信息安全标准培训.ppt

认证标准 信息安全体系的认证标准是： ISO/IEC27001：2005 我国于2008年11月1日将此国际标准等同采用为国家推荐性标准：GB/T22080-2008《信息安全管理体系 要求》 相关的辅助和参考标准有很多 ISO/IEC 27000 系列标准 标准编号 名称 状态 ISO/IEC 27000 信息技术 安全技术 信息安全管理体系 基础和词汇 制定中 ISO/IEC 27001:2005 信息技术 安全技术 信息安全管理体系 要求 已发布 ISO/IEC 27002:2005 信息技术 安全技术 信息安全管理实用规则 已发布 ISO/IEC 27003 信息技术 安全技术 信息安全管理体系 实施指南 制定中 ISO/IEC 27004 信息技术 安全技术 信息安全管理 测量 制定中 ISO/IEC 27005:2008 信息技术 安全技术 信息安全风险管理 已发布 ISO/IEC 27006:2007 信息技术 安全技术 信息安全管理体系 审核认证机构的要求 已发布 ISO/IEC 27007 信息技术 安全技术 信息安全管理体系 审核指南 制定中 …… 主要的参考标准： GB/T22081-2008信息安全管理 实用规则 GB/T20984-2007信息安全 风险评估规范 信息安全国际标准发展简史 1995年，BSI制定BS7799 第一部分，并提交ISO，成为ISO DIS14980。 1996年，ISO经过6个月的审议后，没有通过成为ISO正式标准。 1998年，BSI公布BS7799第二部分，并成为信息安全管理体系认证的依据。 2000年，修订后的BS7799第一部分通过ISO审议，成为ISO/IEC 17799国际标准，第二部分未通过审议。 信息安全国际标准发展简史 BSI于2001年11月公布BS7799-2：2002草案（Draft），公开征求意见。 2002年9月5日，BS7799-2：2002年版遵照OECD同年7月25日颁布[信息系统与网络安全指导纲要-朝向安全的文化]中的原则修正后正式发行。 ISO/IEC 17799:2000于2005年改版。 ISO 17799 ISO/IEC 27002：2005的发展历程 关于27001标准 本标准的特点是分为二部分，头小尾大 标准正文+附录A 附录A是必须执行的要求 关于27001标准 标准正文体现了管理模式和风险管理 附录A是为正文服务的，其中包含了11类133项控制措施，体现了最佳的安全惯例。 控制措施在理由充分时可部分删减 关于删减条款的理由 条款的删减仅限于附录A “除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。” 关于27001标准 所有的控制措施都是围绕风险控制进行 风险控制是动态的 关于27001标准 本标准是一个管理标准 信息安全是一个管理过程，而不是单纯的技术过程。 信息安全事件统计 所有的计算机安全事件中，52%是人为因素造成，25%是火灾、水灾等自然灾害造成，技术错误10%，组织内部人员作案10%，仅有3%是外部不法人员的攻击引起的。 管理方面的原因比重高达70%以上。 三分天灾，七分人祸 第三部分 信息资产的识别与风险评估 第四部分 信息安全体系文件 ISMS文件 方针/范围/风险评估/适用性声明 叙述处理的人/事务/时间/地点 叙述任务与特定活动如何完成 提供符合ISMS要求的客观证据 第一层 第二层 第三层 第四层 信息安全手册 适用性声明 程序文件 作业指导书/策略文件等 记录 ISMS文件 第一层:信息安全手册、适用性声明 管理架构的摘要，其中包括信息安全方针、控制目标和适用性声明中所提及已实施的控制措施。应参考底层的文件。 第二层：程序文件 程序用来实施所要求的控制措施。描述谁、什么、何时、那里等安全流程和不同部门间的控制措施； 第三层：作业文件和策略文件，解释工作或活动的细节 如何完成特定的工作，包括详细的作业指导书、表格、流程图、服务标准等。 第四层：记录 记载活动执行以符合1、2和3层文件要求的客观证据 适用性声明 适合其组织业务需求的目标与控制措施的评论 注：BS7799-2 适用性声明 证明那些控制措施是相关的 记录那些不相关的控制措施 风险评估将决定哪些控制措施应该被实施 是完整的文件审查的一部分 将帮助决定最后评审阶段的审核计划 适用性声明 适用性声明是组织选择适合其企业业务需求的目标与控制措施的评论。声明也将记录任何控制措施的排除。 声明是展示组织如何控制风险的文件。应该没有太多细节能够让想要破坏安全的人取得宝贵的信息。 适用性