ISO27001信息安全管理体系

ISO27001信息安全管理体系

ID:43445703

大小:525.60 KB

页数:12页

时间:2019-10-02

ISO27001信息安全管理体系_第1页
ISO27001信息安全管理体系_第2页
ISO27001信息安全管理体系_第3页
ISO27001信息安全管理体系_第4页
ISO27001信息安全管理体系_第5页
资源描述:

《ISO27001信息安全管理体系》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、IS017799/BS7799信息安全管理体系简介什么是信息?•Informationisanassetwhich,likeotherimportantbusinessassets,hasvaluetoanorganizationandconsequentlyneedstobesuitablyprotected・•信息是一种资产,就如同其他的商业资产一样,对一个组织而言是具有价值的,因而需要妥善保护。•ISO17799/BS7799Part1:1999信息的类型•政府信息■国内重要的信息内部信息•不希望竞争对手得到的信息客户信息■不希望被泄露的信息与贸易伙伴共享的信息公开信息■任何人都可以自

2、由使用的列印或写在纸张上的用电子方式储存的以邮件传输(包括电子邮件)以影视或胶片方式表现的语言交谈什么需要保护?・保护重要的商业“信息”资产•维持竞争优势•法律的要求•商业形象•安全威胁•安全脆弱•分瘠的安全技术为何信息安全是如此重要?信息■成长及成功的关键因素15000份的医疗日志培圾桶中在被发现30000个用户密码在Internet上公布推广的照片提前出现在新闻书刊上银行支付数百万元给勒索者25位开发部的同事跳槽至竞争者公司为何信息安全是如此重要?(续)•盗窃:每失窃或损坏价值一英镑的信息技术设备,将造成十英镑商业损失。英国匸业在1996年山电脑失窃而造成的损失超过460亿英镑。・INT

3、ERNET:美国五角人楼每日可侦测到80至100个骇客入侵。•电脑入侵:电脑骇客入侵每年以45%的速率在增长。•电子邮件:10%信息无意义,9%包含机密信息,2%笑话及2%带病毒。•病毒:起过10000个病毒经常性的影响我的电脑及每月有150-200新的病毒产生。Source:WorldtalkCorporationE-mailsurveillanceprogramme.&Computerweekly1999/09/19安全需求•安全风险・法律和合约的需求・内部的原则,目标和需求从收集控制方式与适当的需求等级开始!1993O17799/BS7799发布ISMS发展历史r瑞典开始试点认证瑞典标

4、准SS627799Part1&2发布新版英国标准BS7799Part1&2发布ISO17799/BS7799Structure10信息安全Confidentiality保密性Integrity完整性Availability可用性信息安全ISO17799/BS7799定义信息安全如下:・保密性:确保只有被授权的人员才能操作信息•完整性:确保信息的完整和正确•可用性:确保信息在需要时随时可以获得与IS09000相同之处管理者的承诺-方针&目标组织,包含定义职责系统结构程序文件管制•记录管理・培训•管理评核•纠正与预防措施与IS09000不同之处•风险评估与适用性声明•选择适宜的控制•安全目标实

5、现的验证•安全产品正确执行的验证•坚持程序作业的验证与IS014000及OHSAS1800相同之处•风险评估•业务持续计划•两个阶段的认证ISO17799/BS7799标准•ISO17799/BS7799Part1-信息安全管理实施规则•ISO17799/BS7799Part2-信息安全管理体系规范第一部份■章节Chapter1•范围Chapter2.术语和疋义Chapter3•安全方针Chapter4•组织安全Chapter5•资产分类和控制Chapter6.人员安全•Chapter7.实物和环境安全•Chapter&通信和操作管理•Chapter9•访问控制•Chapter10•系统开发

6、和维护•Chapter11.商务连续性管理•Chapter12•符合性第二部分的内容信息安全管理体系需求:•10项控制细则•36个控制目标•127个控制方式18第二部份■章节•Chapter1•范围•Chapter2•术语和定义•Chapter3•信息安全管理体系要求•Chapter4•控制细则(与第一部份对应)第二部份■章节4.1安全方针4.2组织安全4.3资产分类和控制4.4人员安全4.5实物和环境安全4.6通信和操作管理4.7访问控制4.8系统开发和维护4.9商务连续性管理4.10符合性20信息安全管理体系的实施确怎范围风险分析控制口标与控制方式适用性声明业务持续计划安全方针管理评审计

7、划评估检查执行组织安全班应分类与控制人员安全实物与环境安全重要作业的保护包含保护的资料能法律法规的符合性安全方针符合性安全技术的符介件风险评估和风险管理币:要度可能性22第一部份-章节DISCprotocol•UKASprotocol•Accreditsfor7799vanillaUKASisstilltheaccreditorRecognisescompetentauditorsAcceptsc:curer

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。