ISO27001华为内部讲稿.ppt

物理与环境安全 控制目标 安全区域（9.1） 控制措施 物理安全边界 （9.1.1） 物理入口控制 （9.1.2） 办公室、房间和设施的安全保护（9.1.3） 外部和环境威胁的安全防护（9.1.4） 在安全区域工作（9.1.5） 公共访问、交接区安全（9.1.6） Page * 第六十一页，共九十三页。 物理与环境安全（续） 控制目标 设备安全（9.2） 控制措施 设备安置和保护 （9.2.1） 支持性设施 （9.2.2） 布缆安全（9.2.3） 设备维护（9.2.4） 组织场所外的设备安全（9.2.5） 设备的安全处置和再利用（9.2.6） 资产的移动（9.2.7） Page * 第六十二页，共九十三页。 通信与操作管理 控制目标 操作程序和职责（10.1） 控制措施 文件化的操作程序（10.1.1） 变更管理（10.1.2） 责任分割（10.1.3） 开发、测试和运行设施分离（10.1.4） Page * 第六十三页，共九十三页。 通信与操作管理（续） 控制目标 第三方服务交付管理（10.2） 控制措施 服务交付（10.2.1） 第三方服务的监视和评审（10.2.2） 第三方服务的变更管理（10.2.3） Page * 第六十四页，共九十三页。 通信与操作管理（续） 控制目标 系统规划和验收（10.3） 控制措施 容量管理（10.3.1） 系统验收（10.3.2） Page * 第六十五页，共九十三页。 通信与操作管理（续） 控制目标 防范恶意和移动代码（10.4） 控制措施 控制恶意代码（10.4.1） 控制移动代码（10.4.2） Page * 第六十六页，共九十三页。 第六章 ISMS 内部审计 组织应该通过定期的内部审计来确定ISMS 的控制目标、控制、过程和程序满足相关要求。 Page * 第二十九页，共九十三页。 第七章 ISMS 的管理评审 7.1 概要 管理层应该对组织的ISMS 定期进行评审，确保其持续适宜、充分和有效。 7.2 评审输入 评审时需要的输入资料，包括内审结果。 7.3 评审输出 评审成果，应该包含任何决策及相关行动。 Page * 第三十页，共九十三页。 第八章 ISMS 改进 8.1 持续改进 组织应该借助信息安全策略、安全目标、审计结果、受监视的事件分析、纠正性和预防性措施、管理复审来持续改进ISMS 的效力。 8.2 纠正措施 组织应该采取措施，消除并实施和操作ISMS 相关的不一致因素，避免其再次出现。 8.3 预防措施 为了防止将来出现不一致，应该确定防护措施。所采取的预防措施应与潜在问题的影响相适宜。 Page * 第三十一页，共九十三页。 目录 背景介绍 ISO/IEC 17799 ISO/IEC 27001 重点内容 重点章节 认证流程 1779927001 我司业务与ISO/IEC 27001 Page * 第三十二页，共九十三页。 建设ISMS 第一步工作是建设ISMS系统，这部分工作可以由组织或者公司自己进行，前提是该组织拥有专业的人才。大部分的公司不具备这样的能力，这就需要一些专业的咨询公司或者安全公司等有27001专业实施经验的公司协助进行。 建设ISMS的工作不是一个纯粹的IT建设，而是建立一个循序渐进的体系，需要公司的全员配合，特别是公司领导层重视，需要成立专门的团队来负责这项工作。 Page * 第三十三页，共九十三页。 建设ISMS（续） 文件化很重要，针对标准4.3的内容，各个层次的文件和记录都需要编写完备，这些工作也可以由第三方来协助进行。 风险评估，培训等工作的进行也需要在咨询公司的协助下进行。 ISMS初步建立之后，需要运行一段时间，针对出现的问题进行修正。 Page * 第三十四页，共九十三页。 提出申请 待ISMS稳定运行一段时间之后，可以考虑提出审核申请。可以进行27001审核的机构在国内有BSI(英国标准化协会)和DNV(挪威船级社) 等。 Page * 第三十五页，共九十三页。 认证审核－预审 预审核（Pre-assessment Audit）也称预审，是在第一阶段审核之前执行的一种非强制性要求的非正式审核。从本质上看，预审是正式审核的预演或排练。许多组织都没有采用预审核。 预审是审核员通过使用“差距分析”方法，分析和检查组织的ISMS与ISO/IEC 27001：2005要求的差距，包括(但不仅限于)： 分析ISMS方针与程序，组织当前的业务保护情况； 检查ISMS是否与其实际业务融合一起； 检查ISMS是否符合正式审核的基本条件； 检查组织还有哪些未能按照标准要求进行运行的领域，包括员工的安全意识和员工是否知道ISMS 等； 检查ISMS