就會(huì)提高一步，然后再制定下一個(gè)循環(huán)，再運(yùn)轉(zhuǎn)、再提高，不斷前進(jìn)，不斷提高，是一個(gè)螺旋式上升的過

7、程。PDCA質(zhì)量水平螺旋上升的PDCA第15頁/共43頁P(yáng)age 17第16頁/共43頁P(yáng)age 18l本標(biāo)準(zhǔn)與GB/T 19001-2000及GB/T 24001-1996相結(jié)合，以支持與相關(guān)管理標(biāo)準(zhǔn)一致的、整合的實(shí)施和運(yùn)行。因此，一個(gè)設(shè)計(jì)恰當(dāng)?shù)墓芾眢w系可以滿足所有這些標(biāo)準(zhǔn)的要求。表C.1說明了本標(biāo)準(zhǔn)、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO14001:2004）的各條款之間的關(guān)系。l本標(biāo)準(zhǔn)的設(shè)計(jì)能夠使一個(gè)組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來。l（引用自ISO/IEC 27001:2005中 “0.3與其它管理體系

8、的兼容性” ）l注：ISO 14001:2004環(huán)境管理體系規(guī)范及使用指南 l ISO 9001:2000國際性質(zhì)量管理標(biāo)準(zhǔn) 第17頁/共43頁P(yáng)age 19第18頁/共43頁P(yáng)age 20第19頁/共43頁P(yáng)age 21l本標(biāo)準(zhǔn)的重點(diǎn)章節(jié)是48章。 l前三章的內(nèi)容結(jié)構(gòu)如下所示：引言0.1 總則0.2 過程方法0.3 與其他管理體系的兼容性1 范圍1.1 總則1.2 應(yīng)用2 規(guī)范性引用文件3 術(shù)語和定義第20頁/共43頁P(yáng)age 22l4.1 總要求 一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過程基于圖1所示的P

9、DCA模型。l4. 2 建立和管理ISMSp建立ISMS(PLAN)n定義ISMS 的范圍n定義ISMS 策略n定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑n識(shí)別風(fēng)險(xiǎn)n評(píng)估風(fēng)險(xiǎn)n識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施n選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制n準(zhǔn)備適用性聲明（SoA）n取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMSPDCA第21頁/共43頁P(yáng)age 23p實(shí)施和運(yùn)行ISMS(DO)n制定風(fēng)險(xiǎn)處理計(jì)劃n實(shí)施風(fēng)險(xiǎn)處理計(jì)劃n實(shí)施所選的控制措施以滿足控制目標(biāo)n實(shí)施培訓(xùn)和意識(shí)程序n管理操作n管理資源（參見5.2）n實(shí)施能夠激發(fā)安全事件檢測和響應(yīng)的程序和控制PDCA第22頁/共43頁P(yáng)age 24p監(jiān)控和評(píng)審ISMS(CHECK

10、)n執(zhí)行監(jiān)視程序和控制n對(duì)ISMS 的效力進(jìn)行定期復(fù)審n復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平n按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS 審計(jì)n定期對(duì)ISMS 進(jìn)行管理復(fù)審n記錄活動(dòng)和事件可能對(duì)ISMS 的效力或執(zhí)行力度造成影響PDCA第23頁/共43頁P(yáng)age 25p保持和改進(jìn)ISMS(ACT)n對(duì)ISMS 實(shí)施可識(shí)別的改進(jìn)n采取恰當(dāng)?shù)募m正和預(yù)防措施n與所有利益伙伴溝通n確保改進(jìn)成果滿足其預(yù)期目標(biāo)PDCA第24頁/共43頁P(yáng)age 26p4.3 文件要求n總則n文件控制n記錄控制ISO27001 標(biāo)準(zhǔn)所要求建立的ISMS 是一個(gè)文件化的體系，ISO27001 認(rèn)證第一階段就是進(jìn)行文件審核，文件是否完整、足夠、有

11、效，都關(guān)乎審核的成敗，所以，在整個(gè)ISO27001認(rèn)證項(xiàng)目實(shí)施過程中，逐步建立并完善文件體系非常重要。第25頁/共43頁P(yáng)age 27lISO27001 標(biāo)準(zhǔn)要求的ISMS 文件體系應(yīng)該是一個(gè)層次化的體系，通常是由四個(gè)層次構(gòu)成的：l信息安全手冊(cè)：該手冊(cè)由信息安全委員會(huì)負(fù)責(zé)制定和修改，是對(duì)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)ISMS 是按照ISO27001 標(biāo)準(zhǔn)要求建立并運(yùn)行的。信息安全手冊(cè)包含各個(gè)一級(jí)文件。l一級(jí)文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等。一級(jí)文件至少包括（可能不限于此）：p信息安全方針p風(fēng)險(xiǎn)評(píng)估報(bào)告p適用性聲明（SoA）l二級(jí)文件：各類程序文

12、件。至少包括（可能不限于此）：p風(fēng)險(xiǎn)評(píng)估流程風(fēng)險(xiǎn)管理流程風(fēng)險(xiǎn)處理計(jì)劃管理評(píng)審程序p信息設(shè)備管理程序信息安全組織建設(shè)規(guī)定新設(shè)施管理程序內(nèi)部審核程序p第三方和外包管理規(guī)定信息資產(chǎn)管理規(guī)定工作環(huán)境安全管理規(guī)定介質(zhì)處理與安全規(guī)定p系統(tǒng)開發(fā)與維護(hù)程序業(yè)務(wù)連續(xù)性管理程序法律符合性管理規(guī)定信息系統(tǒng)安全審計(jì)規(guī)定p文件及材料控制程序安全事件處理流程l三級(jí)文件：具體的作業(yè)指導(dǎo)書。描述了某項(xiàng)任務(wù)具體的操作步驟和方法，是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。l四級(jí)文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS 得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門自行維護(hù)。第26頁/共

13、43頁P(yáng)age 28l5.1 管理層責(zé)任 說明管理層在ISMS 建設(shè)過程中應(yīng)該承擔(dān)的責(zé)任。l5.2 對(duì)資源的管理 第27頁/共43頁P(yáng)age 29l組織應(yīng)該通過定期的內(nèi)部審計(jì)來確定ISMS 的控制目標(biāo)、控制、過程和程序滿足相關(guān)要求。第28頁/共43頁P(yáng)age 30l7.1 概要 管理層應(yīng)該對(duì)組織的ISMS 定期進(jìn)行評(píng)審，確保其持續(xù)適宜、充分和有效。l7.2 評(píng)審輸入 評(píng)審時(shí)需要的輸入資料，包括內(nèi)審結(jié)果。l7.3 評(píng)審輸出 評(píng)審成果，應(yīng)該包含任何決策及相關(guān)行動(dòng)。第29頁/共43頁P(yáng)age 31l8.1 持續(xù)改進(jìn) 組織應(yīng)該借助信息安全策略、安全目標(biāo)、審計(jì)結(jié)果、受監(jiān)視的事件分析、糾正性和預(yù)防性措施、

14、管理復(fù)審來持續(xù)改進(jìn)ISMS 的效力。l8.2 糾正措施 組織應(yīng)該采取措施，消除并實(shí)施和操作ISMS 相關(guān)的不一致因素，避免其再次出現(xiàn)。l8.3 預(yù)防措施 為了防止將來出現(xiàn)不一致，應(yīng)該確定防護(hù)措施。所采取的預(yù)防措施應(yīng)與潛在問題的影響相適宜。第30頁/共43頁P(yáng)age 32第31頁/共43頁P(yáng)age 33l第一步工作是建設(shè)ISMS系統(tǒng)，這部分工作可以由組織或者公司自己進(jìn)行，前提是該組織擁有專業(yè)的人才。大部分的公司不具備這樣的能力，這就需要一些專業(yè)的咨詢公司或者安全公司等有27001專業(yè)實(shí)施經(jīng)驗(yàn)的公司協(xié)助進(jìn)行。l建設(shè)ISMS的工作不是一個(gè)純粹的IT建設(shè)，而是建立一個(gè)循序漸進(jìn)的體系，需要公司的全員配合

15、，特別是公司領(lǐng)導(dǎo)層重視，需要成立專門的團(tuán)隊(duì)來負(fù)責(zé)這項(xiàng)工作。第32頁/共43頁P(yáng)age 34l文件化很重要，針對(duì)標(biāo)準(zhǔn)4.3的內(nèi)容，各個(gè)層次的文件和記錄都需要編寫完備，這些工作也可以由第三方來協(xié)助進(jìn)行。l風(fēng)險(xiǎn)評(píng)估，培訓(xùn)等工作的進(jìn)行也需要在咨詢公司的協(xié)助下進(jìn)行。lISMS初步建立之后，需要運(yùn)行一段時(shí)間，針對(duì)出現(xiàn)的問題進(jìn)行修正。第33頁/共43頁P(yáng)age 35l待ISMS穩(wěn)定運(yùn)行一段時(shí)間之后，可以考慮提出審核申請(qǐng)?？梢赃M(jìn)行27001審核的機(jī)構(gòu)在國內(nèi)有BSI(英國標(biāo)準(zhǔn)化協(xié)會(huì))和DNV(挪威船級(jí)社) 等。第34頁/共43頁P(yáng)age 36l預(yù)審核（Pre-assessment Audit）也稱預(yù)審，是在第一

16、階段審核之前執(zhí)行的一種非強(qiáng)制性要求的非正式審核。從本質(zhì)上看，預(yù)審是正式審核的預(yù)演或排練。許多組織都沒有采用預(yù)審核。 l預(yù)審是審核員通過使用“差距分析”方法，分析和檢查組織的ISMS與ISO/IEC 27001：2005要求的差距，包括(但不僅限于)：p分析ISMS方針與程序，組織當(dāng)前的業(yè)務(wù)保護(hù)情況；p檢查ISMS是否與其實(shí)際業(yè)務(wù)融合一起； p檢查ISMS是否符合正式審核的基本條件；p檢查組織還有哪些未能按照標(biāo)準(zhǔn)要求進(jìn)行運(yùn)行的領(lǐng)域，包括員工的安全意識(shí)和員工是否知道ISMS等； p檢查ISMS運(yùn)行的時(shí)間長度。注：預(yù)審也是要收費(fèi)的！第35頁/共43頁P(yáng)age 37強(qiáng)制性強(qiáng)制性ISMSISMS文件文件

17、說明說明(1) ISMS方針文件，包括ISMS的范圍根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)“4.3.1”a)和b)的要求。(2) 風(fēng)險(xiǎn)評(píng)估程序根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)“4.3.1”d)和e)的要求, 要有形成文件的“風(fēng)險(xiǎn)評(píng)估方法的描述”和“風(fēng)險(xiǎn)評(píng)估報(bào)告”。為了減少文件量，可創(chuàng)建一個(gè)風(fēng)險(xiǎn)評(píng)估程序。該程序文件應(yīng)包括“風(fēng)險(xiǎn)評(píng)估方法的描述”，而其運(yùn)行的結(jié)果應(yīng)產(chǎn)生風(fēng)險(xiǎn)評(píng)估報(bào)告。(3) 風(fēng)險(xiǎn)處理程序根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)“4.3.1”f)的要求, 要有形成文件的“風(fēng)險(xiǎn)處理計(jì)劃”。因此，可創(chuàng)建一個(gè)風(fēng)險(xiǎn)處理程序。該程序文件運(yùn)行的結(jié)果應(yīng)產(chǎn)生風(fēng)險(xiǎn)處理計(jì)劃。(4) 文

18、件控制程序根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的“4.3.2文件控制”的要求，要有形成文件的“文件控制程序”。 (5) 記錄控制程序根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的“4.3.3記錄控制”的要求，要有形成文件的“記錄控制程序”。(6) 內(nèi)部審核程序根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的“6內(nèi)部ISMS審核”的要求，要有形成文件的“內(nèi)部審核程序”。(7) 糾正措施與預(yù)防措施程序根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的“8.2.2糾正措施糾正措施”的要求，要有形成文件的“糾正措施程序”。根據(jù) “8.3預(yù)防措施”的要求，要有形成文件的“預(yù)防措施程序”?！凹m正措施程序”和“預(yù)防措施程序”通?？梢院喜⒊梢粋€(gè)文件。(8) 控制措施有效性的測量程序根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的“4.3.1 g)”的要求，要有形成文件的“控制措施有效性的測量程序”。(9) 管理評(píng)審程序“管理評(píng)審”過程不一定要形成文件，但最好形成“管理評(píng)審程序”文件，以方便實(shí)際工作。(9) 適用性聲明根據(jù)ISO/IEC 27001:2005標(biāo)準(zhǔn)的“4.3.1 i)” 的要求, 要有形成文件的適用性聲明。第36頁/共43頁P(yáng)age 38l桌面審核（