信息安全管理体系课件

《信息安全管理体系课件》由会员分享，可在线阅读，更多相关《信息安全管理体系课件（99页珍藏版）》请在装配图网上搜索。

1、信息安全管理 （第二版），信信 息息 安安 全全 管管 理理信息安全管理上节回顾上节回顾6 上节回顾上节回顾6信息安全管理的重要性信息安全管理的重要性信息安全管理国内外现状信息安全管理国内外现状信息安全管理体系构成信息安全管理体系构成本节内容本节内容信息安全管理体系概述信息安全管理体系概述1BS7799信息安全管理体系信息安全管理体系2ISO27001信息安全管理体系信息安全管理体系36基于基于SSE-CMM的信息安全管理体系的信息安全管理体系4人力资源人力资源IT信息管理信息管理Finance财务管理财务管理业务管理业务管理职业安全职业安全质量管理质量管理环境管理环境管理战略和投资管理战略和

2、投资管理 综合管理体系综合管理体系市场市场/客户满意管理客户满意管理党务管理党务管理ISO 27000信息安全信息安全ISO 100015 培培训体系训体系 人力资人力资源管理体系源管理体系财务管理体系财务管理体系战略和投资管理体系战略和投资管理体系ISO 14001ISO 9000BS8600客户满意管理体系客户满意管理体系职业安全健康管理体系职业安全健康管理体系ISO18000Qs9000，ISMC常见管理体系2.1 2.1 信息安全管理体系概述信息安全管理体系概述 信息安全管理体系信息安全管理体系（Information Security Management SystemInforma

3、tion Security Management System，ISMSISMS）是组织在整体或特定范围内建立的信息安全方针和目是组织在整体或特定范围内建立的信息安全方针和目标，以及完整这些目标所用的方法和手段所构成的体标，以及完整这些目标所用的方法和手段所构成的体系。系。2.1 2.1 信息安全管理体系概述信息安全管理体系概述2.1 2.1 信息安全管理体系概述信息安全管理体系概述2.1 2.1 信息安全管理体系概述信息安全管理体系概述2.1 2.1 信息安全管理体系概述信息安全管理体系概述 u强化员工的信息安全意识，规范组织信息安全行为；强化员工的信息安全意识，规范组织信息安全行为；u促使

4、管理层贯彻信息安全保障体系；促使管理层贯彻信息安全保障体系；u对关键信息资产进行全面系统的保护，维持竞争优势；对关键信息资产进行全面系统的保护，维持竞争优势；u确保业务持续开展并将损失降到最低程度；确保业务持续开展并将损失降到最低程度；u使组织的生意伙伴和客户对组织充满信心；使组织的生意伙伴和客户对组织充满信心；u如果通过体系认证，可以提高组织的知名度与信任度。如果通过体系认证，可以提高组织的知名度与信任度。2.1 2.1 信息安全管理体系概述信息安全管理体系概述 P P（PlanPlan）计划，确定方针、目标和活动计划；计划，确定方针、目标和活动计划；D D（DoDo）实施，实现计划中的内容

5、；实施，实现计划中的内容；C C（CheckCheck）检查，检查并总结执行计划的结果；检查，检查并总结执行计划的结果；A A（ActionAction）行动，对检查总结的结果进行处理。行动，对检查总结的结果进行处理。2.1 2.1 信息安全管理体系概述信息安全管理体系概述*P P（PlanPlan）分析目前现状，找出存在的问题；分析目前现状，找出存在的问题；分析产生问题的各种原因以及影响因素；分析产生问题的各种原因以及影响因素；分析并找出管理中的主要问题；分析并找出管理中的主要问题；制定管理计划，确定管理要点。制定管理计划，确定管理要点。2.1 2.1 信息安全管理体系概述信息安全管理体系概

6、述*D D（DoDo）本阶段的任务是在管理工作中全面执行制定的方案。本阶段的任务是在管理工作中全面执行制定的方案。2.1 2.1 信息安全管理体系概述信息安全管理体系概述*C C（CheckCheck）它是对实施方案是否合理、是否可行以及有何不妥它是对实施方案是否合理、是否可行以及有何不妥的检查。的检查。2.1 2.1 信息安全管理体系概述信息安全管理体系概述*A A（ActionAction）2.1 2.1 信息安全管理体系概述信息安全管理体系概述 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 确定信息安全方针确定信息安全方针确定信息安全管理体系的范围确定信息安全管理体系的范围

7、制定风险识别和评估计划制定风险识别和评估计划 制定风险控制计划制定风险控制计划 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 风险治理风险治理 保证资源、提供培训、提高安全意识保证资源、提供培训、提高安全意识 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 自治程序自治程序 日常检查日常检查 从其他处学习从其他处学习 内部信息安全管理体系审核内部信息安全管理体系审核 管理评审管理评审 趋势分析趋势分析 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 2.1 2.1 信息安全管理体系概述信息安全管理体系概述 PDCA循环是螺旋式上升和发展的。2.1 2.1 信息安

8、全管理体系概述信息安全管理体系概述BS7799BS7799的发展历史的发展历史*19931993年，英国贸易工业部，年，英国贸易工业部，BS7799-1:1995BS7799-1:1995信息安信息安全管理实施规则全管理实施规则；*19981998年，年，BS7799-2:1998BS7799-2:1998信息安全管理体系规范信息安全管理体系规范；*19991999年，年，BS7799-1:1999BS7799-1:1999取代了取代了BS7799-1:1995BS7799-1:1995标准，标准，BS7799-2:1999BS7799-2:1999取代了取代了BS7799-2:1998BS7

9、799-2:1998标准；标准；2.2 BS77992.2 BS7799安全管理体系安全管理体系BS7799BS7799的发展历史的发展历史*国际标准化组织于国际标准化组织于20002000年年1212月正式将月正式将BS7799BS7799转化成转化成国际标准国际标准ISO/IEC17799ISO/IEC17799；*20052005年年6 6月月1515日发布了最新版本日发布了最新版本ISO/IEC17799:2005ISO/IEC17799:2005。2.2 BS77992.2 BS7799安全管理体系安全管理体系BS7799BS7799的发展历史的发展历史 BS7799BS7799标准

10、的最大意义就在于它给管理层一整套标准的最大意义就在于它给管理层一整套可可“量体裁衣量体裁衣”的信息安全管理要项、一套与技术负责的信息安全管理要项、一套与技术负责人或组织高层进行沟通的共同语言，以及保护信息资人或组织高层进行沟通的共同语言，以及保护信息资产的制度框架。产的制度框架。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容*BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 主要是给负责开发的人员作为参考文档使用，从而主要是给负责开发的人员作为参考文档使用，从而在他们的机构内部实施和维护信息安全。在他们的

11、机构内部实施和维护信息安全。*BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 详细说明了建立、实施和维护信息安全管理体系的详细说明了建立、实施和维护信息安全管理体系的要求，指出实施组织需要通过风险评估来鉴定最适宜的要求，指出实施组织需要通过风险评估来鉴定最适宜的控制对象，并根据自己的需求采取适当的安全控制。控制对象，并根据自己的需求采取适当的安全控制。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 BS7799-1:BS7799

12、-1:信息安全管理实施规则信息安全管理实施规则作为国际信息作为国际信息安全指导标准安全指导标准ISO/IEC17799ISO/IEC17799基础的指导性文件，包括基础的指导性文件，包括11 11大大管理要项，管理要项，134134种控制方法。种控制方法。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-1:BS7799-1:信息安全管理实施规则信息安全管理实施规则 2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体

13、系规范信息安全管理体系规范 BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范说明了建立、实施和维护信息安全管理体系（说明了建立、实施和维护信息安全管理体系（ISMSISMS）的要求；的要求；指出实施组织需要通过风险评估来鉴定最适宜的控制指出实施组织需要通过风险评估来鉴定最适宜的控制对象；对象；根据自己的需求采取适当的安全控制。根据自己的需求采取适当的安全控制。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS77

14、99-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005 ISO/IEC27001:2005更注重更注重PDCAPDCA的过程管理模式，的过程管理模式，能够更好的与组织原有的管理体系，如质量管理体系、能够更好的与组织原有的管理体系，如质量管理体系、环境管理体系等进行整合，减少组织的管理过程，降低环境管理体系等进行整合，减少组织的管理过程，降低管理成本。管理成本。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS7799-2:信息安全管理体系规

15、范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 2005.10 2005.10，英国信息安全管理体系标准，英国信息安全管理体系标准BS7799-2BS7799-2：20022002作为国际标准作为国际标准ISO/IEC 27001ISO/IEC 27001：20052005采用，标志着信息安全采用，标志着信息安全管理体系认证进入了一个新阶段。管理体系认证进入了一个新阶段。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系BS7799BS7799的内容的内容BS7799-2:BS

16、7799-2:信息安全管理体系规范信息安全管理体系规范 BS7799-2BS7799-2的新版本的新版本ISO/IEC27001:2005 ISO/IEC27001:2005 截至截至2005.112005.11，全球共签发了，全球共签发了18821882张认证证书，张认证证书，如：如：Siemens,NEC,CANONSiemens,NEC,CANON、EPONEPON、IBMIBM等。等。2.2 BS77992.2 BS7799信息安全管理体系信息安全管理体系27001标准族标准族2700027001270022700327004270052700627007ISMS原则和术语ISMS要求

17、 200517799：2005ISMS最佳实践ISMS实施指南管理度量风险管理信息安全管理体系审核认证机构要求信息安全管理审计2.3 ISO270002.3 ISO27000标准族标准族p 每年成倍增长的全球ISMS认证证书平均每天有10家组织机构通过ISO27001体系认证.全球全球ISMS的现状的现状2.3 ISO270002.3 ISO27000标准族标准族ISO 27001/ISO 27002标准发展标准改版背景国际标准化组织（ISO组织）遵循所有标准每隔5年必须进行升级的原则。当前版本的信息安全管理体系标准ISO 27001：2005与ISO27002：2005已绊使用了8年。ISO

18、 27001：2005与ISO 27002：2005版在体系整合、控制项逻辑性不充分性等方面都有改进的空间。2000年4月将BS7799-1：1999提交ISO组织，同年10月获得通过成为ISO 17799：2000BS7799标准1992年在英国首次作为行业标准发布ISO 17799：2005 正 式更名为ISO 27002:20072013年10月19日修订原版使用：ISO 27001：2013ISO 27002：201320072013BS 7799-2：2002成为国际标准ISO 27001：2005ISO 17799：2000修订升级为ISO 17799：2005版2005将BS77

19、99-2：2000进行修订发布了BS7799-2：20022002将BS 7799-2：1999进行修订发布了BS7799-2：200020012000在1998年、1999年绊过两次修订之后出版BS7799-1：1999BS7799-2：19991998/19991992标准改版特点管理体系更容易整合：在新版标准中采取Annex SL做结构性要求，使信息安全管理体系更容易与其他管理体系融合。融入企业面临新安全挑战：对部分控制项进行了合并、删除，并且新增了部分控制项以反映当前信息安全发展趋势。更多指引延伸参考：新增许多指引供企业参考，组织可以通过不同的面以及风险进行深度的强化。2.3 ISO2

20、70002.3 ISO27000标准族标准族ISMS在中国2000年前后，ISMS开始被中国用户认识2002年11月，ISMS国家标准开始被研究和制定2005年6月15日，我国发布第一个ISMS国家标准“GB/T19716-2005信息安全管理实用规则”，该标准修改采用ISO/IEC17799:20002006年3月，国信办在5个单位开展ISMS标准应用试点工作2006年4月，认监委批准4家ISMS试点认证机构2006年11月，成立中国信息安全认证中心2007年4月，中国向国际标准化组织ISO/IEC JTC1/SC27提出ISMS审核标准提案2008年 GB22080-2008-T信息技术

21、安全技术 信息安全 管理体系要求2008年 GB22081-2008-T信息技术 安全技术 信息安全 管理实用规则2.3 ISO270002.3 ISO27000标准族标准族u 可以强化员工的信息安全意识，规范组织信息安全行为。u 对组织的关键信息资产进行全面系统的保护，维持竞争优势。u 在信息系统受到侵害时，确保业务连续开展并将损失降到最低程度。u 向贸易伙伴证明对信息安全的承诺，使贸易伙伴和客户对组织充满信心。u 如果通过体系认证，表明组织的信息安全体系符合标准，证明组织有能力保障重要信息，提高组织的知名度与信任度。u 促使管理层坚持贯彻信息安全保障体系。通过ISO27001认证的意义2.

22、3 ISO270002.3 ISO27000标准族标准族ISMS核心思想IS0/IEC27001:2005IS0/IEC27001:2005的要求的要求2.3 ISO270002.3 ISO27000标准族标准族相关方相关方受控的受控的信息安全信息安全信息安全信息安全要求和期望要求和期望相关方相关方检查检查Check建立ISMS实施和运行ISMS保持和改进ISMS监视和评审ISMS规划规划Plan实施实施Do处置处置ActIS0/IEC27001:2005的要求PDCAPDCA各阶段各阶段内容内容对应标准条款对应标准条款P-规划规划建立建立ISMS建立与管理风险和改进信息安全有关的建立与管理风

23、险和改进信息安全有关的ISMSISMS方方针、目标、过程和程序，以提供与组织整体方针、目标、过程和程序，以提供与组织整体方针和目标相一致的结果针和目标相一致的结果4.1 4.2.14.3 5D-实施实施实施和运行实施和运行ISMS实施和运行实施和运行ISMSISMS方针、控制措施、过程和程序方针、控制措施、过程和程序4.2.2C-检查检查监视和评审监视和评审ISMS对照对照ISMSISMS方针、目标和实践经验，评估并在适方针、目标和实践经验，评估并在适当时，测量过程的执行情况，并将结果报告管当时，测量过程的执行情况，并将结果报告管理者以供评审理者以供评审4.2.367A-处置处置保持和改进保持

24、和改进ISMS基于基于ISMSISMS内部审核和管理评审的结果或者其他内部审核和管理评审的结果或者其他相关信息，采取纠正和预防措施，以持续改进相关信息，采取纠正和预防措施，以持续改进ISMSISMS4.2.482.3 ISO270002.3 ISO27000标准族标准族11个控制域39个控制目标133个控制项10个控制域36个控制目标127个控制项对比ISO17799:2000老版ISO27001系列标准的ISMS主体内容2.3 ISO270002.3 ISO27000标准族标准族uISO27001：源自BS7799-2框架体系u是建立信息安全管理系统（ISMS）的一套规范，一个完整的解决方案

25、安全策略安全策略 Security policy人力资源安全人力资源安全 Human resources security物理与环境安全物理与环境安全 Physical and environmental security通信与操作管理通信与操作管理 Communications and operations management信息系统获取、开发和维信息系统获取、开发和维护护 Information systems acquisition,development and maintenance组织信息安全组织信息安全 Organizing information security资产管理资产

26、管理 Asset management访问控制访问控制 Access control信息安全事件管理信息安全事件管理 Information security incident management业务连续性管理业务连续性管理 Business continuity management符合性符合性 ComplianceISO27001的内容框架2.3 ISO270002.3 ISO27000标准族标准族ISO/IEC27001的要求pISO/IEC27001:2005 附录附录A的要求的要求章节章节控制措施域控制措施域控制目标控制目标控制措施控制措施A.5安全方针安全方针12A.6信息安全组

27、织信息安全组织211A.7资产管理资产管理25A.8人力资源安全人力资源安全39A.9物理和环境安全物理和环境安全213A.10通信和操作管理通信和操作管理1032A.11访问控制访问控制725A.12信息系统获取、开发和维护信息系统获取、开发和维护616A.13信息安全事故管理信息安全事故管理25A.14业务连续性管理业务连续性管理15A.15符合性符合性310合计合计391332.3 ISO270002.3 ISO27000标准族标准族ISMS实施过程前期准备前期准备现状调查现状调查搜集搜集基本信息基本信息现场访谈现场访谈GAP问卷调查问卷调查运维现状运维现状问卷调查问卷调查技术安全技术安

28、全现场检查现场检查资产清单资产清单风险评估风险评估体系建立体系建立IT资产评估资产评估确定确定风险水平风险水平IT过程评估过程评估(试点试点)培训培训风险管理风险管理策略策略体系运行体系运行体系文档体系文档编写编写培训培训完善治理完善治理机制机制建立建立安全组织安全组织资产保护资产保护过程改进过程改进体系试运行体系试运行体系体系正式运行正式运行建立体系建立体系审核机制审核机制体系调整体系调整培训培训体系体系认证认证成立成立项目小组项目小组宣传动员宣传动员确定项目确定项目实施方案实施方案培训培训2.3 ISO270002.3 ISO27000标准族标准族 领导重视领导重视:制定信息安全方针为信息

29、安全管理提供导向和支持 控制目标和控制方式的选择建立在 风险评估风险评估 的基础之上 预防控制为主的思想原则 全员参与全员参与原则 动态管理原则 持续改进持续改进:遵循管理的一般循环模式PDCA模式 持续性原则 文件化文件化ISO27001 实施体现以下原则2.3 ISO270002.3 ISO27000标准族标准族2.3 ISO270002.3 ISO27000标准族标准族Procedures Work Instructions,checklists,forms,etc.RecordsSecurity ManualPolicy,scoperisk assessment,statement o

30、f applicabilityDescribes processes who,what,when,where(4.1-4.10)Describes how tasks and specific activities are doneProvides objective evidence of compliance to ISMS requirements clause 3.6Management frameworkpolicies relating toISO27001:2005Clause 4Level 2Level 3Level 4ISO27001体系要求基本文档 Level 1 ISO2

31、7001文档体系结构运行记录运行记录程序文件程序文件方针方针策略策略作业文件作业文件/指导书指导书第一级第一级 方针策略方针策略信息安全管理手册信息安全管理手册是是XXXX信信息安全管理工作的纲领性文件息安全管理工作的纲领性文件。第二级第二级 管理规定、规范、程序文件用来规定所要求管理规定、规范、程序文件用来规定所要求的管理制度或技术控制措施。的管理制度或技术控制措施。第三级第三级 作业指导书解释特殊工作和活动的细节作业指导书解释特殊工作和活动的细节；场所文件规定某一工作区域的要求场所文件规定某一工作区域的要求。第四级第四级 记录活动实行以符合等级记录活动实行以符合等级1,2,和和3的文件的文

32、件要求的客观证据，阐明所取得的结果或要求的客观证据，阐明所取得的结果或提供完成活动的证据提供完成活动的证据 2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结构-主策略运行记录运行记录程序文件程序文件主主策略策略作业文件作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结构-程序文件运行记录运行记录程序文件程序文件主主策略策略作业文件作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结构-操作流程运行记录运行记录程序文件程序文件主主策略策略作业文件

33、作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001文档体系结构运行记录运行记录程序文件程序文件主主策略策略作业文件作业文件/指导书指导书2.3 ISO270002.3 ISO27000标准族标准族ISO27001 ISO27001 最新版本为最新版本为ISO 27001:2013ISO 27001:201320132013年年1010月正式发布月正式发布对比：对比：ISO 27001:2013 1414个控制域个控制域 3535个控制目标个控制目标 114114个控制项个控制项ISO 27001:2005 11 11个控制域个控制域 3939个控

34、制目标个控制目标 133133个控制项个控制项2.3 ISO270002.3 ISO27000标准族标准族ISO Guide 83：国际标准未来框架单化，这也将使标准更易读、易懂。所 有 管 理 体 系 标 准 将 遵 循 ISOSupplement Annex SL 的要求，以便整合其他标准文件中的不同主题和要求，如：统一定义，如：组织、相关方、方针、目标、能力、符合性统一的表述，如：最高管理者应确保组织内的职责、权限得到规定和沟通。1.Scope范围2.Normative Reference规范性引用文件4.Context of the Organization组织环境5.Leadersh

35、ip领导力6.Planning策划7.Support支持8.Operation运行9.Performance Evaluation绩效评价10.Improvement改进ISO 27001ISO 20000ISO 22301.导则83：明确了 ISO国际标准未来发展框架及方向3.Terms and Definitions术语和定义管理体系标准新结构和格式国际标准化组织对管理体系标准在结构、格式、通用短语和定义方面进行了统一。这将确保今后编制或修订管理体系标准的持续性、整合性和简PAS 99：整合管理体系4.Context of the Organization组织环境PAS 99Integra

36、ted ManagementFramework5.Leadership领导力Plan6.Planning策划7.Support支持DO8.Operation运行Check10.Improvement改进 Act9.Performance Evaluation绩效评价ISO 27001:2013标准结构调整相关方相关方信息安全要求和期望受控的信息安全输入组织环境领导力策划支持改进绩效评价输入运行文件信息新标准正文内容结构2.3 ISO270002.3 ISO27000标准族标准族ISO27001:2013文档结构与PDCA新标准正文结构变化0.前言1.范围2.规范性引用文件 3.术语和定义4.信

37、息安全管理体系4.1 总要求4.2 建立和管理ISMS4.3 文件要求5.管理职责6.ISMS内部审核7.ISMS的管理评审8.ISMS 改进0.前言1.范围2.规范性引用文件3.术语和定义4.组织环境5.领导力6.策划7.支持8.运行9.绩效评价10.改进 章节 描述 4.组织环境属于Plan阶段的一个组成部分。本章介绍了建立适用于组织信息安全管理环境的必要要求，包括需求、要求与范围。本章涉及了解组织现状及背景、明确建立信息安全管理体系的目的、理解相关方的需求与期望、确定信息安全管理体系范围。5.领导力属于Plan阶段的一个组成部分。本章总结了最高管理层在信息安全管理体系中承担角色的具体要求

38、，以及如何通过一件声明的策略来向组织传达领导层的期望。本章涉及了领导力和承诺、信息安全方针目标，以及角色、职责和承诺。6.策划属于Plan阶段的一个组成部分。本章介绍了处理风险和机遇的行动，以及可实现的信息安全目标与实现计划。本章涉及了信息安全风险评估、风险所有者、信息安全风险处置、适用性声明、信息安全目标。7.支持属于Plan阶段的一个组成部分。参与人员的能力、意识、与利益相关方沟通、文档化信息。新标准正文内容简介本章详细叙述了建立、实施、保持和改进一个有效的信息安全管理体系所要求的支持。包括：资源要求、章节描述8.运行属于Do阶段的一个组成部分。本章要求组织计划并控制信息安全要求的运行。本

39、章涉及运行计划及控制、信息安全风险评估、信息安全风险处置。9.绩效评价属于Check阶段的一个组成部分。本章总结了度量ISMS执行、ISMS国际标准及管理层期望的符合性、寻求管理层期望反馈的要求。本章涉及监控、度量、分析和评价，内部审核，管理评审。10.改进属于Act阶段的一个组成部分。本章定义了通过纠正行动来识别和改进不符合项。本章涉及不符合项与纠正措施、持续改进。新标准正文内容简介新标准控制域变化ISO 27001：2013 DISA.5 安全方针A.6 信息安全组织A.7 人力资源安全A.8 资产管理A.9 访问控制A.10 密码学(新增)A.11 物理与环境安全A.12 操作安全(拆分

40、）A.13 通信安全（拆分）A.14 信息系统获取、开发和维护A.15 供应关系(新增)A.16 信息安全事件管理A.17 信息安全方面的业务连续性管理A.18 符合性ISO 27001：2005A.5 安全方针A6 信息安全组织A7 资产管理A8 人力资源安全A9 物理与环境安全A10 通信和操作管理A11 访问控制A12 信息系统获取、开发和维护A13 信息安全事件管理A14 业务连续性管理A15 符合性Tips2005版原本有11个领域、133项控制措施；新版标准目前调整为14个领域、113个控制措施.控制措施变化：增加11个、删除26个、合并减少5个，总计减少了20个。控制项描述说明A

41、.6.1.4项目管理中的信息安全信息安全应融入项目管理中，与项目类型无关。加强项目中的安全管理。A.12.6.2限制软件安装应建立规则来控制用户安装软件控制版权及技术漏洞风险。A.14.2.1安全开发策略应制定及应用关于软件和系统的开发规则加强信息系统生命周期中的信息安全管理，建立安全开发策略、程序与流程。A.14.2.5系统开发程序应建立安全系统开发流程，记彔，维护并应用到任何信息系统开发工作A.14.2.6安全的开发环境组织应建立并适当保护开发环境安全，并集成涵盖整个系统开发周期的工作A.14.2.8系统安全性测试在开发的过程中，必须测试功能的安全性A.15.1.3ICT(信息和通信技术)

42、供应链与供应商的协议应包括解决信息、通信技术服务、产品供应链相关信 息安全风险的要求控制供应链中断风险。A.16.1.4信息安全事件的评估和决策信息安全事件应当被评估与决策，若其被归类为信息安全事件。完善信息安全事件管理生命周期。A.16.1.5信息安全事故的响应信息安全事件应依照程序文件响应A.17.1.2实现信息安全的连续性 组织应建立、记彔、实施并维护流程、程序、控制项，以保证在不利情况下要求的信息安全连续性的等级。加强可用性管理，完善原BCM(业务连续性)管理的生命周期。A.17.2.1信息处理设施的可用性 信息处理设施应当实现冗余，以满足可用性需求。新增控制措施介绍ISO 27001

43、：2013 DISISO 27001：2005A.6.1.1信息安全的角色和 职责A.6.1.3 信息安全职责的分配A.8.1.1 角色和职责A.9.2.1用户注册和注销A.11.2.1 用户注册A.11.5.2 用户标识和鉴别A.9.4.2安全登彔程序A.11.5.1 安全登彔规程A.11.5.5 会话超时A.11.5.6 联机时间的限定A.12.4.2管理员和操作员日 志A.10.10.3 日志信息的保护A.10.10.4 管理员和操作员日志A.14.1.2保护公共网络上的应用服务A.10.9.1 电子商务A.10.9.3 公共可用信息合并控制措施介绍删除控制措施理由A.6.1.1信息安全

44、的管理承诺在ISO 27001正文中管理层承诺中已绊包含其内容A.6.1.2信息安全协调内容与ISO 27003中关于ISMS建立与实施的内容重复A.6.1.4信息处理设施的授权过程在A6.1.1中的一部分，没有必要再单独出现A.6.2.1与外部各方相关风险的识别在ISO 27001正文风险评估与处理中已绊体现A.6.2.2处理与顾客有关的安全问题在ISO 27001正文风险评估与处理中已绊体现A.10.2.1服务交付没有原因A.10.7.4系统文件安全系统文件也属于信息资产，他们如何保护取决于其风险A.10.8.5业务信息系统该控制项几乎涉及整个标准，控制效果不明显A.10.10.2监视系统

45、的使用是Event Logging（A12.4.1）控制措施的子集A.10.10.5故障日志是Event Logging（A12.4.1）控制措施的子集删除控制措施介绍删除控制措施理由A.11.4.2外部连接的用户鉴别被相关内容被access control(A.9.1.1)涵盖A.11.4.3网络上的设备识别相关内容被 networks control（A.13.1.3）涵盖A.11.4.4 远程诊断和配置端口的保护相关内容被 networks control（A.13.1.3）涵盖A.11.4.6网络连接控制相关内容被 networks control（A.13.1.3）涵盖A.11.4.

46、7 网络路由控制相关内容被 networks control（A.13.1.3）涵盖A.11.6.2敏感系统隔离在互联互通的世界这个控制措施的目标很难实现A.12.2.1输入数据确讣相关内容在System development procedures（A.14.2.5）体现A.12.2.2内部处理的控制相关内容在System development procedures（A.14.2.5）体现A.12.2.3消息完整性相关内容在 Information transfer policies and procedures（A.13.2.1）体现A.12.2.4输出数据确讣相关内容在System d

47、evelopment procedures（A.14.2.5）体现删除控制措施介绍删除控制措施理由A.12.5.4信息泄露相关内容在A.8.3.2/A.11.2.1/A.12.6.2/A.13.2.4和其他区域都有涉及A.14.1.1 在业务连续性管理过程中包含信息安全相关控制内容在Implementing information securitycontinuity（A.17.1.2）有体现A.14.1.3制定和实施包含信息安全的连续性计划相关控制内容在Implementing information securitycontinuity（A.17.1.2）有体现A.14.1.4 业务连续性

48、计划框架相关控制内容在Implementing information securitycontinuity（A.17.1.2）有体现A.15.1.5防止滥用信息处理设施该控制内容与英国的一部法律相关A.15.3.2信息系统审计工具的保护审计工具也属于信息资产，其保护由其有风险决定删除控制措施介绍序号标准编号标准名称出版年件1ISO/IEC 27000信息技术-安全技术-信息安全管理体系-概述与术语20092ISO/IEC 27001信息技术-安全技术-信息安全管理体系-要求20053ISO/IEC 27002信息技术-安全技术-信息安全管理实用规则20054ISO/IEC 27003信息技术

49、-安全技术-信息安全管理体系实施指南20105ISO/IEC 27004信息技术-安全技术-信息安全管理-度量20096ISO/IEC 27005信息技术-安全技术-信息安全风险管理20117ISO/IEC 27006信息技术-安全技术-信息安全管理体系讣证机构要求20078ISO/IEC 27007信息技术-安全技术-信息安全管理体系审核指南20119ISO/IEC 27008信息技术-安全技术-ISMS控制措施的审核员指南201110ISO/IEC 27010信息技术-安全技术-部门间和组织间通信的信息安全管理201211ISO/IEC 27011信息技术-安全技术-通讯行业基于ISO/I

50、EC 27002的信息安全管理指南2008ISO 27000标准系列序号标准编号标准名称出版年件12ISO/IEC 27013信息技术-安全技术-ISO/IEC 27001与 ISO/IEC 20000-1整合实施指南201213ISO/IEC 27014信息技术-安全技术-信息安全治理架构201314ISO/IEC 27015信息技术-安全技术-金融服务行业信息安全管理指南201215ISO/IEC 27017信息技术-安全技术-信息安全管理-基于ISO/IEC 27002使用云计算服务信息安全控制措施指南未发布16ISO/IEC 27018信息技术-安全技术-公共云计算服务数据保护控制措施

51、实用规则未发布17ISO/IEC 27031信息技术-安全技术-业务连续性信息通信技术准备指南201118ISO/IEC 27032信息技术-安全技术-网络安全技术指南201219ISO/IEC 27033-1信息技术-安全技术-网络安全-概述与概念200920ISO/IEC 27033-2信息技术-安全技术-网络安全-网络安全设计与实施指南201221ISO/IEC 27033-3信息技术-安全技术-网络安全-参考网络场景-威胁、设计技术与控制问题2010ISO 27000标准系列序号标准编号标准名称出版年件22ISO/IEC 27034-1信息技术-安全技术-应用安全-应用安全概述与概念2

52、01123ISO/IEC 27034-2信息技术-安全技术-应用安全-组织规范框架未发布24ISO/IEC 27034-3信息技术-安全技术-应用安全-应用安全管理流程未发布25ISO/IEC 27034-4信息技术-安全技术-应用安全-应用安全验证未发布26ISO/IEC 27034-5信息技术-安全技术-应用安全-协议和应用安全控制数据结构未发布27ISO/IEC 27034-6信息技术-安全技术-应用安全-特定应用安全指南未发布28ISO/IEC 27035信息技术-安全技术-信息安全事件管理201129ISO/IEC 27036信息技术-安全技术-供应关系信息安全（4部分）未发布30I

53、SO/IEC 27040信息技术-安全技术-存储安全未发布31ISO/IEC 27044信息技术-安全技术-安全信息与事态管理指南未发布ISO 27000标准系列ISO27001:2013 DIS版草稿向公众开放并征求意见。2013年 6-7 月发布DIS最终版。发布DIS最终版ISO 组 织 公 布 的 正 式 版本的颁布时间为2013年10月19日。发布正式版个月内是认证转换缓冲期，即 原 有 已 取 得 ISO27001 证书的企业最迟需要在2015年10月19日前转换到新版标准。完成认证转换新标准认证转换时间安排在 新 版 公 布 后 的 18 至 24体系认证换证方案PlanDoCh

54、eckAction最佳实践国际国内标准监管要求法律法规安全实践项目准备获得新版证书现状调研风险评估体系建设体系运行认证审核1.项目资源准备2.项目计划编制3.实施工具准备4.项目启劢大会5.新版标准培训课堂培训、共同实施、资料交付、知识转移1.体系文件评审2.现场访谈走查3.安全技术评估4.新版差距分析5.现状调研总结1.评估方法更新2.信息资产更新3.安全风险分析4.安全风险处置5.风险评估总结1.体系整合设计2.文件架构更新3.制度文件编写4.制度文件评审5.制度文件发布1.体系运行跟踪2.运行工具更新3.体系内部审核4.体系管理评审5.体系持续改进1.宣传培训2.文件审核3.现场审核4.

55、审核整改5.宣传展示 系统安全工程能力成熟度模型系统安全工程能力成熟度模型（System Security Engineering-Capability Maturity ModelSystem Security Engineering-Capability Maturity Model，SSE-CMMSSE-CMM）的提出是为了改善安全系统、产品和服务的性能、价格的提出是为了改善安全系统、产品和服务的性能、价格及可用性。及可用性。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM是一个过程参考模型是一个过程参考模型关注的是信息技术安全(ITS

56、)领域内某个系统或者若干相关系统实现安全的要求SSE-CMM关注的是用来实现ITS的过程，尤其是这些过程的成熟度SSE-CMM的目的不是规定组织使用的具体过程，更不必说具体的方法。而是希望准备使用SSE-CMM的组织利用其现有的过程那些以其他任何信息技术安全指导文件为基础的过程 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMM范围包括：范围包括：涉及整个生存周期的安全产品或可信系统的系统安全工程活动：概念定义、需求分析、设计、开发、集成、概念定义、需求分析、设计、开发、集成、安装、运行、维护、最终退役安装、运行、维护、最终退役 对产品开发商、安全系统开发和

57、集成商，以及提供计算机安全服务和计算机安全工程组织的要求；适用于从商业界到政府部门和学术界的各种类型和规模的安全工程组织。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系【原文标准名称原文标准名称】信息技术信息技术.系统安全工程系统安全工程.能力成熟度模型能力成熟度模型【标准号标准号】GB/T 20261-2006【标准状态标准状态】现行现行【国别国别】中国中国【发布日期发布日期】2006-03-14【实施或试行日期实施或试行日期】2006-07-01【发布单位发布单位】国家质检总局国家质检总局(SBTS)【起草单位起草单位】中国电子技术标准化研究所中国电子技术标准化研

58、究所;中国电子科技集团中国电子科技集团公司第三十研究所公司第三十研究所;北京思乐信息技术有限公司北京思乐信息技术有限公司 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM概述概述*19931993年年4 4月，美国国家安全局（月，美国国家安全局（NSANSA）对当时各类能力）对当时各类能力成熟度模型（成熟度模型（CMMCMM）工作状况进行研究；）工作状况进行研究；*19961996年年1010月出版了月出版了SSE-CMMSSE-CMM的第一个版本；的第一个版本；*19991999年年4 4月月SSE-CMMSSE-CMM模型和相应评估方法模

59、型和相应评估方法2.02.0版发布；版发布；*20022002年，国际标准化组织正式公布了系统安全工程能年，国际标准化组织正式公布了系统安全工程能力成熟度模型的标准，即力成熟度模型的标准，即ISO/IEC21827:2002ISO/IEC21827:2002。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM概述概述SSE-CMMSSE-CMM由由50 50 多个组织共同开发，其中有许多跨多个组织共同开发，其中有许多跨国公司。国公司。这个项目的代表来自好几个国家，特别是澳大利亚、这个项目的代表来自好几个国家，特别是澳大利亚、加拿大、欧洲和美国。

60、加拿大、欧洲和美国。通过各种各样的聚会形式通过各种各样的聚会形式(包括会议上的介绍和分组包括会议上的介绍和分组讨论讨论)以及公众互联网网站以及公众互联网网站www.www.sse-cmmsse-cmm.org,SSE-.org,SSE-CMMCMM项目在不断地寻找新的参与者。项目在不断地寻找新的参与者。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM的作用的作用 工程组织工程组织包括系统集成商、应用开发者、产品厂商包括系统集成商、应用开发者、产品厂商和服务供应商。对于这些组织，和服务供应商。对于这些组织，SSE-CMMSSE-CMM的作用包括

61、：的作用包括：通过可重复和可预测的过程及实施来减少返工；通过可重复和可预测的过程及实施来减少返工；获得真正工程执行能力的认可，特别是在资源选择获得真正工程执行能力的认可，特别是在资源选择方面；方面；侧重于组织的资格（成熟度）度量和改进。侧重于组织的资格（成熟度）度量和改进。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM的作用的作用 获取组织获取组织包括从内部包括从内部/外部获取系统、产品和服务的外部获取系统、产品和服务的组织以及最终用户。对于这些组织，组织以及最终用户。对于这些组织，SSE-CMMSSE-CMM的作用：的作用：可重用的（可重

62、用的（Request for ProposalRequest for Proposal，RFPRFP）标准语言和）标准语言和评定方法；评定方法；减少选择不合格投标者的风险（性能、成本和工期风减少选择不合格投标者的风险（性能、成本和工期风险）；险）；进行基于工业标准的统一评估，减少争议；进行基于工业标准的统一评估，减少争议；在产品生产和提供服务过程中建立可预测和可重复级在产品生产和提供服务过程中建立可预测和可重复级的可信度。的可信度。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM的作用的作用 评估机构评估机构包括系统认证机构、系统授权机构和产

63、品包括系统认证机构、系统授权机构和产品评估机构。对于这些机构，评估机构。对于这些机构，SSE-CMMSSE-CMM的作用包括：的作用包括：可重用的过程评定结果，并与系统或产品变化无关；可重用的过程评定结果，并与系统或产品变化无关；在安全工程中以及安全工程与其他工程集成中的信任度；在安全工程中以及安全工程与其他工程集成中的信任度；基于能力的显见可信度，减少安全评估工作量。基于能力的显见可信度，减少安全评估工作量。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM的基本概念的基本概念*组织组织被定义为公司内部的单位、整个公司或其他实体被定义为公司内

64、部的单位、整个公司或其他实体（如政府机构或服务机构）。（如政府机构或服务机构）。*项目项目是各种活动和资源的总和，这些活动和资源用于是各种活动和资源的总和，这些活动和资源用于开发或维护一个特定的产品或提供一种服务。开发或维护一个特定的产品或提供一种服务。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM的基本概念的基本概念系统系统：提供某种能力用以满足一种需要或目标的人员、提供某种能力用以满足一种需要或目标的人员、产品、服务和过程的综合；产品、服务和过程的综合；事物或部件的汇集形成了一个复杂或单一整体事物或部件的汇集形成了一个复杂或单一整体（即

65、用来完成某个特定或（即用来完成某个特定或组功能的组件的集合）；组功能的组件的集合）；功能相关的元素相互组合。功能相关的元素相互组合。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM的基本概念的基本概念能力成熟度模型能力成熟度模型CMMCMM：CMMCMM经过确定当前特定过程的能力和在一个特经过确定当前特定过程的能力和在一个特定域中识别出关键的质量和过程改进问题，来指导定域中识别出关键的质量和过程改进问题，来指导和选择过程改进策略。和选择过程改进策略。2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-

66、CMM的安全过程的安全过程2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系在最简单的层次上，风险过程识别所开发的产品或系统的内在危险并且排列在最简单的层次上，风险过程识别所开发的产品或系统的内在危险并且排列优先顺序优先顺序针对这些危险所呈现的问题，安全工程过程与其他工程学科一起确定和实现针对这些危险所呈现的问题，安全工程过程与其他工程学科一起确定和实现相应的解决方案相应的解决方案最后，保障过程确立安全解决方案的置信度并且把这样的置信度传递给顾客最后，保障过程确立安全解决方案的置信度并且把这样的置信度传递给顾客SSE-CMMSSE-CMM的安全过程的安全过程SSE-CMMSSE-CMM风险评估过程风险评估过程 安全凤险过程包括威胁、脆弱性和影响安全凤险过程包括威胁、脆弱性和影响2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系SSE-CMMSSE-CMM的安全过程的安全过程SSE-CMMSSE-CMM风险评估过程风险评估过程 2.4 2.4 基于基于SSE-CMMSSE-CMM的管理体系的管理体系安全工程的一个主要目标是减少风险安全工程的一个