信息安全管理(第三章 信息安全管理体系)
- 格式:ppt
- 大小:6.64 MB
- 文档页数:24


ISO/IEC27001知识体系
1. ISMS概述 ................................................................................................................................ 2
1.1 什么是ISMS ............................................................................................................ 2
1.2 为什么需要ISMS .................................................................................................... 3
1.3 如何建立ISMS ........................................................................................................ 5
2. ISMS标准 .............................................................................................................................. 10
2.1 ISMS标准体系-ISO/IEC27000族简介 .............................................................. 10
2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍 ........................................... 14
专题iSubject 编辑//徐航
信息作为组织的重要资产,需要得到妥善保护。随着信息技术的发展,特别是Internet
的问世及网上交易的启用,许多信息安全问题也纷纷出现。越来越多的组织认识到,解决
信息安全问题的根本方法在于识别信息安全的风险,建立一个系统的、整体规划的信息安
全管理体系。与组织的这种需求相适应,一个新兴的管理体系认证领域——ISO 27001信息
安全管理体系认证也迅速发展起来。本期推出“信息安全管理体系认证”的专题文章,从 信息安全管理体系在我国的发展概况、标准化、对认证机构的认可要求、审核、企业实施
的经验体会等方面,介绍信息安全管理体系认证目前在我国的发展情况。希望以此推动信
息安全管理体系在我国更好发展。
——编者
信息安全管理体系在中国
…………………………………………………………………………………………………………………………・> ◎文/尤其
信息化是当今世界经济和社会
发展的大趋势,是推动经济社会变 革和进步的重要力量。信息技术的
广泛应用、信息系统的互联互通 以及互联网的普及使得信息安全 问题日渐突出,对国家安全、政 治稳定、经济发展、公共利益造
成了重要影响。采用认证认可的 方式,对组织的信息安全管理体
系进行认证,是管理体系认证发 展的新领域。 本文将从信息安全管理体系认 证在中国实践及发展情况进行介
绍,以促进信息安全管理体系在加 强我国信息安全保障体系建设中发
挥更大作用。
一、信息安全管理体系在中
国的试点实践
2003年9月,中办、国办发布 (2003)27号文件,提出信息安全
《认证技术》2011・05 … 保障工作中管理与技术并重的原
则,2006年3月,为了贯彻落实27号 文件提出的在信息安全保障工作中 坚持“管理与技术并重”的原则,
原国务院信息化工作办公室协同有 关部门和地方,下达了(2006)24 号文件 信息安全管理标准应用试 点工作方案 ,正式布署了“信息
2010.05 西部大开发・中旬 WEST cH1NA 0EVEL0PMENT 科技与网络
构建信息安全管理体系提升信息安全管理水平
刘经文
f陕西省信息中心,陕西西安710004)
摘要:对信息系统安全的特点进行分析,提出了在安全产品的辅助下,通过管理手段体系化和构建信息安全管理体系(]sMs),来保障信
息系统安全。
关键词:信息安全:管理体系;ISMS
中图分类号:TP315 文献标识码:A 文章编号:1009—8631(2010)05—0171—02
一、概述
当前,信息资源的开发和利用,已成为信息化建设的核心。信息
作为一种重要的资产,已成为大家的共识。其一旦损毁、丢失、或被不
失当地曝光,将会给组织带来一系列损失。这些损失是我们不愿意面
对的.因此信息安全越来越成为大家关注的热点问题。前国家科技部
部长徐冠华曾经指出:“没有信息安全保障的信息工程一定是豆腐渣
工程”。
所谓信息安全,是针对技术和管理来说的,为信息处理体统提供
安全保护,保护计算机软硬件及信息内容不因偶然意外和恶意的原
因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息
(针对信息内容1安全和管理安全四个方面:
1)实体安全是指保护计算机设备、网络设施以及其他通信与存
储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措
施、过程。
2)运行安全是指为保障系统功能的安全实现,提供一套安全措
施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理
过程的安全
3)信息安全是指防止信息资源的非授权泄漏、更改、破坏,或使
信息被非法系统辨别、控制和否认 即确保信息的完整性、机密性、
可用性和可控性
4)管理安全是指通过信息安全相关的法律法令和规章制度以及
安全管理手段.确保系统安全生存和运营。
信息安全是一个多层面、多因素、综合和动态的过程,安全措施
必须渗透到所有的环节.才能获得全面的保护。为了防范和减少风
ISO/IEC27001知识体系
1. ISMS概述 ................................................................................................................................ 1
1.1 什么是ISMS ............................................................................................................ 1
1.2 为什么需要ISMS .................................................................................................... 2
1.3 如何建立ISMS ........................................................................................................ 4
2. ISMS标准 ................................................................................................................................ 9
2.1 ISMS标准体系-ISO/IEC27000族简介 ................................................................ 9
2.2 信息安全管理实用规则-ISO/IEC27002:2005介绍 ........................................... 14