27001标准培训.pptVIP

ISO/IEC 27001：2005标准培训 上海天帷企业管理管理咨询有限公司 Tanovo Management Consultation Co.,ltd. 2006年04月 0.1 总 则 本标准用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系（Information Security Management System，简称ISMS）提供模型。 采用ISMS应当是一个组织的一项战略性决策。一个组织的ISMS的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量，例如简单的情形可采用简单的ISMS解决方案。 本标准可被相关的内部方和外部方运用以评估一致性。 0.1 总 则-指南 实践证明信息安全是个复杂的系统问题，必须以系统的方法来解决，建立管理体系(建立方针和目标并实现这些目标的体系，是系统解决复杂问题的有效方法。为了保证信息安全管理的有效性、充分性和适宜性组织需要建立信息安全管理体系(ISMS)。 从系统论观点来看, 一个体系(系统)必须具有自组织、自学习、自适应、自修复、自生长的能力和功能才可以保证其持续有效性。 信息安全管理体系通过不断的识别组织和相关方的信息安全要求，不断的识别外界环境和组织自身的变化，不断的学习采用必威体育精装版的管理理念和技术手段，不断的调整自己的目标、方针、程序和过程等，才可以实现持续的安全。 本标准可以适合于不同性质、规模、结构和环境的各种组织。因为不拥有成熟的IT系统而担心不可能通过ISO/IEC 27001认证是不必要的。 如果因为预算困难或其他原因，不能一下子降低所有不可接受风险到可接受程度时，能否通过体系认证，也是很多人关心的问题。通常审核员关心的是组织建立的ISMS是否完整，是否运行正常，是否有重大的信息安全风险没有得到识别和评估。有小部分的风险暂时得不到有效处置是允许的，当然“暂时接受”的不可接受风险不可以包括违背法律法规的风险。 02过程方法 PDCA循环 P D C A 03与其他管理体系的兼容性 ISO9001：2000 ISO14001：2004 1.1 概要-1 本标准适用于所有类型的组织（例如，企业、政府机构、 非赢利组织）。本标准从组织的整体业务风险的角度， 为建立、实施、运行、监视、评审、保持和改进文件化 的ISMS规定了要求。它规定了为适应不同组织及其下属 部门的需要而定制的安全控制措施的实施要求。 1.1 概要-2 设计ISMS是为了确保有充分的、适当的保护信息资产的安全控制，并给相关方信心。 ? 注1：本标准中的“业务”一词应当采用广义概念，意指一个组织要生存的核心活动。 ? 注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南 1.1 概要-指南-1 说明了标准的适用范围及信息安全管理体系包括的内容。 信息安全管理体系的内容包括体系的建立、实施、运作、监控、评审、保持并持续改进，其形式是文件化的，组织可以通过使用性声明等方式对附录A进行剪裁，见1.2。 1.1 概要-指南-2 说明了组织建立和保持信息安全管理体系的目的和意义，这也是信息安全管理体系的存在价值，是信息安全管理体系业绩考核可能的着眼点。 信息安全管理体系的目的、意义和价值是管理者策划ISMS的依据，也是对管理体系进行有效性评审的依据。 1.2 应用 -1 本标准规定的要求是通用的，适用于各种类型、规模和业务特性的组织。当本标准的任何要求因组织及其业务特性而不适用时，可以考虑进行删减。 组织声称符合本标准时，对于4、5、6、7、8章要求的删减不能接受。 1.2 应用-指南-1 整体对这个标准而言，适用于所有的企事业单位，但并不是标准中的每一个条款都适用于所有单位。如果有标准条款不适用于自己，标准允许考虑不执行该条款。 在体系策划阶段应该认真识别组织自身的具体情况，考虑删减不适用的条款，这可以减少不必要的工作量。 1.2 应用 -2 为了满足风险接受准则所必须进行的控制措施的删减，必须证明是正当的，且需要提供证据证明相关风险已被负责人员完全接受。在任何控制被删减的情况下，除非删减不影响组织提供由风险评估和适用法律法规要求所确定的安全需求的能力或责任，否则不能声称符合本标准。 ? 注：如果组织已经有一个实施了的业务过程管理体系（例如 ISO9001或ISO14001），在大多数情况下，在现存的管理体系中来满足本标准的要求会更好。 1.2 应用 –2指南 说明了可删减的必要条件、有限范围和操作方法。? 必要条件：不影响组织必须的信息安全能力和责任，这包括风险评估识别出来的和适用法规所要求的能力和责任。? 有限范围：本标准条款4、5