【正文】 實(shí)施的關(guān)鍵成功因素（） ? 安全策略、目標(biāo)和活動(dòng)應(yīng)該反映業(yè)務(wù)目標(biāo) ? 有一種與組織文化保持一致的實(shí)施、維護(hù)、監(jiān)督和改進(jìn)信息安全的途徑 ? 來(lái)自高級(jí)管理層的明確的支持和承諾 ? 深刻理解安全需求、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理 ? 向所有管理者和員工有效地推廣安全意識(shí) ? 向所有管理者、員工及其他伙伴方分發(fā)信息安全策略、指南和標(biāo)準(zhǔn) ? 為信息安全管理活動(dòng)提供資金支持 ? 提供適當(dāng)?shù)呐嘤?xùn)和教育 ? 建立有效的信息安全事件管理流程 ? 建立衡量體系，用來(lái)評(píng)估信息安全管理體系的表現(xiàn)，提供反饋建議供改進(jìn) 信息安全概述 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理與認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（） ? 英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（ ，） ? 著名的 9000、 14000、 177997799等標(biāo)準(zhǔn)的編寫(xiě)機(jī)構(gòu) ? 英國(guó)標(biāo)準(zhǔn)學(xué)會(huì)（）是世界上最早的全國(guó)性標(biāo)準(zhǔn)化機(jī)構(gòu)，它受政府控制但得到了政府的大力支持。 不斷發(fā)展自己的工作隊(duì)伍，完善自己的工作機(jī)構(gòu)和體制， 把標(biāo)準(zhǔn)化和質(zhì)量管理以及對(duì)外貿(mào)易緊密結(jié)合起來(lái)開(kāi)展工作 ? 的宗旨： ? 1. 為增產(chǎn)節(jié)約努力協(xié)調(diào)生產(chǎn)者和用戶之間的關(guān)系，促進(jìn)生產(chǎn)， 達(dá)到標(biāo)準(zhǔn)化（包括簡(jiǎn)化） ? 2. 制定和修訂英國(guó)標(biāo)準(zhǔn)，并促進(jìn)其貫徹執(zhí)行 ? 3. 以學(xué)會(huì)名義，對(duì)各種標(biāo)志進(jìn)行登記，并頒發(fā)許可證 ? 4. 必要時(shí)采取各種行動(dòng)，保護(hù)學(xué)會(huì)利益 7799簡(jiǎn)介 國(guó)際標(biāo)準(zhǔn)化組織（） ? 國(guó)際標(biāo)準(zhǔn)化組織（ ，） ? 國(guó)際標(biāo)準(zhǔn)化組織是世界上最大的非政府性標(biāo)準(zhǔn)化專門(mén)機(jī)構(gòu)， 它在國(guó)際標(biāo)準(zhǔn)化中占主導(dǎo)地位。 ? 的主要活動(dòng)是制定國(guó)際標(biāo)準(zhǔn)，協(xié)調(diào)世界范圍內(nèi)的標(biāo)準(zhǔn)化工作，組織各成員國(guó)和技術(shù)委員會(huì)進(jìn)行報(bào)交流，以及與其他國(guó)際性組織進(jìn)行合作，共同研究有關(guān)標(biāo)準(zhǔn)問(wèn)題。 ? 隨著國(guó)際貿(mào)易的發(fā)展，對(duì)國(guó)際標(biāo)準(zhǔn)的要求日益提高，的作用也日趨擴(kuò)大，世界上許多國(guó)家對(duì)也越加重視。 ? 的目的和宗旨是：在世界范圍內(nèi)促進(jìn)標(biāo)準(zhǔn)化工作的發(fā)展， 以利于國(guó)際物資交流和互助，并擴(kuò)大在知識(shí)、科學(xué)、技術(shù)和經(jīng)濟(jì) 方面的合作。 7799簡(jiǎn)介 什么是 7799？ ? 英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)（ ，）制定的信息安全標(biāo)準(zhǔn)。 ? 由信息安全方面的最佳慣例組成的一套全面的控制集。 ? 信息安全管理方面最受推崇的國(guó)際標(biāo)準(zhǔn)。 7799簡(jiǎn)介 7799的目的 為信息安全管理提供建議，供那些在其機(jī)構(gòu)中負(fù)有安全責(zé)任的人使用。它旨在為一個(gè)機(jī)構(gòu)提供用來(lái)制定安全標(biāo)準(zhǔn)、實(shí)施有效的安全管理時(shí)的通用要素，并得以使跨機(jī)構(gòu)的交易得到互信 。 7799簡(jiǎn)介 7799的歷史沿革 ? 1990年代初 —— 英國(guó)貿(mào)工部（）成立工作組，立項(xiàng)開(kāi)發(fā)一套可供開(kāi)發(fā)、實(shí)施和測(cè)量有效安全管理慣例并提供貿(mào)易伙伴間信任的通用框架。 ? 1993年 9月 —— 頒布《信息安全管理實(shí)施細(xì)則》，形成 7799的基礎(chǔ)。 ? 1995年 2月 —— 首次出版 77991:1995《信息安全管理實(shí)施細(xì)則》。 ? 1998年 2月 —— 英國(guó)公布 77992:《信息安全管理體系規(guī)范》。 ? 1999年 4月 —— 77991與 77992修訂后重新發(fā)布。 ? 2023年 12月 —— 國(guó)際標(biāo)準(zhǔn)組織 127工作組認(rèn)可通過(guò) 77991，頒布 17799:2023《信息技術(shù) ——信息安全管理實(shí)施細(xì)則》。 ? 2023年 9月 —— 對(duì) 77992進(jìn)行了改版，用來(lái)替代原標(biāo)準(zhǔn)（ 77992:1999）使用。 ? 2023年 6月 —— 17799:2023改版，成為 17799:2023。 ? 2023年 10月 —— 正式采用 77992:2023，命名為 27001:2023。 7799簡(jiǎn)介 7799的發(fā)展現(xiàn)狀 ? 7799技術(shù)委員會(huì)是 2，成員包括： ? 金融服務(wù)：英國(guó)保險(xiǎn)協(xié)會(huì)，渣打會(huì)計(jì)協(xié)會(huì)，匯豐銀行等 ? 通信行業(yè)：大英電訊公司等 ? 零售業(yè)： ? 國(guó)際組織：殼牌，聯(lián)合利華，畢馬威（）等 ? 目前除英國(guó)之外，國(guó)際上已有荷蘭（ 20233）、丹麥和瑞典（ 627799）、挪威、芬蘭、澳大利亞和新西蘭（ 4444）、南非、巴西、日本（ X 5080）等國(guó)采用 7799。 ? 我國(guó)的臺(tái)灣、香港地區(qū)也在推廣該標(biāo)準(zhǔn)。 ? 日本的金融業(yè)、印度的軟件業(yè)、歐洲的制造業(yè)在 7799認(rèn)證方面表現(xiàn)積極。 ? 全球目前有 2023多家機(jī)構(gòu)通過(guò)了 779927001認(rèn)證，涉及政府機(jī)構(gòu)、銀行、保險(xiǎn)公司、電信企業(yè)、網(wǎng)絡(luò)公司和許多跨國(guó)公司。（可查詢） ? 目前大陸地區(qū)通過(guò)信息安全管理體系認(rèn)證的有近 30家。 7799簡(jiǎn)介 截至 2023年初，全球通過(guò)779927001認(rèn)證的有 2023多家機(jī)構(gòu) 7799簡(jiǎn)介 7799認(rèn)證的發(fā)展趨勢(shì)圖 此圖摘自 2023年 2月前 到 2023年底 7799簡(jiǎn)介 建立并通過(guò)認(rèn)證的意義 ? 可以強(qiáng)化員工的信息安全意識(shí)，規(guī)范組織信息安全行為。 ? 對(duì)組織的關(guān)鍵信息資產(chǎn)進(jìn)行全面系統(tǒng)的保護(hù)，維持競(jìng)爭(zhēng)優(yōu)勢(shì)。 ? 在信息系統(tǒng)受到侵害時(shí)，確保業(yè)務(wù)連續(xù)開(kāi)展并將損失降到最低程度。 ? 向貿(mào)易伙伴證明對(duì)信息安全的承諾，使貿(mào)易伙伴和客戶對(duì)組織充滿信心。 ? 如果通過(guò)體系認(rèn)證，表明組織的信息安全體系符合標(biāo)準(zhǔn)，證明組織有能力保障重要信息，提高組織的知名度與信任度。 ? 促使管理層堅(jiān)持貫徹信息安全保障體系。 7799簡(jiǎn)介 1779927001的內(nèi)容框架 ? 17799：源自 77991。工具包，體現(xiàn)了三分技術(shù)七分管理的思想 ? 27001：源自 77992。框架體系，是建立信息安全管理系統(tǒng)（）的一套規(guī)范，一個(gè)完整的解決方案 安全策略 Security policy 人力資源安全 Human resources security 物理與環(huán)境安全 Physical and environmental security 通信與操作管理 Communications and operations management 信息系統(tǒng)獲取、開(kāi)發(fā)和維護(hù) Information systems acquisition, development and maintenance 組織信息安全 Organizing information security 資產(chǎn)管理 Asset management 訪問(wèn)控制 Access control 信息安全事件管理 Information security incident management 業(yè)務(wù)連續(xù)性管理 Business continuity management 符合性 Compliance 7799簡(jiǎn)介 新版本的變化特點(diǎn) ? 17799:2023 ? 從 10個(gè)域變到 11個(gè)域，增加了“信息安全事件管理” ? 去掉了 9項(xiàng)控制，增加了 17項(xiàng)控制，一共有 133項(xiàng)控制 ? 加強(qiáng)了對(duì)人員離職、移動(dòng)通信、軟件漏洞和補(bǔ)丁管理的控制要求 ? 77992:2023 27001:2023（略做修改） ? 附錄引向 17799:2023 ? 原來(lái)的條款 6（管理評(píng)審）分成現(xiàn)在的 6（內(nèi)審）、 7（管理評(píng)審）兩個(gè)部分 ? 17799:2023 19716:2023 7799簡(jiǎn)介 People CISO Security ISO SSO Security Organisation Procedures Incident Handling Incident Reporting Disaster Recovery Risk Assessment Business Continuity Plan Policies Security Policy 7799的輸出結(jié)果 7799簡(jiǎn)介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 1 ? 74982（ 93872,1995） ? 1989年組織制定的《信息處理系統(tǒng) 開(kāi)放系統(tǒng)互連 基本參考模型 第 2部分 安全體系結(jié)構(gòu)》，該標(biāo)準(zhǔn)對(duì)安全服務(wù)及相關(guān)機(jī)制進(jìn)行了一般描述 ? 15408（ 18336,2023，即標(biāo)準(zhǔn)） ? 1993年 6月，美國(guó)、加拿大及歐洲四國(guó)共同協(xié)商并起草通過(guò)了標(biāo)準(zhǔn)，最終將其推進(jìn)到國(guó)際標(biāo)準(zhǔn)。的目的是建立一個(gè)各國(guó)都能接受的通用的信息安全產(chǎn)品和系統(tǒng)的安全性評(píng)價(jià)標(biāo)準(zhǔn) ? （ 21827） ? 美國(guó)國(guó)家安全局（）于 1993年提出的專門(mén)用于系統(tǒng)安全工程的能力成熟度模型構(gòu)想。該模型定義了一個(gè)安全工程過(guò)程應(yīng)有的特征，這些特征是完善安全工程的根本保證 ? ? 美國(guó)國(guó)家安全局（）制定的 ，為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南 ? 13569 ? 銀行和相關(guān)金融服務(wù)信息安全指南 7799簡(jiǎn)介 其他類似或相關(guān)的標(biāo)準(zhǔn)規(guī)范 2 ? 提供了一組關(guān)于 7799的系列指導(dǎo)文件（ 3000系列）： ? 3001 – 7799 ? 3002 – ? 3003 – “ a 7799 ?” ? 3004 – 7799 ? 3005 – 7799 ? 4444 ? 澳大利亞和新西蘭等同采用的 7799（后來(lái)，根據(jù) 17799:2023頒布了 17799:2023，根據(jù) 77992:2023又頒布了 :2023） ? 4360 ? 澳大利亞和新西蘭自己的信息安全管理標(biāo)準(zhǔn) ? 13335 ? 即安全管理指南（ ，），分 5個(gè)部分。是信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，專注于領(lǐng)域，并不用于審計(jì)和認(rèn)證 7799簡(jiǎn)介 ? 第一部分 ? 信息安全概述 ? 779927001簡(jiǎn)介 ? 信息安全管理體系認(rèn)證之道 ? 第二部分 ? 風(fēng)險(xiǎn)評(píng)估與管理過(guò)程及方法 ? 1－信息安全管理實(shí)施細(xì)則 ? 2－信息安全管理體系規(guī)范 ? 總結(jié)和展望 選擇認(rèn)證機(jī)構(gòu) 信息安全管理體系認(rèn)證 明確認(rèn)證的范圍 ? 定義認(rèn)證范圍是讓認(rèn)證機(jī)構(gòu)和審核員確定評(píng)估程序的基礎(chǔ)。 ? 定義認(rèn)證范圍時(shí)，組織應(yīng)該考慮： ? 文檔化的適用性聲明 ? 組織的相關(guān)活動(dòng) ? 要包括在內(nèi)的組織范圍 ? 地理位置 ? 信息系統(tǒng)邊界、平臺(tái)和應(yīng)用 ? 包括在內(nèi)的支持活動(dòng) ? 排除在外的因素 ? 認(rèn)證機(jī)構(gòu)在展開(kāi)認(rèn)證過(guò)程之前將與組織在認(rèn)證范圍上達(dá)成一致意見(jiàn)。 信息安全管理體系認(rèn)證 認(rèn)證之前做好準(zhǔn)備 進(jìn)行 27001認(rèn)證之前，組織可以參照以下檢查列表來(lái)做準(zhǔn)備： 董事會(huì)和管理層的簽署承諾 已簽署并發(fā)布的安全策略文檔 已識(shí)別的資產(chǎn) 風(fēng)險(xiǎn)評(píng)估的結(jié)果文檔 已作出的風(fēng)險(xiǎn)管理決策 已識(shí)別的可用控制 文檔化的適用性聲明 文檔化的業(yè)務(wù)連續(xù)性計(jì)劃，并得到了實(shí)施和測(cè)試 文檔化的程序，并且發(fā)布和實(shí)施 確定有效性的內(nèi)部復(fù)審 信息安全管理體系認(rèn)證 認(rèn)證過(guò)程 選擇受認(rèn)可的認(rèn)證機(jī)構(gòu) Phase1：文檔審核 Phase2：現(xiàn)場(chǎng)審查 維持認(rèn)證 組織應(yīng)該向認(rèn)證機(jī)構(gòu)提供必要的信息 ? 復(fù)審風(fēng)險(xiǎn)評(píng)估文檔、安全策略和適用性聲明 ? 復(fù)審 ISMS的其他文檔 ? ISMS的實(shí)施情況，符合性審查 ? 風(fēng)險(xiǎn)管理決策的基礎(chǔ) 組織被授予證書(shū)后，審核組每年都會(huì)對(duì)其 ISMS符合性進(jìn)行檢查。證書(shū)三年有效，之后需要再次認(rèn)證。組織必須向認(rèn)證機(jī)構(gòu)通報(bào)任何變化。 預(yù)審（ Preassessment） 可選 信息安全管理體系認(rèn)證 文檔審核 ? 一般來(lái)說(shuō)都是現(xiàn)場(chǎng)進(jìn)行的 ? 審核框架，以考查其是否符合 27001的 48部分的要求 ? 查看策略、范圍、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理、控制選擇和適用性聲明相關(guān)的文件 ? 審核員或許不會(huì)非常深入地查看特定程序文件的細(xì)節(jié)，但卻期望能直接在標(biāo)準(zhǔn)、程序和工作指導(dǎo)書(shū)上簽署意見(jiàn) 符合性審核 ? 對(duì)來(lái)自文檔審核階段的不符合項(xiàng)進(jìn)行究根問(wèn)底 ? 審核抽樣，以驗(yàn)證底實(shí)施和操作 ? 審核小組組長(zhǎng)會(huì)提交一個(gè)建議，但并不做最終認(rèn)證決策 ? 對(duì)于審核期間記錄在案的不符合項(xiàng)，組織必須在一個(gè)月之內(nèi)采取糾正性措施 信息安全管理體系認(rèn)證 信息安全管理體系認(rèn)證 實(shí)施 7799認(rèn)證項(xiàng)目的建議過(guò)程 項(xiàng)目啟動(dòng) 預(yù)先審核 風(fēng)險(xiǎn)評(píng)估 前期培訓(xùn) 風(fēng)險(xiǎn)處理 文件編寫(xiě) 中期培訓(xùn) 認(rèn)證申請(qǐng) 內(nèi)部審核 后期培訓(xùn) 認(rèn)證準(zhǔn)備 協(xié)助認(rèn)證 準(zhǔn)備階段 實(shí)