下载文档原格式
ISO27001:2013 新版解读精要1.综述ISO/IEC 27001(信息安全管理体系国际标准)是全球范围内发展最为快速的管理体系标准之一,2005 年发布迄今在全国100 多个国家中已签发17,500 多张证书,证书数量保持每年两位数增长。
信息安全最佳实践标准ISO/IEC 27002 为该ISO27001 的使用提供了必要的支持。
这两个标准均通过国际标准化组织(该组织的成员包括47 个国家标准机构)达成共识的方式而制定。
信息安全管理体系国际标准新版BS ISO/IEC 27001:2013 与BS ISO/IEC 27002:2013 在2013 年10 月已正式发布。
相关的几个标准,包括27003,27004,27005 亦正在修订中。
ISO27001:2013 版(以下简称新版)大幅修改了结构,以适应未来管理体系标准中使用的新的架构,简化与其他管理体系的整合。
标准新版删除了旧版中重复、不适用的内容,结构上更清晰,内容上更精炼,逻辑上更严谨,并且在管理要求的定义上变得更具弹性,给予组织更灵活的实施空间。
值得信息安全从业人员去学习、实践。
2.标准新版与旧版的差异2.1整体变化注:图1 ISO 27001:2005 有11 个域、133 项控制措施,新版已调整为14 个域、114 项控制措施。
2.2正文的变化a)编写架构新版编写终于采用了标准化的ISO Annex SL通用架构(同ISO22301),采用此架构的好处在于可将各标准的要求,以统一的架构进行描述。
Annex SL架构考虑了管理体系间的兼容性,有利于不同管理体系间进行接轨、整合。
b)PDCA 与持续改进PDCA 是旧版标准中强调在体系建设及实施过程使用的过程方法,新版标准中已不见旧版 0.2 中大段对过程方法 PDCA 模型的描述,取而代之的是正文 10.2 中的一句“持续改进”。
但从标准编写的目录结构上看,新版调整为 Planning-Support-Operation-Performance evaluation-Improvement,架构上其实是更趋 PDCA 了。
ISO 27001:2011信息安全管理体系简介一、ISO 27001的产生背景和发展历程ISO27001是什么?ISO27001是有关信息安全管理的国际标准。
最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。
该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。
其正式名称为:《ISO/IEC 27001:2005 信息技术-安全技术-信息安全管理体系-要求》ISO 27001源于英国标准BS7799的第二部分,即BS7799-2 《信息安全管理体系规范》。
英国标准BS7799是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。
ISO 27001发展历程简要归纳如下:●1993年,BS 7799标准由英国贸易工业部立项。
●1995年,BS 7799-1《信息安全管理实施细则》首次出版,标准提供了一套综合的、由信息安全最佳惯例组成的实施细则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小型组织。
●1998年,英国公布BS 7799-2《信息安全管理体系规范》,本标准规定信息安全管理体系要求与信息安全控制要求,它是一个组织信息安全管理体系评估的基础,可以作为认证的依据。
●1999年,在BSI/DISC(British Standards Institute/Delivering InformationSolutions to Customers) BDD/2的指导下对BS 7799这两部分进行了修订和扩展,取代了BS 7799-1:1995和BS 7799-2:1998。
BS 7799:1999涵盖了以前版本的所有内容,并在原有的基础上扩展了新的控制,新版本考虑了信息处理技术,尤其是在网络和通信领域应用的最新发展,例如电子商务、移动计算、远程工作等领域的控制。
ISO标准——IEC 27001:2005信息安全管理体系——规范与使用指南Reference numberISO/IEC 27001:2005(E)0简介0.1总则本国际标准的目的是提供建立、实施、运作、监控、评审、维护和改进信息安全管理体系(ISMS)的模型。
采用ISMS应是一个组织的战略决定。
组织ISMS的设计和实施受业务需求和目标、安全需求、应用的过程及组织的规模、结构的影响。
上述因素和他们的支持系统预计会随事件而变化。
希望根据组织的需要去扩充ISMS的实施,如,简单的环境是用简单的ISMS解决方案。
本国际标准可以用于内部、外部评估其符合性。
0.2过程方法本国际标准鼓励采用过程的方法建立、实施、运作、监控、评审、维护和改进一个组织的ISMS的有效性。
一个组织必须识别和管理许多活动使其有效地运行。
通过利用资源和管理,将输入转换为输出的活动,可以被认为是一个过程。
通常,一个过程的输出直接形成了下一个过程的输入。
组织内过程体系的应用,连同这些过程的识别和相互作用及管理,可以称之这“过程的方法”。
在本国际标准中,信息安全管理的过程方法鼓励用户强调以下方面的重要性:a)了解组织信息安全需求和建立信息安全策略和目标的需求;b)在组织的整体业务风险框架下,通过实施及运作控制措施管理组织的信息安全风险;c)监控和评审ISMS的执行和有效性;d)基于客观测量的持续改进。
本国际标准采用了“计划-实施-检查-改进”(PDCA)模型去构架全部ISMS流程。
图1显示ISMS如何输入相关方的信息安全需求和期望,经过必要的处理,产生满足需求和期望的产品信息安全输出,图1阐明与条款4、5、6、7、8相关。
采用PDCA模型将影响OECD《信息系统和网络的安全治理》(2002)中陈述的原则,0 Introduction0.1 GeneralThis International Standard has been prepared to provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization’s ISMS is influenced by their needs and objectives, security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that an ISMS implementation will be scaled in accordance with the needs of the organization, e.g. a simple situation requires a simple ISMS solution.This International Standard can be used in order to assess conformance by interested internal and external parties.0.2 Process approachThis International Standard adopts a process approach for establishing, implementing, operating, monitoring, reviewing, maintaining and improving an organization's ISMS.An organization needs to identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs can be considered to be a process. Often the output from one process directly forms the input to the next process.The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a “process approach”.The process approach for information security management presented in this International Standard encourages its users to emphasize the importance of: a) understanding an organization’s information security requirements and the need to establish policy and objectives for information security;b) implementing and operating controls to manage an organization's information security risks in the context of the organization’s overall business risks;c) monitoring and reviewing the performance and effectiveness of the ISMS; andd) continual improvement based on objective measurement.This International Standard adopts the "Plan-Do-Check-Act" (PDCA) model, which is applied to structure all ISMS processes. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6, 7 and 8.The adoption of the PDCA model will also reflect the principles as set out in the本国际标准提供一个健壮的模型去实施指南中的控制风险评估、安全设计和实施、安全管理和再评估的原则。
三体系考试题库及答案一、选择题1. 三体系指的是哪三个体系?A. 质量管理体系、环境管理体系、职业健康安全管理体系B. 质量管理体系、环境管理体系、信息安全管理体系C. 质量管理体系、职业健康安全管理体系、信息安全管理体系D. 环境管理体系、职业健康安全管理体系、信息安全管理体系答案:A2. 质量管理体系的国际标准是什么?A. ISO 9001B. ISO 14001C. OHSAS 18001D. ISO 27001答案:A3. 环境管理体系的国际标准是什么?A. ISO 9001B. ISO 14001C. OHSAS 18001D. ISO 27001答案:B4. 职业健康安全管理体系的国际标准是什么?A. ISO 9001B. ISO 14001C. OHSAS 18001D. ISO 45001答案:D5. 信息安全管理体系的国际标准是什么?A. ISO 9001B. ISO 14001C. ISO 27001D. ISO 45001答案:C二、填空题6. 三体系的实施有助于企业提高________、________和________。
答案:产品质量、环境保护、员工健康与安全7. 质量管理体系的目的是________。
答案:通过顾客满意和符合顾客与适用法律法规的要求,提高组织的整体绩效8. 环境管理体系的目的是________。
答案:通过更有效的环境管理,支持环境保护和可持续发展9. 职业健康安全管理体系的目的是________。
答案:提供一个框架,以确保一个组织能够控制其职业健康和安全风险,并改善其职业健康安全绩效10. 信息安全管理体系的目的是________。
答案:保护信息的保密性、完整性和可用性三、简答题11. 简述三体系在企业管理中的作用。
答案:三体系在企业管理中的作用主要体现在以下几个方面:首先,它们帮助企业建立起一套系统化的管理方法,提高管理效率;其次,通过满足国际标准,企业能够提升自身的品牌形象和市场竞争力;再次,三体系的实施有助于企业识别和管理风险,减少潜在的经济损失;最后,它们还有助于企业履行社会责任,提升企业的社会形象。
iso20071信息安全体系认证证书
ISO 20071信息安全体系认证证书是一种证明企业已经通过了ISO 20071信息安全体系认证的证书。
这个证书表明企业具有良好的信息安全管理体系,可以保护企业的信息资产,并保证信息安全和完整性。
ISO 20071信息安全体系认证是一种国际性的认证标准,它帮助企业建立和实施适当的信息安全管理体系,以确保其信息资产的完整性、机密性和可用性,同时降低信息安全风险。
ISO 20071标准以风险管理为核心,帮助企业识别、评估和管理信息安全风险。
ISO 20071认证证书的核心概念是信息安全管理体系,也就是根据ISO 20071标准要求建立的一系列信息安全管理流程和制度。
信息安全管理体系包括信息安全政策、信息资产管理、人员安全、物理安全、业务连续性管理等方面。
企业需要针对实际情况进行合理的信息安全管理体系设计和实施,确保对其信息资产的保护。
ISO 20071认证证书的核心内容包括:认证颁发机构、认证标准、认证过程、认证结果和有效期。
认证颁发机构通常是由国家或国际权威机构授权的认证机构,例如中国国家认证认可监督管理委员会(CNCA)。
ISO 20071标准是一种基于风险管理的认证标准,其核心是对企业的信息安全风险进行评估和管理。
通过实施ISO 20071信息安全管理体系认证,企业可以建立适当的信息安全管理流程
和制度,从而保证其信息资产的安全性、保密性和完整性。
ISO 20071认证证书向外界证明企业已经拥有良好的信息安全管理体系,增强企业的信誉度和市场竞争力。
iso 国际标准ISO 国际标准,是指国际标准化组织制定的一系列标准。
在全球范围内,ISO 国际标准是企业合规性和竞争力的认证准则之一,各个行业和领域都有其相关的标准。
下面分步骤阐述 ISO 国际标准的相关内容。
第一步,ISO 国际标准的概述。
ISO 国际标准有助于企业加强自身的质量管理、环境保护、信息安全等方面,提高企业的市场竞争力。
ISO 国际标准包括9001 质量管理体系(QMS)、14001 环境管理体系(EMS)、27001 信息安全管理体系(ISMS)、45001 职业健康安全管理体系(OHSMS)等。
第二步,ISO 国际标准的制定过程。
ISO 国际标准的制定需要遵循一定的程序。
首先,标准制定的需求和范围需要被讨论并确定。
然后,成立相应的委员会和工作组,进行标准的制定和修改。
标准编制需要经过多次投票和通过,纪录在案,最终正式发布。
第三步,ISO 国际标准的作用。
ISO 国际标准是企业竞争力的重要组成部分,能够帮助企业规范自身的管理,在各个方面提升成熟度。
同时,ISO 国际标准也为企业提供了一种向顾客、供应商、利益相关者证明企业质量管理水平的方式,增强了企业形象和信誉。
第四步,ISO 国际标准的认证过程。
企业需要通过认证机构的审核,才能取得相应的 ISO 国际标准认证。
认证机构会根据相应的标准进行审核,并出具认证合格证书。
认证过程需要一定的时间和费用,但是一旦获得认证,将为企业带来巨大的商业价值。
总之,ISO 国际标准是企业竞争力提升的一种手段,也是企业规范自身管理、维护客户信赖重要的工具。
同时,认证过程也是一项证明企业质量管理水平的方式。
企业在实施 ISO 国际标准的过程中,需要全面的规划与准备,以确保标准的有效实施。
信息安全技术的合规要求信息安全是现代社会发展的一项重要课题,对于保护个人隐私、企业机密以及国家安全具有重要意义。
为了确保信息安全技术得以规范应用,各国纷纷制定了一系列的合规要求,以保障网络安全、数据保护和信息系统的可靠性。
本文将详细探讨信息安全技术的合规要求,并总结主要的合规标准。
一、信息安全法律法规的合规要求信息安全法律法规是各国对信息安全进行管理和监管的重要工具。
在合规要求方面,各国的法律法规存在一些差异,但普遍要求企业和个人对信息安全负有相应的责任。
以下是一些典型的合规要求:1. 个人信息保护:合规要求对个人信息的收集、使用和保护提出了明确的规定。
企业和机构必须遵守规定,获取个人信息时需经过事先同意,并采取合理的措施保护个人信息的安全。
2. 数据存储和处理:合规要求对数据存储和处理提出了一些具体的要求。
这包括加密存储、安全备份、访问控制、身份验证和数据完整性等方面的要求。
3. 网络安全:合规要求对网络安全提出了一些基本规范。
这包括网站安全、网络设备安全、网络传输安全、安全事件管理等方面的要求。
4. 个人隐私保护:合规要求对个人隐私的保护提出了一系列要求,包括明确收集个人信息的目的、法律依据以及相关个人权益的保护等。
二、信息安全管理体系的合规要求信息安全管理体系是企业、组织或机构确保信息安全的重要手段。
各国针对信息安全管理体系的合规要求通常采用国际标准ISO 27001为基准,要求企业建立、实施和改进信息安全管理体系。
以下是一些典型的合规要求:1. 风险评估和管理:合规要求企业进行全面的信息安全风险评估,并制定相应的风险管理计划,以减轻和控制风险对信息安全的潜在影响。
2. 组织安全政策:合规要求企业明确并制定信息安全政策、规程和操作程序,以确保信息安全管理体系的有效运行。
3. 安全培训和意识:合规要求企业开展定期的安全培训,提高员工对信息安全的认识和意识,增强他们的信息安全技能。
4. 审核和监控:合规要求企业将信息安全管理体系进行内部和外部的定期审计和监控,以确保其有效性和符合性。
信息安全管理的国际标准
信息安全管理是现代社会中非常重要的一个方面。
随着科技的迅猛
发展和信息化社会的到来,网络安全和信息保护变得越来越受到重视。
为了确保信息系统及其相关软硬件的安全,国际标准化组织(ISO)制
定了一系列的信息安全管理国际标准,以指导各个组织和机构进行信
息安全的管理和运营。
一、ISO 27001信息安全管理体系
ISO 27001是信息安全管理体系的国际标准,旨在保护机构的信息
资产免受各种威胁、损害和滥用。
它为建立、实施、运行、监控、审查、维护和改进信息安全管理体系提供了指南。
它采用一个风险管理
方法,帮助组织识别和评估信息安全风险,并采取相应的控制措施来
管理和减少风险。
ISO 27001信息安全管理体系包括以下几个关键组成部分:
1. 上下文理解和组织定位:组织需要了解自身内外部环境的信息安
全风险,以确定适用的信息安全要求,并明确组织的信息安全政策。
2. 高层承诺和领导力:组织的高层管理层需要承担信息安全的领导
责任,并确保将信息安全纳入组织的运营和决策过程中。
3. 策划:组织需要进行风险评估和风险管理,确定信息安全目标和
措施,并制定相关政策和程序。
4. 支持:组织需要提供资源和支持,包括培训、意识和沟通,以确保信息安全管理体系得以有效实施并持续改进。
5. 运作:组织需要实施和操作信息安全控制措施,并监控和管理相关的信息安全事件和问题。
6. 性能评估和持续改进:组织需要定期评估信息安全管理体系的性能,并采取措施进行持续改进,以确保信息安全管理体系的有效性和可持续性。
二、ISO 27002信息安全控制措施
ISO 27002是ISO 27001的补充标准,提供了一个广泛的信息安全控制措施的目录。
它基于信息安全最佳实践和国际经验,为组织提供了一个指南,以选择、实施和管理合适的信息安全控制措施,以减少信息安全风险。
ISO 27002的目录包括以下的信息安全控制领域:
1. 资产管理:包括资产的分类、所有权、责任和标记等。
2. 人力资源安全:涉及雇佣过程、培训和离职程序等。
3. 访问控制:包括用户访问、系统访问和网络访问的控制。
4. 加密和加密管理:涉及数据和通信的加密和密钥管理。
5. 物理和环境安全:针对物理设备和环境进行的保护措施。
6. 通信和运营管理:包括网络安全、供应商管理和信息系统开发的控制。
7. 安全事件管理:涉及安全事件的监控、报告和响应等。
8. 组织的安全策略:组织的信息安全政策和程序。
9. 合规性:与法律、法规和合同要求的合规性。
三、ISO 27005信息安全风险管理
ISO 27005是信息安全风险管理的国际标准,旨在帮助组织建立和
实施信息安全风险管理过程。
它提供了一套通用的原则、方法和流程,以识别、评估和处理信息安全风险,确保组织能够合理决策并采取适
当的风险控制措施。
ISO 27005信息安全风险管理包括以下几个关键步骤:
1. 上下文建立:了解组织的背景、目标和约束条件。
2. 风险识别:识别与信息资产相关的潜在风险。
3. 风险评估:评估已识别的风险的概率和影响。
4. 风险评估:对已评估的风险进行定性和定量分析。
5. 风险处理:确定符合风险接受能力的风险处理措施。
6. 风险监控和审查:监控和审查已实施的风险处理措施。
信息安全管理的国际标准对组织和机构来说是非常重要的参考和指导,它们帮助组织制定和实施有效的信息安全管理措施,以应对不断
变化的安全风险。
通过遵循这些标准,组织可以保护自己的信息资产,确保业务的连续性和信誉的升级。
因此,推动信息安全管理的国际标
准的应用和普及,对整个社会的信息安全环境和网络安全的提升都具有重要意义。
