ISOIEC27001-2013标准培训教材

本教程由张嘉勇老师编制，非张老师书面许可，不得私自印制和转借！信息技术-安全技术-信息安全管理体系-要求CMC高级顾问张嘉勇18194091569本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！温馨提示欢迎阁下参加本次会议，请注意以下的几点：1.手机--请将您的手机设为静音或关闭。2.吸烟--在会场内请不要吸烟。3.其它--会议间请不要大声喧哗，不要随意走动。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！目录ISO/IEC27001基础知识ISO/IEC27001-2013版信息技术-安全技术-信息安全管理体系-要求ISO/IEC27002-2013信息技术-安全技术-信息安全控制实用规则新版本附录A解析文件清单参考本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！什么叫信息安全？为什么要信息安全？需要什么样的信息安全？需要首先搞清楚的几个问题本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！什么是信息安全？1、信息安全的概念1.1从安全内容进行定义（强调安全涉及的方面）：信息安全是与保护相关的概念，其目的是保护组织的资产，至少要包括以下这些方面：管理实践，物理安全、人员安全、主机安全、网络安全、通信安全和操作安全等很多方面。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！什么是信息安全？1.2从安全的属性进行定义（强调安全的目标）：保持信息的保密性、完整性、可用性；另外也可包括例如真实性，可核查性、不可否认性和可靠性等。（GB/T22081-2008）本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！为什么需要信息安全？本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001基础知识本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001的起源和演变本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001的起源和演变本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！改版影响本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！新版特点1、易整合：在新版当中采用ISO导则83做结构性要求，这个结构未来在ISO其他标准中会普遍采用。（ISO22301已应用）信息安全管理体系更容易与其他管理体系进行融合。2、新要求：将旧版11个控制领域拓展到14个，结构更合理，表现更清晰。将旧版133个控制项缩减到113个。对部分控制项进行取消、合并和新增，以反映当前信息安全发展趋势。3、清晰明确：对旧版一些表述不清晰、不准确以及重复的部分控制项予以调整。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！国际标准的未来趋势ISO组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订管理体系标准的持续性、整合性和简单化，这也将使标准更易读、易懂。新的框架重新构建了ISO标准PDCA的章节架构本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO导则83本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！新旧版本正文结构变化旧版新版本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！新版标准正文内容plan4组织环境了解组织背景及现状理解相关方的需求和期望ISMS的范围ISMS5领导力领导作用和承诺方针角色、职责和授权6策划处理风险和机遇的行动实现ISMS的目标和试试计划7支持资源能力意识沟通文件化信息DO8运行运行计划和控制信息安全风险评估信息安全风险处置Check9绩效评价监视、测量、分析、评价内部审核管理评审Act10改进不符合项与纠正措施持续改进本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！新旧版本附录A部分的变化本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！为什么要调整2005版的附录A1、ISO/IEC27001：2005控制项逻辑性与充分性等方面存在进一步改进的空间。2、ISO/IEC27001：2005附录A中，存在分散的、重复的、不清晰的控制项。如，A6.1.3信息安全职责分配、A8.1.1角色和职责。3、ISO/IEC27001：2005附录A中，存在过于细化的操作层面的控制项。如,A12.2.1输入数据的验证、A12.2.2内部处理的控制、A12.2.3消息完整性、A12.2.4输出设局验证。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！新旧版本附录A控制域变化1、从原本的11个控制域调整为14个控制域；2、新增了“密码学”、“供应关系”两个控制域；3、将原本的控制域“通信及操作管理”拆分为“操作安全”、“通信安全”两个控制域。注意：除新增和拆分的4个控制域外，其他控制域并非与旧版一一对应。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！新旧版本附录A控制项变化控制项从原来的133项调整为114项，其中的变化分为5大类：1、没有变化，只是调整了编号和顺序结构；2、变化替代，控制对象或控制范围发生了变化；3、完全删除，在新版本中取消了该项控制措施；4、合并删除，在新版本中，有其他控制项覆盖了其控制内容；5、新增，2005版没有该项控制措施，2013版新增内容。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001:2013版标准解读本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001:2013版标准解读01、总则ISO/IEC27001标准提供给准备建立、运作、维护、改进信息安全管理体系的组织，在设计过程、信息系统、控制措施时就要考虑信息安全。采用ISO/IEC27001（ISMS）应是一个组织的战略决策。组织ISMS的设计和实施受业务需求和目标、安全要求、应用的过程及组织的规模、结构的影响。ISMS管理体系是通过适用风险管理过程来保护信息的保密性、完整性、可用性、给相关方带来信心并使风险得到充分管理。标准适用于内部、外部，包括认证机构，评估组织的能力是否满足组织自身信息安全要求。ISO/IEC27000描述的概述词汇，主要来源于ISMS标准族（ISO/IEC27003、ISO/IEC27004、ISO/IEC27005）定义相干术语。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001:2013版标准解读02、与其他管理体系标准的兼容性可以与相关管理体系兼容，如ISO20000D等。本国际标准适用于高层结构、相同的子章节标题、相同的文本，通用术语和核心定义。因此保持了与其它采用附录SL的管理体系标准的相容性。信息技术-安全技术-信息安全管理体系-要求本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！1、范围本标准规定了从组织的环境的角度，为建立，实施、运行、保持和持续改进信息安全管理体系规定了要求。本标准还规定了为适应组织需要而定制的信息安全风险评估和处置的要求，标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称其符合此国际标准，但是没有达到第4章至第10章规定的要求，是不可接受的。ISO/IEC27001:2013版标准解读本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001:2013版标准解读2、规范性引用以下引用的文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅引用的版本适用。凡是不注日期的引用文件，其最新版本的参考文件（包括所有的修改单）适用。如ISO/IEC27000信息技术-安全技术-信息安全管理体系-概述和词汇；3、术语和定义ISO/IEC27000的术语和定义适用于本标准。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001:2013版标准解读4.组织环境本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001:2013版标准解读4、组织环境4.1理解组织及其环境组织应确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。注：确定这些问题是指建立ISO31000风险管理标准第5.3.1（5.3.1了解组织及其背景）考虑外部和内部环境的组织。4.2理解相关方的需求和期望组织应确定：1）与信息安全管理体系有关的相关方；2）这些相关方信息安全相关要求；注：相关方的要求可能包括法律、监管规定和合同义务。本教程张嘉勇老师编制，非张老师书面许可，不得印制和转借！ISO/IEC27001:2013版标准解读4.3确定信息安全管理体系的范围组织应确定信息安全管理体系的边界和适用性，以建立其范围。当确定其范围时，组织应考虑：1）在4.1提及的外部和内部的问题；2）在4.2提及的要求；3）组织所执行的活动之间以及其它组织的活动之间的接口和依赖性。注：范围应文件化并保持可用性。4.4信息安