返回
【8A文】ISO27001简介.ppt

【8A文】ISO27001简介.ppt

ID:33813476

大小:3.61 MB

页数:76页

时间:2019-02-24

【8A文】ISO27001简介.ppt_第1页
【8A文】ISO27001简介.ppt_第2页
【8A文】ISO27001简介.ppt_第3页
【8A文】ISO27001简介.ppt_第4页
【8A文】ISO27001简介.ppt_第5页
资源描述:

《【8A文】ISO27001简介.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、ISO/IEC27001简介冯真凯目录背景介绍27001新版解析27001新版内容建立ISMS27001认证介绍一、背景介绍ISO27001发展历史对应国内标准2005年6月15日,我国发布了国家标准《信息安全管理实用规则》(GB/T19716-2005)。该标准修改采用了ISO/IEC17799:2000标准。2008年6月19日,GB/T19716-2005作废,改为GB/T22081-2008。GB/T22080-2008信息安全管理体系要求对应ISO/IEC27001:2005ISO27000标准家族与其他标准的兼容性本标准与GB/T1

2、9001-2000及GB/T24001-1996相结合,以支持与相关管理标准一致的、整合的实施和运行。因此,一个设计恰当的管理体系可以满足所有这些标准的要求。表C.1说明了本标准、GB/T19001-2000(ISO9001:2000)和GB/T24001-1996(ISO14001:2004)的各条款之间的关系。本标准的设计能够使一个组织将其ISMS与其它相关的管理体系要求结合或整合起来。(引用自ISO/IEC27001:2005中“0.3与其它管理体系的兼容性”)注:ISO14001:2004-环境管理体系-规范及使用指南ISO9001:2

3、000-国际性质量管理标准与其他标准的兼容性(续)二、27001新版解析新标准特点新标准架构变化新标准内容构成核心内容变化附录A变化附录A控制领域结构附录A控制领域的变化附录A控制项的增删调整三、27001新版内容◆前言◆引言◆1范围◆2规范性引用文件◆3术语和定义◆4组织环境◆5领导◆6规划◆7支持◆8运行◆9绩效评价◆10改进◆附录A(规范性附录)参考控制目标和控制措施◆参考文献本标准的重点章节是4-10章。ISO27001新版的内容第四章组织的背景4.1了解组织现状及背景组织应明确与信息安全管理体系目的及影响其能力有关的内外部问题,以达到

4、信息安全管理体系的预期效果。4.2理解相关方的需求和期望a)信息安全管理体系的相关方;b)这些相关方信息安全相关要求;4.3确定ISMS的范围组织应确定信息安全管理体系的边界和适用性,以确定其范围。4.4建立ISMS组织应按照本国际标准的要求建立,实施,保持和持续改进信息安全管理体系。PDCA某银行实施信息安全管理,先期所确定的范围为:因特网银行服务。具体识别为:提供网上银行服务的人员人员使用的流程系统操作手册安全手册网银规程使用的信息顾客的详细信息内部的银行数据来自其它银行的外部数据用以提供在线交易的网络服务顾客接入与其它银行的连接和接口(内

5、部和外部)便利在线服务的技术桌面计算机和其它ICT设备电话范围说明实例第五章领导力5.1领导和承诺高层管理者应通过下列方式展示其关于信息安全管理体系的领导力和承诺:a)确保建立信息安全方针和信息安全目标,并与组织的战略方向保持一致;b)确保将信息安全管理体系要求整合到组织的业务过程中;c)确保信息安全管理体系所需资源可用;d)传达信息安全管理有效实施、符合信息安全管理体系要求的重要性;e)确保信息安全管理体系实现其预期结果;f)指挥并支持人员为信息安全管理体系的有效实施作出贡献;g)促进持续改进;h)支持其他相关管理角色在其职责范围内展示他们的

6、领导力;第五章领导力5.2方针高层管理者应建立信息安全方针,以:a)适于组织的目标;b)包含信息安全目标(见6.2)或设置信息安全目标提供框架;c)包含满足适用的信息安全相关要求的承诺;d)包含信息安全管理体系持续改进的承诺。信息安全方针应:e)文件化并保持可用性;f)在组织内部进行传达;g)适当时,对相关方可用。第五章领导力5.3组织角色,职责和权限高层管理者应确保分配并传达了信息安全相关角色的职责和权限。 高层管理者应分配下列职责和权限:a)确保信息安全管理体系符合本标准的要求;b)将信息安全管理体系的绩效报告给高层管理者。注:高层管理者可

7、能还要分配在组织内部报告信息安全管理体系绩效的职责和权限。第六章规划6.1应对风险和机会的措施6.1.1总则当规划信息安全管理体系时,组织应考虑4.1中提及的问题和4.2中提及的要求,确定需要应对的风险和机会,以:a)确保信息安全管理体系能实现其预期结果;b)防止或减少意外的影响;c)实现持续改进。 组织应规划:d)应对这些风险和机会的措施;e)如何1)整合和实施这些措施并将其纳入信息安全管理体系过程;2)评价这些措施的有效性。第六章规划6.1.2信息安全风险评估组织应定义并应用风险评估过程,以:a)建立并保持信息安全风险准则,包括:1)风险接

8、受准则;2)执行信息安全风险评估的准则;b)确保重复性的信息安全风险评估可产生一致的、有效的和可比较的结果;c)识别信息安全风险:1)应用信息安全风险

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。