欢迎来到天天文库
浏览记录
ID:62259982
大小:2.26 MB
页数:56页
时间:2021-04-24
《最新ISO27001详细介绍幻灯片.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、ISO27001详细介绍目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001Page2BS7799BS7799是英国标准协会(BritishStandardsInstitute,BSI)针对信息安全管理而制定的一个标准。1995年,BS7799-1:1995《信息安全管理实施细则》首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。1998年,BS7799-2:1998《信息安全管理体系规范》公布,这是对BS77
2、99-1的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。1999年4月,BS7799的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。Page3目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001Page717799标准内容
3、ISO/IEC17799:2005版包括11个方面、39个控制目标和133项控制措施1)安全方针7)访问控制2)信息安全组织8)信息系统获取、开发和维护3)资产管理9)信息安全事故管理4)人力资源安全10)业务连续性管理5)物理和环境安全11)符合性6)通信和操作管理Page817799:2000Vs17799:2005ISO/IEC17799:2005版的内容与2000版相比,新增加了17项控制,在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补充。去掉了原标准中的9项控
4、制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。Page917799的适用性本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。(引用自ISO/IEC17799:2005中“0.8开发你自己的指南”)Page10信息安全起点实施细则中有些内容可能并不使用于所有组织和企业,但
5、是有些措施可以使用于大多数的组织,他们被成为“信息安全起点”。从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:a)数据保护和个人信息的隐私(见15.1.4);b)保护组织的记录(见15.1.3);c)知识产权(见15.1.2)。被认为是信息安全的常用惯例的控制措施包括:a)信息安全方针文件(见5.1.1);b)信息安全职责的分配(见6.1.3);c)信息安全意识、教育和培训(见8.2.2);d)应用中的正确处理(见12.2);e)技术脆弱性管理(见12.6);f)业务连续性管理(见14);g)信息安全事故和改进管理(
6、见13.2)。这些控制措施适用于大多数组织和环境。(引用自ISO/IEC17799:2005中“0.6信息安全起点”)Page11目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001Page12ISMS(信息安全管理系统)ISO/IEC27001:2005版通篇就在讲一件事,ISMS(信息安全管理系统)。本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(InformationSecurityManagementSystem,简称ISMS)提供模型。采用ISM
7、S应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受其需要和目标、安全要求、所采用的过程以及组织的规模和结构的影响,上述因素及其支持系统会不断发生变化。按照组织的需要实施ISMS,是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。本标准可被内部和外部相关方用于一致性评估。(引用自ISO/IEC27001:2005中“0.1总则”)Page13PDCA(戴明环)PDCA(Plan、Do、Check和Act)是管理学惯用的一个过程模型,最早是由休哈特(WalterShewhart)于19世纪30年代构想的,
8、后来被戴明(EdwardsDeming)采纳、宣传并运用于持续改善产品质量的过程当中。1、P(Plan)--计划,确定方针和目标,确定活动计划;2、D(Do)--执行,实地去做,实现计划中的内容;3、C(Check)--检查,总结执行计划的结果,注
此文档下载收益归作者所有