信息安全管理体系培训

信息安全管理体系培训信息安全管理体系1.ISMS概述2.ISMS标准3.ISMS认证1、ISMS概述•什么是ISMS？在ISMS的要求标准ISO/IEC27001:2005（信息安全管理体系要求）的第3章术语和定义中，对ISMS的定义如下:ISMS（信息安全管理体系）：是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。1、ISMS概述•为什么要建立ISMS？今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势：1、ISMS概述•2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。•2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。1、ISMS概述•2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”。•这几个案例仅仅是冰山一角，打开电视、翻翻报纸、浏览一下互联网，类似这样的事件几乎每天都在发生。从这些案例可以看出，信息资产一旦遭到破坏，将给组织带来直接的经济损失、损害组织的声誉和公众形象，使组织丧失市场机会和竞争力，更为甚者，会威胁到组织的生存。•因此，保护信息资产，解决信息安全问题，已经成为组织必须考虑的问题。1、ISMS概述如何建立ISMS?a)正确理解ISMS的含义和要素1、ISMS概述如何建立ISMS?a)正确理解ISMS的含义和要素管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC27001:20053.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括：信息安全管理机构•高层：以总经理或管理者代表为领导，确保信息安全工作有一个明确的方向和提供管理承诺和必要的资源。•中层：负责该组织日常信息安全的管理与监督活动。•基层：基层部门指定一位兼职的信息安全检查员，实施对其本部门的日常信息安全监视和检查工作。1、ISMS概述如何建立ISMS?a)正确理解ISMS的含义和要素管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC27001:20053.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括：信息安全管理机构ISMS文件包括ISMS方针、过程、程序和其它必须的文件等。1、ISMS概述如何建立ISMS?a)正确理解ISMS的含义和要素管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”（见ISO/IEC27001:20053.7）。这些就是构成管理体系的相互依赖、协调一致，缺一不可的组成部分或要素。我们将其归纳后，ISMS的要素要包括：信息安全管理机构ISMS文件资源包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。1、ISMS概述如何建立ISMS?a)正确理解ISMS的含义和要素b)建立信息安全管理机构1、ISMS概述如何建立ISMS?a)正确理解ISMS的含义和要素b)建立信息安全管理机构c)执行标准要求的ISMS建立过程按照ISO/IEC27001:2005“4.2.1建立ISMS”条款的要求，建立ISMS的步骤包括：•定义ISMS的范围和边界，形成ISMS的范围文件；•定义ISMS方针（包括建立风险评价的准则等）,形成ISMS方针文件；•定义组织的风险评估方法；•识别要保护的信息资产的风险；•分析和评价安全风险，形成《风险评估报告》文件，包括要保护的信息资产清单；•识别和评价风险处理的可选措施，形成《风险处理计划》文件；•根据风险处理计划，选择风险处理控制目标和控制措施，形成相关的文件；•管理者正式批准所有残余风险；•管理者授权ISMS的实施和运行；•准备适用性声明。1、ISMS概述如何建立ISMS?a)正确理解ISMS的含义和要素b)建立信息安全管理机构c)执行标准要求的ISMS建立过程d)编写所需要的ISMS文件信息安全管理体系文件程序文件作业指导书等纪录、表单信息安全手册策略，范围，安全方针，适用性声明描述流程：谁，何时，在哪里，做什么事情描述执行任务和特定活动的详细步骤提供遵守ISMS要求的客观证据第一级关于ISMS管理框架的方针策略第二级第三级第四级2、ISMS标准•ISO/IEC27000族简介ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划，该系列标准的序号已经预留到27019，其中将27000～27009留给ISMS基本标准，27010～27019预留给ISMS标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。2、ISMS标准ISMS国际标准化组织ISO/IECJTC1/SC27（国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会）设有5个工作组：•WG1：ISMS标准工作组•WG2：安全技术与机制工作组•WG3：信息系统、部件和产品相关的安全评估准则工作组•WG4：安全控制与服务工作组•WG5：身份管理与隐私保护技术工作组2、ISMS标准•已经发布的ISMS标准目前国际标准化组织已经正式发布的ISMS国际标准有两个：ISO/IEC27001和ISO/IEC27002，它们是ISMS的核心标准。ISO/IEC27001:2005：信息安全管理体系要求ISO/IEC27002:2005：信息安全管理实用规则ISO/IEC27001宏观层面-建什么？Chapter0.简介Chapter1.范围Chapter2.相关规范Chapter3.术语和定义Chapter4.信息安全管理体系Chapter5.管理责任Chapter6.ISMS内部审计Chapter7.ISMS管理评审Chapter8.ISMS改进附录A：ISO2700290909090改进执行计划检查CADP达到新的水平改进(修订标准)维持原有水平90909090改进执行计划检查CADPISO/IEC27001:2005ISO/IEC27001:2005标准适用于所有类型的组织，而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说，该标准要求组织通过业务风险评估的方法，来建立、实施、运行、监视、评审、保持和改进其ISMS，确保其信息资产的保密性、可用性和完整性。ISO/IEC27002微观层面-怎么建？Chapter00.简介Chapter01.范围Chapter02.术语和定义Chapter03.本标准结构介绍Chapter04.风险评估及风险处置Chapter05.安全方针Chapter06.组织的信息安全Chapter07.资产管理Chapter08.人力资源安全Chapter09.物理安全和环境安全Chapter10.通信和运营管理Chapter11.访问控制Chapter12.信息系统获取、开发和维护Chapter13.信息安全事件管理Chapter14.业务连续性管理Chapter15.符合性133个控制措施39个目标11个方面ISO/IEC27002:2005从内容和机构上看，可以将标准分为四个部分：一、引言部分。主要介绍了信息安全的基础知识，包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。二、标准的通用要素部分（1～3章）。第1章是标准的范围，给出了该标准的内容概述、用途及目标。第2章是术语和定义，介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。三、风险评估和处理部分。该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。四、控制措施部分（5～15章）。ISO/IEC27002:2005ISO/IEC27002:2005作为信息安全管理的最佳实践，它的应用既有专用性的特点，也有通用性特点。说它具有专用性，是因为作为信息安全管理体系标准族（ISMS标准）中的一员，目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的，ISO/IEC27001:2005中的规范性附录A就是ISO/IEC27002:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织，应根据ISO/IEC27001:2005的要求，选择ISMS范围，制定信息安全方针和目标，实施风险评估，根据风险评估的结果，选择控制目标和控制措施，制定和实施风险处理计划，执行内部审核和管理评审，以持续改进。ISO/IEC27002:2005ISO/IEC27002:2005的通用性，体现在标准中提出的控制措施是从信息安全工作实践中总结出来的，是最佳实践。任何规模、任何性质的有信息安全要求的组织，不管其是否建设ISMS，都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。2、ISMS标准•正在制定的ISMS标准1、ISO/IEC27000ISO/IEC27000（Informationsecuritymanagementsystemfundamentalsandvocabulary信息安全管理体系基础和术语），属于A类标准。ISO/IEC27000提供了ISMS标准族中所涉及的通用术语及基本原则，是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分，但不同标准的术语间往往缺乏协调性，而ISO/IEC27000则主要用于实现这种协调。ISO/IEC27000目前处于WD（工作组草案）阶段，正在SC27内研究并征求意见。2、ISMS标准•正在制定的ISMS标准2、ISO/IE27003ISO/IEC27003（Informationsecuritymanagementsystemimplementationguidance信息安全管理体系实施指南），属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息，使用者主要为组织内负责实施ISMS的人员。该标准给出了ISMS实施的关键成功因素，实施过程依照ISO/IEC27001要求的PDCA模型进行，并进一步介绍了各个阶段的活动内容及详细实施指南。ISO/IEC27003目前也处在WD阶段，正在SC27内研究并征求意见。2、ISMS标准•正在制定的ISMS标准3、ISO/IEC27004ISO/IEC27004（Informationsecuritymanagementmeasurements信息安全管理测量），属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。该标准将测量分为两个类别：有效性测量和过程测量，列出了多种测量方法，例如调查问卷、观察、知识评估、检查、二次执行、测试（包括设计测试和运行测试）以及抽样等。