ISO7001文件-信息安全标准与文件培训.pptVIP

******************************************************** ISO27001:2005 体系框架介绍标准结构及过程模型信息安全管理体系管理要求*ISO27001标准内容构成体系管理要求符合性要求4信息安全管理体系5管理职责6内部ISMS审核7管理评审8ISMS持续改进附件A控制目标和措施

符合性要求附件B

OECD原则与标准标准的框架性要求与ISO要求兼容(ISO9000/ISO14000)ISO17799简化只谈要求,不谈方法11大管理要求可以删减通过风险评估来确定选择哪些控制措施与ISO9000、ISO14000标准对照参考资料OECD信息体系与网络安全指南与本标准对照附件C

与其他标准对照参考资料*ISO27001:2005过程方法(PDCA模型) 相关方信息安全要求和期望建立体系实施体系策划执行监控评审维持改进检查改进相关方信息安全受控以组织业务流程为导向建立信息安全管理体系*PDCA模型要求 策划(建立ISMS)建立安全方针、目标、过程与程序，确保管理风险、改进信息安全，确保信息安全管理结果符合组织总体方针和目标。执行(实施ISMS)执行信息安全方针、控制措施、过程和程序。检查(监视和评审ISMS)对照信息安全方针、目标和实践经验评价，合适时，测量过程绩效，并汇报评价结果供管理评审。改进(维持和改进ISMS)在管理评审的基础上，采取纠正和预防措施，以持续改进ISMS。* ISO27001:2005 体系框架介绍标准结构及过程模型信息安全管理体系管理要求*4信息安全管理体系4.1总要求4.2建立和管理信息安全管理体系（ＩＳＭＳ） 4.2.1建立ＩＳＭＳ 4.2.2实施并运行ＩＳＭＳ 4.2.3监视并评审ＩＳＭＳ 4.2.4维持并改进ＩＳＭＳ4.3文件要求 4.3.1总则 4.3.2文件控制 4.3.3记录控制*5管理职责５.1管理承诺5.2资源管理 5.2.1提供资源 5.2.2培训、意识和能力*6内部审核 定期进行内部审核,确定ISMS的控制目标、措施、程序和过程是否:符合本标准及相关法律与法规要求符合识别的信息安全要求得到有效实施和维持达到预期绩效表现程序文件规定：一般情况下两次内部审核的时间间隔不能超过12个月*7管理评审 管理层定期评审ISMS保证ISMS持续适宜、充分和有效应评价改进机会及对ISMS的修订，包括对方针和目标的修订评审结果形成文件并进行保存*8持续改进 持续改进纠正措施预防措施应用信息安全方针、安全目标、审核结果、监视事件的分析、纠正和预防措施以及管理评审采取措施消除与实施和运行ISMS有关的不合格，防止问题重复发生。应建立书面的程序明确纠正措施要求。确定措施防止不合格发生，采取的预防措施应与潜在的问题相适应。应建立书面的程序明确预防措施要求。*第三部分ISO27001信息安全管理体系标准ISO27001:2005标准体系框架介绍ISO17799:2005标准控制目标与措施介绍*信息安全管理的关键方面信息资产客户资料与数据经营信息与数据个人隐私合作伙伴信息所依赖的系统应用系统操作系统应用工具运作依赖的基础设施供电消防供水空调信息系统依赖的IT架构个人计算机服务器主机交换机路由器安全设备（防火墙、入侵检测）保护资产必威体育官网网址性完整性/可用性*信息安全控制措施考虑的几个角度人人员管理制度技术措施针对重要的信息资产，采取预防性的保护措施*十一个安全控制域1信息安全策略（方针）2组织的信息安全3资产管理4人力资源安全5物理和环境安全6通信与操作（运行）安全7访问控制8信息系统采购、开发和维护9信息安全事件管理10业务连续性管理11符合性70%管理要求+30%技术控制措施，建立在风险评估基础上ISMS关注11安全控制域，39个控制目标。*A5信息安全方针信息安全方针文件信息安全管理工作的指导性纲领，体现在《管理手册》中。评审与评估管理层进行批准、发布并传达给所有员工