第3講第二章信息安全風險評估.ppt

1、第3講 信息安全風險評估（二）,副教授 郭燕慧,ISO/IEC 27001:2005 標準介紹,ISO/IEC 27001:2005 是什么？ ISO/IEC 27001:2005 內容 ISO/IEC 27001:2005 建立練習,ISO/IEC 27001:2005介紹,ISO 27001的標準全稱 （ISO27001標準題目） Information technology- Security techniques-Information security management systems-Requirements 信息技術-安全技術-信息安全管理體系-要求,ISMS 信息安全管理體

2、系 - 管理體系 - 信息安全相關 - ISO 27001 的3 術語和定義-3.7 Requirements 要求,1.0 ISO/IEC 27001:2005是什么,建立方針和目標并實現這些目標的相互關聯或相互作用的一組要素。 管理體系包括組織結構，策略，規(guī)劃，角色，職責，流程，程序和資源等。(ISO 270013 術語和定義-3.7) 管理的方方面面以及公司的所有雇員，均囊括在管理體系范圍內。,1.1 什么是管理體系？,Quality management system (ISO 9001),Environmental management system (ISO 14001),Safe

3、ty management system (OHSAS 18001),Human Food Safety management system (HACCP),IT Service Management System (ISO 20000),Information security management system (ISO 27001),1.1 什么是信息安全？,保護信息的保密性、完整性和可用性(CIA);另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性 (ISO 270013 術語和定義-3.4) 機密性（Confidentiality） 信息不能被未授權的個人，實體或者過程利用

4、或知悉的特性 (ISO 270013 術語和定義-3.3) 完整性（Integrity） 保護資產的準確和完整的特性(ISO 270013 術語和定義-3.8).確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改，同時還要防止授權用戶對系統(tǒng)及信息進行不恰當的篡改，保持信息內、外部表示的一致性。 可用性（Availability） 根據授權實體的要求可訪問和利用的特性(ISO 270013 術語和定義-3.2).確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕，允許其可靠而及時地訪問信息及資源,信息安全管理體系(ISMS): 是整個管理體系的一部分，建立在業(yè)務風險的方法上，以： 建立 實

5、施 運作 監(jiān)控 評審 維護 改進 信息安全。,1.2 ISO 27001 的第3章 “術語和定義-3.7,職業(yè)健康安全,IT服務,信息安全,環(huán)境,管理體系,食品安全,質量,建設了ISMS，尤其是獲取了ISO27001認證后，組織將在信息安全方面進入一個強制的良性循環(huán)。,1.3 27001的總要求(ISO27001 4.1),圖1 應用于ISMS過程的PDCA模型,一個組織應在其整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。,0. Introduction 1. Scope 2. Normative

6、references 3. Terms and definitions 4. Information security management system 4.1 General requirements 4.2 Establishing and managing the ISMS 4.2.1 Establish the ISMS 4.2.2 Implement and operate the ISMS 4.2.3 Monitor and review the ISMS 4.2.4 Maintain and improve the ISMS 4.3 Documentation requirem

7、ents 5. Management responsibility 6. Internal ISMS audits 7. Management review of the ISMS 8. ISMS improvement Annex A,ISO27001:2005, Annex A 11 Clauses 39 Objectives 133 Controls,1.4 ISO27001的結構,1.5 ISO27001所關注的領域(ISO27001 附錄 A),十大管理要項（BS7799）： 信息安全策略：為信息安全提供管理指導和支持 機構安全基礎設施，目標包括： 內部信息安全管理； 保障機構的信息

8、處理設施以及信息資產的安全； 當信息處理的責任外包時，維護信息的安全性 資產分類和控制：對資產進行分類和控制，確保機構資產和信息資產得到適當水平的保護。 人員安全，其目標是： 減少由于人為錯誤、盜竊、欺詐和設施誤用等造成的風險； 確保用戶了解信息安全威脅，確保其支持機構的安全策略； 減少安全事故和故障造成的損失，并從事故中吸取教訓。 物理和環(huán)境安全，其目標包括： 防止對業(yè)務場所和信息的非法訪問、破壞以及干擾； 防止資產的丟失、破壞、威脅對業(yè)務活動的中斷； 防止信息或信息處理設施的損壞或失竊。,通信和操作的管理，其目標是 確保信息設施處理的正確、安全操作； 把系統(tǒng)錯誤的風險降到最低； 保護軟件和

9、信息的完整性； 維護信息處理和通信的完整性和有效性； 加強對網絡中信息和支持設施的保護； 防止資產損壞和活動的中斷； 在機構間交換信息時，防止信息的丟失、篡改以及誤用等情況。 系統(tǒng)訪問控制，其目標是： 控制對信息的訪問； 防止對信息系統(tǒng)的非授權訪問； 確保對網絡服務的保護； 防止未授權的計算機訪問； 檢測未授權的活動； 確保便攜式計算機和無線網絡的信息安全。,ISO27001 正式的標準 可認證的標準 管理體系的要求 控制措施的要求,ISO 17799 實施細則（一整套最佳實踐） 控制措施的實施建議和實施指導 ISO27001的附錄A的細化與補充,1.6 ISO27001與ISO17799（2

10、7002）,*為設計控制措施提供實施指南,* “ISO270011范圍-注 2”：ISO/IEC 17799為設計控制措施提供實施指南,ISO17799:2000,國際標準,BS7799-1:1999,BS7799-2:1999,英國標準,BS7799-2: 2002,BS7799-1:2000,ISO27002:2005,ISO27001:2005,BS7799:1996,BS7799-3:2005,1.7 安全管理體系標準的發(fā)展歷史,ISO/IEC 27001:2005 是什么？ ISO/IEC 27001:2005 內容 ISO/IEC 27001:2005 建立練習,ISO/IEC 2

11、7001:2005介紹,0. 引言 1. 范圍 2. 規(guī)范性應用文件 3. 術語和定義 4. 信息安全管理體系(ISMS) 4.1 總要求 4.2 建立和管理ISMS 4.2.1 建立 ISMS 4.2.2 實施和運維 ISMS 4.2.3 監(jiān)控和評審 ISMS 4.2.4 維護和改進 ISMS 4.3 文件要求 5. 管理職責 6. ISMS的內部審核 7. ISMS的管理評審 8. ISMS 改進 附錄A 控制目標和控制措施 附錄B OECD原則與本標準 附錄C ISO9001:2000和ISO14001:2004對照 參考書目,2 ISO/IEC27001:2005的結構,27001核心

12、部分 （條款4-8),27001核心部分,27001輔助部分,27001輔助部分,2.1 27001核心內容（4-8條款）,圖1 應用于ISMS過程的PDCA模型,一個組織應在其整體業(yè)務活動和所面臨風險的環(huán)境下建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS。就本標準而言，使用的過程基于圖1所示的PDCA模型。(ISO27001 4.1 總要求),2.2 PDCA與4-8條款關系,規(guī)定你應該做什么 并形成文件,評審你所做的事情的符合性,做文件已規(guī)定的事情,采取糾正和預防措施， 持續(xù)改進,PLAN,DO,CHECK,ACT,條款的重要性,本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特

13、性的組織。組織聲稱符合本標準時，對于4、5、6、7和8章的要求不能刪減。 為了滿足風險接受準則所必須進行的任何控制措施的刪減（附錄A），必須證明是合理的，且需要提供證據證明相關風險已被負責人員接受。除非刪減不影響組織提供由風險評估和適用法律法規(guī)要求所確定的安全需求的能力和/或責任，否則不能聲稱符合本標準。,4.1 總要求 風險+PDCA+文件化的ISMS 4.2.1 建立ISMS a) 范圍(Scope of the ISMS) b) 策略(ISMS Policy) c) h) 風險評估和管理 (Risk Management) i) 管理者授權實施和運行ISMS j) 適用聲明(SOA) 4

14、.3 文件要求 5 管理職責,P：建立ISMS,2.2 PDCA,根據組織及其業(yè)務特點、位置、資產、技術，確定ISMS的范圍和邊界，包括對例外于此范圍的對象作出詳情和合理性的說明 。 組織：所有部門？還是某個業(yè)務部？ 業(yè)務：所有業(yè)務系統(tǒng)還是部門相關系統(tǒng)？ 位置：一個大樓？還是全北京，全省，全國？ 資產：軟件、硬件、數據、服務、人員？ 拿證過外審須提交文件ISMS范圍,4.2.1 a) ISMS范圍,2.2.1 PDCA-4.2.1 a),根據組織及其業(yè)務特點、位置、資產和技術，確定ISMS方針，應： 1)為其目標建立一個框架并為信息安全行動建立整體的方向和原則； 2)考慮業(yè)務和法律法規(guī)的要求，

15、及合同中的安全義務； 3)在組織的戰(zhàn)略性風險管理環(huán)境下，建立和保持ISMS； 4)建立風險評價的準則見4.2.1 c； 5)獲得管理者批準。 拿證過外審須提交文件ISMS范圍,4.2.1 b) ISMS Policy,2.2.2 PDCA-4.2.1 b),C)風險評估方法 D)識別風險(執(zhí)行風險評估) E) 分析風險 F) 識別和評價風險處置的可選措施 G)為處理風險選擇控制目標和控制措施 H) 獲得管理者對建議的殘余風險的批準 拿證過外審須提交文件風險評估方法描述、風險評估報告、風險處置計劃,4.2.1 c) h) 風險管理,2.2.2 PDCA-4.2.1 c) h),如何做風險評估和風

16、險處置？,ISO27001 正式的標準 可認證的標準 管理體系的要求 控制措施的要求,ISO TR 13335 風險管理方法論 提供如何識別風險到風險處置 對ISO27001的風險評估方法的細化和補充,2.2.4 ISO27001與ISO13335,為風險管理提供方法,“ISO270014.2.1 c) 注” ：風險評估具有不同的方法。在ISO/IEC TR 13335-3（IT安全管理指南：IT安全管理技術）中描述了風險評估方法的例子,2.2.5 ISO13335：以風險為核心的安全模型,任何對組織有價值的東西ISO/IEC27001:2005 3 術語和定義 資產是企業(yè)、機構直接賦予了價值

17、因而需要保護的東西。 信息資產是指組織的信息系統(tǒng)、其提供的服務以及處理的數據。 資產的根本屬性是：價值（C、I、A值）, 資產（Asset）,脆弱性是資產本身存在的，它可以被威脅利用、引起資產或商業(yè)目標的損害。 脆弱性包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產的脆弱性。 脆弱性的根本屬性是：嚴重程度（脆弱性被利用后對資產的損害程度、脆弱性被利用的難易程度）, （Vulnerability）,威脅是對組織的資產引起不期望事件而造成的損害的潛在可能性。 威脅可以分為人為威脅（故意、非故意）和非人為威脅（環(huán)境、故障）2種。 威脅的根本屬性是：出

18、現的頻率（還包括威脅的能力，威脅的決心。）, 威脅（Threat）,2.2.5 風險評估實施流程圖,4.3 文件要求,2.3.1 PDCA-4.3 文件要求,文件的作用 是指導組織有關信息安全工作方面的內部“法規(guī)”-使工作有章可循。 是組織實際工作的標準。ISMS文件是根據ISMS標準和組織需要“量身定做”的實際工作的標準。對一般員工來說，在其實際工作中，可以不過問ISMS標準(ISO/IEC 27001:2005)，但必須按照ISMS文件的要求執(zhí)行工作。 是控制措施（controls）的重要部分。 提供客觀證據-為滿足相關方要求，以及持續(xù)改進提供依據。 提供適宜的內部培訓的依據

19、。 提供ISMS審核（包括內審和外審）的依據，文件審核、現場審核。,4.3.1 包含文件,2.3.2 PDCA-4.3.1 總則,注1：本標準出現“形成文件的程序”之處， 即要求建立該程序，形成文件，并加以實施和保持。,4.3.2 文件控制,2.3.3 PDCA-4.3.2,批準 評審、更新并再批準； 修訂狀態(tài)得到標識； 在使用處可獲得適用文件； 清晰、易于識別； 對需要的人員可用，傳輸、貯存和最終銷毀； 外來文件標識； 分發(fā)控制； 防止作廢文件的非預期使用； 作廢文件的標識。,4.3.3 記錄控制,2.3.4 PDCA-4.3.3,建立并保持，以提供證據。 保護和控制。應考慮相關法律法規(guī)要求

20、和合同義務。 清晰、易于識別和檢索。 記錄的標識、貯存、保護、檢索、保存期限和處置所需的控制措施應形成文件并實施。 記錄的詳略程度應通過管理過程確定。 應保留4.2中列出的過程執(zhí)行記錄和所有發(fā)生的與ISMS有關的安全事故的記錄。,5.1 管理承諾,2.3.5 PDCA- 5,制定ISMS方針； 確保ISMS目標和計劃得以制定； 建立信息安全的角色和職責； 向組織傳達滿足信息安全目標、符合信息安全方針、履行法律責任和持續(xù)改進的重要性； 提供足夠資源，以建立、實施、運行、監(jiān)視、評審、保持和改進ISMS （見5.2.1）； 決定接受風險的準則和風險的可接受級別； 確保ISMS內部審核的執(zhí)行（見第6章

21、）； 實施ISMS的管理評審（見第7章）。,5.2 資源管理,2.3.6 PDCA- 5,5.2.1 資源提供 應確定并提供信息安全工作所需的資源人、財、物 5.2.1 培訓、意識和能力 確保所有分配有ISMS職責的人員具有執(zhí)行所要求任務的能力 確保所有相關人員意識到其信息安全活動的適當性和重要性，以及如何為達到ISMS目標做出貢獻。,2.4 PDCA與4-8條款關系,規(guī)定你應該做什么 并形成文件,做文件已規(guī)定的事情,PLAN,DO,4.2.2 實施和運行ISMS,2.4.1 PDCA- 4.2.2,制定風險處理計劃（見條款5）。 實施風險處理計劃。 實施4.2.1 (g）中所選擇的控制措施。

22、 測量所選擇的控制措施或控制措施集的有效性（見條款4.2.3c)）。 實施培訓和意識教育計劃（見條款5.2.2）。 管理ISMS的運行。 管理ISMS的資源（見條款5.2）。 事件和事故響應（見條款4.2.3 a）。,2.5 PDCA與4-8條款關系,規(guī)定你應該做什么 并形成文件,評審你所做的事情的符合性,做文件已規(guī)定的事情,PLAN,DO,CHECK,4.2.3 監(jiān)視和評審 ISMS,2.5.1 PDCA- 4.2.3,執(zhí)行監(jiān)視和評審程序和其它控制措施。 ISMS有效性的定期評審。 測量控制措施的有效性以驗證安全要求是否被滿足。 按照計劃的時間間隔進行風險評估的評審。 按計劃的時間間隔，對I

23、SMS進行內部審核（見條款6）。 定期對ISMS進行管理評審（見條款 7）。 考慮監(jiān)視和評審活動的結果，以更新安全計劃。 記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事件（見4.3.3）。,6 內部評審 術語,2.5.2 PDCA- 6,審核 audit 為獲得審核證據并對其進行客觀的評價，以確定滿足審核準則的程度所進行的系統(tǒng)的、獨立的并形成文件的過程。 內部審核 internal audit 有時稱為第一方審核，用于內部目的的，由組織自己或以組織名義進行，可作為組織自我合格聲明的基礎。（條款4.2.3 注） 審核員 auditor 有能力實施審核的人員。 審核方案 audit progra

24、mme 針對特定時間段所策劃，并具有特定目的的一組(一次或多次)審核 符合（合格） conformity 滿足要求 不符合（不合格） nonconformity 未滿足要求,6 內部評審 條款,2.5.3 PDCA- 6,按照計劃的時間間隔進行內部ISMS審核。 審核方案。 審核的客觀和公正，審核員不應審核自己的工作。 文件化內審程序并定義清晰的職責和要求。 受審核區(qū)域的管理者應消除不符合及其原因，并跟蹤驗證。 ISO19011:2002 給出了審核指南。,7.1 管理評審 總則,2.5.4 PDCA- 7,按照計劃的時間間隔進行管理評審，至少一年一次。 包括評估ISMS改進的機會和變更的需要

25、。 包括信息安全方針和信息安全目標。 評審報告和評審記錄。,7.2 管理評審 評審輸入,2.5.5 PDCA- 7,ISMS審核和評審的結果； 相關方的反饋； 組織用于改進ISMS執(zhí)行情況和有效性的技術、產品或程序； 預防和糾正措施的狀況； 以往風險評估沒有充分強調的脆弱點或威脅； 有效性測量的結果； 以往管理評審的跟蹤措施； 可能影響ISMS的任何變更； 改進的建議。,7.3 管理評審 評審輸出,2.5.6 PDCA- 7,ISMS有效性的改進； 風險評估和風險處理計劃的更新； 必要時修改影響信息安全的程序，以響應內部或外部可能影響ISMS的事件； 資源需求； 正在被測量的控制措施的有效性的

26、改進。,2.6 PDCA與4-8條款關系,規(guī)定你應該做什么 并形成文件,評審你所做的事情的符合性,做文件已規(guī)定的事情,采取糾正和預防措施， 持續(xù)改進,PLAN,DO,CHECK,ACT,4.2.4 保持和改進ISMS,2.6.1 PDCA- 4.2.4,組織應經常： 實施已識別的ISMS改進措施。 依照8.2和8.3采取合適的糾正和預防措施。從其它組織和組織自身的安全經驗中吸取教訓。 向所有相關方溝通措施和改進措施，其詳細程度應與環(huán)境相適應，需要時，商定如何進行。 確保改進達到了預期目標。,8 ISMS改進,2.6.2 PDCA- 8,持續(xù)改進 continual improvement 增強

27、滿足要求的能力的循環(huán)活動。 預防措施 preventive action 為消除潛在不符合或其他潛在不期望情況的原因所采取的措施。 糾正措施 corrective action 為消除已發(fā)現的不符合或其他不期望情況的原因所采取的措施。,8.1 持續(xù)改進,2.6.3 PDCA- 8,組織應通過使用信息安全方針、安全目標、審核結果、監(jiān)視事件的分析、糾正和預防措施以及管理評審（見第7章），持續(xù)改進ISMS的有效性。,8.2 預防措施,2.6.5 PDCA- 8,應確定措施，以消除潛在不符合的原因，防止其發(fā)生。 預防措施程序應規(guī)定以下要求： 識別潛在的不符合及其原因； 評價防止不符合發(fā)生的措施需求；

28、確定和實施所需要的預防措施； 記錄所采取措施的結果（見4.3.3）； 評審所采取的預防措施。 應識別變化的風險，并識別針對重大變化的風險的預防措施的要求。 預防措施的優(yōu)先級要根據風險評估的結果確定。 預防不符合的措施通常比糾正措施更節(jié)約成本。,8.3 糾正措施,2.6.4 PDCA- 8,應采取措施消除與ISMS要求不符合的原因，以防止再發(fā)生 糾正措施程序應規(guī)定以下要求： 識別不符合； 確定不符合的原因； 評價確保不符合不再發(fā)生的措施需求； 確定和實施所需要的糾正措施； 記錄所采取措施的結果（見4.3.3）； 評審所采取的糾正措施。,0. 引言 1. 范圍 2. 規(guī)范性應用文件 3. 術語和定

29、義 4. 信息安全管理體系(ISMS) 4.1 總要求 4.2 建立和管理ISMS 4.2.1 建立 ISMS 4.2.2 實施和運維 ISMS 4.2.3 監(jiān)控和評審 ISMS 4.2.4 維護和改進 ISMS 4.3 文件要求 5. 管理職責 6. ISMS的內部審核 7. ISMS的管理評審 8. ISMS 改進 附錄A 控制目標和控制措施 附錄B OECD原則與本標準 附錄C ISO9001:2000和ISO14001:2004對照 參考書目,2.7 ISO/IEC27001:2005的結構,27001核心部分 （條款4-8),27001核心部分,27001輔助部分,27001輔助部分

30、,0.2 過程方法 0.3 與其他管理體系的兼容性 重要提示 1.2應用 2 規(guī)范性引用文件 3 術語和定義 附錄A 控制目標和控制措施 附錄B OECD原則與本標準 附錄C ISO9001:2000和ISO14001:2004對照 參考書目,2.7.1 其他相關方面,0.2 過程方法 過程 process 一組將輸入轉化為輸出的相互關聯或相互作用的活動。 過程方法 process approach 一個組織內過程的系統(tǒng)的運用，連同這些過程的識別和相互作用及其管理，可稱之為“過程方法”。 （系統(tǒng)地識別和管理組織所應用的過程，特別是這些過程之間的相互作用，稱為過程方法。ISO9000:2000）

31、,2.7.1 條款0.2過程方法,過程方法示意圖,2.7.1 條款0.2過程方法,過程的分解,2.7.1 條款0.2過程方法,PDCA: 持續(xù)改進的優(yōu)秀方法,2.7.2 條款0.2 PDCA,規(guī)劃,實施,檢查,處置,PDCA: 持續(xù)改進的優(yōu)秀方法,2.7.2 條款0.2 PDCA,又稱“戴明環(huán)”,PDCA循環(huán)是能使任何一項活動有效進行的工作程序: P：規(guī)劃 D：實施 C：檢查 A：處置,PDCA特點一,2.7.2 條款0.2 PDCA,按順序進行，它靠組織的力量來推動，像車輪一樣向前進，周而復始，不斷循環(huán)。,PDCA特點二,2.7.2 條款0.2 PDCA,組織中的每個部分，甚至個人，均可以P

32、DCA循環(huán)，大環(huán)套小環(huán)，一層一層地解決問題。,PDCA特點三,2.7.2 條款0.2 PDCA,每通過一次PDCA 循環(huán)，都要進行總結，提出新目標，再進行第二次PDCA 循環(huán)。,采用PDCA模型還反映了治理信息系統(tǒng)和網絡安全的OECD指南（2002版）中所設置的原則 OECD Guidelines for the Security of Information System and Network OECD信息系統(tǒng)和網絡安全指南,2.7.2 條款0.2 PDCA,認識 責任 反應 道德規(guī)范 民主,風險評估 安全設計與實施 安全管理 再評估,2.7.2 條款0.3與其它

33、管理體系的兼容性 - 多種體系如何建設,本標準與GB/T 19001-2000及GB/T 24001-1996相結合，以支持相關管理標準一致、整合的實施和運作。因此，一個設計恰當的管理體系可以滿足所有這些標準的要求。表C.1說明了本標準、GB/T 19001-2000（ISO 9001:2000）和GB/T 24001-1996（ISO 14001:2004）的各條款之間的關系。 本標準的設計能夠使一個組織將其ISMS與其它相關的管理體系要求結合或整合起來 注：如果一個組織已經有一個運轉著的業(yè)務過程管理體系（例如，與ISO 9001或者ISO 14001相關的），那么在大多數情況下，在這個現有

34、的管理體系內滿足本標準的要求是更為可取的,2.3 條款3 術語和定義,3.1 資產asset 3.2 可用性availability 3.3 保密性confidentiality 3.4 信息安全information security 3.5 信息安全事件 information security event 3.6 信息安全事故 information security incident 3.7 信息安全管理體系（ISMS） information security management system（ISMS） 3.8 完整性integrity,2.3條款3 術語和定義,3.9 殘余風險

35、 residual risk 3.10 風險接受risk acceptance 3.11 風險分析risk analysis 3.12 風險評估risk assessment 3.13 風險評價risk evaluation 3.14 風險管理risk management 3.15 風險處理risk treatment 3.16 適用性聲明statement of applicability,2.3 其他相關方面之 附錄A,規(guī)范性附錄。 直接引用并與ISO/IEC 17799:2005第5到15章一致。 表A.1中的清單并不完備，一個組織可能考慮另外必要的控制目標和控制措施。 在這些表中選擇

36、控制目標和控制措施是條款4.2.1規(guī)定的ISMS過程的一部分。 ISO/IEC 17799:2005第5至15章提供了最佳實踐的實施建議和指南 表A.1 控制目標和控制措施,2.3 其他相關方面之 附錄B,資料性附錄。 OECD信息系統(tǒng)和網絡安全指南中給出的原則適用于治理信息系統(tǒng)和網絡安全的所有方針和操作層。 本標準提供信息安全管理體系框架，通過使用PDCA模型以及4、5、6和8所述的過程，來實現的某些OECD原則。 表B.1 OECD 原則 和 PDCA 模型。,2.3 其他相關方面之 附錄C,資料性附錄。 表C.1 ISO 9001:2000、ISO 14001:2004和本標準之間的對應

37、關系。,ISO/IEC 27001:2005 是什么？ ISO/IEC 27001:2005 內容 ISO/IEC 27001:2005 建立練習,ISO/IEC 27001:2005介紹,構建ISMS示例,項目啟動,風險評估,前期培訓,差距分析,范圍界定,風險處置,中期培訓,策略編寫,發(fā)布實施,試運行,后期培訓,內部審核,管理評審,糾正和預防,構建ISMS的第一階段：風險評估（Plan）,項目啟動,范圍界定,差距分析,風險評估,前期培訓, 項目啟動 前期溝通，實施計劃，資源準備，啟動會議。 前期培訓 ISO27001標準，風險評估方法。 范圍界定 書面確定ISMS的范圍和界限。 差距分析 組織現有的信息安全管理體系與ISO27001的差距。 風險評估 資產評估、威脅評估、脆弱性評估、業(yè)務影響評估和現實可能性評估，風險處置計劃，適用性聲明，殘余風險批準等。,風險評估階段主要包括以下5個關鍵步驟:,風險評估是此階段中最重要的環(huán)節(jié)。通常耗時1個月以上。,練習一 ISMS范圍確定 (20 min),假設你是一家公司的安全官，現在考慮把ISO27001引入到公司, 需要你確定公司的ISMS范圍： - 公司業(yè)務 公司方針 - 組織 - 位置 - 資產,練習二 資產價值、威脅、脆弱性和影響 (30min),Mr.Risk 分析當前公司的資產狀況，包括他們的價值，主要面臨的威脅，