ISOIEC27001知识体系.doc

ISO/IEC27001知识体系 1. ISMS概述 3 1.1 什么是ISMS 3 1.2 为什么需要ISMS 4 1.3 如何建立ISMS 6 2. ISMS标准 11 2.1 ISMS标准体系－ISO/IEC27000族简介 11 2.2 信息安全管理实用规则－ISO/IEC27002:2005介绍 16 2.3 信息安全管理体系要求－ISO/IEC27001:2005介绍 20 3. ISMS认证 24 3.1 什么是ISMS认证 24 3.2 为什么要进行ISMS认证 24 3.3 ISMS认证适合何种类型的组织 25 3.4 全球ISMS认证状况及发展趋势 26 3.5 如何建设ISMS并取得认证 31 ISMS概述 什么是ISMS 信息安全管理体系（Information Security Management System，简称为ISMS）是1998年前后从英国发展起来的信息安全领域中的一个新概念，是管理体系（Management System，MS）思想和方法在信息安全领域的应用。近年来，伴随着ISMS国际标准的制修订，ISMS迅速被全球接受和认可，成为世界各国、各种类型、各种规模的组织解决信息安全问题的一个有效方法。ISMS认证随之成为组织向社会及其相关方证明其信息安全水平和能力的一种有效途径。 在ISMS的要求标准ISO/IEC27001:2005（信息安全管理体系 要求）的第3章术语和定义中，对ISMS的定义如下： ISMS（信息安全管理体系）：是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。 ISO GUIDE 72:2001（Guidelines for the justification and development of management system standards管理体系标准合理性和制定导则）中管理体系的定义，将ISMS描述为：组织在信息安全方面建立方针和目标，并实现这些目标的一组相互关联、相互作用的要素。 ISMS同其他MS（如QMS、EMS、OHSMS）一样，有许多共同的要素，其原理、方法、过程和体系的结构也基本一致。 单纯从定义理解，可能无法立即掌握ISMS的实质，我们可以把ISMS理解为一台“机器”，这台机器的功能就是制造“信息安全”，它由许多“部件”（要素）构成，这些“部件”包括ISMS管理机构、ISMS文件以及资源等，ISMS通过这些“部件”之间的相互作用来实现其“保障信息安全”的功能。 为什么需要ISMS 今天，我们已经身处信息时代，在这个时代，“计算机和网络”已经成为组织重要的生产工具，“信息”成为主要的生产资料和产品，组织的业务越来越依赖计算机、网络和信息，它们共同成为组织赖以生存的重要信息资产。 可是，计算机、网络和信息等信息资产在服务于组织业务的同时，也受到越来越多的安全威胁。病毒破坏、黑客攻击、信息系统瘫痪、网络欺诈、重要信息资料丢失以及利用计算机网络实施的各种犯罪行为，人们已不再陌生，并且这样的事件好像经常在我们身边发生。下面的案例更清晰的表现了这种趋势： 2005年6月19日，万事达公司宣布，储存有大约4千万信用卡客户信息的电脑系统遭到一名黑客入侵。被盗账号的信息资料已经在互联网上公开出售，每条100美元，并可能被用于金融欺诈活动。 2005年5月19日，深圳市中级人民法院对华为公司诉其前员工案作出终审判决，维持深圳市南山区人民法院2004年12月作出的一审判决。3名前华为公司员工，因辞职后带走公司技术资料并以此赢利。这3名高学历的IT界科技精英，最终因侵犯商业秘密罪将分别在牢房里度过两到三年光阴。 2005年7月12日下午2时35分，承载着超过200万用户的北京网通ADSL和LAN宽带网，突然同时大面积中断。北京网通随即投入大量人力物力紧急抢修，至3时30分左右开始网络逐渐恢复正常。这次事故大约影响了20万北京网民。 2006年5月8日上午8时左右，中国工程院院士，著名的传染病学专家钟南山在上班的路上，被劫匪很“柔和”地抢走了手中的笔记本电脑。事后钟院士说“一个科技工作者的作品、心血都在电脑里面，电脑里还存着正在研制的新药方案，要是这个研究方案变成一种新药，那是几个亿的价值啊”ISMS 组织的业务目标和信息安全要求紧密相关。实际上，任何组织成功经营的能力在很大程度上取决于其有效地管理其信息风险的才干。ISO/IEC 27001:2005 ISMS，已成为时代的需要。 从简单分析ISO/IEC 27001:2005标准的要求入手，下面的内容论述了建立一个符合标准要求的ISMS的要点。 正确理解ISMS的含义和要素 ISMS建设