信息安全風險評估下

ISO/IEC27001:2005是什么？ISO/IEC27001:2005內(nèi)容ISO/IEC27001:2005建立練習ISO/IEC27001:2005介紹第1頁/共84頁ISO27001的標準全稱（ISO27001標準題目）

Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements

信息技術(shù)-安全技術(shù)-信息安全管理體系-要求ISMS信息安全管理體系

-管理體系

-信息安全相關(guān)

-ISO27001的"3術(shù)語和定義-3.7"Requirements要求1.0ISO/IEC27001:2005是什么第2頁/共84頁建立方針和目標并實現(xiàn)這些目標的相互關(guān)聯(lián)或相互作用的一組要素。管理體系包括組織結(jié)構(gòu)，策略，規(guī)劃，角色，職責，流程，程序和資源等。(ISO27001"3術(shù)語和定義-3.7")管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內(nèi)。1.1什么是管理體系？Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)第3頁/共84頁1.1什么是信息安全？保護信息的保密性、完整性和可用性(CIA);另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性(ISO27001"3術(shù)語和定義-3.4")

機密性（Confidentiality） 信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性(ISO27001"3術(shù)語和定義-3.3")完整性（Integrity） 保護資產(chǎn)的準確和完整的特性(ISO27001"3術(shù)語和定義-3.8").確保信息在存儲、使用、傳輸過程中不會被非授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當?shù)拇鄹?，保持信息?nèi)、外部表示的一致性?？捎眯裕ˋvailability） 根據(jù)授權(quán)實體的要求可訪問和利用的特性(ISO27001"3術(shù)語和定義-3.2").確保授權(quán)用戶或?qū)嶓w對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源第4頁/共84頁信息安全管理體系(ISMS):是整個管理體系的一部分，建立在業(yè)務(wù)風險的方法上，以：建立實施運作監(jiān)控評審維護改進信息安全。1.2ISO27001的第3章“術(shù)語和定義-3.7"職業(yè)健康安全IT服務(wù)信息安全環(huán)境管理體系食品安全質(zhì)量建設(shè)了ISMS，尤其是獲取了ISO27001認證后，組織將在信息安全方面進入一個強制的良性循環(huán)。第5頁/共84頁1.327001的總要求(ISO270014.1)相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do處置Act圖1應(yīng)用于ISMS過程的PDCA模型一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。第6頁/共84頁0.Introduction1.Scope2.Normativereferences3.Termsanddefinitions4.Informationsecuritymanagementsystem 4.1Generalrequirements 4.2EstablishingandmanagingtheISMS 4.2.1EstablishtheISMS 4.2.2ImplementandoperatetheISMS 4.2.3MonitorandreviewtheISMS 4.2.4MaintainandimprovetheISMS 4.3Documentationrequirements5.Managementresponsibility6.InternalISMSaudits7.ManagementreviewoftheISMS8.ISMSimprovementAnnexAISO27001:2005,AnnexA11Clauses 39Objectives133Controls1.4ISO27001的結(jié)構(gòu)第7頁/共84頁1.5ISO27001所關(guān)注的領(lǐng)域(ISO27001附錄A)合規(guī)性（Compliance）業(yè)務(wù)連續(xù)性管理（BusinessContinuityManagement）信息安全事故管理（InformationSecurityIncidentManagement）訪問控制（AccessControl）人力資源安全（HumanResourceSecurity）物理和環(huán)境安全（PhysicalandEnvironmentalSecurity）通信和操作管理（CommunicationsandOperationsManagement）信息系統(tǒng)的獲取、開發(fā)和維護（InformationSystemAcquisition,DevelopmentandMaintenance）資產(chǎn)管理（AssetManagement）組織信息安全（OrganizationofInformationSecurity）安全策略（InformationSecurityPolicy）第8頁/共84頁十大管理要項（BS7799）：信息安全策略：為信息安全提供管理指導和支持機構(gòu)安全基礎(chǔ)設(shè)施，目標包括：內(nèi)部信息安全管理；保障機構(gòu)的信息處理設(shè)施以及信息資產(chǎn)的安全；當信息處理的責任外包時，維護信息的安全性資產(chǎn)分類和控制：對資產(chǎn)進行分類和控制，確保機構(gòu)資產(chǎn)和信息資產(chǎn)得到適當水平的保護。人員安全，其目標是：減少由于人為錯誤、盜竊、欺詐和設(shè)施誤用等造成的風險；確保用戶了解信息安全威脅，確保其支持機構(gòu)的安全策略；減少安全事故和故障造成的損失，并從事故中吸取教訓。物理和環(huán)境安全，其目標包括：防止對業(yè)務(wù)場所和信息的非法訪問、破壞以及干擾；防止資產(chǎn)的丟失、破壞、威脅對業(yè)務(wù)活動的中斷；防止信息或信息處理設(shè)施的損壞或失竊。第9頁/共84頁通信和操作的管理，其目標是確保信息設(shè)施處理的正確、安全操作；把系統(tǒng)錯誤的風險降到最低；保護軟件和信息的完整性；維護信息處理和通信的完整性和有效性；加強對網(wǎng)絡(luò)中信息和支持設(shè)施的保護；防止資產(chǎn)損壞和活動的中斷；在機構(gòu)間交換信息時，防止信息的丟失、篡改以及誤用等情況。系統(tǒng)訪問控制，其目標是：控制對信息的訪問；防止對信息系統(tǒng)的非授權(quán)訪問；確保對網(wǎng)絡(luò)服務(wù)的保護；防止未授權(quán)的計算機訪問；檢測未授權(quán)的活動；確保便攜式計算機和無線網(wǎng)絡(luò)的信息安全。第10頁/共84頁ISO27001正式的標準可認證的標準管理體系的要求控制措施的要求ISO17799實施細則（一整套最佳實踐）控制措施的實施建議和實施指導ISO27001的附錄A的細化與補充1.6ISO27001與ISO17799（27002）*為設(shè)計控制措施提供實施指南*“ISO270011范圍-注2”：ISO/IEC17799為設(shè)計控制措施提供實施指南第11頁/共84頁ISO17799:2000國際標準BS7799-1:1999BS7799-2:1999英國標準BS7799-2:2002BS7799-1:2000ISO27002:2005ISO27001:2005BS7799:1996BS7799-3:20051.7安全管理體系標準的發(fā)展歷史第12頁/共84頁ISO/IEC27001:2005是什么？ISO/IEC27001:2005內(nèi)容ISO/IEC27001:2005建立練習ISO/IEC27001:2005介紹第13頁/共84頁0.引言1.范圍2.規(guī)范性應(yīng)用文件3.術(shù)語和定義4.信息安全管理體系(ISMS) 4.1總要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2實施和運維ISMS 4.2.3監(jiān)控和評審ISMS 4.2.4維護和改進ISMS 4.3文件要求5.管理職責6.ISMS的內(nèi)部審核7.ISMS的管理評審8.ISMS改進附錄A控制目標和控制措施附錄BOECD原則與本標準附錄CISO9001:2000和ISO14001:2004對照參考書目2ISO/IEC27001:2005的結(jié)構(gòu)27001核心部分（條款4-8)27001核心部分27001輔助部分27001輔助部分第14頁/共84頁2.127001核心內(nèi)容（4-8條款）相關(guān)方受控的信息安全信息安全要求和期望相關(guān)方檢查Check建立ISMS實施和運行ISMS保持和改進ISMS監(jiān)視和評審ISMS規(guī)劃Plan實施Do處置Act圖1應(yīng)用于ISMS過程的PDCA模型一個組織應(yīng)在其整體業(yè)務(wù)活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。(ISO270014.1總要求)第15頁/共84頁2.2PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對應(yīng)標準條款P-規(guī)劃建立ISMS建立與管理風險和改進信息安全有關(guān)的ISMS方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結(jié)果。4.14.2.14.35D-實施實施和運行ISMS實施和運行ISMS方針、控制措施、過程和程序。4.2.2C-檢查監(jiān)視和評審ISMS對照ISMS方針、目標和實踐經(jīng)驗，評估并在適當時，測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。4.2.367A-處置保持和改進ISMS基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件評審你所做的事情的符合性做文件已規(guī)定的事情采取糾正和預(yù)防措施，持續(xù)改進PLANDOCHECKACT第16頁/共84頁條款的重要性本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標準時，對于4、5、6、7和8章的要求不能刪減。為了滿足風險接受準則所必須進行的任何控制措施的刪減（附錄A），必須證明是合理的，且需要提供證據(jù)證明相關(guān)風險已被負責人員接受。除非刪減不影響組織提供由風險評估和適用法律法規(guī)要求所確定的安全需求的能力和/或責任，否則不能聲稱符合本標準。第17頁/共84頁4.1總要求風險+PDCA+文件化的ISMS4.2.1建立ISMSa)范圍(ScopeoftheISMS)b)策略(ISMSPolicy)c)~h)風險評估和管理(RiskManagement)i)管理者授權(quán)實施和運行ISMSj)適用聲明(SOA)4.3文件要求5管理職責P：建立ISMS2.2PDCA第18頁/共84頁 根據(jù)組織及其業(yè)務(wù)特點、位置、資產(chǎn)、技術(shù)，確定ISMS的范圍和邊界，包括對例外于此范圍的對象作出詳情和合理性的說明。組織：所有部門？還是某個業(yè)務(wù)部？業(yè)務(wù)：所有業(yè)務(wù)系統(tǒng)還是部門相關(guān)系統(tǒng)？位置：一個大樓？還是全北京，全省，全國？資產(chǎn)：軟件、硬件、數(shù)據(jù)、服務(wù)、人員？拿證過外審須提交文件《ISMS范圍》4.2.1a)ISMS范圍2.2.1PDCA-4.2.1a)第19頁/共84頁 根據(jù)組織及其業(yè)務(wù)特點、位置、資產(chǎn)和技術(shù)，確定ISMS方針，應(yīng)：1)為其目標建立一個框架并為信息安全行動建立整體的方向和原則；2)考慮業(yè)務(wù)和法律法規(guī)的要求，及合同中的安全義務(wù)；3)在組織的戰(zhàn)略性風險管理環(huán)境下，建立和保持ISMS；4)建立風險評價的準則[見4.2.1c]；5)獲得管理者批準。拿證過外審須提交文件《ISMS范圍》4.2.1b)ISMSPolicy2.2.2PDCA-4.2.1b)第20頁/共84頁

C)風險評估方法D)識別風險(執(zhí)行風險評估)E)分析風險F)識別和評價風險處置的可選措施G)為處理風險選擇控制目標和控制措施H)獲得管理者對建議的殘余風險的批準拿證過外審須提交文件《風險評估方法描述》、《風險評估報告》、《風險處置計劃》4.2.1c)~h)風險管理2.2.2PDCA-4.2.1c)~h)如何做風險評估和風險處置？第21頁/共84頁ISO27001正式的標準可認證的標準管理體系的要求控制措施的要求ISOTR13335風險管理方法論提供如何識別風險到風險處置對ISO27001的風險評估方法的細化和補充2.2.4ISO27001與ISO13335為風險管理提供方法“ISO270014.2.1c)注”：風險評估具有不同的方法。在ISO/IECTR13335-3（IT安全管理指南：IT安全管理技術(shù)）中描述了風險評估方法的例子第22頁/共84頁2.2.5ISO13335：以風險為核心的安全模型風險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第23頁/共84頁任何對組織有價值的東西[ISO/IEC27001:20053術(shù)語和定義]資產(chǎn)是企業(yè)、機構(gòu)直接賦予了價值因而需要保護的東西。信息資產(chǎn)是指組織的信息系統(tǒng)、其提供的服務(wù)以及處理的數(shù)據(jù)。 資產(chǎn)的根本屬性是：價值（C、I、A值）

資產(chǎn)（Asset）風險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第24頁/共84頁

脆弱性是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害。脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性的根本屬性是：嚴重程度（脆弱性被利用后對資產(chǎn)的損害程度、脆弱性被利用的難易程度）（Vulnerability）風險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第25頁/共84頁威脅是對組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。威脅可以分為人為威脅（故意、非故意）和非人為威脅（環(huán)境、故障）2種。

威脅的根本屬性是：出現(xiàn)的頻率（還包括威脅的能力，威脅的決心。）

威脅（Threat）風險安全措施信息資產(chǎn)威脅漏洞安全需求降低增加增加利用暴露價值擁有抗擊增加引出被滿足第26頁/共84頁2.2.5風險評估實施流程圖第27頁/共84頁4.3文件要求2.3.1PDCA-4.3文件要求

文件的作用是指導組織有關(guān)信息安全工作方面的內(nèi)部“法規(guī)”--使工作有章可循。是組織實際工作的標準。ISMS文件是根據(jù)ISMS標準和組織需要“量身定做”的實際工作的標準。對一般員工來說，在其實際工作中，可以不過問ISMS標準(ISO/IEC27001:2005)，但必須按照ISMS文件的要求執(zhí)行工作。是控制措施（controls）的重要部分。提供客觀證據(jù)--為滿足相關(guān)方要求，以及持續(xù)改進提供依據(jù)。提供適宜的內(nèi)部培訓的依據(jù)。提供ISMS審核（包括內(nèi)審和外審）的依據(jù)，文件審核、現(xiàn)場審核。第28頁/共84頁4.3.1包含文件2.3.2PDCA-4.3.1總則序號文件名稱標準條款1ISMS策略和目標4.3.1a)2ISMS范圍4.3.1b)3風險評估方法的描述4.3.1b)4風險評估報告4.3.1e)5風險處理計劃4.3.1f)6適用性聲明4.3.1i)

7標準要求的紀錄4.3.1h)8文件控制程序4.3.29記錄控制程序4.3.310內(nèi)部審核程序611管理評審程序7.112糾正措施程序8.213預(yù)防措施程序8.3注1：本標準出現(xiàn)“形成文件的程序”之處，即要求建立該程序，形成文件，并加以實施和保持。第29頁/共84頁4.3.2文件控制2.3.3PDCA-4.3.2批準評審、更新并再批準；修訂狀態(tài)得到標識；在使用處可獲得適用文件；清晰、易于識別；對需要的人員可用，傳輸、貯存和最終銷毀；外來文件標識；分發(fā)控制；防止作廢文件的非預(yù)期使用；作廢文件的標識。第30頁/共84頁4.3.3記錄控制2.3.4PDCA-4.3.3建立并保持，以提供證據(jù)。保護和控制。應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。清晰、易于識別和檢索。記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實施。記錄的詳略程度應(yīng)通過管理過程確定。應(yīng)保留4.2中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的安全事故的記錄。第31頁/共84頁5.1管理承諾2.3.5PDCA-5制定ISMS方針；確保ISMS目標和計劃得以制定；建立信息安全的角色和職責；向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性；提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進ISMS（見5.2.1）；決定接受風險的準則和風險的可接受級別；確保ISMS內(nèi)部審核的執(zhí)行（見第6章）；實施ISMS的管理評審（見第7章）。第32頁/共84頁5.2資源管理2.3.6PDCA-5 5.2.1資源提供應(yīng)確定并提供信息安全工作所需的資源－人、財、物

5.2.1培訓、意識和能力確保所有分配有ISMS職責的人員具有執(zhí)行所要求任務(wù)的能力確保所有相關(guān)人員意識到其信息安全活動的適當性和重要性，以及如何為達到ISMS目標做出貢獻。第33頁/共84頁2.4PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對應(yīng)標準條款P-規(guī)劃建立ISMS建立與管理風險和改進信息安全有關(guān)的ISMS方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結(jié)果。4.14.2.14.35D-實施實施和運行ISMS實施和運行ISMS方針、控制措施、過程和程序。4.2.2C-檢查監(jiān)視和評審ISMS對照ISMS方針、目標和實踐經(jīng)驗，評估并在適當時，測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。4.2.367A-處置保持和改進ISMS基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件做文件已規(guī)定的事情PLANDO第34頁/共84頁4.2.2實施和運行ISMS2.4.1PDCA-4.2.2制定風險處理計劃（見條款5）。實施風險處理計劃。實施4.2.1(g）中所選擇的控制措施。測量所選擇的控制措施或控制措施集的有效性（見條款4.2.3c)）。實施培訓和意識教育計劃（見條款5.2.2）。管理ISMS的運行。管理ISMS的資源（見條款5.2）。事件和事故響應(yīng)（見條款4.2.3a）。第35頁/共84頁2.5PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對應(yīng)標準條款P-規(guī)劃建立ISMS建立與管理風險和改進信息安全有關(guān)的ISMS方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結(jié)果。4.14.2.14.35D-實施實施和運行ISMS實施和運行ISMS方針、控制措施、過程和程序。4.2.2C-檢查監(jiān)視和評審ISMS對照ISMS方針、目標和實踐經(jīng)驗，評估并在適當時，測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。4.2.367A-處置保持和改進ISMS基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件評審你所做的事情的符合性做文件已規(guī)定的事情PLANDOCHECK第36頁/共84頁4.2.3監(jiān)視和評審ISMS2.5.1PDCA-4.2.3執(zhí)行監(jiān)視和評審程序和其它控制措施。ISMS有效性的定期評審。測量控制措施的有效性以驗證安全要求是否被滿足。按照計劃的時間間隔進行風險評估的評審。按計劃的時間間隔，對ISMS進行內(nèi)部審核（見條款6）。定期對ISMS進行管理評審（見條款7）。考慮監(jiān)視和評審活動的結(jié)果，以更新安全計劃。記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事件（見4.3.3）。第37頁/共84頁6內(nèi)部評審–術(shù)語2.5.2PDCA-6審核audit

為獲得審核證據(jù)并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。內(nèi)部審核internalaudit

有時稱為第一方審核，用于內(nèi)部目的的，由組織自己或以組織名義進行，可作為組織自我合格聲明的基礎(chǔ)。（條款4.2.3注）審核員auditor

有能力實施審核的人員。審核方案auditprogramme

針對特定時間段所策劃，并具有特定目的的一組(一次或多次)審核符合（合格）conformity

滿足要求不符合（不合格）nonconformity

未滿足要求第38頁/共84頁6內(nèi)部評審–條款2.5.3PDCA-6按照計劃的時間間隔進行內(nèi)部ISMS審核。審核方案。審核的客觀和公正，審核員不應(yīng)審核自己的工作。文件化內(nèi)審程序并定義清晰的職責和要求。受審核區(qū)域的管理者應(yīng)消除不符合及其原因，并跟蹤驗證。ISO19011:2002給出了審核指南。第39頁/共84頁7.1管理評審–總則2.5.4PDCA-7按照計劃的時間間隔進行管理評審，至少一年一次。包括評估ISMS改進的機會和變更的需要。包括信息安全方針和信息安全目標。評審報告和評審記錄。第40頁/共84頁7.2管理評審–評審輸入2.5.5PDCA-7ISMS審核和評審的結(jié)果；相關(guān)方的反饋；組織用于改進ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；以往風險評估沒有充分強調(diào)的脆弱點或威脅；有效性測量的結(jié)果；以往管理評審的跟蹤措施；可能影響ISMS的任何變更；改進的建議。第41頁/共84頁7.3管理評審–評審輸出2.5.6PDCA-7ISMS有效性的改進；風險評估和風險處理計劃的更新；必要時修改影響信息安全的程序，以響應(yīng)內(nèi)部或外部可能影響ISMS的事件；資源需求；正在被測量的控制措施的有效性的改進。第42頁/共84頁2.6PDCA與4-8條款關(guān)系PDCA各階段內(nèi)容對應(yīng)標準條款P-規(guī)劃建立ISMS建立與管理風險和改進信息安全有關(guān)的ISMS方針、目標、過程和程序，以提供與組織整體方針和目標相一致的結(jié)果。4.14.2.14.35D-實施實施和運行ISMS實施和運行ISMS方針、控制措施、過程和程序。4.2.2C-檢查監(jiān)視和評審ISMS對照ISMS方針、目標和實踐經(jīng)驗，評估并在適當時，測量過程的執(zhí)行情況，并將結(jié)果報告管理者以供評審。4.2.367A-處置保持和改進ISMS基于ISMS內(nèi)部審核和管理評審的結(jié)果或者其他相關(guān)信息，采取糾正和預(yù)防措施，以持續(xù)改進ISMS。 4.2.48規(guī)定你應(yīng)該做什么并形成文件評審你所做的事情的符合性做文件已規(guī)定的事情采取糾正和預(yù)防措施，持續(xù)改進PLANDOCHECKACT第43頁/共84頁4.2.4保持和改進ISMS2.6.1PDCA-4.2.4組織應(yīng)經(jīng)常：實施已識別的ISMS改進措施。依照8.2和8.3采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗中吸取教訓。向所有相關(guān)方溝通措施和改進措施，其詳細程度應(yīng)與環(huán)境相適應(yīng)，需要時，商定如何進行。確保改進達到了預(yù)期目標。第44頁/共84頁8ISMS改進2.6.2PDCA-8持續(xù)改進continualimprovement

增強滿足要求的能力的循環(huán)活動。預(yù)防措施preventiveaction

為消除潛在不符合或其他潛在不期望情況的原因所采取的措施。糾正措施correctiveaction

為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。第45頁/共84頁8.1持續(xù)改進2.6.3PDCA-8

組織應(yīng)通過使用信息安全方針、安全目標、審核結(jié)果、監(jiān)視事件的分析、糾正和預(yù)防措施以及管理評審（見第7章），持續(xù)改進ISMS的有效性。第46頁/共84頁8.2預(yù)防措施2.6.5PDCA-8應(yīng)確定措施，以消除潛在不符合的原因，防止其發(fā)生。預(yù)防措施程序應(yīng)規(guī)定以下要求：識別潛在的不符合及其原因；評價防止不符合發(fā)生的措施需求；確定和實施所需要的預(yù)防措施；記錄所采取措施的結(jié)果（見4.3.3）；評審所采取的預(yù)防措施。應(yīng)識別變化的風險，并識別針對重大變化的風險的預(yù)防措施的要求。預(yù)防措施的優(yōu)先級要根據(jù)風險評估的結(jié)果確定。預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。第47頁/共84頁8.3糾正措施2.6.4PDCA-8應(yīng)采取措施消除與ISMS要求不符合的原因，以防止再發(fā)生糾正措施程序應(yīng)規(guī)定以下要求：識別不符合；確定不符合的原因；評價確保不符合不再發(fā)生的措施需求；確定和實施所需要的糾正措施；記錄所采取措施的結(jié)果（見4.3.3）；評審所采取的糾正措施。第48頁/共84頁0.引言1.范圍2.規(guī)范性應(yīng)用文件3.術(shù)語和定義4.信息安全管理體系(ISMS) 4.1總要求 4.2建立和管理ISMS 4.2.1建立ISMS 4.2.2實施和運維ISMS 4.2.3監(jiān)控和評審ISMS 4.2.4維護和改進ISMS 4.3文件要求5.管理職責6.ISMS的內(nèi)部審核7.ISMS的管理評審8.ISMS改進附錄A控制目標和控制措施附錄BOECD原則與本標準附錄CISO9001:2000和ISO14001:2004對照參考書目2.7

ISO/IEC27001:2005的結(jié)構(gòu)27001核心部分（條款4-8)27001核心部分27001輔助部分27001輔助部分第49頁/共84頁0.2過程方法0.3與其他管理體系的兼容性重要提示1.2應(yīng)用2規(guī)范性引用文件3術(shù)語和定義附錄A控制目標和控制措施附錄BOECD原則與本標準附錄CISO9001:2000和ISO14001:2004對照參考書目2.7.1其他相關(guān)方面第50頁/共84頁0.2過程方法過程process

一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動。過程方法processapproach

一個組織內(nèi)過程的系統(tǒng)的運用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。（系統(tǒng)地識別和管理組織所應(yīng)用的過程，特別是這些過程之間的相互作用，稱為過程方法。－ISO9000:2000）2.7.1條款0.2過程方法第51頁/共84頁過程方法示意圖活動測量、改進責任人資源記錄輸入輸出2.7.1條款0.2過程方法第52頁/共84頁·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶·集團

—

政治

—

標準

—

程序·摘要·收據(jù)·客戶·銷售發(fā)票

等等變化？關(guān)鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶·集團

—

政治

—

標準

—

程序·摘要·收據(jù)·客戶·銷售發(fā)票

等等變化？關(guān)鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶·集團

—

政治

—

標準

—

程序·摘要·收據(jù)·客戶·銷售發(fā)票

等等變化？關(guān)鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營·信息輸入·信息輸出·信息記錄·資源

—

人

—

環(huán)境

—

設(shè)備

—

工具

—

通信

—

其他·立法·規(guī)定·客戶·集團

—

政治

—

標準

—

程序·摘要·收據(jù)·客戶·銷售發(fā)票

等等變化？關(guān)鍵活動測量擁有者資源記錄標準輸入輸出生產(chǎn)經(jīng)營活動測量、改進過程的分解2.7.1條款0.2過程方法第53頁/共84頁PDCA:持續(xù)改進的優(yōu)秀方法2.7.2條款0.2PDCA規(guī)劃實施檢查處置PDAC第54頁/共84頁PDCA:持續(xù)改進的優(yōu)秀方法2.7.2條款0.2PDCA

又稱“戴明環(huán)”,PDCA循環(huán)是能使任何一項活動有效進行的工作程序:P：規(guī)劃

D：實施

C：檢查

A：處置第55頁/共84頁PDCA特點一2.7.2條款0.2PDCA按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復(fù)始，不斷循環(huán)。9090處置實施規(guī)劃檢查CADP第56頁/共84頁PDCA特點二2.7.2條款0.2PDCA

組織中的每個部分，甚至個人，均可以PDCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。第57頁/共84頁PDCA特點三2.7.2條款0.2PDCA每通過一次PDCA循環(huán)，都要進行總結(jié)，提出新目標，再進行第二次PDCA循環(huán)。90909090處置實施規(guī)劃檢查CADP達到新的水平改進(修訂標準)維持原有水平90909090處置實施規(guī)劃檢查CADP第58頁/共84頁采用PDCA模型還反映了治理信息系統(tǒng)和網(wǎng)絡(luò)安全的OECD指南（2002版）中所設(shè)置的原則

OECDGuidelinesfortheSecurityofInformationSystemandNetworkOECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南2.7.2條款0.2PDCA認識責任反應(yīng)道德規(guī)范民主風險評估安全設(shè)計與實施安全管理再評估第59頁/共84頁2.7.2條款0.3與其它管理體系的兼容性--多種體系如何建設(shè)本標準與GB/T19001-2000及GB/T24001-1996相結(jié)合，以支持相關(guān)管理標準一致、整合的實施和運作。因此，一個設(shè)計恰當?shù)墓芾眢w系可以滿足所有這些標準的要求。表C.1說明了本標準、GB/T19001-2000（ISO9001:2000）和GB/T24001-1996（ISO14001:2004）的各條款之間的關(guān)系。本標準的設(shè)計能夠使一個組織將其ISMS與其它相關(guān)的管理體系要求結(jié)合或整合起來注：如果一個組織已經(jīng)有一個運轉(zhuǎn)著的業(yè)務(wù)過程管理體系（例如，與ISO9001或者ISO14001相關(guān)的），那么在大多數(shù)情況下，在這個現(xiàn)有的管理體系內(nèi)滿足本標準的要求是更為可取的第60頁/共84頁2.3條款3術(shù)語和定義3.1資產(chǎn)asset3.2可用性availability3.3保密性confidentiality3.4信息安全informationsecurity3.5信息安全事件informationsecurityevent3.6信息安全事故informationsecurityincident3.7信息安全管理體系（ISMS）informationsecuritymanagementsystem（ISMS）3.8完整性integrity第61頁/共84頁2.3條款3術(shù)語和定義3.9殘余風險residualrisk3.10風險接受riskacceptance3.11風險分析riskanalysis3.12風險評估riskassessment3.13風險評價riskevaluation3.14風險管理riskmanagement3.15風險處理risktreatment3.16適用性聲明statementofapplicability第62頁/共84頁2.3其他相關(guān)方面之附錄A規(guī)范性附錄。直接引用并與ISO/IEC17799:2005第5到15章一致。表A.1中的清單并不完備，一個組織可能考慮另外必要的控制目標和控制措施。在這些表中選擇控制目標和控制措施是條款4.2.1規(guī)定的ISMS過程的一部分。ISO/IEC17799:2005第5至15章提供了最佳實踐的實施建議和指南表A.1控制目標和控制措施第63頁/共84頁2.3其他相關(guān)方面之附錄B資料性附錄。OECD信息系統(tǒng)和網(wǎng)絡(luò)安全指南中給出的原則適用于治理信息系統(tǒng)和網(wǎng)絡(luò)安全的所有方針和操作層。本標準提供信息安全管理體系框架，通過使用PDCA模型以及4、5、6和8所述的過程，來實現(xiàn)的某些OECD原則。表B.1OECD原則和PDCA模型。第64頁/共84頁2.3其他相關(guān)方面之附錄C資料性附錄。表C.1ISO9001:2000、ISO14001:2004和本標準之間的對應(yīng)關(guān)系。第65頁/共84頁ISO/IEC27001:2005是什么？ISO/IEC27001:2005內(nèi)容ISO/IEC27001:2005建立練習ISO/IEC27001:2005介紹第66頁/共84頁構(gòu)建ISMS示例項目啟動風險評估前期培訓差距分析范圍界定風險處置中期培訓策略編寫發(fā)布實施試運行后期培訓內(nèi)部審核管理評審糾正和預(yù)防第67頁/共84頁構(gòu)建ISMS的第一階段：風險評估（Plan）項目啟動范圍界定差距分析風險評估前期培訓–

項目啟動前期溝通，實施計劃，資源準備，啟動會議。–

前期培訓ISO27001標準，風險評估方法。

–

范圍界定書面確定ISMS的范圍和界限。–

差距分析組織現(xiàn)有的信息安全管理體系與ISO27001的差距。–

風險評估資產(chǎn)評估、威脅評估、脆弱性評估、業(yè)務(wù)影響評估和現(xiàn)實可能性評估，風險處置計劃，適用性聲明，殘余風險批準等。風險評估階段主要包括以下5個關(guān)鍵步驟:風險評估是此階段中最重要的環(huán)節(jié)。通常耗時1個月以上。第68頁/共84頁練習一ISMS范圍確定(20min)假設(shè)你是一家公司的安全官，現(xiàn)在考慮把ISO27001引入到公司,需要你確定公司的ISMS范圍：-公司業(yè)務(wù)公司方針-組織-位置-資產(chǎn)第69頁/共84頁練習二資產(chǎn)價值、威脅、脆弱性和影響(30min)Mr.Risk分析當前公司的資產(chǎn)狀況，包括他們的價值，主要面臨的威脅，可能性以及他們的后果。最終計算得出風險說明和風險處置。(你可以用高中低來描述不同等級)資產(chǎn)描述資產(chǎn)價值威脅可能性脆弱性嚴重程度風險說明風險處置信息資產(chǎn)軟件資產(chǎn)物理資產(chǎn)服務(wù)資產(chǎn)第70頁/共84頁構(gòu)建ISMS的第二階段：風險處置（Do）風險處置發(fā)布實施中期培訓策略編寫–

風險處置風險處置計劃的落實：技術(shù)方案的落實，管理方案的落實。–

策略編寫安全規(guī)章制度、流程、程序和記錄模版等的文件化的ISMS的落實。

–

發(fā)布實施獲得管理層的授權(quán)，實施和運作ISMS。–

中期培訓ISMS的全員推廣培訓風險處置