欢迎来到天天文库
浏览记录
ID:58883500
大小:1.34 MB
页数:53页
时间:2020-09-30
《ISO27001信息安全管理体系介绍ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、招商银行信息系统内部审计培训ISO27001信息安全管理体系介绍2009年3月1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则几个问题信息是否是企业的重要资产?信息的泄漏是否会给企业带来重大影响?信息的真实性对企业是否带来重大影响?信息的可用性对企业是否带来重大影响?我们是否清楚知道什么信息对企业是重要的?信息的价值是否在企业内部有一个统一的标准?我们是否知道企业关系信息的所有人我们是否知道企业关系信息的信息流向、状态、存储方式,是否收到足够保护?信
2、息安全事件给企业造成的最大/最坏影响?1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则信息资产信息:数据库和数据文件、合同和协议、系统文件、研究信息、用户手册、培训材料、操作或支持程序、业务连续性计划、应变安排(fallbackarrangement)、审核跟踪记录(audittrails)、归档信息;软件资产:应用软件、系统软件、开发工具和实用程序;物理资产:计算机设备、通信设备、可移动介质和其他设备;服务:计算和通信服务(例如,网络浏览、域名解析
3、)、公用设施(例如,供暖,照明,能源,空调);人员,他们的资格、技能和经验;无形资产,如组织的声誉和形象。信息资产类型:信息资产电脑数据网络传输传真纸上记录图片数码照片光盘磁带电话交谈人的大脑等信息资产存在方式:信息资产产生使用存储传输销毁/抛弃信息资产的生命周期:产生使用存贮传输销毁/抛弃什么是信息安全?ISO27001将信息安全定义如下:保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性保密性可用性保密性:信息不能被未授权的个人,实体或者过程利用或知悉的特性可用性:根据授权实体的要
4、求可访问和利用的特性完整性:保护资产的准确和完整的特性1234信息安全概述信息安全风险评估ISMS介绍ISO27001信息安全管理体系要求目录5ISO27002信息安全管理实用规则信息安全管理体系(ISMS)介绍InformationSecurityManagementSystem(ISMS)信息安全管理体系基于国际标准ISO/IEC27001:信息安全管理体系要求是综合信息安全管理和技术手段,保障组织信息安全的一种方法ISMS是管理体系(MS)家族的一个成员ISO/IECJTC1/SC27/WG1(国际标准化组织/国际电工委
5、员会联合技术委员会1/子委员27/工作组1),WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南ISO27000系列标准标准序号标准名称发布时间ISO/IEC27000基础与术语起草中,未发布ISO/IEC27001ISMSRequirementISMS要求2005年10月ISO/IEC27002CodeofPracticeforISMS实用规则2007年4月ISO/IEC27003ISMSImplementationGuidanceISMS实施指南起草中,未发布ISO/IEC27004ISMSMetricsan
6、dMeasurementISMS的测量起草中,未发布ISO/IEC27005InformationSecurityRiskManagement信息安全风险管理2008年6月ISO/IEC27006CertificationandRegistrationprocess审核认证机构要求2007年2月ISO27001的历史等同的国家标准GB/T22080-2008信息技术安全技术信息安全管理体系要求GB/T22081-2008信息技术安全技术信息安全管理实用规则我国已将ISO27001和ISO27002系列标准等同转化为国家标准。2
7、008年9月,经国家标准化管理委员会批准,全国信息安全标准化技术委员会发布两个新的国家标准,并于2008年11月1日起实施。提升竞争力提高合规性满足利益相关方期望实施ISMS的好处建立持续改进的信息安全与风险管理有效保护组织的知识产权有效保护客户信息提升组织形象提升内部控制符合国家信息安全管理标准要求保护商业机密遵从法律法规要求更好的IT服务质量保证业务连续性增强自信与客户信任度提升投资回报率ISO27001当前获得ISO27001证书的组织分布(2008年9月)1234信息安全概述信息安全风险评估ISMS介绍ISO27001
8、信息安全管理体系要求目录5ISO27002信息安全管理实用规则ISO27001信息安全管理体系要求相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act信息安全管理体系(Inf
此文档下载收益归作者所有