欢迎来到天天文库
浏览记录
ID:50741904
大小:120.00 KB
页数:24页
时间:2020-03-13
《ISO27001 信息安全管理体系.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、ISO17799/BS7799信息安全管理体系简介什么是信息?Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected.信息是一种资产,就如同其他的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。ISO17799/BS7799Part1:19992信息的类型政府信息-国内重要的信息内部信息-不希望竞争对手得到的信息客户信息-不希望被泄露的信息与贸易伙伴
2、共享的信息公开信息-任何人都可以自由使用的列印或写在纸张上的用电子方式储存的以邮件传输(包括电子邮件)以影视或胶片方式表现的语言交谈3什么需要保护?保护重要的商业“信息”资产维持竞争优势法律的要求商业形象安全威胁安全脆弱分瘠的安全技术4信息-成长及成功的关键因素15000份的医疗日志培圾桶中在被发现30000个用户密码在Internet上公布推广的照片提前出现在新闻书刊上银行支付数百万元给勒索者25位开发部的同事跳槽至竞争者公司为何信息安全是如此重要?5盗窃:每失窃或损坏价值一英镑的信息技术设备,将造成十英镑商业损失。英国工业在1996年由电脑失窃而造
3、成的损失超过460亿英镑。INTERNET:美国五角大楼每日可侦测到80至100个骇客入侵。电脑入侵:电脑骇客入侵每年以45%的速率在增长。电子邮件:10%信息无意义,9%包含机密信息,2%笑话及2%带病毒。病毒:起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。Source:WorldtalkCorporationE-mailsurveillanceprogramme.&Computerweekly1999/09/19为何信息安全是如此重要?(续)6安全风险法律和合约的需求内部的原则,目标和需求从收集控制方式与适当的需求等级
4、开始!安全需求7ISMS发展历史820001993199519981999ISO17799/BS7799发布瑞典开始试点认证瑞典标准SS627799Part1&2发布新版英国标准BS7799Part1&2发布英国开始试点认证英国公布BS7799第二部份(Part2)英国公布BS7799第一部份(Part2)率先由英国贸工部倡导ISO17799/BS7799StructureManagementoverviewISO17799/BS7799,Part1-GuidelinesIndextounderlyinglevel(s)WebWithlinksStan
5、dardsfor“Bestpractise”SpecificationsforCertificationISO17799/BS7799,Part2RequirementsstandardGuidelinesforCertification10Confidentiality保密性Integrity完整性Availability可用性信息安全11ISO17799/BS7799定义信息安全如下:保密性:确保只有被授权的人员才能操作信息完整性:确保信息的完整和正确可用性:确保信息在需要时随时可以获得信息安全12管理者的承诺-方针&目标组织,包含定义职责系统结构
6、程序文件管制与ISO9000相同之处记录管理培训管理评核纠正与预防措施13风险评估与适用性声明选择适宜的控制安全目标实现的验证安全产品正确执行的验证坚持程序作业的验证与ISO9000不同之处14风险评估业务持续计划两个阶段的认证与ISO14000及OHSAS1800相同之处15ISO17799/BS7799Part1-信息安全管理实施规则ISO17799/BS7799Part2-信息安全管理体系规范ISO17799/BS7799标准16Chapter⒈范围Chapter⒉术语和定义Chapter⒊安全方针Chapter⒋组织安全Chapter⒌资产分类
7、和控制Chapter⒍人员安全第一部份-章节Chapter⒎实物和环境安全Chapter⒏通信和操作管理Chapter⒐访问控制Chapter⒑系统开发和维护Chapter⒒商务连续性管理Chapter⒓符合性17信息安全管理体系需求:10项控制细则36个控制目标127个控制方式第二部分的内容18Chapter⒈范围Chapter⒉术语和定义Chapter⒊信息安全管理体系要求Chapter⒋控制细则(与第一部份对应)第二部份-章节194.1安全方针4.2组织安全4.3资产分类和控制4.4人员安全4.5实物和环境安全第二部份-章节4.6通信和操作管理4
8、.7访问控制4.8系统开发和维护4.9商务连续性管理4.10符合性20信息安全管理体系的实施2
此文档下载收益归作者所有