返回
ISO27001详细介绍.ppt

ISO27001详细介绍.ppt

ID:48049892

大小:3.71 MB

页数:43页

时间:2020-01-13

ISO27001详细介绍.ppt_第1页
ISO27001详细介绍.ppt_第2页
ISO27001详细介绍.ppt_第3页
ISO27001详细介绍.ppt_第4页
ISO27001详细介绍.ppt_第5页
资源描述:

《ISO27001详细介绍.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2021/7/17ISO/IEC27001简介Page2目录背景介绍ISO/IEC17799ISO/IEC27001重点内容重点章节认证流程17799&27001Page3BS7799BS7799是英国标准协会(BritishStandardsInstitute,BSI)针对信息安全管理而制定的一个标准。1995年,BS7799-1:1995《信息安全管理实施细则》首次出版,它提供了一套综合性的、由信息安全最佳惯例构成的实施细则,目的是为确定各类信息系统通用控制提供唯一的参考基准。1998年,BS7799-2:1998《信息安全管理体系规范》公布,这是对BS7799-1

2、的有效补充,它规定了信息安全管理体系的要求和对信息安全控制的要求,是一个组织信息安全管理体系评估的基础,可以作为认证的依据。1999年4月,BS7799的两个部分被重新修订和扩展,形成了一个完整版的BS7799:1999。新版本充分考虑了信息处理技术应用的最新发展,特别是在网络和通信领域。除了涵盖以前版本所有内容之外,新版本还补充了很多新的控制,包括电子商务、移动计算、远程工作等。Page4ISO/IEC27002(17799)2000年12月,国际标准化组织ISO/IECJTC1/SC27工作组认可BS7799-1:1999,正式将其转化为国际标准,即所颁布的ISO/

3、IEC17799:2000《信息技术——信息安全管理实施细则》。2005年6月,ISO/IEC17799:2000经过改版,形成了新的ISO/IEC17799:2005,新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升。ISO/IEC17799:2005已更新并在2007年7月1日正式发布为ISO/IEC27002:2005,这次更新只在于标准上的号码,内容并没有改变。Page5ISO/IEC270012002年,BSI对BS7799:2-1999进行了重新修订,正式引入PDCA过程模型,2004年9月5日,BS7799-2:2002正式发布。2005年

4、,BS7799-2:2002终于被ISO组织所采纳,于同年10月推出了ISO/IEC27001:2005。Page6对应国内标准大陆2005年6月15日,我国发布了国家标准《信息安全管理实用规则》(GB/T19716-2005)。该标准修改采用了ISO/IEC17799:2000标准。2008年6月19日,GB/T19716-2005作废,改为GB/T22081-2008。台湾省在台湾,BS7799-1:1999被引用为CNS17799,而BS7799-2:2002则被引用为CNS17800。Page7目录背景介绍ISO/IEC17799ISO/IEC27001重点内容

5、重点章节认证流程17799&27001Page817799标准内容ISO/IEC17799:2005版包括11个方面、39个控制目标和133项控制措施1)安全方针7)访问控制2)信息安全组织8)信息系统获取、开发和维护3)资产管理9)信息安全事故管理4)人力资源安全10)业务连续性管理5)物理和环境安全11)符合性6)通信和操作管理Page917799:2000Vs17799:2005ISO/IEC17799:2005版的内容与2000版相比,新增加了17项控制,在客户往来安全、资产属主定义、人员离职管理、第三方服务交付管理、漏洞管理、取证等方面对原标准做了全新阐释或补

6、充。去掉了原标准中的9项控制,这些控制或者是不再适应信息通信技术的发展,或者是已经并入到新标准的其他控制内容中了。Page1017799的适用性本实用规则可认为是组织开发其详细指南的起点。对一个组织来说,本实用规则中的控制措施和指南并非全部适用,此外,很可能还需要本标准中未包括的另外的控制措施和指南。为便于审核员和业务伙伴进行符合性检查,当开发包含另外的指南或控制措施的文件时,对本标准中条款的相互参考可能是有用的。(引用自ISO/IEC17799:2005中“0.8开发你自己的指南”)Page11信息安全起点实施细则中有些内容可能并不使用于所有组织和企业,但是有些措施可

7、以使用于大多数的组织,他们被成为“信息安全起点”。从法律的观点看,根据适用的法律,对某个组织重要的控制措施包括:a)数据保护和个人信息的隐私(见15.1.4);b)保护组织的记录(见15.1.3);c)知识产权(见15.1.2)。被认为是信息安全的常用惯例的控制措施包括:a)信息安全方针文件(见5.1.1);b)信息安全职责的分配(见6.1.3);c)信息安全意识、教育和培训(见8.2.2);d)应用中的正确处理(见12.2);e)技术脆弱性管理(见12.6);f)业务连续性管理(见14);g)信息安全事故和改进管理(见13.2)。这些控

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。