ISO27001信息安全-管理标准.ppt

ISO/IEC27001:2013简介 目录 起源和发展 认证的好处 ISMS项目和PDCA流程介绍 标准的起源和发展 标准的起源和发展--背景 在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点； 世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。 英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。 在信息安全管理方面，英国标准ISO27000:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。 标准的起源和发展 信息安全管理要求ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。 1999年BSI重新修改了该标准。 2000年12月，BS 7799-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC17799：2000《信息技术-信息安全管理实施细则》。 2002年9月5日，BS 7799-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时BS 7799-2:1999被废止。 2004年9月5日，BS 7799-2:2002正式发布。 2005年，BS 7799-2:2002终于被ISO组织所采纳，于同年10月推出ISO/IEC 27001:2005. 标准的起源和发展 2013年，ISO 27001:2005标准已经使用了8年，ISO组织（国际标准化组织）将新版ISO 27001:2013 DIS版（国际标准草案Draft International Standard）草稿向公众开放并征求意见。 ISO组织在2013年10月19日颁布正式版本，在新版公布后的18至24个月内是转换缓冲期，即原有已取得证书的企业最迟需要在2015年10月19日前转换到新版标准。 标准的起源和发展 现在，ISO27000:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。目前除英国之外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对ISO27000:2005标准感兴趣，我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。截至2002年9月，全球共有142家各类组织通过了ISO27000:2005信息安全管理体系认证。 ISO27001认证好处 ISO27001认证好处 信息安全管理体系标准（ISO27001)可有效保护信息资源,保护信息化进程健康、有序、可持续发展。当您的组织通过了ISO27001的认证，表示您的组织信息安全管理已建立了一套科学有效的管理体系作为保障。根据 ISO27001 对您的信息安全管理体系进行认证，可以带来以下几个好处: 协调各个方面信息管理，从而使管理更为有效。保证信息安全不是仅有一个防火墙，需要全面的综合管理。 可以增进组织间电子电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，改善全体的业绩、消除不信任感。同时，把组织的干扰因素降到最小，创造更大收益。 企业通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位；定期的监督审核将确保组织的信息系统不断地被监督和改善，并以此作为增强信息安全性的依据，信任、信用及信心，使客户及利益相关方感受到组织对信息安全的承诺。向政府及行业主管部门证明组织对相关法律法规的符合性 ISMS项目和PDCA流程介绍 信息安全管理体系（ISMS） 信息安全管理体系（Information Security Management System，简称ISMS）起源于英国标准协会(British Standards Institution, BSI) 1990年代制定的英国国家标准BS7799，是系统化管理思想在信息安全领域的应用。 ISMS信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。 ISO/IEC 27001从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。 组织应在其整体业务活动中且在所面临风险的环境下建立、实施、运行、监视、评审ISMS，形成文件，并保持和改进其有效性文档化的ISMS。在本标准中，所使用的过程基于图1所示的PDCA模型。 ISMS项目和PDCA流程 ISMS项目很