ISO27001详细介绍[文字可编辑].ppt

Page 31 第八章 ISMS 改进 ? 8.1 持续改进 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性 和预防性措施、管理复审来持续改进 ISMS 的效力。 ? 8.2 纠正措施 组织应该采取措施，消除并实施和操作 ISMS 相关的不一致因素，避免其再次出现。 ? 8.3 预防措施 为了防止将来出现不一致，应该确定防护措施。所采取的预防措施应与潜在问题 的影响相适宜。 Page 32 目录 ? 背景介绍 ? ISO/IEC 17799 ? ISO/IEC 27001 ? 重点内容 ? 重点章节 ? 认证流程 ? 1779927001 2/27/2020 ISO/IEC 27001 简介 Page 2 目录 ? 背景介绍 ? ISO/IEC 17799 ? ISO/IEC 27001 ? 重点内容 ? 重点章节 ? 认证流程 ? 1779927001 Page 3 BS7799 ? BS7799 是英国标准协会（ British Standards Institute ， BSI ）针对信息安全管理而制 定的一个标准。 ? 1995 年， BS7799-1:1995 《信息安全管理实施细则》首次出版，它提供了一套综合 性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制 提供唯一的参考基准。 ? 1998 年， BS7799-2:1998 《信息安全管理体系规范》公布，这是对 BS7799-1 的有效 补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信 息安全管理体系评估的基础，可以作为认证的依据。 ? 1999 年 4 月， BS7799 的两个部分被重新修订和扩展，形成了一个完整版的 BS7799:1999 。新版本充分考虑了信息处理技术应用的必威体育精装版发展，特别是在网络和 通信领域。除了涵盖以前版本所有内容之外，新版本还补充了很多新的控制，包括 电子商务、移动计算、远程工作等。 Page 4 ISO/IEC 27002(17799) ? 2000 年 12 月，国际标准化组织 ISO/IEC JTC 1/SC27 工作组认可 BS7799-1:1999 ，正式将其转化为国际标准，即所颁布的 ISO/IEC 17799:2000 《信息技术 —— 信息安全管理实施细则》。 ? 2005 年 6 月， ISO/IEC 17799:2000 经过改版，形成了新的 ISO/IEC 17799:2005 ，新版本较老版本无论是组织编排还是内容完整性上都 有了很大增强和提升。 ? ISO/IEC 17799 :2005 已更新并在 2007 年 7 月 1 日正式发布为 ISO/IEC 27002:2005 ，这次更新只在于标准上的号码 , 内容并没有改变。 Page 5 ISO/IEC 27001 ? 2002 年， BSI 对 BS7799:2-1999 进行了重新修订，正式引入 PDCA 过 程模型， 2004 年 9 月 5 日， BS7799-2:2002 正式发布。 ? 2005 年， BS7799-2:2002 终于被 ISO 组织所采纳，于同年 10 月推出 了 ISO/IEC 27001:2005 。 Page 6 对应国内标准 ? 大陆 ? 2005 年 6 月 15 日，我国发布了国家标准《信息安全管理实用规则》 ( GB/T 19716-2005 ) 。该标准修改采用了 ISO/IEC 17799:2000 标准。 ? 2008 年 6 月 19 日， GB/T 19716-2005 作废，改为 GB/T 22081-2008 。 ? 台湾省 ? 在台湾， BS7799-1:1999 被引用为 CNS 17799 ，而 BS7799-2:2002 则被引 用为 CNS 17800 。 Page 7 目录 ? 背景介绍 ? ISO/IEC 17799 ? ISO/IEC 27001 ? 重点内容 ? 重点章节 ? 认证流程 ? 1779927001 Page 8 17799 标准内容 ? ISO/IEC 17799:2005 版包括 11 个方面、 39 个控制目标和 133 项控制措施 ? 1) 安全方针 7) 访问控制 ? 2) 信息安全组织 8) 信息系统获取、开发和维护 ? 3) 资产管理 9) 信息安全事故管理 ? 4) 人力资源安全 10) 业务连续性管理 ? 5) 物理和环境安全 11) 符合性 ? 6) 通信和操作管理 Page 9 17799:2000 Vs 17799:2005 ? ISO/IEC 17799:2005 版的内容与 20