返回
信息安全管理标准理解教材

信息安全管理标准理解教材

ID:4188058

大小:285.21 KB

页数:16页

时间:2017-11-29

信息安全管理标准理解教材_第1页
信息安全管理标准理解教材_第2页
信息安全管理标准理解教材_第3页
信息安全管理标准理解教材_第4页
信息安全管理标准理解教材_第5页
资源描述:

《信息安全管理标准理解教材》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、长天思源ISMS培训教材信息安全管理体系审核培训教材信息安全管理体系审核培训教材信息安全管理体系要求ISO/IEC27001:2005标准培训信息安全管理体系要求ISO/IEC27001:2005内部审核员教材标准解读主讲:刘士海13590710451shihailiu@163.com北京联合智业认证有限公司北京联合智业认证有限公司信息安全管理体系审核培训教材信息安全管理体系审核培训教材四、标准解读•1范围•理解要点:主要内容•1.1总则•1)从组织的整体业务风险的角度•信息安全管理体系要求,为建立、实施、运行、监视、评•一、信息安全•本

2、标准适用于所有类型的组审、保持和改进文件化的ISMS规定了详细的要求;•二、ISO/IEC27001:2005由来织(如商业企业、政府机构和非盈利组织)。本标准从组织•2)为适应不同组织或其部门的需•三、实施ISMS的收益的整体业务风险的角度,为建要而定制的安全控制措施的实施要立、实施、运行、监视、评审求。•四、标准解读、保持和改进文件化的信息安•体系设计目标:全管理体系规定了要求。•确保适当和相宜的安全控制措施,•五、控制目标与措施•ISMS的设计应确保选择适当以充分保护信息资产并给予相关方和相宜的安全控制措施,以充信心。分保护信息资

3、产并使相关方充•需要注意的是:ISMS是基于组满信心。织的整体业务风险角度建立的,风•注1:本标准中提及的“业险评估在体系的建立过程中起到至务”是指关系一个组织生存的关重要的作用。核心活动。•组织存在的目的举例:企业→盈•注2:ISO/IEC17799为策利北京联合智业认证有限公司划控制措施提供了实施指南。北京联合智业认证有限公司信息安全管理体系审核培训教材信息安全管理体系审核培训教材四、标准解读四、标准解读•1.2应用•标准适用范围:各种类•必须证明任何控制措施的•删减必须被证明是合理的;•本标准所规定的要求型、规模和特性的组织删

4、减满足风险接受准则,••需要提供证据证明相关风。且需要提供证据证明相关险已被负责人员接受是通用的,适用于各风险已被负责人接受。除••删减不影响组织提供由风种类型、不同规模和•控制措施删减的限制:非删减不影响组织满足由险评估和适用法律法规要求业务性质的组织。组•删减仅限于对附录A中风险评估和适用法律法规所确定的安全需求的能力和织若对第4、5、6、7的控制目标和控制措施要求所确定的安全要求的/或责任;控制措施删减的和8条款的内容进行了,对于第4,5,6,7,8能力和/或责任,否则不能原因:1)组织的业务需求删减,则不得宣称符声称符合本标准。和目

5、标不同;2)所采用的章的要求不能删减;合本标准。过程以及规模结构设计不同;3)满足风险接受准则北京联合智业认证有限公司北京联合智业认证有限公司英达思咨询长天思源ISMS培训教材信息安全管理体系审核培训教材信息安全管理体系审核培训教材四、标准解读四、标准解读•注:如果组织已经存•需要注意的是:•2.引用标准•理解要点:在一个操作性业务过•ISO/IEC27001对需要•下列文件中的条款通过•ISO/IEC27001明确了程管理体系(如采用标准的组织而言本标准的引用而成为本标ISO/IEC17799:2005为,是最基本的要求。准的条款。对标

6、注日期的ISO90001或ISO14001组织所建立的ISMS可其引用标准,ISO/IEC条文只有引用的版本适用),那么在大多数情超出标准要求,但不27001附录A的控制目于本标准。凡事未标注日况下,更可取的是在能低于标准要求。如期的引用条文,其最新版标和控制措施便是直果要把标准作为审核现有管理体系的范围本适用于本标准。接引自ISO/IEC的依据,那么组织的内更好的满足本标准ISMS必须满足标准的•ISO/IEC17799:2005信17799:2005,并与其保的要求。所有要求,删减要满息技术-安全技术-信息持一致。足规定的前提。安全管

7、理实施指南北京联合智业认证有限公司北京联合智业认证有限公司信息安全管理体系审核培训教材信息安全管理体系审核培训教材四、标准解读四、标准解读•3.术语定义•理解要点:•3.术语定义•本标准采用以下术语和定•在所列术语中,除“信•本标准采用以下术语和定义息安全管理体系”和“适用义•3.1资产性声明”外,其余皆引自•3.3保密性其他信息安全相关标准。•信息不能被未授权的个人•对组织有价值的任何东西、实体或者过程利用或知。•其中“保密性”、“完整悉的特性。性”、“可用性”的解释有•[ISO/IEC13335-1:2004]•[ISO/IEC13

8、335-1:2004]助于理解“信息安全”概念•3.2可用性•3.4信息安全,另外在信息安全概念中•需要时,授权实体可以访,还涉及其他属性:真实•保护信息的保密性、完整问和使用的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。