返回
第3讲 第二章 信息安全风险评估下

第3讲 第二章 信息安全风险评估下

ID:20985043

大小:1.75 MB

页数:85页

时间:2018-10-18

第3讲 第二章 信息安全风险评估下_第1页
第3讲 第二章 信息安全风险评估下_第2页
第3讲 第二章 信息安全风险评估下_第3页
第3讲 第二章 信息安全风险评估下_第4页
第3讲 第二章 信息安全风险评估下_第5页
资源描述:

《第3讲 第二章 信息安全风险评估下》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第3讲信息安全风险评估(二)北京邮电大学计算机学院副教授郭燕慧ISO/IEC27001:2005标准介绍ISO/IEC27001:2005是什么?ISO/IEC27001:2005内容ISO/IEC27001:2005建立练习ISO/IEC27001:2005介绍ISO27001的标准全称(ISO27001标准题目)Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Requirements信息技术-安全技术-信息安全管理体系-要求ISMS信息安全管理体系-管理体

2、系-信息安全相关-ISO27001的"3术语和定义-3.7"Requirements要求1.0ISO/IEC27001:2005是什么建立方针和目标并实现这些目标的相互关联或相互作用的一组要素。管理体系包括组织结构,策略,规划,角色,职责,流程,程序和资源等。(ISO27001"3术语和定义-3.7")管理的方方面面以及公司的所有雇员,均囊括在管理体系范围内。1.1什么是管理体系?Qualitymanagementsystem(ISO9001)Environmentalmanagementsystem(ISO14001)Safetymanagementsystem(

3、OHSAS18001)HumanFoodSafetymanagementsystem(HACCP)ITServiceManagementSystem(ISO20000)Informationsecuritymanagementsystem(ISO27001)1.1什么是信息安全?保护信息的保密性、完整性和可用性(CIA);另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性(ISO27001"3术语和定义-3.4")机密性(Confidentiality)信息不能被未授权的个人,实体或者过程利用或知悉的特性(ISO27001"3术语和定义-3.3")完整性(I

4、ntegrity)保护资产的准确和完整的特性(ISO27001"3术语和定义-3.8").确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。可用性(Availability)根据授权实体的要求可访问和利用的特性(ISO27001"3术语和定义-3.2").确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源信息安全管理体系(ISMS):是整个管理体系的一部分,建立在业务风险的方法上,以:建立实施运作监控评审维护改进信息安全。1.2ISO27001的

5、第3章“术语和定义-3.7"职业健康安全IT服务信息安全环境管理体系食品安全质量建设了ISMS,尤其是获取了ISO27001认证后,组织将在信息安全方面进入一个强制的良性循环。1.327001的总要求(ISO270014.1)相关方受控的信息安全信息安全要求和期望相关方检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划Plan实施Do处置Act图1应用于ISMS过程的PDCA模型一个组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。就本标准而言,使用的过程基于图1所示的PDCA模型。

6、0.Introduction1.Scope2.Normativereferences3.Termsanddefinitions4.Informationsecuritymanagementsystem4.1Generalrequirements4.2EstablishingandmanagingtheISMS4.2.1EstablishtheISMS4.2.2ImplementandoperatetheISMS4.2.3MonitorandreviewtheISMS4.2.4MaintainandimprovetheISMS4.3Documentationrequi

7、rements5.Managementresponsibility6.InternalISMSaudits7.ManagementreviewoftheISMS8.ISMSimprovementAnnexAISO27001:2005,AnnexA11Clauses39Objectives133Controls1.4ISO27001的结构1.5ISO27001所关注的领域(ISO27001附录A)合规性(Compliance)业务连续性管理(BusinessContinuityManagement)信息安全事故管理(InformationSecurityIncid

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。