27000標準族與ISMS.ppt_第1頁
27000標準族與ISMS.ppt_第2頁
27000標準族與ISMS.ppt_第3頁
27000標準族與ISMS.ppt_第4頁
27000標準族與ISMS.ppt_第5頁
已閱讀5頁,還剩50頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、27000標準族與ISMS,王新杰 北京知識安全工程中心,2,2020/7/31,自我介紹,王新杰 2000年開始ISMS相關工作,目前主要從事: ISMS認證咨詢 國家注冊ISMS審核員培訓 國家注冊ISMS審核員培訓教師 中國合格評定國家認可委員會信息安全專業(yè)委員會委員 聯(lián)系,3,2020/7/31,縮略語介紹,ISMS Information Security Management System-ISMS 信息安全管理體系 基于國際標準ISO/IEC27001:信息安全管理體系要求 是綜合信息安全管理和技術手段,保障組織信息安全的一種方法 ISMS是管理體系(M

2、S)家族的一個成員,4,2020/7/31,ISMS是一門交叉學科,信息安全,管理體系,ISMS,5,2020/7/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,6,2020/7/31,國際標準化組織 ISO/IEC JTC1/SC27/WG1 .de 國內(nèi)標準化組織 全國信息安全標準化技術委員會 http:/ ,ISMS標準化組織,1. 從ISMS標準說起,7,2020/7/31,ISO/IEC27001:2005 ISO/IEC27002:2005 ISO/IEC27006:2007 ISMS標準族:27000系列,已經(jīng)發(fā)布的

3、ISMS標準和制定中的ISMS標準族,1. 從ISMS標準說起,8,2020/7/31,1. 從ISMS標準說起,ISO/IEC27001:2005,Information technology- Security techniques-Information security management systems-requirements 信息技術-安全技術-信息安全管理體系-要求,9,2020/7/31,1. 從ISMS標準說起,ISO/IEC27001:2005,ISO/IEC27001:2005的名稱 Information technology- Security technique

4、s-Information security management systems-requirements 信息技術-安全技術-信息安全管理體系-要求,該標準用于:為建立、實施、運行、監(jiān)視、評審、保持和改進信息安全管理體系提供模型,并規(guī)定了要求。,該標準適用于:所有類型的組織(例如,商業(yè)企業(yè)、政府機構(gòu)、非贏利組織)。,是建立和實施ISMS的依據(jù),是ISMS認證的依據(jù)。,10,2020/7/31,IS0/IEC27001:2005的內(nèi)容,1. 從ISMS標準說起,11,2020/7/31,IS0/IEC27001:2005的內(nèi)容,1. 從ISMS標準說起,12,2020/7/31,1. 從IS

5、MS標準說起,ISO/IEC27002:2005,Information technology- Security techniques-Code of practice for information security management 信息技術-安全技術-信息安全管理實用規(guī)則,13,2020/7/31,ISO/IEC27002:2005,1. 從ISMS標準說起,該標準給出了一個組織啟動、實施、保持和改進信息安全管理的指南和一般原則,可作為建立組織的安全準則和有效安全管理實踐的實用指南。,該標準是IS0/IEC27001:2005附錄A的實施指南。,ISO/IEC27002:2005

6、Information technology- Security techniques-Code of practice for information security management 信息技術-安全技術-信息安全管理實用規(guī)則,14,2020/7/31,ISO/IEC27002:2005 的主要內(nèi)容,1. 從ISMS標準說起,15,2020/7/31,ISO/IEC27006:2007,1. 從ISMS標準說起,Information technology- Security techniques- Requirements for bodies providing audit and

7、 certification of information security management systems 信息技術-安全技術-信息安全管理體系認證機構(gòu)要求,16,2020/7/31,1. 從ISMS標準說起,SC27/WG1正在制定中的27000族標準,17,2020/7/31,1. 從ISMS標準說起,SC27/WG1正在開展的幾個研究項目,18,2020/7/31,1. 從ISMS標準說起,SC27/WG4正在制定中的27000族標準,19,2020/7/31,Code of practice,英國DTI,BS 7799-Part1,1993.9,英國BSI,1995.2,BS

8、7799-Part2,1998.2,BS 7799-1:1999,1999.4,ISO/IEC JTC1/SC27,2000.12,+,BS 7799-2:1999,ISO 17799 :2000,BS7799 Part 2 version C,2001.6,ISO 17799 :FDIS,BS7799 Part 2 :2002,2002.9,2004.10,ISO 17799 :2005,ISO27001 :2005,2005.10.15,200,2005,ISMS標準的由來,ISO/IEC JTC1/SC27,ISO/IEC JTC1/SC27,1. 從ISMS標準說起,20,2020/7

9、/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,21,2020/7/31,2. 為什么需要ISMS,生產(chǎn)工具的發(fā)展 信息安全就是生產(chǎn)安全,22,2020/7/31,解決信息安全問題的方案 產(chǎn)品導向型 需求導向型,2. 為什么需要ISMS,組織有價值的信息在哪里?,ISMS是需求導向型的解決信息安全問題的方案。,23,2020/7/31,2. 為什么需要ISMS,information security the third wave technical wave management wave institutional wave

10、2006年3月,又提出: corporate governance,Prof. Basie von Solms Head of the Academy for Information Technology,University of Johannesburg,24,2020/7/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,25,2020/7/31,3. 全球ISMS的現(xiàn)狀,每年成倍增長的全球ISMS認證證書,26,2020/7/31,2007.12 ISMS證書,27,2020/7/31,ISMS在中國 2000年前后,ISMS

11、開始被中國用戶認識; 2002年11月, ISMS國家標準開始被研究和制定; 2005年6月15日,我國發(fā)布第一個ISMS國家標準“GB/T19716-2005信息安全管理實用規(guī)則”,該標準修改采用ISO/IEC17799:2000; 2005年8月,認監(jiān)委批準北京知識安全工程中心為ISMS認證培訓機構(gòu); 2006年3月,國信辦在5個單位開展ISMS標準應用試點工作; 2006年4月,認監(jiān)委批準4家ISMS試點認證機構(gòu); 2006年11月,成立中國信息安全認證中心; 2007年4月,中國向國際標準化組織ISO/IEC JTC1/SC27提出ISMS審核標準提案。,3. 全球ISMS的現(xiàn)狀,28

12、,2020/7/31,從ISMS標準說起 為什么需要ISMS 全球ISMS認證現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,29,2020/7/31,4. 開發(fā)和實施ISMS,IS0/IEC27001:2005的要求 開發(fā)和實施ISMS,30,2020/7/31,4. 開發(fā)和實施ISMS,IS0/IEC27001:2005的要求,31,2020/7/31,4. 開發(fā)和實施ISMS,IS0/IEC27001:2005的要求,32,2020/7/31,ISO/IEC27001的要求,ISO/IEC27001:2005 附錄A的要求,33,2020/7/31,4. 開發(fā)和實施ISMS,開發(fā)和實施I

13、SMS,正確理解ISMS 建立信息安全管理機構(gòu) 識別ISMS文件要求 執(zhí)行風險評估和處理 遵循標準規(guī)定的ISMS運行過程-PDCA,34,2020/7/31,正確理解ISMS,正確理解ISMS 分析ISMS的要素 正確的ISMS設計與開發(fā)思路,在SINOCOM實施ISMS動員大會上的一個比喻:ISMS就是一臺“機器”!,35,2020/7/31,建立ISMS管理機構(gòu),什么是ISMS管理機構(gòu) 為什么需要管理機構(gòu) 管理者承諾,36,2020/7/31,識別ISMS文件要求,文件的作用 ISMS文件的類型 文件的創(chuàng)建 文件的基本要求 ISMS文件與QMS文件的比較,37,2020/7/31,執(zhí)行風險

14、評估和處理,必須的活動 產(chǎn)生兩個文件:風險評估報告和風險處理計劃 主要過程:中c)h) 確定風險評估方法 識別風險 分析和評價風險 識別和評價風險處理的可選措施 為處理風險選擇控制目標和控制措施 獲得管理者對建議的殘余風險的批準,38,2020/7/31,遵循標準規(guī)定的ISMS運行過程PDCA,39,2020/7/31,應用于ISMS的PDCA模型,可以概括為: 1)規(guī)定應該做什么并形成ISMS文件; 2)做ISMS文件已規(guī)定的事情; 3)評審你所做的事情的符合性和有效性; 4)通過預防和糾正措施,持續(xù)改進。,ISMS開發(fā)和實施,規(guī)劃,實施,檢查,改進,40,2020/7/31,基于PDCA的

15、ISMS的實際建設流程,41,2020/7/31,ISMS開發(fā)和實施中的3個關鍵,ISMS方法 信息安全策略的建立 ISMS的運行,42,2020/7/31,為什么需要ISMS ISMS標準 全球ISMS的現(xiàn)狀 開發(fā)和實施ISMS 遇到的問題,主要議題,43,2020/7/31,Q1: 區(qū)分兩種不同的“信息安全管理” Q2: 認識“技術”和“管理”的辨證關系 Q3: 理解ISMS與等級保護、風險評估的關系 Q4: 實施ISMS要有耐心,5. 遇到的問題,44,2020/7/31,Q1-區(qū)分兩種不同的“信息安全管理”,45,2020/7/31,Q2-認識“技術”和“管理”的辨證關系,完全“技術”

16、 完全“管理” 三分技術,七分管理? ISMS并非僅僅管理!,46,2020/7/31,Q3-理解ISMS與等級保護、風險評估的關系,等級保護、ISMS都是保障信息安全的方法,即相對獨立,又相互聯(lián)系,可以聯(lián)合實施,也可選擇其一。 等級保護和ISMS中需要風險評估和處理過程。 等級保護是制度要求,ISMS可以支持等級保護的實施。,47,2020/7/31,Q4-實施ISMS要有耐心,實施ISMS的組織的愿望總是“短平快” 人、時間、投入嚴重不足 2006年試點經(jīng)驗: 中等規(guī)模的組織(500人) 人員:至少5人 時間:12個月以上 經(jīng)費:50萬左右(不包括申請認證的費用),48,2020/7/31

17、,Q&A,49,2020/7/31,謝謝!,50,2020/7/31,北京知識安全工程中心 Peking Knowledge Security Engineering Center -PKSEC 2003年6月,呂述望教授創(chuàng)辦,并擔任主任,趙戰(zhàn)生教授擔任學術委員會主任,陳華平研究員擔任總工程師。 定位:面向知識安全的科學研究、產(chǎn)品研制和咨詢服務。 目標:建設一個知識安全創(chuàng)新基地;建設一個知識安全人才培訓基地。,附:PKSEC介紹,51,2020/7/31,知識安全 知識安全是繼計算機數(shù)據(jù)安全、網(wǎng)絡信息安全之后的新的更高和更深層次的信息資源的安全。 在信息資源中,數(shù)據(jù)是事實與數(shù)字組成的原始的素材;信息是對原始素材進行整理后形成的消息與情報;知識是對消息與情報進行理性分析與綜合后形成的系統(tǒng)的認識與思想及清晰表述的論斷。 知識安全是數(shù)據(jù)安全和信息安全的擴展與延伸,又是信息資源安全一個新的發(fā)展階段。 from DCS, IS to KS,PKSEC知識安全,52,2020/7/31,當前主要業(yè)務領域 信息安全管理體系(ISMS)認證服務 ISMS認證培訓 ISMS認證咨詢 密碼技術研究與開發(fā) 密碼編碼 密碼分析,PKSEC業(yè)務領域,53,2020/7/31,PKSEC在ISMS認證服務領域的優(yōu)勢 國家批準的全國首家ISMS認證培訓機構(gòu) IS

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論