27000標準族與ISMS.ppt

1、27000標準族與ISMS,王新杰 北京知識安全工程中心,2,2020/7/31,自我介紹,王新杰 2000年開始ISMS相關工作，目前主要從事： ISMS認證咨詢 國家注冊ISMS審核員培訓 國家注冊ISMS審核員培訓教師 中國合格評定國家認可委員會信息安全專業(yè)委員會委員 聯(lián)系,3,2020/7/31,縮略語介紹,ISMS Information Security Management System-ISMS 信息安全管理體系 基于國際標準ISO/IEC27001：信息安全管理體系要求 是綜合信息安全管理和技術手段，保障組織信息安全的一種方法 ISMS是管理體系（M

2、S）家族的一個成員,4,2020/7/31,ISMS是一門交叉學科,信息安全,管理體系,ISMS,5,2020/7/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,6,2020/7/31,國際標準化組織 ISO/IEC JTC1/SC27/WG1 .de 國內(nèi)標準化組織 全國信息安全標準化技術委員會 http:/ ,ISMS標準化組織,1. 從ISMS標準說起,7,2020/7/31,ISO/IEC27001:2005 ISO/IEC27002:2005 ISO/IEC27006:2007 ISMS標準族：27000系列,已經(jīng)發(fā)布的

3、ISMS標準和制定中的ISMS標準族,1. 從ISMS標準說起,8,2020/7/31,1. 從ISMS標準說起,ISO/IEC27001:2005,Information technology- Security techniques-Information security management systems-requirements 信息技術-安全技術-信息安全管理體系-要求,9,2020/7/31,1. 從ISMS標準說起,ISO/IEC27001:2005,ISO/IEC27001:2005的名稱 Information technology- Security technique

4、s-Information security management systems-requirements 信息技術-安全技術-信息安全管理體系-要求,該標準用于：為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系提供模型，并規(guī)定了要求。,該標準適用于：所有類型的組織（例如，商業(yè)企業(yè)、政府機構(gòu)、非贏利組織）。,是建立和實施ISMS的依據(jù)，是ISMS認證的依據(jù)。,10,2020/7/31,IS0/IEC27001:2005的內(nèi)容,1. 從ISMS標準說起,11,2020/7/31,IS0/IEC27001:2005的內(nèi)容,1. 從ISMS標準說起,12,2020/7/31,1. 從IS

5、MS標準說起,ISO/IEC27002:2005,Information technology- Security techniques-Code of practice for information security management 信息技術-安全技術-信息安全管理實用規(guī)則,13,2020/7/31,ISO/IEC27002:2005,1. 從ISMS標準說起,該標準給出了一個組織啟動、實施、保持和改進信息安全管理的指南和一般原則，可作為建立組織的安全準則和有效安全管理實踐的實用指南。,該標準是IS0/IEC27001:2005附錄A的實施指南。,ISO/IEC27002:2005

6、Information technology- Security techniques-Code of practice for information security management 信息技術-安全技術-信息安全管理實用規(guī)則,14,2020/7/31,ISO/IEC27002:2005 的主要內(nèi)容,1. 從ISMS標準說起,15,2020/7/31,ISO/IEC27006:2007,1. 從ISMS標準說起,Information technology- Security techniques- Requirements for bodies providing audit and

7、 certification of information security management systems 信息技術-安全技術-信息安全管理體系認證機構(gòu)要求,16,2020/7/31,1. 從ISMS標準說起,SC27/WG1正在制定中的27000族標準,17,2020/7/31,1. 從ISMS標準說起,SC27/WG1正在開展的幾個研究項目,18,2020/7/31,1. 從ISMS標準說起,SC27/WG4正在制定中的27000族標準,19,2020/7/31,Code of practice,英國DTI,BS 7799-Part1,1993.9,英國BSI,1995.2,BS

8、7799-Part2,1998.2,BS 7799-1:1999,1999.4,ISO/IEC JTC1/SC27,2000.12,+,BS 7799-2:1999,ISO 17799 :2000,BS7799 Part 2 version C,2001.6,ISO 17799 :FDIS,BS7799 Part 2 ：2002,2002.9,2004.10,ISO 17799 :2005,ISO27001 :2005,2005.10.15,200,2005,ISMS標準的由來,ISO/IEC JTC1/SC27,ISO/IEC JTC1/SC27,1. 從ISMS標準說起,20,2020/7

9、/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,21,2020/7/31,2. 為什么需要ISMS,生產(chǎn)工具的發(fā)展 信息安全就是生產(chǎn)安全,22,2020/7/31,解決信息安全問題的方案 產(chǎn)品導向型 需求導向型,2. 為什么需要ISMS,組織有價值的信息在哪里？,ISMS是需求導向型的解決信息安全問題的方案。,23,2020/7/31,2. 為什么需要ISMS,information security the third wave technical wave management wave institutional wave

10、2006年3月，又提出： corporate governance,Prof. Basie von Solms Head of the Academy for Information Technology，University of Johannesburg,24,2020/7/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,25,2020/7/31,3. 全球ISMS的現(xiàn)狀,每年成倍增長的全球ISMS認證證書,26,2020/7/31,2007.12 ISMS證書,27,2020/7/31,ISMS在中國 2000年前后，ISMS

11、開始被中國用戶認識； 2002年11月， ISMS國家標準開始被研究和制定； 2005年6月15日，我國發(fā)布第一個ISMS國家標準“GB/T19716-2005信息安全管理實用規(guī)則”，該標準修改采用ISO/IEC17799:2000； 2005年8月，認監(jiān)委批準北京知識安全工程中心為ISMS認證培訓機構(gòu)； 2006年3月，國信辦在5個單位開展ISMS標準應用試點工作； 2006年4月，認監(jiān)委批準4家ISMS試點認證機構(gòu)； 2006年11月，成立中國信息安全認證中心； 2007年4月，中國向國際標準化組織ISO/IEC JTC1/SC27提出ISMS審核標準提案。,3. 全球ISMS的現(xiàn)狀,28

12、,2020/7/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,29,2020/7/31,4. 開發(fā)和實施ISMS,IS0/IEC27001:2005的要求 開發(fā)和實施ISMS,30,2020/7/31,4. 開發(fā)和實施ISMS,IS0/IEC27001:2005的要求,31,2020/7/31,4. 開發(fā)和實施ISMS,IS0/IEC27001:2005的要求,32,2020/7/31,ISO/IEC27001的要求,ISO/IEC27001:2005 附錄A的要求,33,2020/7/31,4. 開發(fā)和實施ISMS,開發(fā)和實施I

13、SMS,正確理解ISMS 建立信息安全管理機構(gòu) 識別ISMS文件要求 執(zhí)行風險評估和處理 遵循標準規(guī)定的ISMS運行過程-PDCA,34,2020/7/31,正確理解ISMS,正確理解ISMS 分析ISMS的要素 正確的ISMS設計與開發(fā)思路,在SINOCOM實施ISMS動員大會上的一個比喻：ISMS就是一臺“機器”！,35,2020/7/31,建立ISMS管理機構(gòu),什么是ISMS管理機構(gòu) 為什么需要管理機構(gòu) 管理者承諾,36,2020/7/31,識別ISMS文件要求,文件的作用 ISMS文件的類型 文件的創(chuàng)建 文件的基本要求 ISMS文件與QMS文件的比較,37,2020/7/31,執(zhí)行風險

14、評估和處理,必須的活動 產(chǎn)生兩個文件：風險評估報告和風險處理計劃 主要過程：中c)h) 確定風險評估方法 識別風險 分析和評價風險 識別和評價風險處理的可選措施 為處理風險選擇控制目標和控制措施 獲得管理者對建議的殘余風險的批準,38,2020/7/31,遵循標準規(guī)定的ISMS運行過程PDCA,39,2020/7/31,應用于ISMS的PDCA模型，可以概括為： 1）規(guī)定應該做什么并形成ISMS文件； 2）做ISMS文件已規(guī)定的事情； 3）評審你所做的事情的符合性和有效性； 4）通過預防和糾正措施，持續(xù)改進。,ISMS開發(fā)和實施,規(guī)劃,實施,檢查,改進,40,2020/7/31,基于PDCA的

15、ISMS的實際建設流程,41,2020/7/31,ISMS開發(fā)和實施中的3個關鍵,ISMS方法 信息安全策略的建立 ISMS的運行,42,2020/7/31,為什么需要ISMS ISMS標準 全球ISMS的現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,43,2020/7/31,Q1: 區(qū)分兩種不同的“信息安全管理” Q2: 認識“技術”和“管理”的辨證關系 Q3: 理解ISMS與等級保護、風險評估的關系 Q4: 實施ISMS要有耐心,5. 遇到的問題,44,2020/7/31,Q1-區(qū)分兩種不同的“信息安全管理”,45,2020/7/31,Q2-認識“技術”和“管理”的辨證關系,完全“技術”

16、 完全“管理” 三分技術，七分管理？ ISMS并非僅僅管理！,46,2020/7/31,Q3-理解ISMS與等級保護、風險評估的關系,等級保護、ISMS都是保障信息安全的方法，即相對獨立，又相互聯(lián)系，可以聯(lián)合實施，也可選擇其一。 等級保護和ISMS中需要風險評估和處理過程。 等級保護是制度要求，ISMS可以支持等級保護的實施。,47,2020/7/31,Q4-實施ISMS要有耐心,實施ISMS的組織的愿望總是“短平快” 人、時間、投入嚴重不足 2006年試點經(jīng)驗： 中等規(guī)模的組織（500人） 人員：至少5人 時間：12個月以上 經(jīng)費：50萬左右（不包括申請認證的費用）,48,2020/7/31

17、,Q&A,49,2020/7/31,謝謝！,50,2020/7/31,北京知識安全工程中心 Peking Knowledge Security Engineering Center -PKSEC 2003年6月，呂述望教授創(chuàng)辦，并擔任主任，趙戰(zhàn)生教授擔任學術委員會主任，陳華平研究員擔任總工程師。 定位：面向知識安全的科學研究、產(chǎn)品研制和咨詢服務。 目標：建設一個知識安全創(chuàng)新基地；建設一個知識安全人才培訓基地。,附：PKSEC介紹,51,2020/7/31,知識安全 知識安全是繼計算機數(shù)據(jù)安全、網(wǎng)絡信息安全之后的新的更高和更深層次的信息資源的安全。 在信息資源中，數(shù)據(jù)是事實與數(shù)字組成的原始的素材；信息是對原始素材進行整理后形成的消息與情報；知識是對消息與情報進行理性分析與綜合后形成的系統(tǒng)的認識與思想及清晰表述的論斷。 知識安全是數(shù)據(jù)安全和信息安全的擴展與延伸，又是信息資源安全一個新的發(fā)展階段。 from DCS, IS to KS,PKSEC知識安全,52,2020/7/31,當前主要業(yè)務領域 信息安全管理體系（ISMS）認證服務 ISMS認證培訓 ISMS認證咨詢 密碼技術研究與開發(fā) 密碼編碼 密碼分析,PKSEC業(yè)務領域,53,2020/7/31,PKSEC在ISMS認證服務領域的優(yōu)勢 國家批準的全國首家ISMS認證培訓機構(gòu) IS