ISO27001 信息安全管理體系

1、ISO17799/BS7799 信息安全管理體系簡介什么是信信息？Informationisanassetwhich,like other importantbusinessassets,has value to an organizationandconsequently needs to be suitably protected.信息是一一種資產(chǎn)產(chǎn)，就如如同其他他的商業(yè)業(yè)資產(chǎn)一一樣，對對一個(gè)組組織而言言是具有有價(jià)值的的，因而而需要妥妥善保護(hù)護(hù)。ISO17799/BS7799Part1:19992信息的類類型政府信息息-國內(nèi)重要要的信息息內(nèi)部信息息-不希望競競爭對手手得到的的信息客戶信息息

2、-不希望被被泄露的的信息與貿(mào)易伙伙伴共享享的信息息公開信息息-任何人都都可以自自由使用用的列印或?qū)憣懺诩垙垙埳系挠秒娮臃椒绞絻?chǔ)存存的以郵件傳傳輸（包包括電子子郵件）以影視或或膠片方方式表現(xiàn)現(xiàn)的語言交談?wù)?什么需要要保護(hù)？保護(hù)重要要的商業(yè)業(yè)“信息息”資產(chǎn)產(chǎn)維持競爭爭優(yōu)勢法律的要要求商業(yè)形象象安全威脅脅安全脆弱弱分瘠的安安全技術(shù)術(shù)4信息-成長及成成功的關(guān)關(guān)鍵因素素15000份的醫(yī)療療日志培培圾桶中中在被發(fā)發(fā)現(xiàn)30000個(gè)用戶密密碼在Internet上公布推廣的照照片提前前出現(xiàn)在在新聞書書刊上銀行支付付數(shù)百萬萬元給勒勒索者25位開發(fā)部部的同事事跳槽至至競爭者者公司為何信息息安全是是如此重重要？5盜竊

3、：每每失竊或或損壞價(jià)價(jià)值一英英鎊的信信息技術(shù)術(shù)設(shè)備，將造成成十英鎊鎊商業(yè)損損失。英英國工業(yè)業(yè)在1996年由電腦腦失竊而而造成的的損失超超過460億英鎊。INTERNET：美國五五角大樓樓每日可可偵測到到80至100個(gè)駭客入入侵。電 腦入入侵侵：電腦腦駭客入入侵每年年以45%的速率在在增長。電 子郵郵件件：10%信息無意意義，9%包含機(jī)密密信息，2%笑話及2%帶病毒。病毒毒：起過過10000個(gè)病毒經(jīng)經(jīng)常性的的影響我我的電腦腦及每月月有150-200新的病毒毒產(chǎn)生。Source:Worldtalk Corporation E-mailsurveillanceprogramme.&Computerw

4、eekly 1999/09/19為何信息息安全是是如此重重要？（續(xù)）6安全風(fēng)險(xiǎn)險(xiǎn)法律和合合約的需需求內(nèi)部的原原則，目目標(biāo)和需需求從收集控控制方式式與適當(dāng)當(dāng)?shù)男枨笄蟮燃夐_開始！安全需求求7ISMS發(fā)展歷史史820001993199519981999ISO17799/BS7799發(fā)布瑞典開始始試點(diǎn)認(rèn)認(rèn)證瑞典標(biāo)準(zhǔn)準(zhǔn)SS627799Part 12發(fā)布新版英國國標(biāo)準(zhǔn)BS7799 Part12發(fā)布英國開始始試點(diǎn)認(rèn)認(rèn)證英國公布布BS7799第二部份份（Part2）英國公布布BS7799第一部份份（Part2）率先由英英國貿(mào)工工部倡導(dǎo)導(dǎo)ISO17799/BS7799StructureManagement ov

5、erviewISO17799/BS7799,Part1-GuidelinesIndextounderlying level(s)WebWithlinksStandardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelines forCertification10Confidentiality保密性Integrity完整性Availability可用性信息安全全11ISO17799/BS7799定義信息息安全如如下：保密性：確保只只有被授授權(quán)的人人員才能能

6、操作信信息完整性：確保信信息的完完整和正正確可用性：確保信信息在需需要時(shí)隨隨時(shí)可以以獲得信息安全全12管理者的的承諾-方針目目標(biāo)組織，包包含定義義職責(zé)系統(tǒng)結(jié)構(gòu)構(gòu)程序文件管制制與ISO9000相同之處處記錄管理理培訓(xùn)管理評核核糾正與預(yù)預(yù)防措施施13風(fēng)險(xiǎn)評估估與適用用性聲明明選擇適宜宜的控制制安全目標(biāo)標(biāo)實(shí)現(xiàn)的的驗(yàn)證安全產(chǎn)品品正確執(zhí)執(zhí)行的驗(yàn)驗(yàn)證堅(jiān)持程序序作業(yè)的的驗(yàn)證與ISO9000不同之處處14風(fēng)險(xiǎn)評估估業(yè)務(wù)持續(xù)續(xù)計(jì)劃兩個(gè)階段段的認(rèn)證證與ISO14000及OHSAS1800相同之處處15ISO17799/BS7799Part1-信息安全全管理實(shí)實(shí)施規(guī)則則ISO17799/BS7799Part2-信息

7、安全全管理體體系規(guī)范范ISO17799/BS7799標(biāo)準(zhǔn)16Chapter 范圍Chapter 術(shù)語和定定義Chapter 安全方針針Chapter 組織安全全Chapter 資產(chǎn)分類類和控制制Chapter 人員安全全第一部份份-章節(jié)Chapter 實(shí)物和環(huán)環(huán)境安全全Chapter 通信和操操作管理理Chapter 訪問控制制Chapter 系統(tǒng)開發(fā)發(fā)和維護(hù)護(hù)Chapter 商務(wù)連續(xù)續(xù)性管理理Chapter 符合性17信息安全全管理體體系需求求：10項(xiàng)控制細(xì)細(xì)則36個(gè)控制目目標(biāo)127個(gè)控制方方式第二部分分的內(nèi)容容18Chapter 范圍Chapter 術(shù)語和定定義Chapter 信息安全全管

8、理體體系要求求Chapter 控制細(xì)則則（與第第一部份份對應(yīng)）第二部份份-章節(jié)1941安全方針針42組織安全全43資產(chǎn)分類類和控制制44人員安全全45實(shí)物和環(huán)環(huán)境安全全第二部份份-章節(jié)46通信和操操作管理理47訪問控制制48系統(tǒng)開發(fā)發(fā)和維護(hù)護(hù)49商務(wù)連續(xù)續(xù)性管理理410符合性20信息安全全管理體體系的實(shí)實(shí)施21持續(xù)改善善安全方針針評估檢查執(zhí)行計(jì)劃管理評審審確定范圍圍風(fēng)險(xiǎn)分析析控制目標(biāo)標(biāo)與控制制方式適用性聲聲明業(yè)務(wù)持續(xù)續(xù)計(jì)劃組織安全全資產(chǎn)分類類與控制制人員安全全實(shí)物與環(huán)環(huán)境安全全重要作業(yè)業(yè)的保護(hù)護(hù)包含保保護(hù)的資資料能法律法法規(guī)的符符合性安全方針針符合性性安全技術(shù)術(shù)的符合合性風(fēng)險(xiǎn)評估估和風(fēng)險(xiǎn)險(xiǎn)管理

9、22通過移動(dòng)避光減少重要度可能性第一部份份-章節(jié)UKAS protocolAccredits for 7799 vanillaRecognises competent auditorsAccepts c:cure registrationAs proof of competence Could accredit CB for 7799 without c:cureLogo of CB & UKAS onlyDISC protocolUKAS is still the accreditorIRCA registers auditorsc:cure auditor requirements are quite specific:EducationExperienceTrainingExaminationInterviewConti