ISO27001详细介绍.ppt
2023/7/6,ISO/IEC 27001简介,Page 2,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 3,BS7799,BS7799 是英国标准协会(British Standards Institute,BSI)针对信息安全管理而制定的一个标准。1995 年,BS7799-1:1995信息安全管理实施细则首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。1998 年,BS7799-2:1998信息安全管理体系规范公布,这是对BS7799-1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。,Page 4,ISO/IEC 27002(17799),2000 年12 月,国际标准化组织ISO/IEC JTC 1/SC27 工作组认可BS7799-1:1999,正式将其转化为国际标准,即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。2005 年6 月,ISO/IEC 17799:2000 经过改版,形成了新的ISO/IEC 17799:2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC 17799:2005已更新并在2007年 7 月1日正式发布为 ISO/IEC 27002:2005,这次更新只在于标准上的号码,内容并没有改变。,Page 5,ISO/IEC 27001,2002 年,BSI 对BS7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,2004 年9 月5 日,BS7799-2:2002 正式发布。2005年,BS7799-2:2002 终于被ISO 组织所采纳,于同年10 月推出了ISO/IEC 27001:2005。,Page 6,对应国内标准,大陆2005年6月15日,我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。2008年6月19日,GB/T 19716-2005作废,改为GB/T 22081-2008。台湾省在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则被引用为CNS 17800。,Page 7,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 8,17799标准内容,ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施1)安全方针7)访问控制2)信息安全组织8)信息系统获取、开发和维护3)资产管理9)信息安全事故管理4)人力资源安全10)业务连续性管理5)物理和环境安全11)符合性6)通信和操作管理,Page 9,17799:2000 Vs 17799:2005,ISO/IEC 17799:2005版的内容与2000版相比,新增加了17 项控制,在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9 项控制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。,Page 10,17799的适用性,本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。(引用自ISO/IEC 17799:2005中“0.8 开发你自己的指南”),Page 11,信息安全起点,实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可以使用于大多数的组织,他们被成为“信息安全起点”。从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:a)数据保护和个人信息的隐私(见);b)保护组织的记录(见);c)知识产权(见)。被认为是信息安全的常用惯例的控制措施包括:a)信息安全方针文件(见);b)信息安全职责的分配(见);c)信息安全意识、教育和培训(见);d)应用中的正确处理(见12.2);e)技术脆弱性管理(见12.6);f)业务连续性管理(见14);g)信息安全事故和改进管理(见13.2)。这些控制措施适用于大多数组织和环境。,(引用自ISO/IEC 17799:2005中“0.6 信息安全起点”),Page 12,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 13,ISMS(信息安全管理系统),ISO/IEC 27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurity Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。(引用自ISO/IEC 27001:2005中“0.1 总则”),Page 14,PDCA(戴明环),PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于19 世纪30 年代构想的,后来被戴明(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。1、P(Plan)-计划,确定方针和目标,确定活动计划;2、D(Do)-执行,实地去做,实现计划中的内容;3、C(Check)-检查,总结执行计划的结果,注意效果,找出问题;4、A(Action)-行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下一个PDCA循环。,Page 15,PDCA特点,大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。,Page 16,PDCA特点(续),不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过程。,P,D,C,A,质量水平,螺旋上升的PDCA,Page 17,PDCA和ISMS的结合,Page 18,与其他标准的兼容性,本标准与GB/T 19001-2000及GB/T 24001-1996相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000(ISO 9001:2000)和GB/T 24001-1996(ISO14001:2004)的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。(引用自ISO/IEC 27001:2005中“0.3与其它管理体系的兼容性”)注:ISO 14001:2004环境管理体系规范及使用指南 ISO 9001:2000国际性质量管理标准,Page 19,与其他标准的兼容性(续),Page 20,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 21,重点章节,本标准的重点章节是48章。前三章的内容结构如下所示:引言0.1 总则0.2 过程方法0.3 与其他管理体系的兼容性1 范围1.1 总则1.2 应用2 规范性引用文件3 术语和定义,Page 22,第四章 信息安全管理体系,4.1 总要求 一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。4.2 建立和管理ISMS4.2.1 建立ISMS(PLAN)定义ISMS 的范围定义ISMS 策略定义系统的风险评估途径识别风险评估风险识别并评价风险处理措施选择用于风险处理的控制目标和控制准备适用性声明(SoA)取得管理层对残留风险的承认,并授权实施和操作ISMS,P,D,C,A,Page 23,第四章 信息安全管理体系(续),4.2.2 实施和运行ISMS(DO)制定风险处理计划实施风险处理计划实施所选的控制措施以满足控制目标实施培训和意识程序管理操作管理资源(参见5.2)实施能够激发安全事件检测和响应的程序和控制,P,D,C,A,Page 24,第四章 信息安全管理体系(续),4.2.3 监控和评审ISMS(CHECK)执行监视程序和控制对ISMS 的效力进行定期复审复审残留风险和可接受风险的水平按照预定计划进行内部ISMS 审计定期对ISMS 进行管理复审记录活动和事件可能对ISMS 的效力或执行力度造成影响,P,D,C,A,Page 25,第四章 信息安全管理体系(续),4.2.4 保持和改进ISMS(ACT)对ISMS 实施可识别的改进采取恰当的纠正和预防措施与所有利益伙伴沟通确保改进成果满足其预期目标,P,D,C,A,Page 26,第四章 信息安全管理体系(续),4.3 文件要求总则文件控制记录控制,ISO27001 标准所要求建立的ISMS 是一个文件化的体系,ISO27001 认证第一阶段就是进行文件审核,文件是否完整、足够、有效,都关乎审核的成败,所以,在整个ISO27001认证项目实施过程中,逐步建立并完善文件体系非常重要。,Page 27,第四章 信息安全管理体系(续),ISO27001 标准要求的ISMS 文件体系应该是一个层次化的体系,通常是由四个层次构成的:信息安全手册:该手册由信息安全委员会负责制定和修改,是对信息安全管理体系框架的整体描述,以此表明确定范围内ISMS 是按照ISO27001 标准要求建立并运行的。信息安全手册包含各个一级文件。一级文件:全组织范围内的信息安全方针,以及下属各个方面的策略方针等。一级文件至少包括(可能不限于此):信息安全方针风险评估报告适用性声明(SoA)二级文件:各类程序文件。至少包括(可能不限于此):风险评估流程风险管理流程风险处理计划管理评审程序信息设备管理程序信息安全组织建设规定新设施管理程序内部审核程序第三方和外包管理规定信息资产管理规定工作环境安全管理规定介质处理与安全规定系统开发与维护程序业务连续性管理程序法律符合性管理规定信息系统安全审计规定文件及材料控制程序安全事件处理流程三级文件:具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。四级文件:各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为ISMS 得以持续运行的有力证据,由各个相关部门自行维护。,Page 28,第五章 管理职责,5.1 管理层责任 说明管理层在ISMS 建设过程中应该承担的责任。5.2 对资源的管理 5.2.1 资源提供 组织应该确定并提供ISMS 相关所有活动必要的资源5.2.2 培训、意识和能力 通过培训,组织应该确保所有在ISMS 中承担责任的人能够胜任其职,Page 29,第六章 ISMS 内部审计,组织应该通过定期的内部审计来确定ISMS 的控制目标、控制、过程和程序满足相关要求。,Page 30,第七章 ISMS 的管理评审,7.1 概要 管理层应该对组织的ISMS 定期进行评审,确保其持续适宜、充分和有效。7.2 评审输入 评审时需要的输入资料,包括内审结果。7.3 评审输出 评审成果,应该包含任何决策及相关行动。,Page 31,第八章 ISMS 改进,8.1 持续改进 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS 的效力。8.2 纠正措施 组织应该采取措施,消除并实施和操作ISMS 相关的不一致因素,避免其再次出现。8.3 预防措施 为了防止将来出现不一致,应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜。,Page 32,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 33,建设ISMS,第一步工作是建设ISMS系统,这部分工作可以由组织或者公司自己进行,前提是该组织拥有专业的人才。大部分的公司不具备这样的能力,这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。建设ISMS的工作不是一个纯粹的IT建设,而是建立一个循序渐进的体系,需要公司的全员配合,特别是公司领导层重视,需要成立专门的团队来负责这项工作。,Page 34,建设ISMS(续),文件化很重要,针对标准4.3的内容,各个层次的文件和记录都需要编写完备,这些工作也可以由第三方来协助进行。风险评估,培训等工作的进行也需要在咨询公司的协助下进行。ISMS初步建立之后,需要运行一段时间,针对出现的问题进行修正。,Page 35,提出申请,待ISMS稳定运行一段时间之后,可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社)等。,Page 36,认证审核预审,预审核(Pre-assessment Audit)也称预审,是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看,预审是正式审核的预演或排练。许多组织都没有采用预审核。预审是审核员通过使用“差距分析”方法,分析和检查组织的ISMS与ISO/IEC 27001:2005要求的差距,包括(但不仅限于):分析ISMS方针与程序,组织当前的业务保护情况;检查ISMS是否与其实际业务融合一起;检查ISMS是否符合正式审核的基本条件;检查组织还有哪些未能按照标准要求进行运行的领域,包括员工的安全意识和员工是否知道ISMS等;检查ISMS运行的时间长度。注:预审也是要收费的!,Page 37,认证审核桌面审核,Page 38,认证审核现场审核,桌面审核(文件审核)的结果作为现场审核输入。现场审核的内容包括会议、现场调查、形成审核发现、举行末次会议和报告审核结果等。审核内容验证第一阶段的审核发现是否获得纠正。证实受审核组织是否按照其方针、目标和程序,执行工作。证实受审核组织的ISMS是否符合ISO/IEC 27001:2005第4-8章的所有要求,Page 39,认证审核获得证书,所有审核工作结束并达到要求后,用户会得到证书。半年或者一年,用户需要进行复审三年时,证书期满,需要重新审核。,Page 40,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 41,区别,ISO/IEC 17799信息技术信息安全管理实施细则ISO/IEC 27001信息技术信息安全管理体系要求17799重点关注的是实施细则,同时,针对17799并没有认证机制。27001重点关注的是建设体系的要求,并且有认证机制。,Page 42,联系,ISO/IEC 27001的附录中有ISO/IEC 17799中的5到15章的全部内容,也就是说在进行ISMS建设以及27001认证时,ISO/IEC 17799中11个方面,39个控制点,以及133个控制措施都作为重要的参考点,进行差距分析时,这些内容都是重要的依据。所以,我们经常提到27001,实际上27001应该是ISO/IEC 27001和ISO/IEC 17799的组合体,两者缺一不可。,Page 43,附录一,