2

工

7信息安全管理體系ISO27001

介紹2017年9月1ISO

27001標(biāo)準(zhǔn)介紹CONTENTS1995年英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)的BS7799標(biāo)準(zhǔn)《信息安全管理實(shí)施細(xì)則》1999年BSI修訂BS7799,

將BS7799

分為2個(gè)部分：BS7799-1、BS7799-22000年IS0

根據(jù)BS7799-1制定了ISO/IEC17799-12005年IS0

根據(jù)修訂后的BS7799-2

制定了ISO27001:20052005年IS017799:2000

升級(jí)為ISO27002:20052008年IS027001

正式等同轉(zhuǎn)化為國(guó)家標(biāo)準(zhǔn)GB/T

22080:20082013年10月IS0

組織正式發(fā)布ISO27001:2013

版至今

ISO27001:2013

尚未轉(zhuǎn)為為國(guó)家標(biāo)準(zhǔn)ISO27001的起源和演變安

全

創(chuàng)

新

專

業(yè)

專

注BS7799

是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(British

Standards

Institute,BSI)針對(duì)信息安全管理而制定的一個(gè)標(biāo)準(zhǔn)。1995

年

，BS7799-

1:1995

《信息安全管理實(shí)施細(xì)則》首次出版，它提供了一套綜合性的、由信息安全最佳慣例構(gòu)成的實(shí)施細(xì)則，目的是為確定各類信息系統(tǒng)通用控制提供唯一的參考

基準(zhǔn)。1998

年

，BS7799-2:1998

《信息安全管理體系規(guī)范》公布，這是對(duì)BS7799-

1

的有效補(bǔ)充

,它規(guī)定了信息安全管理體系的要求和對(duì)信息安全控制的要求，是一個(gè)組織信息安全管理體

系評(píng)估的基礎(chǔ)，可以作為認(rèn)證的依據(jù)。1999

年

4

月

，BS7799

的兩個(gè)部分被重新修訂和擴(kuò)展，形成了一個(gè)完整版的BS7799:1999。新版本充分考慮了信息處理技術(shù)應(yīng)用的最新發(fā)展，特別是在網(wǎng)絡(luò)和通信領(lǐng)域。除了涵蓋以前版本所有內(nèi)容之外，新版本還補(bǔ)充了很多新的控制，包括電子商務(wù)、移動(dòng)計(jì)算、遠(yuǎn)程工作

等。BS7799安全

創(chuàng)新

專業(yè)

專注·

2002年，

BSI對(duì)BS7799:2-1999進(jìn)行了重新修訂，正式引入PDCA過(guò)程模型，2004年9月5日，

BS7799-2:2002

正式發(fā)布。·

2005年，

BS7799-2:2002終于被ISO

組織所采納，于同年10月推出了ISO/IEC

27001:2005。安全

創(chuàng)新

專業(yè)

專注ISO/IEC

27001

ISO/IEC

27001:2005版通篇就在講一件事，

ISMS

信息安全管理系統(tǒng)。本標(biāo)準(zhǔn)用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全管理體系(InformationSecurity

Management

System,

簡(jiǎn)稱ISMS)

提供模型。采用ISMS

應(yīng)當(dāng)是一個(gè)組織的一項(xiàng)戰(zhàn)略性決策。

一個(gè)組織的ISMS

的設(shè)計(jì)和實(shí)施受其需要和目標(biāo)、安全要求、所采用的過(guò)程以及組織的規(guī)模和結(jié)構(gòu)的影響，上述因素及其支持系統(tǒng)會(huì)不斷

發(fā)生變化。按照組織的需要實(shí)施ISMS,

是本標(biāo)準(zhǔn)所期望的，例如，簡(jiǎn)單的情況可采用簡(jiǎn)單的ISMS

解決方案。本標(biāo)準(zhǔn)可被內(nèi)部和外部相關(guān)方用于一致性評(píng)估。(引用自ISO/IEC

27001:2005中“0.1總則”)ISMS(信息安全管理系統(tǒng))安

全

創(chuàng)

新

專

業(yè)

專

注

□

1、P(Plan)--計(jì)劃，確定方針和目標(biāo)，確定活動(dòng)計(jì)劃；□2、D(Do)--執(zhí)行，實(shí)地去做，實(shí)現(xiàn)計(jì)劃中的內(nèi)容；□

3、C(Check)--檢查，總結(jié)執(zhí)行計(jì)劃的結(jié)果，注意效

果，找出問(wèn)題；□

4

、A(Action)--行動(dòng)，對(duì)總結(jié)檢查的結(jié)果進(jìn)行處理，

成功的經(jīng)驗(yàn)加以肯定并適當(dāng)推廣、標(biāo)準(zhǔn)化；失敗的教訓(xùn)加以總結(jié)，以免重現(xiàn)，未解決的問(wèn)題放到下一個(gè)PDCA

循環(huán)。PDCA(Plan、Do、Check

和Act)

是管理學(xué)慣用的一個(gè)過(guò)程模型，最早是由休哈特

(WalterShewhart)

于19世紀(jì)30年代構(gòu)想的，后來(lái)被戴明(Edwards

Deming)

采納、宣傳并運(yùn)用于持續(xù)改善產(chǎn)品質(zhì)量的過(guò)程當(dāng)中。PDCA

(戴明環(huán))安全創(chuàng)新專業(yè)專注PDCA循環(huán)：又名“戴明環(huán)”Action(行動(dòng))Do(執(zhí)行)Check(檢查)lan(計(jì)劃)改

進(jìn)

ISMS

措施已

被控

制的信

息安全實(shí)施信

息

安全

要

求&期望策劃建立ISMS

范

圍

&

風(fēng)險(xiǎn)評(píng)估PDCA

和ISMS

的結(jié)合安全

創(chuàng)新

專

業(yè)

專注監(jiān)控&評(píng)審ISMS檢查設(shè)計(jì)&實(shí)施ISMS

相關(guān)方相關(guān)方□

建立ISMS(PLAN)·

定義ISMS

的范圍■

定義ISMS

策略·

定義系統(tǒng)的風(fēng)險(xiǎn)評(píng)估途徑·

識(shí)別風(fēng)險(xiǎn)·

評(píng)估風(fēng)險(xiǎn)·

識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理措施·

選擇用于風(fēng)險(xiǎn)處理的控制目標(biāo)和控制■

準(zhǔn)備適用性聲明

(SoA)·

取得管理層對(duì)殘留風(fēng)險(xiǎn)的承認(rèn)，并授權(quán)實(shí)施和操作ISMS總體要求一個(gè)組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。就本標(biāo)準(zhǔn)而言，使用的過(guò)程基于圖1所示的PDCA模型。建立和管理ISMS信息安全管理體系安全創(chuàng)新專業(yè)專注□

實(shí)施和運(yùn)行ISMS(DO)制定風(fēng)險(xiǎn)處理計(jì)劃實(shí)施風(fēng)險(xiǎn)處理計(jì)劃·實(shí)施所選的控制措施以滿足控制目標(biāo)實(shí)施培訓(xùn)和意識(shí)程序■

管理操作■

管理資源·實(shí)施能夠激發(fā)安全事件檢測(cè)和響應(yīng)的程序和控制信息安全管理體系(續(xù))

安全

創(chuàng)

新

專業(yè)

專注

·

按照預(yù)定計(jì)劃進(jìn)行內(nèi)部ISMS

審計(jì)·

定期對(duì)ISMS進(jìn)行管理復(fù)審·

記錄活動(dòng)和事件可能對(duì)ISMS

的效力或執(zhí)行力度造成影響□

監(jiān)控和評(píng)審ISMS(CHECK)

·

執(zhí)行監(jiān)視程序和控制■

對(duì)ISMS

的效力進(jìn)行定期復(fù)審·

復(fù)審殘留風(fēng)險(xiǎn)和可接受風(fēng)險(xiǎn)的水平信息安全管理體系(續(xù))創(chuàng)新專業(yè)專注□

保持和改進(jìn)ISMS(ACT)■

對(duì)ISMS

實(shí)施可識(shí)別的改進(jìn)■

采取恰當(dāng)?shù)募m正和預(yù)防措施■

與所有利益伙伴溝通·

確保改進(jìn)成果滿足其預(yù)期目標(biāo)信息安全管理體系(續(xù))Page

安全

創(chuàng)

新

專

業(yè)

專

注

□

信息安全方針□

風(fēng)險(xiǎn)評(píng)估報(bào)告□

適用性聲明

(SoA)二級(jí)文件：

各類程序文件。至少包括(可能不限于此):□

風(fēng)險(xiǎn)評(píng)估流程

風(fēng)險(xiǎn)管理流程

風(fēng)險(xiǎn)處理計(jì)劃管理評(píng)審程序□

信息設(shè)備管理程序

信息安全組織建設(shè)規(guī)定新設(shè)施管理程序

內(nèi)部審核程序□

第三方和外包管理規(guī)定

信息資產(chǎn)管理規(guī)定

工作環(huán)境安全管理規(guī)定

介質(zhì)處理與安全規(guī)定□

系統(tǒng)開(kāi)發(fā)與維護(hù)程序業(yè)務(wù)連續(xù)性管理程序法律符合性管理規(guī)定

信息系統(tǒng)安全審計(jì)規(guī)定□

文件及材料控制程序安全事件處理流程ISO27001

標(biāo)準(zhǔn)要求的ISMS

文件體系應(yīng)該是一個(gè)層次化的體系，通常是由四個(gè)層次構(gòu)成的：信息安全手冊(cè)：該手冊(cè)由信息安全委員會(huì)負(fù)責(zé)制定和修改，是對(duì)信息安全管理體系框架的整體描述，以此表明確定范圍內(nèi)ISMS是按照ISO27001

標(biāo)準(zhǔn)要求建立并運(yùn)行的。信息安全手冊(cè)包含各個(gè)一級(jí)文件。一級(jí)文件：全組織范圍內(nèi)的信息安全方針，以及下屬各個(gè)方面的策略方針等。

一級(jí)文件至少包括(可能不限于此):三級(jí)文件：具體的作業(yè)指導(dǎo)書(shū)。描述了某項(xiàng)任務(wù)具體的操作步驟和方法，是對(duì)各個(gè)程序文件所規(guī)定的領(lǐng)域內(nèi)工作的細(xì)化。四級(jí)文件：各種記錄文件，包括實(shí)施各項(xiàng)流程的記錄成果。這些文件通常表現(xiàn)為記錄表格，應(yīng)該成為ISMS

得以持續(xù)運(yùn)行的有力證據(jù)，由各個(gè)相關(guān)部門(mén)自行維護(hù)。信息安全管理體系(續(xù))安

全

創(chuàng)

新

專

業(yè)

專

注

附錄二

ISO/IEC17799:2005版11

個(gè)方面、

39

個(gè)控制目標(biāo)和133

項(xiàng)控制措施列表□

1

)

安

全

方

針

7

)

訪

問(wèn)

控

制□

2

)

信

息

安

全

組

織

8

)

信

息

系

統(tǒng)

獲

取

、

開(kāi)

發(fā)

和

維

護(hù)□

3

)

資

產(chǎn)

管

理

9

)

信

息

安

全

事

故

管

理□

4

)

人

力

資

源

安

全

1

0

)

業(yè)

務(wù)

連

續(xù)

性

管

理□

5)物理和環(huán)境安全11)符合性□

6)通信和操作管理安

全

創(chuàng)

新

專

業(yè)

專

注

Page

140

.

前言1.范圍2.規(guī)范性引用文件3.術(shù)語(yǔ)和定義4.信息安全管理體系

4.1總要求4.2建立和管理ISMS4.3文件要求5.管理職責(zé)6.ISMS內(nèi)部審核7.ISMS的管理評(píng)審8.ISMS改進(jìn)安全創(chuàng)新專業(yè)專注0.前言1.范圍→

2.規(guī)范性引用文件3.術(shù)語(yǔ)和定義4.組織環(huán)境5.領(lǐng)導(dǎo)力6.策劃7.支持8.運(yùn)行9.績(jī)效評(píng)價(jià)10.改進(jìn)ISO

27001-2013新版本的變化A.5

安全方針A.6

信息安全組織A.7

人力資源安全A.8

資產(chǎn)管理A.9

訪問(wèn)控制A.10

密碼學(xué)(新增)A.11

物理與環(huán)境安全A.12

操作安全(拆分)A.13

通信安全(拆分)A.14

信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)A.15

供應(yīng)關(guān)系(新增)A.16

信息安全事件管理A.17

信息安全方面的業(yè)務(wù)連續(xù)性管理

A.18

符合性A.5

安全方針

A6

信息安全組織

A7

資產(chǎn)管理

A8

人力資源安全A9

物理與環(huán)境安全Al1

訪問(wèn)控制A12

信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù)Al3

信息安全事件管理

Al4

業(yè)務(wù)連續(xù)性管理

A15

符合性

A10

通信和操作管理

ISO

27001-2013新版本的變化ISO

27001:

20131S027001:2005安全

創(chuàng)新

專業(yè)

專注基于貴公司的業(yè)務(wù)現(xiàn)狀、對(duì)信息安全的要求及建立信息安全策略和目標(biāo)。在貴公司的整體

業(yè)務(wù)風(fēng)險(xiǎn)框架內(nèi)，依據(jù)IS027001

標(biāo)準(zhǔn)，以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，根據(jù)風(fēng)險(xiǎn)處置計(jì)劃建立和實(shí)施

信息安全管理體系

(ISMS)

以管理信息安全風(fēng)險(xiǎn)。并通過(guò)建立相關(guān)監(jiān)控體系評(píng)估ISMS

的

有

效性，最終將針對(duì)監(jiān)測(cè)結(jié)果對(duì)信息安全管理體系進(jìn)行持續(xù)改進(jìn)。實(shí)

施(DO)制定風(fēng)險(xiǎn)接受標(biāo)準(zhǔn)風(fēng)險(xiǎn)處置計(jì)劃制定ISMS文檔架構(gòu)1

級(jí)程序與流程

指導(dǎo)書(shū)、模板等

3

級(jí)文檔、記錄等改

進(jìn)(Act)預(yù)防性措施識(shí)別落在不百制定預(yù)防指記錄與迫蹤糾正性措施識(shí)別不合格項(xiàng)根源分析記錄與迫蹤計(jì)

劃

(PLAN)業(yè)務(wù)現(xiàn)狀了解信息資產(chǎn)識(shí)別威脅

脆弱內(nèi)

部ISMS

審

計(jì)持續(xù)的風(fēng)險(xiǎn)評(píng)估ISMS體系度量與監(jiān)檢

查(CHECK)持續(xù)改進(jìn)機(jī)制管理層評(píng)審IS027001實(shí)施方法論風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)估安

全

創(chuàng)

新

專

業(yè)

專

注

體系發(fā)布體系運(yùn)行改進(jìn)需求風(fēng)險(xiǎn)處置格頂可能性嚴(yán)重性路性對(duì)信息安全的要求、信息安全組織架構(gòu)、

ISMS文件體系、信息安全流

程、信息安全技術(shù)架構(gòu)和技術(shù)設(shè)施

管理情況、以及員工的信息安全意

識(shí)進(jìn)行綜合調(diào)研分析。通過(guò)管理和技術(shù)手段并用的方式全面了解貴公司的信息安全現(xiàn)狀，為

后續(xù)的工作打好基礎(chǔ)實(shí)現(xiàn)方法資料收集及分析問(wèn)卷調(diào)查現(xiàn)場(chǎng)訪談實(shí)地走查信息安全標(biāo)準(zhǔn)及監(jiān)管要求信息安全管理最佳實(shí)踐貴公司信息安全需求制定調(diào)研方案項(xiàng)目啟動(dòng)和差異分析

體系設(shè)計(jì)與發(fā)布目標(biāo)現(xiàn)場(chǎng)訪談技術(shù)調(diào)研問(wèn)卷調(diào)查1、現(xiàn)狀調(diào)研信息安全現(xiàn)狀調(diào)研總結(jié)報(bào)告資料收集文件審核技術(shù)調(diào)研等方式安全創(chuàng)新專業(yè)專注確定項(xiàng)目范圍、建立項(xiàng)目組管理架構(gòu)，并完成現(xiàn)狀

分析對(duì)項(xiàng)目范圍內(nèi)現(xiàn)有管理體系、流程，包含內(nèi)部控制

制度等進(jìn)行分析業(yè)務(wù)與信息管理架構(gòu)分析

與設(shè)計(jì)項(xiàng)目范圍內(nèi)信息平臺(tái)、應(yīng)

用系統(tǒng)分析項(xiàng)目范圍內(nèi)相關(guān)部門(mén)與重

要信息資產(chǎn)的互動(dòng)與權(quán)限

分析信息安全管理體系與國(guó)際標(biāo)準(zhǔn)ISO27001

對(duì)標(biāo)信息安全方針設(shè)計(jì)信息安全現(xiàn)狀診斷主要范圍現(xiàn)有制度與流程

組織架構(gòu)與職責(zé)項(xiàng)目啟動(dòng)和差異分析主要任務(wù)項(xiàng)目啟動(dòng)和差異分析

風(fēng)險(xiǎn)評(píng)估信息技術(shù)與平臺(tái)

各職能部門(mén)體系設(shè)計(jì)與發(fā)布

體系運(yùn)行與監(jiān)控

認(rèn)證及持續(xù)改進(jìn)1、現(xiàn)狀調(diào)研安全

創(chuàng)新

專業(yè)

專注階段信息安全風(fēng)險(xiǎn)評(píng)估制定信息資產(chǎn)識(shí)別標(biāo)準(zhǔn)

(包含保密級(jí)別劃分)資產(chǎn)識(shí)別及風(fēng)險(xiǎn)評(píng)估方法

培訓(xùn)信息資產(chǎn)收集識(shí)別關(guān)鍵信息資產(chǎn)，并評(píng)

估價(jià)值評(píng)估公司層面信息安全控

制措施安全漏洞掃描針對(duì)關(guān)鍵信息資產(chǎn)進(jìn)行威

脅、弱點(diǎn)及影響程度評(píng)估，計(jì)算出風(fēng)險(xiǎn)值風(fēng)險(xiǎn)分析公司層面控制A

anagement

ControlsM

ana

gem

ent

support

and

com

mitmentM

ana

gem

ent

reriewPerform

risk

assessment

and

managem

entInternal

aud

itTrainingD

ocum

ent

control風(fēng)險(xiǎn)評(píng)估項(xiàng)目啟動(dòng)和差異分析

風(fēng)險(xiǎn)評(píng)估

體系設(shè)計(jì)與發(fā)布

體系運(yùn)行與監(jiān)控

認(rèn)證及持續(xù)改進(jìn)2、風(fēng)險(xiǎn)評(píng)估信息安全管理成熟度安

全

創(chuàng)新

專業(yè)專注風(fēng)險(xiǎn)評(píng)估成果示例識(shí)別關(guān)鍵信息資產(chǎn)主要任務(wù)階段風(fēng)險(xiǎn)處置方法信息安全管理體系文件第二級(jí)第四級(jí)風(fēng)險(xiǎn)處置計(jì)劃風(fēng)應(yīng)指過(guò)

謹(jǐn)次授后花

中無(wú)

變

生

，

需

用政

上

E

**

后我

時(shí)

制

求

和

的

電名公干天事日出·信息安全方針·信息安全管理許案程序

信息安全內(nèi)市管理理序

糾正和預(yù)防拮施管理程序·文檔記示管控程序有效性則量程序·信息資產(chǎn)分蘭標(biāo)準(zhǔn)風(fēng)險(xiǎn)開(kāi)估實(shí)施招南·信息?？展芾磙k法,人員安全管理程序·培圳管理規(guī)定·房明性檢查列表,威肋檢查未·

內(nèi)部申計(jì)檢查項(xiàng)審計(jì)報(bào)告·

日志檢查表·信息安全管理手冊(cè)·第三方安全世理規(guī)足·機(jī)房安仝管進(jìn)規(guī)定力公區(qū)域女全管建規(guī)定

系統(tǒng)試運(yùn)行市查規(guī)完系紡安全管理規(guī)范·

網(wǎng)格運(yùn)維管理規(guī)范π給端設(shè)備使用管理規(guī)范

·變更管理現(xiàn)定·帳戶安全管理規(guī)范·

防病毒管理策略·文件加空指圍·

移動(dòng)力公守則·其它表草1級(jí)2級(jí)SMS策略34

級(jí)級(jí)工作指導(dǎo)書(shū)、操作手冊(cè)、模板、檢查表等表單、記錄主要任務(wù)確定風(fēng)

，

險(xiǎn)接受標(biāo)準(zhǔn)制定風(fēng)險(xiǎn)處置計(jì)劃管理層匯報(bào)定制風(fēng)險(xiǎn)處置實(shí)施整改計(jì)劃依據(jù)信息與業(yè)務(wù)重要性

，

制定各級(jí)信息安全管理制

度

和

流

程信息安全體系技術(shù)控制落

地及管理落地建議依據(jù)不同對(duì)象與時(shí)機(jī)

，

按

需

制

定

支

持

上

述

流

程

的

工

作

指

導(dǎo)

書(shū)信息安全管理體系發(fā)布及

培訓(xùn)建立適合貴公司的信息安全管理體系體系設(shè)

計(jì)

與

發(fā)

布體系設(shè)計(jì)與發(fā)布3、體系建立與發(fā)布安

全

創(chuàng)

新

專

業(yè)

專

注。體系與安全制度的對(duì)標(biāo)整合從管理措施和管理方法兩方面，進(jìn)行ISMS

制度與現(xiàn)存運(yùn)行的安全制度的對(duì)標(biāo)。確保符合集團(tuán)信息安全要求，并將現(xiàn)存的安全風(fēng)險(xiǎn)控制和管理方法融入ISMS制度中，從而達(dá)到制

度整合的目標(biāo)，使信息安全管理成為一個(gè)整體，成為一套管理程序?！顿F公司現(xiàn)有制度體系，包括集團(tuán)信息安全要求》總體規(guī)定

控制程序求置的女個(gè)應(yīng)中個(gè)個(gè)好貴的個(gè)管怒足置專作個(gè)發(fā)人兵令作中聯(lián)第三牛允素合公助險(xiǎn)律立在定景關(guān)量種系延行安金實(shí)施有效的的驅(qū)備名理源，并和屬作業(yè)指導(dǎo)書(shū)、表格、文檔

模版以及報(bào)告等應(yīng)用軟件程序維護(hù)作業(yè)指導(dǎo)書(shū)

安全服務(wù)管理業(yè)務(wù)指導(dǎo)書(shū)網(wǎng)絡(luò)配置變更作業(yè)指導(dǎo)書(shū)四

.

安全保障寫(xiě)且

e

制年干丙各公應(yīng)無(wú)領(lǐng)體在有的是在息不質(zhì)的同體原理和國(guó)小過(guò)，

信息安全保障體不，應(yīng)通過(guò)氧理機(jī)制和性木手報(bào)，摘保信息東成安的原，明確信工安全各相大方的青任。加屋人員管理，強(qiáng)化《責(zé)公司

XXX工作管理指引》

《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)》軟件需求管理力法信息系統(tǒng)項(xiàng)目管理辦法

外包項(xiàng)目管理辦法軟件需求管理控制程序

項(xiàng)目管理控制程序應(yīng)用至統(tǒng)安全管理規(guī)定《貴公司信息安全管理體系》·

計(jì)算機(jī)機(jī)房管理控制程序

運(yùn)行維護(hù)文檔管理控制程序應(yīng)用軟件程序維護(hù)作業(yè)流程圖

網(wǎng)管系統(tǒng)維護(hù)記錄周報(bào)安

全

創(chuàng)

新

專

業(yè)

專

注安全管理制度框架及管理規(guī)定對(duì)

應(yīng)要

求管理要求個(gè)容年物是安全運(yùn)行安全城

數(shù)據(jù)安全功能1.安全審計(jì)