ISOIEC27001-2013-标准培训教材(PPT完整培训课件).ppt

*ISO/IEC27001:2013版标准解读9.1监视、测量、分析和评价组织应评估信息安全绩效和信息安全管理体系的有效性。组织应确定：1）什么需要监视和测量，包括信息安全过程和控制措施；2）监视，测量，分析和评价的方法，适用时，以确保结果有效；注：选择被认为是有效的方法应该可以产生可比性和可再现的结果。ISO/IEC27001:2013版标准解读3）什么时候应执行监视和测量？4）谁应监视和测量？5）什么时候应对监视和测量的结果进行分析和评估？6）谁应分析和评估这些结果？组织应保留适当的监视和测量结果的文档化信息作为证据。ISO/IEC27001:2013版标准解读9.2内部审核组织应按计划的时间间隔进行内部审核，以提供信息确定信息安全管理体系是否：a)符合1）组织自身信息安全管理体系的要求；2）本标准的要求；b)得到有效实施和保持。组织应：c)规划，建立，实施并保持审核方案，其中包括频次，方法，职责，计划要求和报告。审核方案应考虑相关过程和以往审核结果的重要性；ISO/IEC27001:2013版标准解读d)定义每次审核的准则和范围；e)选择审核员和审核组长以确定审核过程的客观性和公正；f)确保审核结果报告提交相关管理者；g)保留文件记录信息作为审核方案和审核结果证据。ISO/IEC27001:2013版标准解读9.3管理评审管理者应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性，充分性和有效性。管理评审应考虑：a)以往管理评审措施的状态；b)与信息安全管理体系相关的内外部问题的变更；c)信息安全绩效的反馈，包括下列方面的趋势：1）不符合与纠正措施；2）监视和测量结果；3）审核结果；4）信息安全目标的实现；ISO/IEC27001:2013版标准解读d)相关方的反馈；e)风险评估的结果和风险处置计划的状态；f)持续改进的机会；管理评审的输出应包括持续改进机会有关的决定，以及变更信息安全管理体系所有要求。组织应保留管理评审结果的文档化作为证据。ISO/IEC27001:2013版标准解读10.改进ISO/IEC27001:2013版标准解读10.1不符合及纠正措施出现不符合时，组织应：a)对不符合作出反应，适用时：1）采取措施控制并纠正不符合；2）处理后果；b)评估采取措施的必要性，以消除不符合的原因，使不复发或不在其他地方发生，通过：1）评审不符合；2）确定不符合的原因；3）确定是否存在在类似的不符合和发生的可能；ISO/IEC27001:2013版标准解读c)实施所需的措施；d)评审已采取纠正措施的有效性；e)如果有必要的话，对信息安全管理体系实施变更；纠正措施应与所遇不符合的影响相适应。组织保留以下文档化信息作为证据：f)不符合的性质以及采取的所有后续措施；g)所有纠正措施的结果。10.2持续改进组织应不断提高信息安全管理体系的适宜性，充分性和有效性。ISO/IEC27001:2013新版本附录A解

ISO/IEC27002:2013

信息技术-安全技术-信息安全控制实用规则ISO/IEC27002:2013新版本附录A解析A5A5安全方针1来源A5.1信息安全管理方针目标：依据业务要求以及相关的法律法规提供管理指导并支持信息安全。A5.1.1信息安全方针文件信息安全方针文件应该由管理者批准，发布并传递给所有员工和外部相关方。A5.1.1A5.1.2信息安全方针的评审应按计划的时间间隔或者当重大变化发生时进行信息安全方针评审，确保它持续适宜性、充分性和有效性。A5.1.2ISO/IEC27002:2013新版本附录A解析A6A6信息安全组织7来源A6.1内部组织目标：建立一个管理框架，以启动和控制组织内信息安全的实施和运行。A6.1.1信息安全的角色和职责所有信息安全职责应被定义及分配。A6.1.3A8.1.1A6.1.2责任分割冲突的职责和权限应被分开，以减少对组织资产未经授权或无意的修改与误用。A10.1.3A6.1.3与监管机构的联系应与监管机构保持适当的联系。A6.1.4与特殊利益团体的联系与特定利益团队，其他专业安全论坛或行业协会应保持适当联系A6.1.5项目管理中的信息安全信息安全应融入所受项目管理中，不论项目类型。新增A6.2移动设备和远程办公目标：确保远程办公和使用移动设备的安全性。A6.2.1移动设备策略应使用配套策略和安全措施来防范因使用移动设备带来的风险。A11.7.1A