信息安全管理体系

信息安全管理体系培训ISO/IEC27001内容介绍一，信息安全管理体系简介二，信息安全管理体系详解信息安全管理体系培训一，信息安全管理体系简介信息安全管理体系培训ISO/IEC27001管理体系的发展历史ISO/IEC是由英国标准BS7799转换而来的。BS7799在1993年由英国贸易工业部立项，于1995年英国首次出版BS7799—1：1995《信息安全管理实施细则》。2000年12月，BS7799—1：1999《信息安全管理实施细则》通过国际标准化组织ISO认证，正式成为ISO/IEC7799—1：2000《信息技术—信息安全管理实施细则》，后来升版为ISO/IEC17799：2005。2002年9月5日，BS7799—2：2002发布。2005年BS7799—2：2002正式转版为ISO/IEC27001：2005.信息安全管理体系培训ISO/IEC27001信息安全管理模式信息安全管理体系培训ISO/IEC27001管理层次信息安全管理体系培训7ISO/IEC27001中信息安全的定义：保持信息的保密性、完整性、可用性；另外，也包括其他属性，如：真实性（身份识别）、可核查性（日志）、不可否认性（数字签名）和可靠性（MTBF）。信息安全管理体系培训8ISO/IEC27001中信息安全三元组CIA：☆保密性Confidentiality：信息不能被未授权的个人、实体或者过程利用或知悉的特性。例如，重要配方的保密。☆完整性Integrity保护资产的准确和完整的特性。例如，财务信息的完整性。☆可用性Availability：根据授权实体的要求可访问和利用的特性。例如，供应商资料库的及时更新。信息安全管理体系培训二，信息安全管理体系详解信息安全管理体系培训ISO27001的内容◆前言◆0引言◆1范围◆2规范性引用文件◆3术语和定义◆4信息安全管理体系(ISMS)◆5管理职责◆6ISMS内部审核◆7ISMS的管理评审◆8ISMS改进◆附录A(规范性附录)控制目标和控制措施◆附录B(资料性附录)OECD原则和本标准◆附录C(资料性附录)9001、14001和本标准之间的对照信息安全管理体系培训引言0.1总则描述了标准的用途及应用对象•提供一个模型，用于建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)•适用对象：一个组织•可被组织内部或外部相关方用来进行一致评估•组织ISMS的设计和实践受影响的因素：–业务需要和目标–安全要求–所采用的过程–规模和结构信息安全管理体系培训引言0.2过程方法描述了过程、过程方法、及贯穿于本标准的PDCA模型•过程：通过使用资源和管理，将输入转化为输出的活动•过程方法：组织内诸过程的系统的应用，连同这些过程的识别和相互作用及其管理。信息安全管理体系培训引言了解过程方法:•适用性–组织中需要重复执行的系列活动，并贯穿多个角色–通过过程的组织，可更有效地实现预期的结果或目的–保证活动的实施和结果的一致性–通过对过程的改进,可实现更佳的效果•在信息安全管理中的使用场景–信息安全风险管理–信息安全事件管理信息安全管理体系培训引言信息安全管理体系培训PDCA说明信息安全管理体系培训引言0.3与其它管理体系标准的兼容性说明ISMS与其它管理体系的兼容性问题•与ISO9001、14001等管理体系标准一致•ISMS可与其它相关的管理体系整合并运行–如,ISO20000IT服务管理体系信息安全管理体系培训1规范1.1总则●本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。●本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。●规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。●是ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。信息安全管理体系培训1范围1.2应用●本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。●对本标准内容删减的规定•组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减；•对附录A中所提供的控制措施的任何删减都必须被证明是合理的；•需要提供证据证明相关风险已被负责人员接受；•删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任。●控制措施删减的原因•组织的业务需求和目标不同；•所采用的过程以及规模和信息安全管理体系培训2规范性引用文件ISO/IEC27002:2005信息安全管理实用规则信息安全管理体系培训4信息安全管理体系(ISMS)4.1总要求4.2建立和管理ISMS4.2.1建立ISMS4.2.2实施和运行ISMS4.2.3监视和评审ISMS4.2.4保持和改进ISMS4.3文件要求4.3.1总则4.3.2文件控制4.3.3记录控制信息安全管理体系培训4.1总要求组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。标准所使用的过程基于PDCA模型。信息安全管理体系培训●信息安全管理体系（ISMS）基于业务风险方法，建立、实施、运行、监视、评审、保持和改进信息安全的体系，是一个组织整个管理体系的一部分。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、规程、过程和资源。[ISO/IEC27001:2005]●管理体系为实现组织目标而确立的方针、规程、指南和相关资源的框架。[ISO/IEC27000:2009]●质量管理体系在质量方面指导和控制组织的管理体系。[ISO9000:2005]管理体系信息安全管理体系培训4.2.1建立ISMS组织要做以下方面的工作：a)确定ISMS的范围和边界；b)确定ISMS方针；c)确定组织的风险评估方法d)识别风险e)分析和评价风险f)识别和评价风险处置的可选措施g)为处理风险选择控制目标和控制措施h)获得管理者对建议的残余风险的批准i)获得管理者对实施和运行ISMS的授权j)准备适用性声明（SoA）其中d—i属于风险管理阶段4.2建立和管理ISMS信息安全管理体系培训a)确定ISMS的范围和边界•根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由。4.2.1建ISMS信息安全管理体系培训ISMS的范围通常包括•覆盖的组织机构、职能(部门)和涉及的人员•需要保护的信息资产和系统(ICT基础架构)•物理位置及分支机构•使用的流程和服务确定ISMS的范围还应考虑•与相关方（范围外）的接口和依赖关系ISMS的范围说明信息安全管理体系培训某国际银行实施信息安全管理，先期所确定的范围为：因特网银行服务具体识别为：范围说明示例■提供网上银行服务的人员■人员使用的流程●系统操作手册●安全手册●网银规程■使用的信息●顾客的详细信息●内部的银行数据●来自其它银行的外部数据•用以提供在线交易的网络服务□顾客接入□与其它银行的连接和接口（内部和外部）•便利在线服务的技术□桌面计算机和其它ICT设备□电话信息安全管理体系培训b)确定ISMS方针根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应：1）包括设定目标的框架和建立信息安全工作的总方向和原则；2）考虑业务和法律法规的要求，及合同中的安全义务；3）在组织的战略性风险管理环境下，建立和保持ISMS；4）建立风险评价的准则（见4.2.1c）；5）获得管理者批准。4.2.1建立ISMS信息安全管理体系培训标准引用的有关风险管理的术语和定义●风险管理(riskmanagement)指导和控制一个组织相关风险的协调活动。●风险评估(riskassessment)风险分析和风险评价的整个过程。●风险分析(riskanalysis)系统地使用信息来识别风险来源和估计风险。●风险评价(riskevaluation)将估计的风险与给定的风险准则加以比较以确定风险严重性的过程。信息安全风险管理信息安全管理体系培训●风险处置(risktreatment)选择并且执行措施来更改风险的过程。●风险接受(riskacceptance)接受风险的决定。●残余风险(residualrisk)经过风险处置后遗留的风险。注：以上术语的定义均来自[ISO/IECGuide73:2002]为ISO/IEC27001所引用。●识别风险(riskidentification)发现、列出并描述风险要素的过程活动。[ISO/IECGuide73:2002]风险管理的术语和定义信息安全管理体系培训c)确定组织的风险评估方法1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。2）制定接受风险的准则，识别可接受的风险级别。选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。注：风险评估具有不同的方法。在ISO/IECTR13335-3中描述了风险评估方法的例子。4.2.1建立ISMS信息安全管理体系培训风险评估方法ISO/IECTR13335-3给出的风险评估方法：■基准法(BaselineApproach)●组织通过选择标准的防护为系统各部分的安全保护设立统一的基准■详细的风险分析(DetailedRiskAnalysis)●包括资产的深度鉴定和估价，对这些资产的威胁评估和脆弱性评估。结果用于评估风险及选择合理的安全控制措施。■非正式的方法(InformalApproach)●依据个人知识和经验的简化风险分析■综合的方法(CombinedApproach)●先对系统进行宏观风险分析，确定出高风险或重要的业务领域，再按优先顺序分别进行详细的风险分析。信息安全管理体系培训接受风险■接受风险的准则●判别风险造成的损失或后果为可容忍程度或量级的尺度●描述了组织愿意接受风险的情形●可以针对某类风险而具体规定，或制定为通用的判定依据信息安全管理体系培训4.2.1建立ISMSd)识别风险1）识别ISMS范围内的资产及其责任人；2）识别资产所面临的威胁；3）识别可能被威胁利用的脆弱性；4）识别丧失保密性、完整性和可用性可能对资产造成的影响。信息安全管理体系培训识别风险的主要活动■识别资产●资产(asset)对组织有价值的任何东西。[ISO/IEC13335-1:2004]●确定资产类别资产应按组织的需要划分类别。例如，可分类如下：信息、业务和管理过程、人员、方针和规程、服务、ICT系统、场所、以及公司的品牌和声誉等。●列出资产清单信息安全管理体系培训■识别资产的脆弱性、威胁和风险●威胁可能对系统或组织产生损害的不期望事件的潜在原因。●脆弱性可能被某个威胁所利用的资产或控制措施的弱点。[ISO/IEC27000:2009]●风险意味着可能发生安全事件威胁+脆弱性⇒安全事件识别风险的主要活动信息安全管理体系培训e)分析和评价风险1）在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失效可能造成的对组织的影响。2）根据主要的威胁和脆弱性、对资产的影响以及当前所实施的控制措施，评估安全失效发生的现实可能性。3）估计风险的级别。4）确定风险是否可接受，或者是否需要使用在4.2.1c)2)中所建立的接受风险的准则进行处理。4.2.1建立ISMS信息安全管理体系培训■风险估计●对业务的影响●信息安全突破的后果•资产的价值●可能性•脆弱性被利用的难易程度•威胁源的动机和能力●风险级别■风险评价●排列风险的优先级，关注重大风险●剔除低风险项或可接受的风险项风险估计与评价信息安全管理体系培训f)识别和评价风险处理的可选措施可能的措施包括：1）采用适当的控制措施；2）在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险[见4.2.1c)2)]；3）避免风险；4）将相关业务风险转移到其他方，如：保险，供应商等。4.2.1建立ISMS信息安全管理体系培训风险的应对策略●风险降低(riskreduction)采取行动降低风险发生的可能性或减轻负面后果，或同时降低风险发生的可能性和减轻负面后果●风险避免(riska