ISO27001详细介绍(-43张)课件.ppt
《ISO27001详细介绍(-43张)课件.ppt》由会员分享,可在线阅读,更多相关《ISO27001详细介绍(-43张)课件.ppt(43页珍藏版)》请在三一办公上搜索。
1、ISO/IEC 27001简介,2022/11/4,ISO/IEC 27001简介2022/10/9,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 2,目录背景介绍Page 2,BS7799,BS7799 是英国标准协会(British Standards Institute,BSI)针对信息安全管理而制定的一个标准。1995 年,BS7799-1:1995信息安全管理实施细则首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。1998 年,BS779
2、9-2:1998信息安全管理体系规范公布,这是对BS7799-1 的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。1999 年4 月,BS7799 的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。,Page 3,BS7799BS7799 是英国标准协会(British,ISO/IEC 27002(17799),2000 年12 月,国际标
3、准化组织ISO/IEC JTC 1/SC27 工作组认可BS7799-1:1999,正式将其转化为国际标准,即所颁布的ISO/IEC 17799:2000信息技术信息安全管理实施细则。2005 年6 月,ISO/IEC 17799:2000 经过改版,形成了新的ISO/IEC 17799:2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC 17799 :2005已更新并在2007年 7 月1日正式发布为 ISO/IEC 27002:2005,这次更新只在于标准上的号码, 内容并没有改变。,Page 4,ISO/IEC 27002(17799)2000 年
4、12 月,ISO/IEC 27001,2002 年,BSI 对BS7799:2-1999 进行了重新修订,正式引入PDCA 过程模型,2004 年9 月5 日,BS7799-2:2002 正式发布。2005年,BS7799-2:2002 终于被ISO 组织所采纳,于同年10 月推出了ISO/IEC 27001:2005。,Page 5,ISO/IEC 270012002 年,BSI 对BS779,对应国内标准,大陆2005年6月15日,我国发布了国家标准信息安全管理实用规则(GB/T 19716-2005)。该标准修改采用了ISO/IEC 17799:2000标准。2008年6月19日, GB
5、/T 19716-2005作废,改为GB/T 22081-2008 。台湾省在台湾,BS7799-1:1999 被引用为CNS 17799,而BS7799-2:2002 则被引用为CNS 17800。,Page 6,对应国内标准大陆Page 6,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 7,目录背景介绍Page 7,17799标准内容,ISO/IEC 17799:2005版包括11 个方面、39 个控制目标和133 项控制措施1) 安全方针7) 访问控制2) 信息安全组织8) 信息系统获取、开发和维护3) 资产管
6、理9) 信息安全事故管理4) 人力资源安全10) 业务连续性管理5) 物理和环境安全11) 符合性6) 通信和操作管理,Page 8,17799标准内容ISO/IEC 17799:2005版包括,17799:2000 Vs 17799:2005,ISO/IEC 17799:2005版的内容与2000版相比,新增加了17 项控制,在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9 项控制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。,Page 9,17799:2000 Vs 1
7、7799:2005ISO/IE,17799的适用性,本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。(引用自ISO/IEC 17799:2005中 “0.8 开发你自己的指南” ),Page 10,17799的适用性本实用规则可认为是组织开发其详细指南的起点,信息安全起点,实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可以使用于大多数的组织,他们被成为“信息
8、安全起点”。从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:a) 数据保护和个人信息的隐私(见15.1.4);b) 保护组织的记录(见15.1.3);c) 知识产权(见15.1.2)。被认为是信息安全的常用惯例的控制措施包括:a) 信息安全方针文件(见5.1.1);b) 信息安全职责的分配(见6.1.3);c) 信息安全意识、教育和培训(见8.2.2);d) 应用中的正确处理(见12.2);e) 技术脆弱性管理(见12.6);f) 业务连续性管理(见14);g) 信息安全事故和改进管理(见13.2)。这些控制措施适用于大多数组织和环境。,(引用自ISO/IEC 17799:200
9、5中 “0.6 信息安全起点” ),Page 11,信息安全起点实施细则中有些内容可能并不使用于所有组织和企业,,目录,背景介绍ISO/IEC 17799ISO/IEC 27001重点内容重点章节认证流程17799&27001,Page 12,目录背景介绍Page 12,ISMS(信息安全管理系统),ISO/IEC 27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurity Management System,简称ISMS)提供模型。采用ISMS应当是一个组织的一项战略性决策
10、。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。 本标准可被内部和外部相关方用于一致性评估。(引用自ISO/IEC 27001:2005中 “0.1 总则” ),Page 13,ISMS(信息安全管理系统)ISO/IEC 27001:20,PDCA(戴明环),PDCA(Plan、Do、Check 和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于19 世纪30 年代构想的,后来被戴明
11、(Edwards Deming)采纳、宣传并运用于持续改善产品质量的过程当中。1、P(Plan)-计划,确定方针和目标,确定活动计划;2、D(Do)-执行,实地去做,实现计划中的内容;3、C(Check)-检查,总结执行计划的结果,注意效果,找出问题;4、A(Action)-行动,对总结检查的结果进行处理,成功的经验加以肯定并适当推广、标准化;失败的教训加以总结,以免重现,未解决的问题放到下一个PDCA循环。,Page 14,PDCA(戴明环)PDCA(Plan、Do、Check 和A,PDCA特点,大环套小环,小环保大环,推动大循环 PDCA循环作为质量管理的基本方法,不仅适用于整个工程项目
12、,也适应于整个企业和企业内的科室、工段、班组以至个人。各级部门根据企业的方针目标,都有自己的PDCA循环,层层循环,形成大环套小环,小环里面又套更小的环。大环是小环的母体和依据,小环是大环的分解和保证。各级部门的小环都围绕着企业的总目标朝着同一方向转动。通过循环把企业上下或工程项目的各项工作有机地联系起来,彼此协同,互相促进。以上特点。,Page 15,PDCA特点 大环套小环,小环保大环,推动大循环 Pa,PDCA特点(续),不断前进、不断提高 PDCA循环就像爬楼梯一样,一个循环运转结束,生产的质量就会提高一步,然后再制定下一个循环,再运转、再提高,不断前进,不断提高,是一个螺旋式上升的过
13、程。,P,D,C,A,质量水平,螺旋上升的PDCA,Page 16,PDCA特点(续) 不断前进、不断提高 PDCA质量水平,PDCA和ISMS的结合,Page 17,PDCA和ISMS的结合Page 17,与其他标准的兼容性,本标准与GB/T 19001-2000及GB/T 24001-1996相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T 19001-2000(ISO 9001:2000)和GB/T 24001-1996(ISO14001:2004)的各条款之间的关系。本标准的设计能够使一个组织将
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO27001 详细 介绍 43 课件
链接地址:https://www.31ppt.com/p-1285660.html