返回
【8A文】ISO27001标准详解.pptx

【8A文】ISO27001标准详解.pptx

ID:33457572

大小:3.90 MB

页数:146页

时间:2019-02-24

【8A文】ISO27001标准详解.pptx_第1页
【8A文】ISO27001标准详解.pptx_第2页
【8A文】ISO27001标准详解.pptx_第3页
【8A文】ISO27001标准详解.pptx_第4页
【8A文】ISO27001标准详解.pptx_第5页
资源描述:

《【8A文】ISO27001标准详解.pptx》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ISO27001标准详解主题信息安全管理体系管理框架ISO27001控制措施ISO27001与知识产权保护信息安全管理体系背景介绍信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:   一.直接损失:丢失订单,减少

2、直接收入,损失生产率;   二.间接损失:恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;   三.法律损失:法律、法规的制裁,带来相关联的诉讼或追索等。ISO27001的内容信息安全管理体系背景介绍所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。   俗话说"三分技术七分管理"。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息

3、安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。ISO27001的内容信息安全管理体系标准发展历史目前,在信息安全管理体系方面,ISO/IEC27001:2005--信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英

4、国标准BS7799转换而成的。BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准-----ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为ISO27001的内容信

5、息安全管理体系标准发展历史ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO9001、ISO14001和OHSAS18000等管理体系标准相同的结构和运行模式。2005年,BS7799-2:2002正式转换为国际标准ISO/IEC27001:2005。ISO27001的内容信息安全管理体系要求11个控制领域39个控制目标133个控制措施ISO27001的内容必须的IS

6、MS文件:1、ISMS方针文件,包括ISMS的范围;2、风险评估程序和风险处理程序;3、文件控制程序和记录控制程序;4、内部审核程序和管理评审程序(尽管没有强制);5、纠正措施和预防措施控制程序;6、控制措施有效性的测量程序;7、适用性声明ISO27001的内容对外增强顾客信心和满意改善对安全方针及要求的符合性提供竞争优势对内改善总体安全管理并减少安全事件的影响便利持续改进提高员工动力与参与提高盈利能力形成文件的ISMS的益处PDCA方法纠正和预防措施内部审核ISMS管理评审ISMS的持续改进0.1总则0

7、.2过程方法过程方法的定义:组织内各过程系统的应用,连同这些过程的识别和相互作用及其管理,可以被称为“过程方法”。过程方法鼓励其使用者以强调以下方面的重要性:理解业务信息安全要求以及建立信息安全方针和目标的需求在管理组织的整体业务风险中实施并运作控制监控并评审ISMS的绩效及有效性在客观测量基础上持续改进0介绍PDCA模型1.1总则本标准规定了在组织整体业务风险的范围内制定、实施、运行、监控、评审、保持和改进文件化信息安全管理系统的要求1.2应用适用于各种类型、不同规模和提供不同产品的组织可以考虑删减,但条款4、

8、5、6、7和8是不能删减的1范围ISO/IEC17799:2005信息技术-安全技术-信息安全管理实施指南2引用标准信息是经过加工的数据或消息,信息是对决策者有价值的数据资产任何对组织有价值的事物可用性确保授权用户可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。