27001标准知识介绍.pptVIP

27000标准族与ISMS 培训教材 上海恩可埃认证有限公司 缩略语介绍 ISMS Information Security Management System-ISMS 信息安全管理体系 基于国际标准ISO/IEC27001：信息安全管理体系要求 是综合信息安全管理和技术手段，保障组织信息安全的一种方法 ISMS是管理体系（MS）家族的一个成员 ISMS是一门交叉学科 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 1. 从ISMS标准说起 ISMS标准化组织 国际标准化组织 ISO/IEC JTC1/SC27/WG1 国内标准化组织 全国信息安全标准化技术委员会 1. 从ISMS标准说起 已经发布的ISMS标准和制定中的ISMS标准族  ISO/IEC 27000——术语和定义(2009) ISO/IEC 27001——信息安全管理体系要求规范(2005) ISO/IEC 27002——信息安全管理体系最佳实践指导 (2005) ISO/IEC 27003——ISMS实施指南 ISO/IEC 27004——信息安全管理度量和改进规范 ISO/IEC 27005——信息安全风险管理指南 (2008) ISO/IEC 27006——审核机构及ISMS认证要求(2007) ISO/IEC 27007——ISMS审核指南 1. 从ISMS标准说起 ISO/IEC27001:2005 Information technology- Security techniques- Information security management systems- requirements 信息技术-安全技术-信息 安全管理体系-要求 1. 从ISMS标准说起 ISO/IEC27001:2005 ISO/IEC27001:2005的名称 Information technology- Security techniques-Information security management systems-requirements 信息技术-安全技术-信息安全管理体系-要求 该标准用于：为建立、实施、运行、监视、评审、保持和改进信息安全管理体系提供模型，并规定了要求。 该标准适用于：所有类型的组织（例如，商业企业、政府机构、非赢利组织）。 是建立和实施ISMS的依据，是ISMS认证的依据。 1. 从ISMS标准说起 ISO/IEC27001:2005的内容 1. 从ISMS标准说起 ISO/IEC27001:2005的内容 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 2. 为什么需要ISMS 生产工具的发展 信息安全就是生产安全 2. 为什么需要ISMS 解决信息安全问题的方案 产品导向型 需求导向型 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 3. 全球ISMS的现状 ISMS在中国 ISO27001认证在中国现状 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 4. 开发和实施ISMS ① 正确理解ISMS ② 建立ISMS管理机构 ③ 识别ISMS文件要求 ④ 执行风险评估和处理 ⑤ 遵循标准规定的ISMS运行过程－PDCA 4. 开发和实施ISMS 基于PDCA的ISMS的实际建设流程 ISMS开发和实施中的3个关键 主要议题 从ISMS标准说起 为什么需要ISMS 全球ISMS认证现状 开发和实施ISMS 遇到的问题 5. 遇到的问题 Q1-理解ISMS与等级保护、风险评估的关系 Q2-实施ISMS要有耐心 QA Stand out from the crowd… 相关方 受控的 信息安全 信息安全 要求和期望 相关方 检查Check 建立ISMS 实施和 运行ISMS 保持和 改进ISMS 监视和 评审ISMS 规划Plan 实施 Do 处置 Act PDCA各阶段 内容 对应标准条款 P-规划 建立ISMS 建立与管理风险和改进信息安全有关的ISMS方针、目标、过程和程