ISO/IEC27001知识体系
1.ISMS概述 (2)
1.1 什么是ISMS (2)
1.2 为什么需要ISMS (3)
1.3 如何建立ISMS (4)
2.ISMS标准 (9)
2.1 ISMS标准体系-ISO/IEC27000族简介 (9)
2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍 (14)
2.3 信息安全管理体系要求-ISO/IEC27001:2005介绍 (18)
3.ISMS认证 (22)
3.1 什么是ISMS认证 (22)
3.2 为什么要进行ISMS认证 (22)
3.3 ISMS认证适合何种类型的组织 (23)
3.4 全球ISMS认证状况及发展趋势 (24)
3.5 如何建设ISMS并取得认证 (29)
1. ISMS概述
1.1 什么是ISMS
信息安全管理体系(Information Security Management System,简称为ISMS)是1998年前后从英国发展起来的信息安全领域中的一个新概念,是管理体系(Management System,MS)思想和方法在信息安全领域的应用。近年来,伴随着ISMS国际标准的制修订,ISMS迅速被全球接受和认可,成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。
在ISMS的要求标准ISO/IEC27001:2005(信息安全管理体系要求)的第3章术语和定义中,对ISMS的定义如下:
ISMS(信息安全管理体系):是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
这个定义看上去同其他管理体系的定义描述不尽相同,但我们也可以用ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则)中管理体系的定义,将ISMS 描述为:组织在信息安全方面建立方针和目标,并实现这些目标的一组相互关联、相互作用的要素。
ISMS同其他MS(如QMS、EMS、OHSMS)一样,有许多共同的要素,其原理、方法、过程和体系的结构也基本一致。
单纯从定义理解,可能无法立即掌握ISMS的实质,我们可以把ISMS理解为一台“机器”,这台机器的功能就是制造“信息安全”,它由许多“部件”(要素)构成,这些“部件”包括ISMS管理机构、ISMS文件以及资源等,ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。
1.2 为什么需要ISMS
今天,我们已经身处信息时代,在这个时代,“计算机和网络”已经成为组织重要的生产工具,“信息”成为主要的生产资料和产品,组织的业务越来越依赖计算机、网络和信息,它们共同成为组织赖以生存的重要信息资产。
可是,计算机、网络和信息等信息资产在服务于组织业务的同时,也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为,人们已不再陌生,并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势:
2005年6月19日,万事达公司宣布,储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售,每条100美元,并可能被用于金融欺诈活动。
2005年5月19日,深圳市中级人民法院对华为公司诉其前员工案作出终审判决,维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工,因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英,最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。
2005年7月12日下午2时35分,承载着超过200万用户的北京网通ADSL和LAN宽带网,突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修,至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。
2006年5月8日上午8时左右,中国工程院院士,著名的传染病学专家钟南山在上班的路上,被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面,电脑里还存着正在研制的新药方案,要是这个研究方案变成一种新药,那是几个亿的价值啊”。
(以上案例均来自互联网)
这几个案例仅仅是冰山一角,打开电视、翻翻报纸、浏览一下互联网,类似这样的事件几乎每天都在发生。从这些案例可以看出,信息资产一旦遭到破坏,
将给组织带来直接的经济损失、损害组织的声誉和公众形象,使组织丧失市场机会和竞争力,更为甚者,会威胁到组织的生存。
因此,保护信息资产,解决信息安全问题,已经成为组织必须考虑的问题。
信息安全问题出现的初期,人们主要依靠信息安全的技术和产品来解决信息安全问题。技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,如防病毒、防火墙、入侵检测、隐患扫描等,仍然无法避免一些信息安全事件的发生,组织安装的许多安全产品成了“聋子的耳朵”。与组织中人员相关的信息安全问题,信息安全成本和效益的平衡问题,信息安全目标、业务连续性、信息安全相关法规符合性等问题,依靠产品和技术是解决不了的。
人们开始逐渐意识到管理在解决信息安全问题中的作用。于是ISMS应运而生。2000年12月,国际标准化组织发布一个信息安全管理的标准-ISO/IEC 17799:2000“信息安全管理实用规则(Code of practice for information security management)”,2005年6月,国际标准化组织对该标准进行了修订,颁布了ISO/IEC17799:2005(现已更名为ISO/IEC27002:2005),10月,又发布了ISO/IEC27001:2005“信息安全管理体系要求(Information Security Management System Requirement)”。
自此,ISMS在国际上确立并发展起来。今天,ISMS已经成为信息安全领域的一个热门话题。
1.3 如何建立ISMS
组织的业务目标和信息安全要求紧密相关。实际上,任何组织成功经营的能力在很大程度上取决于其有效地管理其信息安全风险的才干。因此,如何确保信息安全已是各种组织改进其竞争能力的一个新的挑战任务。组织建立一个基于ISO/IEC 27001:2005 ISMS,已成为时代的需要。
从简单分析ISO/IEC 27001:2005标准的要求入手,下面的内容论述了建立一个符合标准要求的ISMS的要点。
1.3.1 正确理解ISMS的含义和要素
ISMS建设人员只有正确地理解ISMS的含义、要素和ISO/IEC 27001:2005标准的要求之后,才有可能建立一个符合要求的完善的ISMS。
ISMS的含义
在ISO/IEC 27001标准中,已对ISMS做出了明确的定义。通俗地说,组织有一个总管理体系,ISMS是这个总管理体系的一部分,或总管理体系的一个子体系。ISMS的建立是以业务风险方法为基础,其目的是建立、实施、运行、监视、评审、保持和改进信息安全。
如果一个组织有多个管理体系,例如包括ISMS、QMS(质量管理体系)和EMS(环境管理体系)等,那么这些管理体系就组成该组织的总管理体系,而每一个管理体系只是该组织总管理体系中的一个组成部分,或一个子管理体系。各个子管理体系必须相互配合、协调一致地工作,才能实现该组织的总目标。
ISMS的要素
标准还指出,管理体系包括“组织的结构、方针、规划活动、职责、实践、程序、过程和资源”(见ISO/IEC 27001:2005 3.7)。这些就是构成管理体系的相互依赖、协调一致,缺一不可的组成部分或要素。我们将其归纳后,ISMS的要素要包括:
1)信息安全管理机构
通过信息安全管理机构,可建立各级安全组织、确定相关人员职责、策
划信息安全活动和实践等。
2)ISMS文件
包括ISMS方针、过程、程序和其它必须的文件等。
3)资源
包括建立与实施ISMS所需要的合格人员、足够的资金和必要的设备等。
ISMS的建立要确保这些ISMS要素得到满足。
1.3.2 建立信息安全管理机构
1)信息安全管理机构的名称
标准没有规定信息安全管理机构的名称,因此名称并不重要。从目前的
情况看,许多组织在建立ISMS之前,已经运行了其它的管理体系,如
QMS和EMS等。因此,最有效与节省资源的办法是将信息安全管理机
构合并于现有管理体系的管理机构,实行一元化领导。
2)信息安全管理机构的级别
信息安全管理机构的级别应根据组织的规模和复杂性而决定。从管理效
果看,对于中等以上规模的组织,最好设立三个不同级别的信息安全管
理机构:
a)高层:以总经理或管理者代表为领导,确保信息安全工作有一个明确
的方向和提供管理承诺和必要的资源。
b)中层:负责该组织日常信息安全的管理与监督活动。
c)基层:基层部门指定一位兼职的信息安全检查员,实施对其本部门的
日常信息安全监视和检查工作。
1.3.3 执行标准要求的ISMS建立过程
按照ISO/IEC 27001:2005“4.2.1建立ISMS ”条款的要求,建立ISMS的步骤包括:
1)定义ISMS的范围和边界,形成ISMS的范围文件;
2)定义ISMS方针(包括建立风险评价的准则等),形成ISMS方针文件;
3)定义组织的风险评估方法;
4)识别要保护的信息资产的风险,包括识别:
a)资产及其责任人;
b)资产所面临的威胁;
c)组织的脆弱点;
d)资产保密性、完整性和可用性的丧失造成的影响。
5)分析和评价安全风险,形成《风险评估报告》文件,包括要保护的信息
资产清单;
6)识别和评价风险处理的可选措施,形成《风险处理计划》文件;
7)根据风险处理计划,选择风险处理控制目标和控制措施,形成相关的文
件;
8)管理者正式批准所有残余风险;
9)管理者授权ISMS的实施和运行;
10)准备适用性声明。
1.3.4 完成所需要的ISMS文件
ISMS文件是ISMS的主要要素,既要与ISO/IEC 27001:2005保持一致,又要符合本组织的信息安全的需要。实际上,ISMS文件是本组织“度身定做”的适合本组织需要的实际的信息安全管理标准,是ISO/IEC 27001:2005的具体体现。对一般员工来说,在其实际工作中,可以不过问国际信息安全管理标准
-ISO/IEC 27001:2005,但必须按照ISMS文件的要求执行工作。
(1) ISMS文件的类型
根据ISO/IEC 27001:2005标准的要求,ISMS文件有三种类型。
1)方针类文件(Policies)
方针是政策、原则和规章。主要是方向和路线上的问题,包括:
a)I SMS方针(ISMS policy);
b)信息安全方针(information security policy)。
2)程序类文件(Procedures)
3)记录(Records)
记录是提供客观证据的一种特殊类型的文件。通常, 记录发生于过去,是相关程序文件运行产生的结果(或输出)。记录通常是表格形式。
4)适用性声明文件(Statement of Applicability, 简称SOA)
ISO/IEC 27001:2005标准的附录A提供许多控制目标和控制措施。这些控制目标和控制措施是最佳实践。对于这些控制目标和控制措施,实施ISMS
的组织只要有正当性理由,可以只选择适合本组织使用的那些部分,而不适合使用的部分,可以不选择。选择,或不选择,要做出声明(说明),并形成《适用性声明》文件。
(2) 必须的文件
“必须的ISMS文件”是指ISO/IEC 27001:2005“4.3.1总则”明确规定的,一定要有的文件。这些文件就是所谓的强制性文件(mandatory documents)。“4.3.1总则”要求ISMS文件必须包括9方面的内容:
1)ISMS方针
ISMS方针是组织的顶级文件,规定该组织如何管理和保护其信息资产的原则和方向,以及各方面人员的职责等。
2)ISMS的范围
3)支持ISMS的程序和控制措施;
4)风险评估方法的描述;
5)风险评估报告;
6)风险处理计划;
7)控制措施有效性的测量程序;
8)本标准所要求的记录;
9)适用性声明。
(3) 可选的文件
除了上述必须的文件外,组织可以根据其实际的业务活动和风险的需要,而确定某些文件(包括某些程序文件和方针类文件)。这些文件就是所谓的可选的文件(Discretionary documents)。这类文件的内容可随组织的不同而有所不同,主要取决于:
1)组织的业务活动及风险;
2)安全要求的严格程度;
3)管理的体系的范围和复杂程度。
这里,需要特别提出的是,ISMS的特点之一是风险评估和风险管理。组织需要哪些ISMS文件及其复杂程度如何,通常可根据风险评估决定。如果风险评
估的结果,发现有不可接受的风险,那么就应识别处理这些风险的可能方法,包括形成相关文件。
(4) 文件的符合性
ISMS文件的符合性包括符合相关法律法规的要求、符合ISO/IEC 27001:2005标准4-8章的所有要求和符合本组织的实际要求。为此:
1)参考相关法律法规要求和标准要求
在编写ISMS文件时,编写者应参考相关法律法规要求和标准的相应条款的要求,例如,在编写ISMS方针时,要参考ISO/IEC 27001 “4.2.1b)定义ISMS方针”;编写适用性声明时,要参考ISO/IEC 27001 “4.2.1 j)准备适用性声明”;编写文件控制程序时,要参考ISO/IEC 27001 “4.3.2文件控制”等等。
2)将本组织的最好实践形成文件
为了易于操作,编写者最好把本组织当前的最好实践写下来,补充标准的要求,形成统一格式的文件。
3)保持一致性
a)同一个文件中,上下文不能有不一致或矛盾的地方
b)同一个体系的不同文件之间不能有矛盾的地方
c)不同体系的文件之间不能有不一致的地方
如果组织同时运行多个管理体系,例如质量管理体系(QMS)、环境管理体系(EMS)和ISMS等,那么各个体系的文件之间应相互协调,避免产生不一致的地方。此外,在文字的表达上,应准确,无二义。
2. ISMS标准
2.1 ISMS标准体系-ISO/IEC27000族简介
ISMS是近两年来在管理体系和信息安全领域兴起的一个热门话题,按照ISO/IEC27001建立和实施ISMS并积极申请认证成为许多组织解决其信息安全问题的选择。
ISO/IEC27000族是国际标准化组织专门为ISMS预留下来的系列相关国际标准的总称。根据国际标准化组织的最新计划,该系列标准的序号已经预留到27019,其中将27000~27009留给ISMS基本标准,27010~27019预留给ISMS 标准族的解释性指南与文档。可见ISMS标准将来会是一个庞大的家族。
2.1.1 ISMS国际标准化组织
ISO/IEC JTC1/SC27/WG1(国际标准化组织/国际电工委员会信息技术委员会/安全技术分委员会/第一工作组)是制定和修订ISMS标准的国际组织,我国是该组织的P成员国。ISO/IEC JTC1/SC27成立后设有三个工作组:
●WG1:需求、安全服务及指南工作组
●WG2:安全技术与机制工作组
●WG3:信息系统、部件和产品相关的安全评估准则工作组
在2006年5月8日至17日西班牙马德里举行的SC27第32届工作组会议和第18届全体会议上,通过了2005年11月在马来西亚会议上提出的调整SC27组织结构的提案,将原来的三个工作组调整为现在五个工作组:
●WG1:ISMS标准工作组
●WG2:安全技术与机制工作组
●WG3:信息系统、部件和产品相关的安全评估准则工作组
●WG4:安全控制与服务工作组
●WG5:身份管理与隐私保护技术工作组
SC27组织机构的这次调整,专门将WG1做为ISMS标准的工作组,负责开发ISMS相关的标准与指南,充分体现了ISMS的发展在全球范围内受到高度重视。
2.1.2 已经发布的ISMS标准-ISO/IEC27001和ISO/IEC27002
目前国际标准化组织已经正式发布的ISMS国际标准有两个:ISO/IEC27001和ISO/IEC27002,它们是ISMS的核心标准。
●ISO/IEC27001:2005:信息安全管理体系要求
Information technology-Security techniques-Information security
management systems-Requirements
●ISO/IEC27002:2005:信息安全管理实用规则
Information technology-Security techniques-Code of practice for Information
security management
ISO/IEC27001于2005年10月15日正式发布。它同ISO9001的性质一样,是ISMS的要求标准,内容共分8章和3个附录,其中附录A中的内容直接引用并与ISO/IEC 17799:2005第5到15章一致。
ISO/IEC27001:2005适用于所有类型的组织(如企事业单位、政府机关等)。它从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求,并提供了方法。它还规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。ISO/IEC27001:2005是组织建立和实施ISMS的依据,也是ISMS认证机构实施审核的依据。
ISO/IEC17799于2000年12月1日正式发布,2005年6月15日发布修订版即ISO/IEC17799:2005,原来版本同时废止。ISO/IEC17799的2005年版本比2000年版本在结构和内容上都有较大的变化。
根据今年召开的第18届SC27全体会议决议,将于2007年4月将ISO/IEC17799的标准序号更改为ISO/IEC27002。
2.1.3 ISMS标准的类型
根据ISO GUIDE 72:2001(Guidelines for the justification and development of management system standards 管理体系标准合理性和制定导则)和ISO/IEC的相关导则,ISO/IEC JTC1/SC27/WG1将ISMS标准分为4类:
●Type A – V ocabulary Standard A类-词汇标准
●Type B – Requirements Standard B类-要求标准
●Type C – Guidelines Standard C类-指南标准
●Type D – Related Standard D类-相关标准
A类-词汇标准:主要提供标准族中所有标准所涉及的基础信息,包括通用
术语、基本原则等内容。ISO/IEC27000同ISO 9000(质量管理体系基础和术语)类似,属于此类标准。
B类-要求标准:主要提供管理体系的相关规范,它能够使一个组织证明其满足内部和外部要求的能力。ISO/IEC27001同ISO 9001(质量管理体系要求)、ISO 14001(环境管理体系规范及使用指南)、OHSAS 18001(职业健康安全管理体系规范)等标准一样,属于此类标准。
C类-指南标准:此类标准目的是为一个组织实施要求标准提供相关的指南,ISO/IEC27002、ISO/IEC27003等同ISO 9004(质量管理体系业绩改进指南)、ISO 14004(环境管理体系原则、体系和支持技术通用指南)、OHSMS 18002(职业健康安全管理体系指南)等标准一样,属于此类标准。
D类-相关标准:此类标准严格说不是管理体系标准族中的标准,他们主要提供关于特定方面或相关支持技术的进一步的指导,此类标准一般独立开发,与要求类标准和指南类标准无明显的关联。ISO/IEC27006同ISO19011(质量和环境管理体系审核指南)等标准一样属于此类。
2.1.4 制订中的ISO/IEC27000系列标准介绍
截至2006年5月18日,ISO/IEC JTC1/SC27/WG1正在制定中的标准包括5个,分别是:
ISO/IEC 27000
ISO/IEC 27000(Information security management system fundamentals and vocabulary 信息安全管理体系基础和术语),属于A类标准。ISO/IEC 27000提供了ISMS标准族中所涉及的通用术语及基本原则,是ISMS标准族中最基础的标准之一。ISMS标准族中的每个标准都有“术语和定义”部分,但不同标准的术语间往往缺乏协调性,而ISO/IEC27000则主要用于实现这种协调。
ISO/IEC 27000目前处于WD(工作组草案)阶段,正在SC27内研究并征求意见。
ISO/IE 27003
ISO/IEC27003(Information security management system implementation guidance 信息安全管理体系实施指南),属于C类标准。ISO/IEC27003为建立、实施、监视、评审、保持和改进符合ISO/IEC27001的ISMS提供了实施指南和进一步的信息,使用者主要为组织内负责实施ISMS的人员。
该标准给出了ISMS实施的关键成功因素,实施过程依照ISO/IEC27001要求的PDCA模型进行,并进一步介绍了各个阶段的活动内容及详细实施指南。
ISO/IEC 27003目前也处在WD阶段,正在SC27内研究并征求意见。
ISO/IEC 27004
ISO/IEC27004(Information security management measurements 信息安全管理测量),属于C类标准。该标准主要为组织测量信息安全控制措施和ISMS过程的有效性提供指南。
该标准将测量分为两个类别:有效性测量和过程测量,列出了多种测量方法,例如调查问卷、观察、知识评估、检查、二次执行、测试(包括设计测试和运行测试)以及抽样等。
该标准定义了ISMS的测量过程:首先要实施ISMS的测量,应定义选择测量措施,同时确定测量的对象和验证准则,形成测量计划;实施ISMS测量的过程中,应定义数据的收集、分析和报告程序并评审、批准提供资源以支持测量活动的开展;在ISMS的检查和处置阶段,也应对测量措施加以改进,这就要求首先定义测量过程的评价准则,对测量过程加以监控,并定期实施评审。
目前该标准已经处于CD(委员会草案)阶段,预计将于2008年完成。
ISO/IEC 27005
ISO/IEC27005(Information security risk management 信息安全风险管理),属于C类标准。该标准给出了信息安全风险管理的指南,其中所描述的技术遵
循ISO/IEC27001中的通用概念、模型和过程。
该标准介绍了一般性的风险管理过程,并重点阐述了风险评估的几个重要环节,包括风险评估、风险处理、风险接受等。在标准的附录中,给出了资产、影响、脆弱性以及风险评估的方法,并列出了常见的威胁和脆弱性。最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法。
目前该标准处于Final CD(最终委员会草案)阶段。
ISO/IEC 27006
ISO/IEC27005(Requirements for the accreditation of bodies providing certification of information security management systems 信息安全管理体系认证机构的认可要求),属于D类标准。该标准的主要内容是对从事ISMS认证的机构提出了要求和规范,或者说它规定了一个机构“具备怎样的条件就可以从事ISMS 认证业务”。
目前该标准处于Final CD(最终委员会草案)阶段。
2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍
ISO/IEC27002是国际标准化组织ISO/IEC JTC1/SC27最早发布的ISMS系列标准之一(当时称之为ISO/IEC17799,2007年4月正式更名为ISO/IEC 27002)。它从信息安全的诸多方面,总结了一百多项信息安全控制措施,并给出了详细的实施指南,为组织采取控制措施、实现信息安全目标提供了选择,是信息安全的最佳实践。
2.2.1 ISO/IEC27002的由来
组织对信息安全的要求是随着组织业务对信息技术尤其是网络技术的应用而来的。人们在解决信息安全问题以满足信息安全要求的过程中,经历了由“重技术轻管理”到“技术和管理并重”的两个不同阶段。
当信息安全问题开始出现的初期,人们解决信息安全问题的主要途径就是安装和使用信息安全产品,如加密机、防火墙、入侵检测设备等。信息安全技术和产品的应用,一定程度上解决了部分信息安全问题。但是人们发现仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。与组织中个人有关的信息安全问题、信息安全成本和效益的平衡、信息安全目标、业务连续性、信息安全相关法规符合性等,这些问题与信息安全的要求都密切相关,而仅仅通过产品和技术是无法解决的。
上个世纪90年代末,人们开始意识到管理在解决信息安全问题中的作用。1993年9月,由英国贸工部(DTI)组织许多企业参与编写了一个信息安全管理的文本-“信息安全管理实用规则(Code of practice for information security management)”,1995年2月,在该文本的基础上,英国发布了国家标准BS7799-1:1995。1999年英国对该标准进行了修订后发布1999年版,2000年12月被采纳成为国际标准,即ISO/IEC17799:2000。2005年6月15日,该标准被修订发布为ISO/IEC17799:2005。2007年4月正式更名为ISO/IEC 27002。
同时伴随着ISO/IEC27002发展的还有另一个标准,即1998年2月英国发布的英国国家标准BS7799-2:1998,1999年修订后发布1999版。2000年12月,当BS7799-1:1999被采纳成为国际标准时,BS7799-2:1999并没有被国际标准化组织采纳为国际标准。2002年英国又对BS7799-2:1999进行了修订发布2002版。2005年10月,这个标准被采纳成为国际标准ISO/IEC27001:2005。
2.2.2 ISO/IEC27002的范围
ISOS/IEC27002为组织实施信息安全管理提供建议,供一个组织中负责信息安全工作的人员使用。该标准适用于各个领域、不同类型、不同规模的组织。对于标准中提出的任何一项具体的信息安全控制措施,组织应考虑本国的法律法规以及组织的实际情况来选择使用。参照本标准,组织可以开发自己的信息安全准则和有效的安全管理方法,并提供不同组织间的信任。
2.2.3 ISO/IEC27002的主要内容
ISO/IEC27002:2005是一个通用的信息安全控制措施集,这些控制措施涵盖了信息安全的方方面面,是解决信息安全问题的最佳实践。
标准从什么是信息安全、为什么需要信息安全、如何建立安全要求和选择控制等问题入手,循序渐进,从11个方面提出了39个信息安全控制目标和133个控制措施。每一个具体控制措施,标准还给出了详细的实施方面的信息,以方便标准的用户使用。
值得注意的是,标准中推荐的这133个控制措施,并非信息安全控制措施的全部。组织可以根据自己的情况选择使用标准以外的控制措施来实现组织的信息安全目标。
从内容和机构上看,可以将标准分为四个部分:
一、引言部分。
主要介绍了信息安全的基础知识,包括什么是信息安全、为什么需要信息安全、如何建立安全要求、评估安全风险等8个方面内容。
二、标准的通用要素部分(1~3章)。
第1章是标准的范围,给出了该标准的内容概述、用途及目标。第2章是术语和定义,介绍了资产、控制措施、指南、信息处理设施、信息安全等十七个术语。第3章则给出了该标准的结构。
三、风险评估和处理部分。
该章简单介绍了评估安全风险和处理安全风险的原则、流程及要求。
四、控制措施部分(5~15章)。
这是标准的主体部分,包括11个控制措施章节,分别是:
5安全方针(控制目标:1个,控制措施:2个)
6信息安全组织(控制目标:2个,控制措施:11个)
7资产管理(控制目标:2个,控制措施:5个)
8人力资源安全(控制目标:3个,控制措施:9个)
9物理和环境安全(控制目标:2个,控制措施:13个)
10通信和操作管理(控制目标:10个,控制措施:32个)
11访问控制(控制目标:7个,控制措施:25个)
12信息系统获取、开发和维护(控制目标:6个,控制措施:16个)
13信息安全事件管理(控制目标:2个,控制措施:5个)
14业务连续性管理(控制目标:1个,控制措施:5个)
15符合性(控制目标:3个,控制措施:10个)
2.2.4 ISO/IEC27002的使用说明
ISO/IEC27002:2005作为信息安全管理的最佳实践,它的应用既有专用性的特点,也有通用性特点。
说它具有专用性,是因为作为信息安全管理体系标准族(ISMS标准)中的一员,目前它与ISMS的要求标准ISO/IEC27001:2005是组合使用的,ISO/IEC27001:2005中的规范性附录A就是ISO/IEC27002:2005的控制目标和控制措施集。对于期望建设和实施ISMS的组织,应根据ISO/IEC27001:2005的要求,选择ISMS范围,制定信息安全方针和目标,实施风险评估,根据风险评估的结果,选择控制目标和控制措施,制定和实施风险处理计划,执行内部审核和管理评审,以持续改进。
ISO/IEC27002:2005的通用性,体现在标准中提出的控制措施是从信息安全工作实践中总结出来的,是最佳实践。任何规模、任何性质的有信息安全要求的组织,不管其是否建设ISMS,都可以从标准中找到适合自己使用的控制措施来满足其信息安全要求。
另外,ISO/IEC27002:2005中提出的控制目标和控制措施,对一个具体的组织并不一定全部适用,也不一定就是信息安全控制措施的全部。任何组织还可以根据具体情况选择ISO/IEC27002:2005以外的控制目标和控制措施。
2.2.5 我国采用ISO/IEC17799情况的说明
我国政府主管部门十分重视信息安全管理国家标准的制定。2002年,全国信息安全标准化技术委员会(https://www.doczj.com/doc/3a502791.html,)成立之初,其第七工作组(WG7)就开始了ISO/IEC17799的研究和制标工作。2005年6月15日,我国发布了国家标准“GB/T19716-2005信息安全管理实用规则”,修改采用ISO/IEC17799:2000。
2006年,根据ISMS国际标准的发展和我国的实际需要,全国信息安全标准化技术委员会又提出了GB/T19716-2005的修订计划和对应ISO/IEC27001:2005等相关ISMS标准的制定和研究计划。相信不久,对应最新ISMS国际标准的国家标准就会发布,以供大家遵照使用。
2.3 信息安全管理体系要求-ISO/IEC27001:2005介绍
2.3.1 发展:一个重要的里程碑
ISO/IEC 27001:2005的名称是“Information technology- Security techniques-Information security management systems-requirements ”,可翻译为“信息技术- 安全技术-信息安全管理体系要求”。
在ISO/IEC 27001:2005标准出现之前,组织只能按照英国标准研究院(British Standard Institute,简称BSI)的BS 7799-2:2002标准,进行认证。现在,组织可以获得全球认可的ISO/IEC 27001:2005标准的认证。这标志着ISMS的发展和认证已向前迈进了一大步:从英国认证认可迈进国际认证认可。ISMS的发展和认证进入一个重要的里程碑。这个新ISMS标准正成为最新的全球信息安全武器。
2.3.2 目的:认证
ISO/IEC 27001:2005标准设计用于认证目的,它可帮助组织建立和维护ISMS。标准的4 - 8章定义了一组ISMS要求。如果组织认为其ISMS满足该标准4 - 8章的所有要求,那么该组织就可以向ISMS认证机构申请ISMS认证。如果认证机构对组织的ISMS进行审核(初审)后,其结果是符合ISO/IEC 27001:2005的要求,那么它就会颁发ISMS证书,声明该组织的ISMS符合
ISO/IEC 27001:2005标准的要求。
然而,ISO/IEC 27001:2005标准与ISO/IEC 9001:2002标准(质量管理体系标准)不同。ISO/IEC 27001:2005标准的要求十分“严格”。该标准4 - 8章有许多信息安全管理要求。这些要求是“强制性要求”。只要有任何一条要求得不到满足,就不能声称该组织的ISMS符合ISO/IEC 27001:2005标准的要求。相比之下,ISO/IEC 9001:2002标准的第7章的某些要求(或条款),只要合理,可允许其质量管理体系(QMS)作适当删减。
因此,不管是第一方审核、第二方审核,还是第三方审核,评估组织的ISMS 对ISO/IEC 27001:2005标准的符合性是十分严格的。
2.3.3 特点:信息资产风险评估
ISO/IEC 27001:2005标准适用于所有类型的组织,而不管组织的性质和规模如何。该新标准的特点之一是基于组织的资产风险评估。也就是说,该标准要求组织通过业务风险评估的方法,来建立、实施、运行、监视、评审、保持和改进其ISMS,确保其信息资产的保密性、可用性和完整性。
(1) 信息资产
ISO/IEC 27001:2005所指“信息”可包括所有形式的数据、文件、通信件(如email和传真等)、交谈(如电话等)、消息、录音带和照片等。信息资产是被认为对组织具有“价值”的,以任何方式存储的信息。通常,系统(如信息系统和数据库等)也可作为一类信息资产。
(2) 安全风险
组织的信息资产可面临许多威胁,包括人员(内部人员和外人员)误操作(不管有意的,还是无意的)、盗窃、恶意代码和自然灾害等。
另一方面,组织本身存在某些可被威胁者利用或进行破坏的薄弱环节,包括员工缺乏安全意识、基础设施中的弱点和控制中的弱点等。这就导致组织的密级信息资产和应用系统可能遭受未授权访问、修改、泄露或破坏,而使其造成损失,包括经济损失、公司形象损失和顾客信心损失等。
(3) 风险评估与处理
ISO/IEC 27001:2005标准要求组织利用风险评估的方法,确定每一个关键信息资产的风险,并根据各类信息资产的重要度和价值,选择适当的控制措施,减
缓风险。
风险评估和风险处理是ISO/IEC 27001:2005标准要求的两个相互关联的必
须的活动。一个组织建立ISMS体系,要进行信息资产风险评估和风险处理。其主要过程是:
1)制定组织的ISMS方针和风险接受准则;
2)定义组织的风险评估方法;
3)识别要保护的信息资产,并进行登记;
4)识别安全风险,包括识别资产所面临的威胁、组织的脆弱点和造成的影响
等;
5)对照组织的风险接受准则,评价和确定已估算的风险的严重性、可否接受;
6)形成风险评估报告;
7)制定风险处理计划,选择风险控制措施;
标准明确规定,有4种风险处理方法:采用适当的控制措施、接受风险、避免风险和转移风险;
8)执行风险处理计划,将风险降低到可接受的级别。
从理论上,风险只能降低(或减少),而不能完全消除。选择控制措施的原则是既能使本组织的资产受到与其价值和保密等级相符的保护,将其所受的风险降低到可接受的水准,又能使所需要的费用在该组织的预算范围之内,使该组织能够保持良好的竞争力和成功运作的状态。
另外,风险是动态的。风险评估活动应定期进行。特别是在出现新的信息资产、技术发生重大变化和内外环境发生重大变化时,风险评估应重新进行。2.3.4 要求:基于过程
ISMS 手册-信息安全管理体系手册7 信息安全管理IT 服务管理体系手册 发布令 本公司按照ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT 服务管理体系, 现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT 服务管理,开展持续改进 服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准 则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA 活动向顾客提供满足要求的信息安全管理和IT 服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005 《信息技术服务 管理—规范》、ISO27001 :2005 《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT 服务管理方面的策略和方针,根据 ISO20000:2005 《信息技术服务管理—规范》和ISO27001 :2005 《信息安全管理体系要求》的要求任命XXXXX 为管理者代表,作为本公司组织和实施“信息安全管理与IT 服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT 服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT 服务的方针和目标。 管理者代表职责:
a)建立服务管理计划; b)向组织传达满足服务管理目标和持续改进的重要性; e)确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005 标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT 服务管理体系,不断改进IT 服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告 IT 服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服 务管理目标所应做出的贡献。 总经理:
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
目录 前言 (3 0 引言 (4 0.1 总则 (4 0.2 与其他管理系统标准的兼容性 (4 1. 范围 (5 2 规范性引用文件 (5 3 术语和定义 (5 4 组织景况 (5 4.1 了解组织及其景况 (5 4.2 了解相关利益方的需求和期望 (5 4.3 确立信息安全管理体系的范围 (6 4.4 信息安全管理体系 (6 5 领导 (6 5.1 领导和承诺 (6 5.2 方针 (6 5.3 组织的角色,职责和权限 (7 6. 计划 (7 6.1 应对风险和机遇的行为 (7
6.2 信息安全目标及达成目标的计划 (9 7 支持 (9 7.1 资源 (9 7.2 权限 (9 7.3 意识 (10 7.4 沟通 (10 7.5 记录信息 (10 8 操作 (11 8.1 操作的计划和控制措施 (11 8.2 信息安全风险评估 (11 8.3 信息安全风险处置 (11 9 性能评价 (12 9.1监测、测量、分析和评价 (12 9.2 内部审核 (12 9.3 管理评审 (12 10 改进 (13 10.1 不符合和纠正措施 (13 10.2 持续改进 (14 附录A(规范参考控制目标和控制措施 (15
参考文献 (28 前言 0 引言 0.1 总则 本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。采用信息安全管理体系是组织的一项战略性决策。组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。所有这些影响因素可能随时间发生变化。 信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性,并给相关方建立风险得到充分管理的信心。 重要的是,信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中,并且在过程、信息系统和控制措施的设计中要考虑到信息安全。信息安全管理体系的实施要与组织的需要相符合。 本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。 本标准中表述要求的顺序不反映各要求的重要性或实施顺序。条款编号仅为方便引用。 ISO/IEC 27000参考信息安全管理体系标准族(包括ISO/IEC 27003[2]、ISO/IEC 27004[3]、ISO/IEC 27005[4]及相关术语和定义,给出了信息安全管理体系的概述和词汇。 0.2 与其他管理体系标准的兼容性
信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。 1、识别信息安全风险,增强安全防范意识; 2、明确安全管理职责,强化风险控制责任; 3、明确安全管理要求,规范从业人员行为; 4、保护关键信息资产,保持业务稳定运营; 5、防止外来病毒侵袭,减小最低损失程度; 6、树立公司对外形象,增加客户合作信心; 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费用 (包含咨询认证过程)。 (信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性) 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备; ②信息安全管理体系文件的编制; ③信息安全管理体系运行; ④信息安全管理体系审核、评审和持续改进。
XXXXXXXXX有限责任公司 信息安全管理体系 程序文件 编号:XXXX-B-01~XXXX-B-41 (符合ISO/IEC 27001-2013标准) 拟编:信息安全小组日期:2015年02月01日 审核:管代日期:2015年02月01日 批准:批准人名日期:2015年02月01日 发放编号: 01 受控状态:受控 2015年2月1日发布2015年2月1日实施
[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序 [XXXX-B-03]记录控制程序 [XXXX-B-04]纠正措施控制程序 [XXXX-B-05]预防措施控制程序 [XXXX-B-06]内部审核管理程序 [XXXX-B-07]管理评审程序 [XXXX-B-08]监视和测量管理程序 A6[XXXX-B-09]远程工作管理程序 A7[XXXX-B-10]人力资源管理程序 A8[XXXX-B-11]商业秘密管理程序 A8[XXXX-B-12]信息分类管理程序 A8[XXXX-B-13]计算机管理程序 A8[XXXX-B-14]可移动介质管理程序 A9[XXXX-B-15]用户访问管理程序 A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序 A10[XXXX-B-18]账号密码控制程序 A11[XXXX-B-19]安全区域管理程序 A12.1.2[XXXX-B-20]变更管理程序 A12.1.3[XXXX-B-21]容量管理程序 A12.2.1[XXXX-B-22]恶意软件管理程序 A12.3[XXXX-B-23]重要信息备份管理程序 A12.6[XXXX-B-24]技术薄弱点管理程序 A13[XXXX-B-25]电子邮件管理程序
信息安全管理体系 求助编辑百科名片 信息安全管理体系Information Securitry Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。 目录 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项 PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 信息安全管理体系 编写信息安全管理体系文件的主要依据简述 1)信息安全管理体系标准: 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 4)现有其他相关管理体系文件。 编写信息安全管理体系程序文件应遵循的原则 编写信息安全管理体系程序文件的注意事项
PDCA过程模式在信息安全管理体系的应用一、PDCA过程模式 策划: 实施: 检查: 措施: 二、应用PDCA 建立、保持信息安全管理体系 P—建立信息安全管理体系环境&风险评估 1.确定范围和方针 2、定义风险评估的系统性方法 3、识别风险 4、评估风险 5、识别并评价风险处理的方法 6、为风险的处理选择控制目标与控制方式 7、获得最高管理者的授权批准 D—实施并运行信息安全管理体系 C—监视并评审信息安全管理体系 检查阶段 管理者应该确保有证据证明: A—改进信息安全管理体系 展开编辑本段信息安全管理体系 BS 7799-2(见BS7799体系)是建立和维持信息安全管理体系的标准,标准要求组织通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础选择控制目标与控制方式等活动建立信息安全管理体系;体系一旦建立组织应按体系规定的要求进行运作,保持体系运作的有效性;信息安全管理体系应形成一定的文件,即组织应建立并保持一个文件化的信息安全管理体系,其中应阐述被保护的资产、组织风险管理的方法、控制目标及控制方式和需要的保证程度。 编辑本段编写信息安全管理体系文件的主要依据 简述 组织对信息安全管理体系的采用是一个战略决定。因为按照BS 7799-2:2002建立的信息安全管理体系需要在组织内形成良好的信息安全文化氛围,它涉及到组织全体成员和全部过程,需要取得管理者的足够的重视和有力的支持。 1)信息安全管理体系标准: 要求:BS 7799-2:2002 《信息安全管理体系规范》控制方式指南:ISO/IEC 17799:2000《信息技术-信息安全管理实施细则》 2)相关法律、法规及其他要求; 3)组织现行的安全控制惯例、规章、制度 包括规范和作业指导书等; 4)现有其他相关管理体系文件。 [编辑] 编辑本段编写信息安全管理体系程序文件应遵循的原则 在编写程序文件时应遵循下列原则:程序文件一般不涉及纯技术性的细节,细节通常在工作指令或作业指导书中规定;程序文件是针对影响信息安全的各项活动的目标和执行做出的规定,它应阐明影响信息安全的管理人员、执行人员、验证或评审人员的职责、权力和相互关系,说明实施各种不同活动的方式、将采用的文件及将采用的控制方式;程
2016信息安全管理体系(ISMS)审核知识试卷 2016年6月 1、单选题 1、密码就是一种用于保护数据保密性的密码学技术、由()方法 及相应运行过程。 A、加密算法和密钥生成 B、加密算法、解密算法、密钥生成 C、解密算法、密钥生成 D、加密算法、解密算法 2、计算机安全保护等级的第三级是()保护等级 A、用户自主 B、安全标记 C、系统审计 D、结构化 3、隐蔽信道是指允许进程以()系统安全策略的方式传输信息的 通信信道 A、补强 B、有益 C、保护 D、危害 4、 5、 6、ISMS关键成功因素之一是用于评价信息安全 A、测量 B、报告 C、传递 D、评价 7、防止恶语和移动代码是保护软件和信息的() A、完整性 B、保密性 C、可用性 D、以上全部 8、以下强健口令的是() A、a8mom9y5fub33 B、1234 C、Cnas D、Password
9、开发、测试和()设施应分离、以减少未授权访问或改变运行 系统的风险 A、系统 B、终端 C、配置 D、运行 10、设备、()或软件在授权之前不应带出组织场所 A、手机 B、文件 C、信息 D、以上全部 11、包含储存介质的设备的所有项目应进行核查,以确保在处置之前, ()和注册软件已被删除或安全地写覆盖 A、系统软件 B、游戏软件 C、杀毒软件 D、任何敏感信息 12、雇员、承包方人员和()的安全角色和职责应按照组织的信息安全方针定义并形成文件 A、第一方人员 B、第二方人员 C、第三方人员 D、IT经理 13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的 内容应包含在()合同中。 A、雇员 B、承包方人员 C、第三方人员 D、A+B+C 14、ISMS文件的多少和详细程度取决于() A、组织的规模和活动的类型 B、过程及其相互作用的复杂程度 C、人员的能力 D、A+B+C 15、为确保信息资产的安全,设备、信息和软件在()之前不应带出组织 A、使用 B、授权 C、检查合格 D、识别出薄弱环节 16、对于所有拟定的纠正和预防措施,在实施前应先通过()过程进行评审。 A、薄弱环节识别 B、风险分析 C、管理方案 D、A+B 17、组织机构在应建立起评审ISMS时,应考虑() A、风险评估的结果 B、管理方案 C、法律、法规和其它要素 D、A+C
信息安全演讲稿 篇一:信息安全演讲稿 呵呵,前面都是文科生的演讲,下面是理科生的。尊敬的各位领导、同事们:大家好,很高兴能参加这次演讲,生命是如此的精彩,生命是如此的辉煌,不过今天我演讲的内容里没有生死间的大悲恸,也没有平平仄平平的华丽辞藻,我演讲题目是:互联, 精彩而危险的世界。 XX年,中国开发联盟csdn,中国最大的开发者技术社区,密码泄漏,超1亿用户密码 被泄,黑客在上公开了一部分用户信息数据库,导致600余万个注册邮箱账号和与之对应的 明文密码泄露。这次事件以后,又陆续曝出了多玩、人人、搜狗浏览器等安全事件。唔前面的案例大家没有亲身体会,说个大家接触过的,考过职称考试的人都知道,有时候会被杂志社打电话问到要不要发表职称论文,呵呵,这个大家都有经验吧,恩,很明显你 的电话信息泄露了呀,怎么泄露的呢,考职称考试要上注册报名缴费吧?报名时电话号码 是必填选项,呃,基本就是这么泄露的。当然很可能其他信息也泄露了。下面进入正题,我的演讲的内容分为四个版块:什么叫络安全、络安全的重要性、
络安全的现状、如何防范络安全、打造一个和谐络。首先讲一下什么是我们这里所讲的“络安全”,络安全呢,就是指络系统的硬件、 软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露, 系统连续可靠正常地运行,络服务不中断。络安全是一门涉及计算机科学、络技术、通信技术、密码技术、信息安全技术、应 用数学、数论、信息论等多种学科的综合性学科。是个高难度的行业啊。有人说过,“谁掌握领了信息,控制了络,谁将拥有整个世界。”这句话不完全对啊。 不过这点在股市里体现的挺好。从此可见掌握络是何等的重要,络安全的重要性也从中 体现出来。 在大量络应用中,安全面临着重大的挑战,事实上,资源共享和安全历来是一对矛盾。 在一个开放的络环境中,大量信息在上流动,这为不法分子提供了攻击目标。他们利用 不同的攻击手段,获得访问或修改在中流动的敏感信息,闯入用户或政府部门的计算机系 统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的络诈骗,其“低成本和高
企业内部信息安全管理体系 建议书 北京太极英泰信息科技有限公司
目录 1 理昌科技网络现状和安全需求分析: (3) 1.1 概述 (3) 1.2 网络现状: (3) 1.3 安全需求: (3) 2 解决方案: (4) 2.1 总体思路: (4) 2.2 TO-KEY主动反泄密系统: (5) 2.2.1 系统结构: (5) 2.2.2 系统功能: (6) 2.2.3 主要算法: (6) 2.2.4 问题? (7) 2.3 打印机管理....................................... 错误!未定义书签。 2.3.1 打印机管理员碰到的问题....................... 错误!未定义书签。 2.3.2 产品定位..................................... 错误!未定义书签。 2.3.3 产品目标..................................... 错误!未定义书签。 2.3.4 概念—TO-KEY电子钥匙预付费.................. 错误!未定义书签。 2.3.5 功能......................................... 错误!未定义书签。 3 方案实施与成本分析....................................... 错误!未定义书签。
1企业网络现状和安全需求分析: 1.1概述 调查表明:80%的信息泄露来自内部。我国著名信息安全专家沈昌祥先生说:“目前我国信息安全的最大问题是:安全威胁的假设错误!我们总是假设会受到来自外部的攻击,而事实上80%的信息泄露是由内部或内外勾结造成的。 对于一个企业而言,其核心的技术和市场、财务等资料都是企业核心的竞争力。但是在市场竞争和人才竞争日益激烈的今天,企业不得不面对这样的严峻形势: 1、核心技术和公司其他资料必定要受到竞争对手的窥视。 2、人才的自由流动,以及竞争对手通过收买内部线人窃取资料。 3、内部人员由于对公司的不满,而采取的破坏行为。 而另外一方面,随着计算机的普及和信息化的发展,采用信息化技术实现企业的管理、电子商务以及产品的设计和生产又成为企业提高效率和竞争力的有利手段。显然,企业需要解决这样一个矛盾: 在充分利用信息化所带来的高效益的基础上,保证企业信息资源的安全! 理昌科技作为一家专业从事保险带产品开发和生产的外资企业,公司凭借其雄厚的技术实力在行业内具有很高的市场地位。为了保护其核心技术,增强核心竞争力。公司在现有网络信息的基础上,提出防泄密的需求。我们根据理昌科技的需求,并结合我们的行业经验,提出了下面的方案。 1.2网络现状: 公司组成局域网,内部人员通过局域网上网,内部具有多个网络应用系统。在内部部署有网络督察(网络行为监控系统)能记录内部人员网络行为。 1.3安全需求: 公司安全的总体需求是:“杜绝内部人员主动和被动的对外泄露公司核心信息的任何企
a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 时间:2015年12月
信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严 重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由 新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的 就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,三分技术,七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管 理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下
第三章信息安全管理体系 一、判断题 1.虽然在安全评估过程中采取定量评估能获得准确的分析结果,但是由于参数确定较为困难,往往实际评估多采取定性评估,或者定性和定量评估相结合的方法。 2.定性安全风险评估结果中,级别较高的安全风险应当优先采取控制措施予以应对。 3.通常在风险评估的实践中,综合利用基线评估和详细评估的优点,将二者结合起来。 二、单选题 1.下列关于风险的说法,是错误的。 A.风险是客观存在的 B.导致风险的外因是普遍存在的安全威胁 C.导致风险的外因是普遍存在的安全脆弱性 D.风险是指一种可能性 2.下列关于风险的说法,是正确的。 A.可以采取适当措施,完全清除风险 B.任何措施都无法完全清除风险 C.风险是对安全事件的确定描述 D.风险是固有的,无法被控制
3.风险管理的首要任务是。 A.风险识别和评估 B.风险转嫁 C.风险控制 D.接受风险 4.关于资产价值的评估,说法是正确的。 A.资产的价值指采购费用 B.资产的价值无法估计 C.资产价值的定量评估要比定性评估简单容易 D.资产的价值与其重要性密切相关 5.采取适当的安全控制措施,可以对风险起到作用。 A.促进 B.增加 C.减缓 D.清楚 6.当采取了安全控制措施后,剩余风险可接受风险的时候,说明风险管理是有效的。 A.等于 B.大于 C.小于 D.不等于 7.安全威胁是产生安全事件的。 A.内因 B.外因 C.根本原因 D.不相关因素
8.安全脆弱性是产生安全事件的。 A.内因 B.外因 C.根本原因 D.不相关因素 9.安全审计是一种很常见的安全控制措施,它在信息安全保障体系中,属于措施。 A.保护 B.检测 C.响应 D.恢复 10.根据风险管理的看法,资产价值,脆弱性,被安全威胁,风险。 A.存在利用导致具有 B.具有存在利用导致 C.导致存在具有利用 D.利用导致存在具有 11.根据定量风险评估的方法,下列表达式正确的是。 A.SLE=AV×EF B.ALE=AV×EF C.ALE=SLE×EF D.ALE=SLE×AV 12.关于安全审计目的描述错误的是。 A.识别和分析未经授权的动作或攻击 B.记录用户活动和系统管理
* 主办部门:系统运维部 执笔人: 审核人: XXXXX 信息安全管理体系文件编写规范 XXX-XXX-XX-03001 2014年3月17日
[本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXX所有,受 到有关产权及版权法保护。任何个人、机构未经XXXX X勺书面授权许可,不得以任何方式复制或引用本文件的任何片断。] 文件版本信息 文件版本信息说明 记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于时,表示该版本文件为草案,仅可作为参照资料之目的。 阅送范围 内部发送部门:综合部、系统运维部、技术开发部。
总则 细则 体系文件的格式 附则 第一早 第二早 第三章 第四章 附件.. 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签 错误!未定义书签
第一章总则 第一条为规范XXXX X言息安全管理体系文件的编写和标识,确保上清所信息安全管理体系文件在文件格式和内容形式上的一致性。根据《金融行业信息系统信息安全等级保护实施指引》 (JR/T 0071 —2012),结合XXXXX实际,制定本规范。 第二条本规范适用于XXXXX涉及信息安全管理体系文件的编写与标识的相关活动。 第三条网络与信息安全工作领导小组办公室负责组织XXXX X言息安全管理体系各级文件的编写和修订;负责XXXX X 言 息安全管理体系文件编码的分配和统一管理。 第二章细则 第四条体系文件类型包括: (一)管理策略:是指对信息系统安全运行提出策略性要求的文件,是信息安全管理体系的一级文件。 (二)管理规定:是指根据信息安全管理体系的管理策略要求提出详细规定的文件,是信息安全管理体系的二级文件。 (三)管理规范、操作手册:是指根据信息安全管理体系的管理规定提出具体的操作细则的文件、或对某一特定情况进行描述、解释、处置等的文件,是信息安全管理体系的三级文件。 (四)运行记录、表单、工单:是指对信息安全管理体系运行时产生的痕迹、轨迹进行记录的文件,是信息安全管理体系的四级文
信息安全管理IT服务管理体系手册 发布令 本公司按照ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》以及本公司业务特点编制《信息安全管理&IT 服务管理体系手册》,建立与本公司业务相一致的信息安全与IT服务管理体系,现予以颁布实施。 本手册是公司法规性文件,用于贯彻公司信息安全管理方针和目标,贯彻IT 服务管理理念方针和服务目标。为实现信息安全管理与IT服务管理,开展持续改进服务质量,不断提高客户满意度活动,加强信息安全建设的纲领性文件和行动准则。是全体员工必须遵守的原则性规范。体现公司对社会的承诺,通过有效的PDCA活动向顾客提供满足要求的信息安全管理和IT服务。 本手册符合有关信息安全法律法规要求以及ISO20000:2005《信息技术服务管理—规范》、ISO27001:2005《信息安全管理体系要求》和公司实际情况。为能更好的贯彻公司管理层在信息安全与IT服务管理方面的策略和方针,根据ISO20000:2005《信息技术服务管理—规范》和ISO27001:2005《信息安全管理体系要求》的要求任命XXXXX为管理者代表,作为本公司组织和实施“信息安全管理与IT服务管理体系”的负责人。直接向公司管理层报告。 全体员工必须严格按照《信息安全管理&IT服务管理体系手册》要求,自觉遵守本手册各项要求,努力实现公司的信息安全与IT服务的方针和目标。 管理者代表职责:
a) 建立服务管理计划; b) 向组织传达满足服务管理目标和持续改进的重要性; e) 确定并提供策划、实施、监视、评审和改进服务交付和管理所需的资源,如招聘合适的人员,管理人员的更新; 1.确保按照ISO207001:2005标准的要求,进行资产识别和风险评估,全面建立、实施和保持信息安全管理体系;按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,建立、实施和保持IT服务管理体系,不断改进IT服务管理体系,确保其有效性、适宜性和符合性。 2.负责与信息安全管理体系有关的协调和联络工作;向公司管理层报告IT服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 3.确保在整个组织内提高信息安全风险的意识; 4.审核风险评估报告、风险处理计划; 5.批准发布程序文件; 6.主持信息安全管理体系内部审核,任命审核组长,批准内审工作报告; 向最高管理者报告信息安全管理体系的业绩和改进要求,包括信息安全管理体系运行情况、内外部审核情况。 7.推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 总经理: 日期:
信息安全专业简介 随着计算机技术与网络通信技术的广泛应用,社会对计算机的依赖越来越大,而计算机系统的安全一旦受到破坏,不仅会导致严重的社会混乱,也会带来巨大的经济损失。因此,信息安全已成为信息科学的热点课题,信息安全专业也受到了社会各界的普遍关注。 信息安全学科是由数学、计算机科学与技术、信息与通信工程和电子科学与技术等学科交叉而成的一门综合性学科。目前主要研究领域涉及现代密码学、计算机系统安全、计算机与通信网络安全、信息系统安全、电子商务/电子政务系统安全等。 信息安全专业的主干学科为:计算机科学与技术、信息与通信工程、电子科学与技术、数学。相关学科专业包括:计算机科学与技术(080605) 、电子信息科学与技术(071201)、电子信息工程(080603) 、通信工程(080604)等。 信息安全专业的主干课程包括信息安全数学基础、计算机组成原理、操作系统原理、数据库系统原理、计算机网络、数字系统与逻辑设计、通信原理、现代密码学、信息安全理论与技术、信息安全工程、信息安全管理、信息安全标准与法律法规等。 目前信息安全方面的人才还十分稀少,尤其是政府、国防、金融、公安和商业等部门对信息安全人才的需求很大。目前国内从事信息安全的专业人才人数并不多,并且大多分布在高校和研究院所,按照目前信息化发展的状况,社会对信息安全专业的人才需求量达几十万人。要解决供需矛盾,必须加快信息安全人才的培养。 信息安全专业培养具有扎实的数理基础,较好的外语和计算机技术运用能力,掌握信息安全的基本理论与技术、计算机与网络通信及其安全技术以及信息安全法律法规等方面的知识,能运用所学知识与技能去分析和解决相关的实际问题,具有较高的综合业务素质、较强的实践、创新与知识更新能力,可以在政府、国防、金融、公安和商业等部门从事信息安全产品研发、信息系统安全分析与设计、信息安全技术咨询与评估服务、信息安全教育、信息安全管理与执法等工作的高级专业人才。
ISO/IEC27001:2013信息安全管理体系管理手册 ISMS-M-2019 版本号:A/1 受控状态:■受控□非受控 编制审核批准 编写组审核人总经理 XXX XXX XXX 日期: 2019年1月8日实施日期: 2019年1月8日
修改履历 版本制订者修改时间更改内容审核人审核意见变更申请单号A/0编写组2016-1-08定版审核人A同意 A/1编写组2017-1-15定版审核人B同意
00 目录 00 目录 (3) 01 颁布令 (5) 02 管理者代表授权书 (6) 03 企业概况 (7) 04 信息安全管理方针目标 (8) 05 手册的管理 (10) 06 信息安全管理手册 (11) 1 范围 (11) 1.1 总则 (11) 1.2 应用 (11) 2 规范性引用文件 (11) 3 术语和定义 (11) 3.1 本公司 (12) 3.2 信息系统 (12) 3.3 计算机病毒 (12) 3.4 信息安全事件 (12) 3.5 相关方 (12) 4 组织环境 (12) 4.1 组织及其环境 (12) 4.2 相关方的需求和期望 (12) 4.3 确定信息安全管理体系的范围 (13) 4.4 信息安全管理体系 (13) 5 领导力 (14) 5.1 领导和承诺 (14) 5.2 方针 (14) 5.3 组织角色、职责和权限 (14) 6 规划 (14) 6.1 应对风险和机会的措施 (15) 6.2 信息安全目标和规划实现 (17) 7 支持 (18) 7.1 资源 (18) 7.2 能力 (18) 7.3 意识 (18) 7.4 沟通 (18) 7.5 文件化信息 (19) 8 运行 (20) 8.1 运行的规划和控制 (20) 8.2 信息安全风险评估 (20) 8.3 信息安全风险处置 (20) 9 绩效评价 (21) 9.1 监视、测量、分析和评价 (21) 9.2 内部审核 (22) 9.3 管理评审 (22)
信息安全管理手册 (一)发布说明 为了落实国家与XX市网络信息安全与等级保护的相关政策,贯彻信息安全管理体系标准,提高XXXX信息安全管理水平,维护XXXX电子政务信息系统安全稳定可控,实现业务信息和系统服务的安全保护等级,按照ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,编制完成了XXXX信息安全管理体系文件,现予以批准颁布实施。 信息安全管理手册是纲领性文件,是指导XXXX等各级政府部门建立并实施信息安全管理体系的行动准则,全体人员必须遵照执行。 信息安全管理手册于发布之日起正式实施。 XXXX 局长 _________________ 年月日 (二)授权书 为了贯彻执行ISO/IEC 27001:2005《信息安全管理体系要求》、ISO/IEC 17799:2005《信息安全管理实用规则》,以及GB/T 22239-2008《信息系统安全等级保护基本要求》,加强对信息安全管理体系运作的管理和控制,特授权XXXX 管理XX市政务信息安全工作,并保证信息安全管理职责的独立性,履行以下职责:
?负责建立、修改、完善、持续改进和实施XX市政务信息安全管理体系; ?负责向XXXX主任报告信息安全管理体系的实施情况,提出信息安全管理体系改进建议,作为管理评审和信息安全管理体系改进的基础; ?负责向XXXX各级政府部门全体人员宣传信息安全的重要性,负责信息安全教育、培训,不断提高全体人员的信息安全意识; ?负责XXXX信息安全管理体系对外联络工作。 (三)信息安全要求 1.具体阐述如下: (1)在XXXX信息安全协调小组的领导下,全面贯彻国家和XX市关于信息安全工作的相关指导性文件精神,在XXXX内建立可持续改进的信息安全管理体系。 (2)全员参与信息安全管理体系建设,落实信息安全管理责任制,建立和完善各项信息安全管理制度,使得信息安全管理有章可循。 (3)通过定期地信息安全宣传、教育与培训,不断提高XXXX所有人员的信息安全意识及能力。 (4)推行预防为主的信息安全积极防御理念,同时对所发生的信息安全事件进行快速、有序地响应。 (5)贯彻风险管理的理念,定期对“门户网站”等重要信息系统进行风险评估和控制,将信息安全风险控制在可接受的水平。 (6)按照PDCA精神,持续改进XXXX信息安全各项工作,保障XXXX电子政务外网安全畅通与可控,保障所开发和维护信息系统的安全稳定,为XXXX所有企业和社会公众提供安全可靠的电子政务服务。 2.信息安全总体要求 (1)建立XXXX信息化资产(软件、硬件、数据库等)目录。
佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目 编写人员:黄世荣 编写日期:2015年12月7日 项目缩写: 文档版本:V1.0 修改记录: 时间:2015年12月
一、信息化建设引言 随着我国中小企业信息化的普及,信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面:信息化在中小企业的发展过程中,对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面,伴随着全球信息化和网络化进程的发展,与此相关的信息安全问题也日趋严重。 由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识,导致中小企业的信息安全面临着较大的风险,我国中小企业信息化进程已经步入普及阶段,解决我国中小企业的信息安全问题已经刻不容缓。 通过制定和实施企业信息安全管理体系能够规范企业员工的行为,保证各种技术手段的有效实施,从整体上统筹安排各种软硬件,保证信息安全体系协同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施,防止信息安全事故带来巨大的损失,而更重要的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。 信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的,由于新的威胁不断出现,信息安全管理是一个相对的、动态的过程,企业能做到的就是要不断改进自身的信息安全状态,将信息安全风险控制在企业可接受的范围之内,获得企业现有条件下和资源能力范围内最大程度的安全。 在信息安全管理领域,“三分技术,七分管理”的理念已经被广泛接受。结合ISO/IEC27001信息安全管理体系,提出一个适合我国中小企业的信息安全管理的模型,用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 二、ISO27001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行(如下图所示)。首先,各个组织应该根据自身的状况来搭建适合自身业务发展和信息安全需求的ISO27001信息安全管理体系框架,并在正常的业务开展过程中具体
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起一整套管理体系。下面首先来看看ISO27001认证好处: 1.符合法律法规要求 证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。 2.维护企业的声誉、品牌和客户信任 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 3.履行信息安全管理责任 证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能 证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。 5.保持业务持续发展和竞争优势 全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。 6.实现风险管理 有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本 ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到至低程度。 至于ISO27001信息安全管理体系认证费用详情在此提醒大家还是要咨询专业的认证机构。 南京泽林认证咨询有限公司是从事企业管理咨询、管理体系认证咨询、产品认证咨询和企业项目托管及验厂咨询的专业机构。我们拥有一批现代管理知识和不同专业背景的资深国家注册咨询师、工程师、资深专家和大学教授;我们致力于国际标准和管理咨询的研究及应用,曾为众多知名企业提供过管理服务;我们聘请南京大学、理工大学、河海大学、林业大学、农林大学的教授来公司授课和指导...如果您也有这方面的需求请联系咨询泽林认证公司官方网址:https://www.doczj.com/doc/3a502791.html,
ISMS信息安全管理体系文件(全面)4第2页 2.2 术语和定义 下列文件中的条款通过本《ISMS信息安全管理体系文件》的引用而成为本《ISMS信息安全管理体系文件》的条款。凡是注日期的引用文件,其随后所有的修改单或修订版均不适用于本体系文件,然而,信息安全管理委员会应研究是否可使用这些文件的最新版本。凡是不注日期的引用文件、其最新版本适用于本信息安全管理手册。 ISO/IEC 27001,信息技术-安全技术-信息安全管理体系-概述和词汇 2.3引用文件 ISO/IEC 27001中的术语和定义适用于本手册。 本公司:上海海湃计算机科技有限公司 信息系统:指由计算机及其相关的和配套的设备、设施(含网络)构成的,且按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 信息安全事件:指导致信息系统不能提供正常服务或服务质量下降的技术故障事件、利用信息系统从事的反动有害信息和涉
密信息的传播事件、利用网络所从事的对信息系统的破坏窃密事件。 相关方:关注本公司信息安全或与本公司信息安全绩效有利益关系的组织个人。主要为:政府、上级部门、供方、用户等。 2.3.1组织环境,理解组织及其环境 本公司在系统开发、经营、服务和日常管理活动中,确定与其目标相关并影响其实现信息安全管理体系预期结果的能力的外部和内部问题。 2.3.2 理解相关方的需求和期望 组织应确定: 1)与信息安全管理体系有关的相关方 2)这些相关方与信息安全有关的要求。 2.3.3 确定信息安全管理体系的范围 本公司应确定信息安全管理体系的边界和适用性,本公司信息安全管理体系的范围包括: 1)本公司的认证范围为:防伪票据的设计、开发所涉及的相关人员、部门和场所的信息安全管理活动。 2)与所述信息系统有关的活动 3)与所述信息系统有关的部门和所有员工;