信息安全管理体系构建流程 安全方针和策略 第一步 定义信息安全方针和策略 文档 ISMS的范围 第二步 定义ISMS的范围 文档 信息资产 风险评估 第三步 进行信息安全风险评估 文档 结果与结论 风险管理的区域 第四步 信息安全风险管理 文档 可选的控制选项 确定控制目标和选择控制 选择的理论基础 第五步 文档 措施 已选的控制目标 和控制措施 适用性声明 第六步 准备信息安全适用性声明 文档
信息安全管理体系构建流程 定义信息安全方针和策略 定义ISMS的范围 进行信息安全风险评估 信息安全风险管理 确定控制目标和选择控制 措施 准备信息安全适用性声明 安全方针和策略 ISMS的范围 风险评估 风险管理的区域 选择的理论基础 适用性声明 文档 文档 文档 文档 文档 文档 信息资产 结果与结论 可选的控制选项 已选的控制目标 和控制措施 第一步 第二步 第三步 第四步 第五步 第六步
信息安全管理体系功能 ■ 强化员工的信息安全意识,规范组织的信息安全行为。 ■ 对组织的关键信息资产进行全面系统的保护,维持竞争优势。 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。 使组织的生意伙伴和客户对组织充满信心。 使组织定期地考虑新的威胁和脆弱点,并对系统进行更新和控制。 ■ 促使管理层坚持贯彻信息安全保障体系
信息安全管理体系功能 强化员工的信息安全意识,规范组织的信息安全行为。 对组织的关键信息资产进行全面系统的保护,维持竞争优势。 在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度。 使组织的生意伙伴和客户对组织充满信心。 使组织定期地考虑新的威胁和脆弱点,并对系统进行更新和控制。 促使管理层坚持贯彻信息安全保障体系
信息安全管理标准 BS7799 ■ 信息和相关技术控制目标(Control Objective for Information and related Technology,COBIT) ■ ISO/IEC13335 GB17895-1999 ■
信息安全管理标准 BS7799 信息和相关技术控制目标(Control Objective for Information and related Technology, COBIT) ISO/IEC13335 GB17895-1999 …
BS7799 II。。 BS7799是由英国BSI/心ISC的BDD/2信息安全管理委员会指导下完成 的,是当前国际公认的信息安全实施标准。 旨在为一个组织提供用来制定安全标准、实施有效安全管理的通用要素,并不 涉及“怎么做”的细节。 是制定一个机构自己标准的出发点,因此适用于各种产业和组织。其演化发展 过程如下图。 BS7799-1 1995年首次发布 IS0/EC17799:2000 IS0/EC17799:2005 IS0/IEC27002:2005 ISO/1EC27002:2013 1999年重新发布 2000年发布 2005年发布 2007年发布 2013年发布 BS7799-2 1998年首次发布 BS7799-2:2002 IS0/IEC27001:2005 IS0/IEC27001:2013 1999年重新发布 2002年发布 2005年发布 2013年发布
BS7799 BS7799是由英国BSI/DISC的BDD/2信息安全管理委员会指导下完成 的,是当前国际公认的信息安全实施标准。 旨在为一个组织提供用来制定安全标准、实施有效安全管理的通用要素,并不 涉及“怎么做”的细节。 是制定一个机构自己标准的出发点,因此适用于各种产业和组织。其演化发展 过程如下图。 BS7799-1 1995年首次发布 1999年重新发布 ISO/IEC 17799: 2000 2000年发布 ISO/IEC 17799: 2005 2005年发布 ISO/IEC 27002: 2005 2007年发布 BS7799-2 1998年首次发布 1999年重新发布 BS 7799-2: 2002 2002年发布 ISO/IEC 27001: 2005 2005年发布 ISO/IEC 27002: 2013 2013年发布 ISO/IEC 27001: 2013 2013年发布
BS7799 D11。。 ■ BS7799发展后分为两部分 ISO/IEC27001:2005《信息技术-安全技术-信息安全管理体系-要求》 主要讨论了以PDCA过程方法建设ISMS以及ISMS评估的内容。 该标准详细的说明了建立,实施、监视和维护虹SMS的具体任务和要求,指出实施机构应 该遵循的风险评估标准。 IS0/TEC27002:2005《信息技术-安全技术-信息安全控制实用规则》 标准包含有11项管理内容,133条安全控制措施。 作为组织基于ISO/TEC27001实施ISMS的过程中选择控制措施时的参考,或作为组织实 施通用信息安全控制措施时的指南文件,或开发组织自身的信息安全管理指南
BS7799 BS7799发展后分为两部分 ISO/IEC 27001: 2005 《信息技术-安全技术-信息安全管理体系-要求》 • 主要讨论了以PDCA过程方法建设ISMS以及ISMS评估的内容。 • 该标准详细的说明了建立、实施、监视和维护ISMS的具体任务和要求,指出实施机构应 该遵循的风险评估标准。 ISO/IEC 27002: 2005 《信息技术-安全技术-信息安全控制实用规则》 • 标准包含有11项管理内容,133条安全控制措施。 • 作为组织基于ISO/IEC 27001实施ISMS的过程中选择控制措施时的参考,或作为组织实 施通用信息安全控制措施时的指南文件,或开发组织自身的信息安全管理指南